Коментар на Насоките на ЕБО относно управление на риска в областта на ИКТ и сигурността (EBA/GL/2019/04)

ЕБО наскоро актуализира Насоките относно управление на риска в областта на ИКТ и сигурността, приемайки нови правила в EBA/GL/2019/04

Новите насоки се отнасят до доставчиците на платежни услуги (PSP-та), кредитни институции и всички инвестиционни посредници.

Разделът „Контекст и обосновка“ на документа ни дава представа за процеса, протекъл в ЕБО при вземане на решенията за преработването на EBA / GL / 2017. Предназначението на Насоките  е не само да се разширят допълнително определени теми, които са от решаващо значение за развитието на управлението на риска в областта на ИКТ и сигурността във финансовите институции, но и са насочени към Планът за действие в областта на финансовите технологии (FinTech action plan)  на Европейската комисия, който беше публикуван през март 2018 г. FinTech action plan има за цел да улесни появата на иновативни бизнес модели в целия ЕС чрез иновативни центрове, които могат да се разширяват на ниво Европейски съюз, като същевременно усилва конкуренцията между пазарните участници. ЕС непрестанно изостава от кривата на иновативността във финансовите услуги, поради фрагментирания си и силно регулиран пазар, за разлика от Китай и САЩ, до където могат да се проследят корените на FinTech гиганти като WeChat (Китай) и Robinhood (САЩ).

 

  1. Правно положение

Насоките се основават на разпоредбите на чл. 74 от Директива 2014/36 / ЕС („CRD“) и чл. 95 от Директива (ЕС) 2015/2366 („PSD2“).

Следователно Насоките са императивни за:

(1) Доставчици на платежни услуги, така както са дефинирани в член 4, параграф 11 от PSD2, и

(2) кредитни институции и инвестиционни посредници, така както са дефинирани в член 4, параграф 1, т. 3 от Регламент (ЕС) № 575/2013

Насоките се прилагат и за компетентните органи, които контролират двете групи образувания. Компетентните органи имат право да уведомяват ЕБО за намерението си да не спазват Насоките в съответствие с чл. 16, параграф 3 от Регламент (ЕС) № 1093/2010.

Дефиницията за риск в областта на ИКТ и сигурността се извежда от Насоките по следния начин:

Риск от загуба поради нарушаване на поверителността, нарушение на целостта на системи и данни, неподходящи или неналични системи и данни, или невъзможност за промяна на информационни технологии (ИТ) в приемлив срок и с разумни разходи, когато изискванията на средата или дейността се променят (т.е. бързина на извършване на промяна). Това включва рискове за сигурността, произтичащи от неподходящи или неуспешни вътрешни процеси или външни събития, включително кибератаки или неадекватна физическа сигурност.

С други думи, рисковете в областта на ИКТ и сигурността представляват такива обстоятелства, които могат да доведат до изтичане на поверителна информация, до повреда или недостъпност до софтуерни или хардуерни системи на институцията и др. подобни, включително и непреднамерено блокиране в системите.

Финансовите институции са отговорни за създаването на собствен, основан на рисковете в областта на ИКТ и сигурността подход, на които са изложени, който взема предвид техния размер, вътрешна организация и естеството, обхвата, сложността и специфичните присъщи рискове, на които предлаганите от тях услуги са изложени.

Рискове в областта на ИКТ и сигурността могат да доведат до операционни или свързани със сигурността инциденти, които са дефинирани като:

Отделно събитие или поредица от свързани събития, които не са планирани от финансовата институция и което има или вероятно ще има неблагоприятно въздействие върху целостта, наличността, поверителността и/или автентичността на услугите.

Макар и да има някои прилики с член 96 от PSD2, тази дефиниция изглежда по – широкообхватна.

 

  1. Управление и стратегия

 

Съгласно Насоките Ръководния орган[1] на институцията е отговорен за осигуряването на адекватна рамка за вътрешно управление и контрол с цел намаляване риска в областта на ИКТ и сигурността. Това обикновено означава, че Ръководният орган е отговорен за прилагането на подходящи политики и процедури, както и за снабдяването на служителите с адекватни ресурси, за да постигнат горепосочените цели.

