"
Cerinţe privind gestionarea securităţii informaţiilor şi gestionarea continuităţii activităţii
Gestionarea securităţii informaţiilor
Aceste cerinţe se aplică fiecărui participant, cu excepţia cazului în care participantul demonstrează că nu i se aplică o cerinţă specifică. La stabilirea domeniului de aplicare a cerinţelor în cadrul infrastructurii sale, participantul ar trebui să identifice elementele care fac parte din lanţul tranzacţiei de plată (Payment Transaction Chain - PTC). În mod specific, PTC începe la un punct de intrare (Point of Entry - PoE), respectiv un sistem implicat în crearea de tranzacţii (de exemplu, staţii de lucru, aplicaţii de tip front-office şi back-office, middleware) şi se încheie la sistemul responsabil pentru transmiterea mesajului către SWIFT (de exemplu, SWIFT VPN Box) sau internet (acesta din urmă fiind aplicabil accesului prin internet).
Cerinţa 1.1: Politica în domeniul securităţii informaţiilor
Conducerea trebuie să stabilească o direcţie clară de politică în conformitate cu obiectivele de afaceri şi să îşi exprime susţinerea şi angajamentul pentru asigurarea securităţii informaţiilor prin emiterea, aprobarea şi menţinerea unei politici de securitate a informaţiilor care vizează gestionarea securităţii informaţiilor şi a rezilienţei cibernetice în întreaga organizaţie în ceea ce priveşte identificarea, evaluarea şi tratarea riscurilor legate de securitatea informaţiilor şi de rezilienţa cibernetică. Politica ar trebui să conţină cel puţin următoarele secţiuni: obiective, domeniu de aplicare (inclusiv domenii precum organizarea, resursele umane, administrarea activelor etc.), principii şi alocarea responsabilităţilor.
Cerinţa 1.2: Organizarea internă
Trebuie stabilit un cadru de securitate a informaţiilor pentru implementarea politicii de securitate a informaţiilor în cadrul organizaţiei. Conducerea trebuie să coordoneze şi să revizuiască stabilirea cadrului de securitate a informaţiilor pentru a asigura implementarea politicii de securitate a informaţiilor (potrivit cerinţei 1.1) în întreaga organizaţie, inclusiv alocarea de resurse suficiente şi atribuirea de responsabilităţi în materie de securitate în acest scop.
Cerinţa 1.3: Părţile externe
Securitatea informaţiilor organizaţiei şi a sistemelor de prelucrare a informaţiilor nu ar trebui să fie redusă prin introducerea unei părţi/unor părţi externe sau a produselor/serviciilor furnizate de acestea şi/sau prin dependenţa de acestea. Orice acces al părţilor externe la sistemele organizaţiei de prelucrare a informaţiilor trebuie controlat. În cazul în care părţile externe sau produsele/serviciile părţilor externe sunt necesare pentru accesul la sistemele organizaţiei de prelucrare a informaţiilor trebuie efectuată o evaluare a riscurilor pentru a determina implicaţiile în materie de securitate şi cerinţele de control. Controalele trebuie agreate şi definite într-un acord cu fiecare parte externă relevantă.
Cerinţa 1.4: Administrarea activelor
Toate activele informaţionale, procesele operaţionale şi sistemele informatice subiacente, cum ar fi sistemele de operare, infrastructurile, aplicaţiile de business, produsele standard, serviciile şi aplicaţiile dezvoltate de utilizatori, din aria de acoperire a lanţului tranzacţiei de plată, sunt luate în evidenţă şi au un proprietar desemnat. Trebuie atribuită responsabilitatea pentru întreţinerea şi operarea controalelor adecvate în cadrul proceselor operaţionale şi a componentelor informatice aferente, pentru a proteja activele informaţionale.
Proprietarul poate delega implementarea unor controale specifice, după caz, dar rămâne răspunzător pentru protecţia adecvată a activelor.
