Cerințe minimale de securitate și control obligatorii pentru entitățile supravegheate de ASF

Operatorii de piață, societățile de administrare a investițiilor (SAI), depozitarii centrali, casele de compensare / contrapărțile centrale, intermediarii - societățile de servicii de investiții financiare (S.S.I.F.), traderii, fondurile de compensare a investitorilor, societățile de asigurare/reasigurare, brokerii de asigurare/reasigurare, entitățile care desfășoară activitatea de depozitare a activelor organismelor de plasament colectiv și a fondurilor de pensii private, societățile de administrare a fondurilor de pensii private trebuie să respecte o serie de cerințe de securite și control prevăzute în Norma 4/2018 emisă de Autoritatea de Supraveghere Financiară privind gestionarea riscurilor operaționale generate de sistemele informatice utilizate de entitățile reglementate, autorizate/avizate și/sau supravegheate de Autoritatea de Supraveghere Financiară.

Entitățile reglementate, autorizate/avizate și/sau supravegheate de Autoritatea de Supraveghere Financiară au obligația implementării unui sistem de management al securității informației, bazat pe o inventariere a riscurilor, adoptarea unor proceduri și măsuri de securitate și auditarea periodică a sistemul informatic utilizat. Aceste entități trebuie să se asigure și de faptul că furnizorii de servicii IT respectă aceleași cerințele de securitate și audit impuse de ASF.

Sistemul de Management al Securității trebuie să prevadă următoarele procese:

• Evidențierea tuturor sistemelor și programelor informatice utilizate;
• Evidențierea schimbărilor majore aduse sistemului și programelor informatice;
• Documentarea raportului cu testele efectuate asupra sistemului informatic;
• Realizarea periodică a evaluării interne a riscurilor operaționale;
• Adoptarea unui plan de acțiune pentru remedierea problemelor consemnate în raportul de audit;
• Măsurarea și raportarea indicatorilor de securitate și control.

Sistemul informatic utilizat de entitățile supravegheate și reglementate de ASF trebuie să asigure:

• Integritatea, confidențialitatea, autenticitatea, disponibilitatea datelor;
• Respectarea conținutului de informații prevăzut în formularele de raportare;
• Reconstituirea rapoartelor și informațiilor supuse verificării;
• Stocarea și păstrarea datelor înregistrate și jurnalizate de către sistemele de tranzacționare și back-office;
• Posibilitatea de restaurare a datelor arhivate pe suport digital extern;
• Elemente de identificare a datelor supuse prelucrării sau verificării;
• Confidențialitatea și protecția informațiilor și a programelor.

Pentru o implementare eficientă și eficace a cerințelor de securitate și control este important ca organizațiile să realizeze o analiză corectă a riscurilor de securitate la care este expusă. Acest demers presupune definirea scopului și a contextului, identificarea activelor critice ale organizației, identificarea amenințărilor și vulnerabilităților asociate acestora, evaluarea probabilității și a impactului pentru fiecare risc, prioritizarea riscurilor într-o matrice, alegerea strategiilor de tratare (reducere, transfer, acceptare sau evitare), implementarea măsurilor de securitate corespunzătoare, documentarea și raportarea rezultatelor, monitorizarea continuă a eficienței controalelor și revizuirea periodică a riscurilor pe baza schimbărilor tehnologice și organizaționale.