Ръководният орган има също така задачата да гарантира достатъчното количество и съответно умения на персонала във финансовите институции, за да поддържа адекватно ниво на оперативните нужди на ИКТ и управление на риска в областта на сигурността. Това означава, че е налице задължение за  разпределяне на достатъчно бюджет за изпълнение на тази цел, организиране на подходящо обучение на ключови служители веднъж годишно или по-често и осигуряване на достатъчно служители, за да се справят с рисковете по подходящ начин.

Стратегията за ИКТ трябва да бъде приведена в съответствие с цялостната бизнес стратегия на институциите, като Насоките предписват, че трябва да се разглеждат три ключови точки:

  1. План, който да се интересува от „еволюцията“ на ИКТ в институцията, за да подкрепя ефективно нейната бизнес стратегия и участието в нея.
  2. План, който да се интересува от развитието на архитектурата на ИКТ, включително да има поглед над зависимостите от трети страни
  3. Дефиниция на ясните цели, свързани с информационната сигурност, която се фокусира върху ИКТ системите и ИКТ услугите, персонала и процесите.

Някои институции вече са или сертифицирани съгласно PCI DSS, или   подходящи ISO стандарти, или планират да изпълнят тези критерии в близко бъдеще. За тези институции би било полезно да включат изискванията на съответния стандарт в общата политика за IT сигурност или подобен документ, за да се гарантира спазването на настоящите Насоки.

Насоките също установяват задължението за създаване на подробни планове за действие, които съдържат мерки, които следва да се  предприемат, за да се постигнат целите по т. 1-3 по-горе. Това най – вече означава, че стратегията за ИКТ трябва да е планирана по такъв начин, че да следва нормалните цикли на развитие.

В тази част от Насоките се обсъждат и третите страни – доставчици. Независимо от предвидените в Насоките задължения на финансовите институции относно договореностите за аутсорсинг, институциите следва също така да гарантират, че използването на субекти от групата на трети страни не възпрепятства прилагането на тяхната рамка за управление на риска. За да се гарантира непрекъсваемостта на ИКТ услугите и ИКТ системите, финансовите институции са длъжни да гарантират, че техните договори и споразумения на ниво обслужване с такива доставчици включват най-малко следното:

  1. подходящи и пропорционални цели и мерки, свързани с информационната сигурност, включително минимални изисквания за киберсигурност; спецификации за жизнения цикъл на данните, криптиране на данни, сигурност на мрежата и процеси за наблюдение на сигурността, както и местоположението на центровете за данни;
  2. процедури за действие при инциденти, засягащи оперативната дейност и сигурността, включително ескалация и докладване

За да се съобразят с тези изисквания, предлагаме финансовите институции да разработят шаблонни договорни клаузи в своите политики за IT сигурност, които да бъдат част от техните договори с трети страни и да включват специфични задължения на ключови заинтересовани страни по отношение на мониторинга на целите и стандартите, наложени чрез договорите с тези трети страни.

 

  • Рамка за управление на риска в областта на ИКТ и сигурността

Очевидно първата стъпка за финансовите институции е да идентифицират рисковете в областта на ИКТ и сигурността и въз основа на констатациите – да разработят стратегия за управление на последните. Функцията за управление на риска или друга подобна трябва да бъде отговорна за разработването на подходящи процеси и контролни механизми, за да се гарантира постигането на целта. Такъв участник трябва да отговаря на критериите за вътрешноконтролната функция в съответствие с изискванията на раздел 19[2] от Насоките за вътрешно управление на ЕБО (EBA / GL / 2017/11). Контролната функция не може да бъде функцията за вътрешен одит, тъй като има специфични задължения съгласно Насоките, свързани главно с възможността за независим преглед и предоставяне на обективна увереност за спазването на ИКТ и свързаните със сигурността дейности.