Cerinţa 1.5: Clasificarea activelor informaţionale
Activele informaţionale se clasifică în funcţie de caracterul lor critic pentru furnizarea fără probleme a serviciului de către participant. Clasificarea indică necesitatea, priorităţile şi gradul de protecţie necesar atunci când se tratează respectivul activ informaţional în procesele operaţionale relevante şi ia de asemenea în considerare componentele IT subiacente. Trebuie utilizată o schemă de clasificare a activelor informaţionale aprobată de conducere pentru a defini un set adecvat de controale de protecţie pe tot parcursul ciclului de viaţă al activelor informaţionale (inclusiv eliminarea şi distrugerea activelor informaţionale) şi pentru a comunica necesitatea unor măsuri specifice de manipulare.
Cerinţa 1.6: Securitatea resurselor umane
Responsabilităţile în materie de securitate trebuie abordate înainte de angajare în fişe ale postului adecvate şi în termenii şi condiţiile de încadrare în muncă. Toţi candidaţii pentru angajare, contractanţii şi utilizatorii terţi sunt verificaţi în mod corespunzător, în special în cazul locurilor de muncă care presupun acces la informaţii sensibile. Angajaţii, contractanţii şi utilizatorii terţi ai sistemelor de prelucrare a informaţiilor semnează un acord privind rolurile şi responsabilităţile lor în materie de securitate. Trebuie asigurat un nivel adecvat de conştientizare în rândul tuturor angajaţilor, contractanţilor şi utilizatorilor terţi şi li se oferă acestora educaţie şi formare în ceea ce priveşte procedurile de securitate şi utilizarea corectă a sistemelor de prelucrare a informaţiilor, pentru a reduce la minimum posibilele riscuri în materie de securitate. Trebuie stabilit un proces disciplinar formal pentru angajaţi pentru abordarea cazurilor de încălcare a securităţii. Trebuie stabilite responsabilităţi pentru a se asigura gestionarea ieşirii din organizaţie a unui angajat, a unui contractant sau a unui utilizator terţ sau a transferului acestuia în cadrul organizaţiei, precum şi faptul că sunt finalizate procedurile de returnare a tuturor echipamentelor şi de anulare a tuturor drepturilor de acces.
Cerinţa 1.7: Securitatea fizică şi în materie de mediu
Sistemele de prelucrare a informaţiilor critice sau sensibile trebuie amplasate în zone securizate, protejate de perimetre de securitate definite, cu bariere de securitate şi controale la intrare adecvate. Acestea trebuie protejate fizic împotriva accesului neautorizat, a deteriorării şi a interferenţelor. Accesul trebuie acordat numai persoanelor care intră sub incidenţa cerinţei 1.6. Trebuie stabilite proceduri şi standarde pentru a proteja suporturile fizice care conţin active informaţionale atunci când se află în tranzit.
Echipamentele trebuie protejate împotriva ameninţărilor fizice şi de mediu. Protecţia echipamentelor (inclusiv a echipamentelor utilizate în afara amplasamentului) şi protecţia împotriva furtului sunt necesare pentru a reduce riscul de acces neautorizat la informaţii şi pentru a proteja informaţiile şi echipamentele împotriva pierderii sau deteriorării. Pot fi necesare măsuri speciale de protecţie împotriva ameninţărilor fizice şi de protejare a sistemelor-suport, cum ar fi infrastructura de alimentare cu energie electrică şi de cablare.
Cerinţa 1.8: Gestionarea operaţiunilor
Trebuie stabilite responsabilităţi şi proceduri pentru gestionarea şi operarea sistemelor de prelucrare a informaţiilor care acoperă toate sistemele subiacente din lanţul tranzacţiei de plată de la un capăt la altul.
În ceea ce priveşte procedurile operaţionale, inclusiv administrarea tehnică a sistemelor informatice, trebuie implementată separarea sarcinilor, unde este cazul, pentru a reduce riscul de utilizare necorespunzătoare din neglijenţă sau deliberată a sistemului. În cazul în care separarea sarcinilor nu poate fi implementată din motive obiective consemnate, trebuie implementate controale compensatorii în urma unei analize formale a riscurilor. Trebuie stabilite controale pentru a preveni şi detecta introducerea de cod dăunător (malware) pentru sistemele din lanţul de tranzacţiei de plată. De asemenea, trebuie stabilite controale (inclusiv cunoaşterea de către utilizatori) pentru a preveni, detecta şi elimina codul dăunător. Codul mobil se utilizează numai din surse sigure (de exemplu, componentele Microsoft COM semnate şi Java Applets). Configuraţia browserului (de exemplu, utilizarea extensiilor şi a componentelor de tip plugin) trebuie să fie strict controlată.