Като минимум, политиките за управление на риска в областта на ИКТ и сигурността трябва да включват процедури за:

  1. определяне на рисковия апетит по отношение на рисковете за ИКТ и сигурността в съответствие с рисковия апетит на финансовата институция;
  2. идентифициране и оценяване на рисковете в областта на ИКТ и сигурността, на които е изложена финансовата институция;
  3. определяне на мерки за смекчаване на последиците, включително контроли, с цел редуциране на рисковете в областта на ИКТ и сигурността;
  4. наблюдение на ефективността на тези мерки, както и броя на докладваните инциденти, включително за доставчиците на платежни услуги, за инцидентите, докладвани в съответствие с член 96 от PSD2, които засягат свързаните с ИКТ дейности, и предприемане на действия за коригиране на мерките, при необходимост;
  5. докладване на ръководния орган относно рисковете и проверките в областта на ИКТ и сигурността;
  6. идентифициране и оценяване дали съществуват някакви рискове за ИКТ и за сигурността, произтичащи от всякакви значителни промени в ИКТ системи или услуги, процеси или процедури в областта на ИКТ, и/или след всеки значим оперативен или свързан със сигурността инцидент.

Повечето от тези изисквания са съвсем разбираеми. Последните две точки обаче имат предвид, че институциите трябва да разработят процес на докладване, а също и процес на одит на всякакви съществени промени в ИКТ инфраструктурата за разкриване на рискове за сигурността. Би било разумно институциите да документират подробно стъпките, предприети в съответствие с тези точки.

Добра практика за доказване на ангажираността на дадена институция в спазването на Насоките е да се създаде документ за „извлечени поуки“, когато рискът в областта на ИКТ или сигурността се е материализирал или е бил изобличен.

Насоките предписват финансовите институции да идентифицират, установяват и поддържат актуализирана съпоставка на техните бизнес функции, роли и поддържащи процеси, както и актуална съпоставка на информационните активи, подпомагащи техните бизнес функции и поддържащи процеси. Институциите следва ясно да възлагат отчетността и отговорността по отношение на тези информационните активи.

Например, финансова институция управлява центрове за обслужване (павилиони) на определени обществени места, като например мол. Следователно трябва да има отделна бизнес функция – например,  „Mall павилиони“, която е включена в актуализираната съпоставка. Най-общо казано, рисковете за ИКТ и сигурността, свързани с подобна бизнес функция, включват инсталирането на злонамерен софтуер на терминалите, злонамереното подправяне на хардуера в павилиона, рискът от кражба на харддисковете или друго подобно оборудване и т.н. Отговорното лице за информационните активи трябва да бъде мениджърът на локацията на  оборудването, което е достъпно, но въпросният мениджър не трябва да бъде отговорен, напр. за всяка cloud услуга, софтуер за каси или друг подобен актив, който павилионът използва.

Актуализираната съпоставка трябва да класифицира по критичност идентифицираните бизнес функции.  За да оценят критичността, като минимум, институциите трябва да обмислят как материализирането на риска в областта на ИКТ / сигурността може да попречи на поверителността, целостта и достъпността на тези функции.

Насоките предвиждат актуализираната съпоставка и оценката на риска, направени във връзка с последното, да се обновявани редовно. Оценката на риска трябва да се извършва и документира поне веднъж годишно или в случай на големи промени.

Въз основа на идентифицираните рискове по време на оценката финансовите институции са задължени да определят мерки, които да смекчават проявата на тези рискове. Мерките трябва да бъдат надлежно документирани, а документацията да включва срокове за тяхното въвеждане.

Насоките създават допълнително задължение за одит за финансовите институции, както е посочено в точка 25 – институциите трябва да бъдат одитирани периодично от одитори с достатъчно знания, умения и опит в областта на рисковете за ИКТ и сигурността. Следователно институциите са задължени да одобрят план за одит на рисковете в областта на ИКТ и сигурността. Изрично е посочено, че одиторите могат да бъдат вътрешни, но въпреки това трябва да бъдат независими (т.е. не трябва да бъдат пряко „управлявани“ или инструктирани от никого по време на техния одит).

За констатациите, направени посредством плана за одит, трябва да се създаде специален процес на възстановяване / проследяване.

  1. Информационна сигурност

В тази част ЕБО директно инструктира какво трябва да включва Политиката за информационна сигурност.

Най-важното извличане от първата част на тази дял е, че общоприетите принципи и правила, включени в политиката за информационна сигурност, трябва да се основават на целите на информационната сигурност и резултатите от одита, за които говорихме по – горе.

Политиката за информационна сигурност следва да включва изисквания към персонала и трети страни изпълнители, включително задължение последните да бъде информирани за условията на тази политика.

Конкретни моменти, които трябва да включва политиката за информационна сигурност са:

  1. правила за организация и управление
  2. правила за логическа сигурност
  3. правила за физическа сигурност
  4. правила за сигурност на операциите в областта на ИКТ
  5. правила за наблюдение на сигурността
  6. правила за прегледи, оценка и тестване на информационната сигурност
  7. правила за обучение и осведоменост по въпросите на информационната сигурност

По отношение на точка a) вече коментирахме изискванията за организационните и управленските правила на финансовите институции. Следователно финансовите институции следва да преразгледат съществуващите политики и да ги адаптират чрез въвеждане на новите изисквания на Насоките

По отношение на буква b) финансовите институции следва да подобрят или прилагат политики и процедури за логически контрол на достъпа. Много институции вече прилагат принципа „необходимост да се знае“ в своята политика / процедури за контрол на достъпа, който сега е изрично разгледана в Насоките. Наред с този принцип, Насоките също предвиждат институциите да въведат:

  • Отговорност на потребителите – на практика това означава, че всеки служител трябва да има индивидуално зададени настройки на потребителския акаунт и че техните действия трябва да бъдат лесно идентифицирани в ИКТ екосистемите на финансовата институции.
  • Привилегировани права на достъп – на практика това означава, че на първо място финансовите институции трябва да идентифицират кои профили имат по – високи права на достъп до системата, дали допълнителните привилегии се изискват от потребителя, и след това да въведат по-строг контрол и мониторинг върху използването на такива профили.
  • Проследяване – всички дейности на привилегированите потребители трябва да бъдат регистрирани и наблюдавани. Регистрите за достъп не трябва да бъдат променяни. Финансовите институции трябва да анализират информацията от регистрите и да идентифицират и изследват всички аномалии.
  • Управление на достъпа – на практика това изискване е свързано с навременното въвеждане на процедура за предоставяне, оттегляне или промяна на правата за достъп на потребителите в ИКТ системите.
  • Подновяване на сертификата за достъп – това изискване основно означава, че финансовите институции трябва периодично да преглеждат потребителските права на своите служители.
  • Установяване на идентичността -финансовите институции трябва да въведат механизми като 2FA за достъп до техните ИКТ системи въз основа на тяхната критичност. Като минимум трябва да бъдат въведени правила за сложност на паролите.

По отношение на буква c) трябва да се въведат, дефинират, документират и прилагат мерки за физическа сигурност. Такива правила могат да включват определянето на райони с висока степен на сигурност в помещения на финансовата институция, мерки за противодействие на пожар, земетресение, наводнение и др.

По отношение на буква d), процедурите за сигурност на операциите на ИКТ трябва да включват в политиката за IT сигурност правила относно:

  • Тестове за уязвимост и саниране
  • Настройки за конфигурация във всички компоненти на мрежата
  • сегментация на мрежата, предотвратяване на загуба на данни и за криптиране на мрежовия трафик
  • защита на крайните точки,
  • проверка на целостта на софтуера, фърмуера и данните;
  • криптиране на данните в режим на покой

По отношение на буква е) Насоките предвиждат прилагането на политики и процедури за откриване на аномални дейности или с други думи, текущ мониторинг на риска в областта на ИКТ и сигурността. Тази програма за мониторинг трябва да включва най-малко:

  • Определяне на относими вътрешни и външни фактори
  • Специфични тестове за установяване на вътрешна злоупотреба с достъп или злоупотреба с достъп от трети страни или други лица
  • потенциалните вътрешни и външни заплахи.