Trebuie implementate de către conducere politici de efectuare de copii de rezervă şi de recuperare a datelor; aceste politici de recuperare includ un plan al procesului de restaurare, care este testat la intervale regulate, cel puţin anual.
Sistemele care sunt critice pentru securitatea plăţilor sunt monitorizate, iar evenimentele relevante pentru securitatea informaţiilor se înregistrează. Se utilizează jurnalele operatorilor pentru a se asigura că sunt identificate problemele sistemului informaţional. Jurnalele operatorilor sunt revizuite periodic, pe baza unui eşantion, în funcţie de gradul critic al operaţiunilor. Se utilizează monitorizarea sistemului pentru a verifica eficacitatea controalelor care sunt identificate ca fiind critice pentru securitatea plăţilor şi pentru a verifica conformitatea cu un model de politică de acces.
Schimburile de informaţii dintre organizaţii se bazează pe o politică formală de schimb, sunt efectuate în conformitate cu acordurile de schimb dintre părţile implicate şi respectă orice legislaţie relevantă. Componentele software ale părţilor terţe utilizate în schimbul de informaţii cu TARGET2 (cum ar fi software-ul primit de la un birou de servicii în scenariul 2 din secţiunea privind aria de acoperire din documentul TARGET2 privind aranjamentul de autocertificare) trebuie utilizate în cadrul unui acord formal cu terţul.
Cerinţa 1.9: Controlul accesului
Accesul la active informaţionale trebuie justificat pe baza cerinţelor de business (necesitatea de a cunoaşte1) şi în conformitate cu cadrul stabilit al politicilor corporative (inclusiv politica de securitate a informaţiilor). Trebuie definite reguli clare de control al accesului, pe baza principiului celui mai mic privilegiu2, pentru a reflecta îndeaproape necesităţile proceselor de business şi informatice corespunzătoare. Dacă este cazul (de exemplu, pentru gestionarea copiilor de rezervă), controlul accesului logic ar trebui să fie în concordanţă cu controlul accesului fizic, cu excepţia cazului în care există controale compensatorii adecvate (de exemplu, criptarea, anonimizarea datelor cu caracter personal).
1 Principiul necesităţii de a cunoaşte se referă la identificarea setului de informaţii la care o persoană are nevoie de acces pentru a-şi îndeplini atribuţiile.
2 Principiul celui mai mic privilegiu se referă la adaptarea profilului de acces al unei persoane la un sistem informatic pentru a corespunde rolului de business corespunzător.
Trebuie instituite proceduri formale şi documentate pentru a controla alocarea drepturilor de acces la sistemele informaţionale şi la serviciile care intră în aria de acoperire a lanţului tranzacţiei de plată. Procedurile acoperă toate etapele ciclului de viaţă al accesului utilizatorilor, de la înregistrarea iniţială a noilor utilizatori până la eliminarea definitivă a utilizatorilor care nu mai necesită acces.
Se acordă o atenţie deosebită, după caz, alocării drepturilor de acces a căror importanţă este atât de semnificativă încât utilizarea abuzivă a respectivelor drepturi de acces ar putea avea un impact negativ grav asupra operaţiunilor participantului (de exemplu, drepturile de acces care permit administrarea sistemului, anularea controalelor sistemului, accesul direct la datele de business).
Trebuie stabilite controale adecvate pentru identificarea, autentificarea şi autorizarea utilizatorilor în anumite puncte din reţeaua organizaţiei, de exemplu, pentru accesul local şi de la distanţă la sistemele din lanţul tranzacţiei de plată. Pentru asigurarea alocării răspunderii, conturile personale nu sunt partajate.