По отношение на буква f) финансовите институции са длъжни да определят програма за прегледи, оценка и тестване на информационната сигурност, за да гарантират, че рамката за управление, свързана с рисковете в областта на ИКТ и сигурността, е разумно ефективна. Такива тестове и оценки могат да бъдат тестове за проникване, прегледи за съответствие, анализ на пропуски, външни прегледи и други подобни. Като минимум такива дейности трябва да:

  • се извършват от независими проверители с достатъчно знания и опит
  • включват тестове за установяване на уязвимости и тестове за проникване

Такива прегледи трябва да се правят поне веднъж годишно за критични системи. Некритичните системи могат да бъдат тествани чрез подход, основан на риска, но поне веднъж на всеки 3 години.

За доставчици на платежни услуги се въвеждат специфични изисквания: прегледите трябва да включват платежни терминали и устройства, които се използват за предоставяне на платежни услуги (POS, банкомати, подобни); платежни терминали и устройства, използвани за удостоверяване на идентичността на ползвателите на платежни услуги (токен устройства и други подобни); устройства и софтуер, предоставени от доставчици на платежни услуги на потребителите за генериране / получаване на код за удостоверяване (например устройства или приложения за генериране на еднократна парола).

По отношение на буква g) финансовите институции следва да създадат програма за обучение, която включва периодични програми за осведоменост по въпросите на сигурността за всички служители и изпълнители по договори. Такива програми трябва да включват обучения за намаляване на човешките грешки, кражби, измами, злоупотреба или загуба, например финансовите институции могат да включват обучение за конкретни фишинг атаки, атаки на социален инженерство, атаки на злонамерен софтуер и други подобни.

 

  1. Управление на операциите в областта на ИКТ

Насоките изискват финансовите институции да документират процесите на експлоатация, мониторинг и контрол на ИКТ системите и услугите, включително документацията за критични ИКТ операции и актуална инвентаризация

Специфично изискване за критичните ИКТ операции е включването на подобрени процедури за регистриране и наблюдение, за да се улесни откриването, анализа и коригирането на грешки, свързани с тези системи.

Въвеждат се някои специфични изисквания за инвентаризацията на ИКТ активи:

  • Инвентаризацията следва да описва конфигурацията на активите, както и връзките и взаимозависимостите между различните ИКТ активи
  • Инвентаризацията следва да бъде достатъчно подробна – трябва да включва местоположение, класификация за сигурност и собствеността върху актива

Трябва да се въведат правила за управление на жизнения цикъл на ИКТ активите, както и правила за управление на обновяванията.

Променливостта в мащаба на ИКТ активите също трябва да намери място в политиките на финансовата институция.

Процедури за създаване на резервни копия и възстановяване трябва да бъдат специално въведени като допълнителен документ към общата политика за сигурност на информационните технологии. Такива процедури трябва като минимум да посочат обхвата и честотата на архивирането и правилата за периодично тестване, както и правила, свързани със смекчаването на общите рискове от ИКТ и сигурността, като се гарантира, че точките за  създаване на резервни копия/ възстановяване са достатъчно отдалечени от основните ИКТ системи.

Политиките и процедурите за управление на инцидентите и проблемите/ възстановяване при бедствия не чужди за финансовите институции. Подобни политики и процедури трябва да разкриват пред служителите стъпките, които следва да се предприемат, за да се продължат или възобновят своевременно критичните бизнес функции и процеси, когато подобни събития настъпят.

Насоките изискват от институциите да създават и прилагат политики, свързани с мониторинг на инциденти, обработка и последващи действия. Като минимум финансовите институции трябва да осигурят:

 

  • идентифициране, проследяване, регистриране, категоризиране и класифициране на инциденти
  • ролите и отговорностите за различните сценарии на инциденти
  • процедури за идентифициране, анализиране и разрешаване на първопричините за инцидентите. Трябва да се въведат процедури „ключови поуки“ или „извлечени поуки“.
  • планове за вътрешна комуникация, които да обхващат релевантните лица, които следва да бъдат уведомени, както и процедури за ескалация
  • процедури за реагиране при инциденти (въпреки че такива трябва да бъдат въведени по силата на други насоки на ЕБО)
  • външна комуникация за критични бизнес функции, които да обхващат начините на провеждане на сътрудничество със съответните трети страни за ефективно реагиране и възстановяване при инцидент (например, специфични инструкции за комуникация с критични доставчици на SLA, като доставчици на cloud услуги или на софтуер), както и конкретни правила за комуникация с клиенти, участници на пазара и надзорни органи ( вж. още Насоките на ЕБО за докладване на големи инциденти EBA/GL/2017/10).

 

 

  1. Управление на проекти и промени в областта на ИКТ

Конкретна част от Насоките посочва правилата, отнасящи се до промените в инфраструктурата на ИКТ.

Насоките предвиждат, че финансовите институции следва да наблюдават по подходящ начин и да редуцират рисковете, произтичащи от проектите в областта на ИКТ. Най – общо, от финансовите институции се изисква въвеждането на политика за управление на ИКТ програмата/проектите.

С оглед на това, Насоките предвиждат като минимум подобни процедури да съдържат правила за документиране на:

  • Целите на всеки нов проект
  • Ролите и отговорностите, свързани с проекта
  • Оценка на риска на проекта
  • План на проекта, график и стъпки
  • Основни етапи
  • Изисквания за управление на промените

Подобен подход трябва да бъде разработен и приложен във връзка с придобиването, разработването и поддържането на ИКТ системите.

  • Преди институциите да придобият или разработят нови ИКТ системи, специфичните цели и изисквания за информационна сигурност трябва да бъдат определени и одобрени от съответния ръководител.
  • Трябва да се въведе методология за тестване и одобряване на такива нови ИКТ системи преди използването им за пръв път.
  • Въвежда се специфично изискване за въвеждане на съвременни практики за разработка на софтуер – разделяне на ИКТ среди (продукционна и непродукционна среда). Продукционната среда трябва да бъде ограничена до оторизирани потребители.
  • Специално внимание се обръща на разработването в рамките на самата институция. Документирането на разработването, внедряването, функционирането и / или конфигурирането на ИКТ системите вече е задължително за финансовите институции с въвеждането на конкретно правило относно зависимостта от експерти по темата.

 

  • Управление на непрекъсваемостта на дейността

Насоките изискват от финансовите институции да установят политика за непрекъсваемост на дейността, за да въведат ясни правила за намаляване на риска, който в противен случай би могъл да окаже неблагоприятно въздействие на ежедневните операции, извършвани от институцията. Тази част от Насоките допълва дял VI от EBA / GL / 2017/11.

Въз основа на анализ на въздействието върху дейността, който следва да има предвид доколко дейността е изложена на сериозни смущения и потенциални въздействия, включително и сценарен анализ, институциите са длъжни да разработят такива процедури за непрекъсваемост на дейността, които да им позволяват да  възстановят наличността на техните бизнес функции в разумни срокове, наричан целеви срок за възстановяване (ЦСВ)

В съответствие с гореспоменатия анализ, институциите следва да разработят и планове за реакция и възстановяване, които да обясняват в подробности действията, които трябва да се предприемат, за да гарантират наличността, непрекъсваемостта и възстановяването на критично важните ИКТ системи и услуги, във времевите рамки на ЦСВ.

Тези планове трябва да са достъпни и да документират варианти за възстановяване на критични бизнес функции, процеси, активи, включително изпълнението на незавършени платежни трансакции. Плановете следва да се актуализират винаги, когато се е осъществила процедура по „извлечена поука“.

Специфични правила трябва да бъдат въведени за трети страни – доставчици от ключово значение. Би било разумно финансовите институции да обмислят преплитането на своята аутсорсинг политика, основана на EBA/GL/2019/02, с плановете по тази точка.