În ceea ce priveşte parolele, regulile trebuie stabilite şi impuse prin controale specifice pentru a se asigura că parolele nu pot fi ghicite cu uşurinţă, de exemplu, reguli privind complexitatea şi valabilitatea limitată în timp. Trebuie stabilit un protocol sigur de recuperare şi/sau de resetare a parolei.
Trebuie elaborată şi implementată o politică privind utilizarea controalelor criptografice pentru a proteja confidenţialitatea, autenticitatea şi integritatea informaţiilor. Se stabileşte o politică de gestionare a cheilor pentru a sprijini utilizarea controalelor criptografice.
Trebuie să existe o politică de vizualizare a informaţiilor confidenţiale pe ecran sau în format tipărit (de exemplu, o politică de tip ecran curat sau birou curat) pentru a reduce riscul de acces neautorizat.
Atunci când se lucrează de la distanţă, trebuie luate în considerare riscurile de a lucra într-un mediu neprotejat şi trebuie aplicate controale tehnice şi organizaţionale adecvate.
Cerinţa 1.10: Achiziţionarea, dezvoltarea şi întreţinerea sistemelor informaţionale
Cerinţele de securitate trebuie identificate şi agreate înainte de dezvoltarea şi/sau implementarea sistemelor informaţionale.
Trebuie construite controale adecvate în aplicaţii, inclusiv în aplicaţiile dezvoltate de utilizatori, pentru a se asigura prelucrarea corectă. Aceste controale includ validarea datelor de intrare, a prelucrării interne şi a datelor de ieşire. Pot fi necesare controale suplimentare pentru sistemele care prelucrează sau au un impact asupra informaţiilor sensibile, valoroase sau critice. Aceste controale se stabilesc pe baza cerinţelor de securitate şi a evaluării riscurilor în conformitate cu politicile stabilite (de exemplu, politica de securitate a informaţiilor, politica de control criptografic).
Cerinţele operaţionale ale noilor sisteme trebuie stabilite, documentate şi testate înainte de acceptarea şi utilizarea lor. În ceea ce priveşte securitatea reţelei, ar trebui implementate controale adecvate, inclusiv segmentarea şi gestionarea în condiţii de siguranţă, pe baza caracterului critic al fluxurilor de date şi a nivelului de risc al zonelor de reţea din cadrul organizaţiei. Trebuie să existe controale specifice pentru a proteja informaţiile sensibile transmise prin reţelele publice.
Accesul la fişierele de sistem şi la codul-sursă al programului trebuie controlat, iar proiectele informatice şi activităţile-suport trebuie să se desfăşoare în condiţii de siguranţă. Trebuie să se acorde atenţie evitării expunerii datelor sensibile în mediile de testare. Mediile de proiect şi de suport trebuie controlate strict. Implementarea schimbărilor în producţie trebuie strict controlată. Trebuie realizată o evaluare a riscurilor aferente schimbărilor majore care urmează să fie implementate în producţie.
Activităţile periodice de testare a securităţii sistemelor în producţie se desfăşoară, de asemenea, în conformitate cu un plan predefinit, bazat pe rezultatul unei evaluări a riscurilor, iar testele de securitate includ, cel puţin, evaluări ale vulnerabilităţii. Toate deficienţele evidenţiate în timpul activităţilor de testare a securităţii trebuie evaluate şi trebuie pregătite şi urmărite în timp util planuri de acţiune pentru eliminarea oricărei lacune identificate.
Cerinţa 1.11: Securitatea informaţiilor în relaţiile cu furnizorii
Pentru a asigura protecţia sistemelor informaţionale interne ale participantului care sunt accesibile furnizorilor trebuie documentate şi agreate în mod oficial cu furnizorul cerinţele de securitate a informaţiilor pentru diminuarea riscurilor asociate accesului furnizorului.
Cerinţa 1.12: Gestionarea incidentelor de securitate a informaţiilor şi îmbunătăţiri
Pentru a asigura o abordare coerentă şi eficace a gestionării incidentelor de securitate a informaţiilor, inclusiv a comunicării privind evenimentele de securitate şi punctele slabe în materie de securitate, trebuie stabilite şi testate rolurile, responsabilităţile şi procedurile, la nivel de business şi tehnic, astfel încât să se asigure o redresare rapidă, eficace şi ordonată şi în condiţii de siguranţă în urma incidentelor de securitate a informaţiilor, inclusiv a scenariilor legate de o cauză cibernetică (de exemplu, o fraudă săvârşită de un atacator extern sau intern). Personalul implicat în aceste proceduri trebuie să fie instruit în mod corespunzător.
Cerinţa 1.13: Revizuirea conformităţii tehnice
Sistemele informaţionale interne ale unui participant (de exemplu, sistemele de back-office, reţelele interne şi conectivitatea la reţele externe) sunt evaluate periodic din punctul de vedere al conformităţii cu cadrul de politici stabilit al organizaţiei (de exemplu, politica de securitate a informaţiilor, politica de control criptografic).
Cerinţa 1.14: Virtualizarea
Maşinile virtuale de tip guest trebuie să respecte toate măsurile de securitate stabilite pentru hardware şi sisteme fizice (de exemplu, procese de hardening, de logare). Controalele privind hipervizoarele trebuie să includă: procese de hardening ale hipervizorului şi ale sistemului de operare gazdă, remediere regulată a deficienţelor, separare strictă a diferitelor medii (de exemplu, producţie şi dezvoltare). Gestionarea centralizată, logarea şi monitorizarea, precum şi gestionarea drepturilor de acces, în special pentru conturile cu multe privilegii, trebuie implementate pe baza unei evaluări a riscurilor. Maşinile virtuale de tip guest gestionate de acelaşi hipervizor trebuie să aibă un profil de risc similar.
Cerinţa 1.15: Informatica de tip Cloud
Utilizarea soluţiilor de tip cloud publice şi/sau hibride în lanţul tranzacţiei de plată trebuie să se bazeze pe o evaluare formală a riscurilor, ţinând seama de controalele tehnice şi de clauzele contractuale aferente soluţiei cloud.
Dacă se utilizează soluţii cloud hibride, se înţelege că nivelul critic al întregului sistem este cel mai ridicat dintre cele ale sistemelor conectate. Toate componentele de la sediu ale soluţiilor hibride trebuie să fie separate de celelalte sisteme instalate la sediu.
Gestionarea continuităţii activităţii (aplicabilă numai participanţilor critici)
Următoarele cerinţe (2.1-2.6) se referă la gestionarea continuităţii activităţii. Fiecare participant la TARGET2 clasificat de Eurosistem ca fiind critic pentru buna funcţionare a sistemului TARGET2 trebuie să aibă implementată o strategie de continuitate a activităţii care să cuprindă următoarele elemente:
Cerinţa 2.1: Trebuie dezvoltate planuri de continuitate a activităţii şi proceduri pentru menţinerea acestora.
Cerinţa 2.2: Trebuie să fie disponibil un sediu operaţional secundar.
Cerinţa 2.3: Profilul de risc al sediului secundar trebuie să fie diferit de cel al sediului principal, pentru a evita ca ambele sedii să fie afectate simultan de acelaşi eveniment. De exemplu, sediul secundar trebuie să fie într-o reţea electrică şi un circuit central de telecomunicaţii diferite de cele ale sediului principal.
Cerinţa 2.4: În cazul unei perturbări operaţionale majore care face ca sediul principal să fie inaccesibil şi/sau ca personalul critic să fie indisponibil, participantul critic trebuie să fie în măsură să reia operaţiunile normale de la sediul secundar, unde să fie posibilă închiderea corespunzătoare a zilei de operare şi deschiderea următoarei (următoarelor) zile de operare.
Cerinţa 2.5: Trebuie să existe proceduri pentru a se asigura că procesarea tranzacţiilor este reluată de la sediul secundar într-un interval de timp rezonabil după întreruperea iniţială a serviciului şi proporţional cu caracterul critic al activităţii întrerupte.
Cerinţa 2.6: Capacitatea de a face faţă perturbărilor operaţionale este testată cel puţin o dată pe an, iar personalul critic este instruit în mod corespunzător. Perioada maximă dintre testări nu depăşeşte un an."