Следва да бъдат въведено и тестване на плановете за непрекъсваемост, което да  се провежда поне веднъж годишно. Въз основа на констатациите от тези тествания, плановете следва да бъдат актуализирани. Подобни тестове трябва да включват:

  • тестване на силно утежнени, но правдоподобни сценарии,
  • Подлагане на съмнение предположенията, на които почиват плановете за непрекъсваемост (например, дали е на разположение трета страна, или дали такава трета страна би имала адекватна реакция)
  • Проверка на способността на персонала и трети страни да реагират адекватно на инциденти.

Мерките за комуникация при наличието на кризи са също нещо ново в настоящите Насоки. Вътрешните и външните заинтересовани страни,  както и заинтересованите органи трябва да бъдат информирани своевременно и по подходящ начин.

 

  • Управление на връзките с клиенти

Насоките изискват институциите да предвидят процеси, посредством които да  осведомяват в достатъчна степен своите клиентите относно рисковете за сигурността, свързани с предлаганите от тях услуги.

Този вид информация следва да бъде актуализирана регулярно и в светлината на новооткрити заплахи и уязвимости.

По – специално, доставчиците на платежни услуги трябва да позволяват на своите клиенти да деактивират определени функционалности за разплащане, когато това е възможно с оглед предлагания продукт.

Когато между доставчика на платежни услуги и клиента е уговорен максимален лимит на плащане с конкретен платежен инструмент, доставчикът на платежни услуги е длъжен да осигури на клиента възможност да  регулира тези ограничения до максималния договорен лимит.

Друго изискване е да се предостави опцията на клиента да получава известия/нотификации относно инициирани и/или неуспешни опити за иницииране на платежни трансакции с платежния инструмент на клиента

Ново изискване, отправено към доставчиците на платежни услуги, е да се информират клиентите за промени в процедурите по сигурността, които могат да окажат влияние върху използването на предложените им платежни услуги, както и да предоставят информация относно начините, по които клиентите да получат помощ във връзка с въпросите, исканията и др. подобни, свързани със сигурността на платежните услуги.

Заключение

С Насоките се въвеждат множество изисквания за финансовите институции.

Финансовите институции трябва да анализират съществуващите до момента глобални политики за IT сигурност, включително и поддържащите политики и процеси към тях. Следните политики и процедури е възможно да бъдат засегнати от новите насоки:

  • Процедури/политики за възстановяване при бедствия
  • Процедури/политики за криптиране
  • Процедури / политики за управление на правата на потребителите
  • Процедури / политики за непрекъснатост на бизнеса и / или процедури/политики за възстановяване
  • Процедури/политики за реакция на инциденти и процедури / политики за реагиране на големи инциденти
  • Процедури/политики за IT мониторинг
  • Процедури/политики за организиране на аутсорсинг
  • Процедури/политики за вътрешен контрол
  • Процедури/политики за мрежова сигурност
  • Процедури/политики за съхранение на сървър/cloud
  • Процедури/политики за управление на корекциите (пачове)
  • Процедури/политики за сигурност при използването на трети страни
  • Процедури/политики за управление на регистрирането
  • Процедури/политики за архивиране

 

Екипът на PTRP е готов да Ви окаже помощ по всякакви въпроси, свързани с Насоките на ЕБО, PSD2, Четвъртата AML Директива и нормативно съответствие. Можете да се свържете с нас чрез формуляра за контакт на нашия уебсайт или на office@eu-bg.com

 

 

[1] Което означава лицата, отговорни за управлението на институцията, или с други думи Съвета на директорите или подобни органи на управление. Вж. секцията „Определения“ на Насоките

[2] Цит. от параграф 153: Функциите за вътрешен контрол следва да включват звено за управление на риска (вж. раздел 20), звено, следящо за нормативното съответствие (вж. раздел 21), и звено за вътрешен одит (вж. раздел 22). Звеното за управление на риска и звеното за нормативно съответствие следва да са обект на преглед от страна на звеното за вътрешен одит.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *