• Home
• Revista
• Linkuri Utile
• Contact

• 
  Aprilie 2024 [Nr. 263]
• 
  Market Watch - Editie Speciala Decembrie, 2023
• 
  Market Watch - Editie Speciala Noiembrie, 2023
• 
  Market Watch Octombrie, 2023
• 
  Market Watch Septembrie, 2023
• 
  Market Watch Iulie - August, 2023
• 
  Market Watch - Editie Speciala - Martie, 2023
• 
  Market Watch Ianuarie-Februarie, 2023
• 
  Market Watch Decembrie, 2022
• 
  Market Watch Noiembrie, 2022
• 
  Market Watch Octombrie, 2022
• 
  Market Watch Septembrie, 2022
• 
  Market Watch Iulie - August, 2022
• 
  Market Watch Iunie, 2022
• 
  Market Watch - Editie Speciala - Mai, 2022
• 
  Market Watch Aprilie, 2022
• 
  Market Watch - Editie Speciala - Martie, 2022
• 
  Market Watch Ianuarie-Februarie, 2022
• 
  Market Watch Decembrie, 2021
• 
  Market Watch Noiembrie, 2021
• 
  Market Watch Octombrie, 2021

• Sumarul Articolelor
• Arhiva Revistei
• Abonamente

Academia Română a fost creată în 1866 pentru a cristaliza cele mai înalte valori intelectuale din provinciile românești într-o societate erudită menită să consolideze identitatea națională pe baza a patru componente esențiale: limbă și literatură, istorie, etnografie și cultură. La...

Cerinte privind securitatea informatiei in sistemul bancar

Informatia - cel mai important activ al oricarei organizatii - este expusa in prezent unui numar din ce in ce mai divers de amenintari provocate de factori interni sau externi. Conferinta CYBERTHREATS 2007, organizata la sfarsitul lunii mai de Institutul Bancar Roman, a reluat un subiect fierbinte pentru mediul bancar si nu numai: securitatea informatiei, punand in discutie tendintele si amenintarile actuale, reglementari, standarde si proceduri in domeniu, implicatiile Basel II, impactul problemelor de securitate asupra riscului operational si alte probleme privind securitatea informatiei in mediul bancar.

Reglementari privind securitatea informatiei
Institutiile de credit trebuie sa se conformeze unor acte legislative, norme si regulamente care contin prevederi privind securitatea informatiei. Reglementari specifice sistemului bancar sunt continute de Legea bancara, precum si de norme BNR, precum Norma 16/2004, privind tehnicile echivalente pentru garantarea autenticitatii semnaturii, si Norma 17/2003, pentru organizarea si controlul intern al activitatii institutiilor de credit si administrarea riscurilor semnificative.
In domeniul platilor electronice, cele mai importante reglementari sunt Ordinul MCTI 218/14.06.2004 si Regulamentul BNR 6/2006 privind tranzactiile efectuate prin intermediul instrumentelor de plata electronice si relatiile dintre participanti.
Alte reglementari privesc semnatura electronica (Legea 455/2001 a semnaturii electronice, Legea 451/2004 privind marca temporala) si comertul electronic (Legea nr. 365/2002, cu modificarile aduse de Legea nr. 121/2006). Dispunem si de legislatie privind prevenirea si combaterea criminalitatii informatice, Legea nr. 161/19.04.2003.
Un capitol aparte il constituie legislatia privind viata privata: Legea 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor personale, precum si Legea 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.
La toate acestea se adauga un numar important de Directive Europene in domeniul securitatii informatiei. Reglementarile in vigoare acopera doar partial spectrul problemelor pe care le ridica securitatea informatiei, controlul in domeniul tehnologiei informatiilor, administrarea riscurilor si calitatea serviciilor informatice.

Standarde de securitate a informatiei
Pentru tot mai multe institutii bancare din Romania, standardele internationale in domeniu constituie baza organizarii activitatilor informatice si a securitatii. Printre cele mai importante standarde si documente publicate privind controlul securitatii informatiei se numara:
-CobiT - Control OBjectives for Information and related Technology, dezvoltat de IT Governance Institute, standard ce permite dezvoltarea de politici si bune practici pentru controlul informatiei si o mai buna aliniere intre tehnologia informatiei si afacere.
-Standardele ISO / IEC
•ISO / IEC 17799 - Code of Practice for Information Security Management, ce defineste principiile generale pentru implementarea sistemului de administrare a securitatii informatiei, precum si cele mai bune practici privind obiectivele de control.
•ISO / IEC 27001 - Specification for an Information Security Management System, in baza caruia pot fi certificate sistemele de administrare a securitatii informatiei. De altfel, ISO a rezervat seria 27000 pentru standarde referitoare la administrarea securitatii informatiei, unele deja publicate, altele in curs de elaborare.
•ISO / IEC 20000 – Service Management, primul standard international pentru administrarea serviciilor informatice, ce contine specificatii de administrare a serviciilor, precum si un cod de practica.
- ITIL – Information Technology Infrastructure Library, un set de documente create cu scopul de a facilita implementarea unei structuri pentru administrarea serviciilor informatice. ITIL a fost adoptat rapid ca standard ’de facto’ pentru cele mai bune practici in furnizarea serviciilor informatice.
-NIST Special Publications, documente dezvoltate de United States National Institute of Standards and Technology, destinate agentiilor federale, printre care seria 500 - Information Technology si seria 800 - Computer Security.
- Standard of Good Practice for Information Security, dezvoltat de Information Security Forum, care priveste securitatea informatiei din perspectiva afacerii, furnizand o baza practica pentru evaluarea sistemului de securitate a informatiei.

Securitatea informatiei din perspectiva riscului operational
Riscul operational, elementul de noutate adus de Basel II, este definit ca riscul de pierderi directe si indirecte cauzate de factori interni si de factori externi. Riscul operational este cel mai controversat, cel mai putin definit si cel mai probabil sa evolueze major in urmatorii ani. Impactul riscului operational poate afecta relatia cu clientii si partenerii, iar implicatiile sale valorice sunt greu de masurat cu precizie.
Printre factorii interni care influenteaza riscul operational putem enumera: derularea ineficienta a unor procese interne, pregatirea necorespunzatoare a personalului, calitatea sistemelor utilizate. Problemele legate de securitatea informatiei intra si ele in categoria factorilor care au implicatii directe asupra riscului operational: caderile partiale sau complete ale sistemelor informatice, problemele generate de atacuri informatice sau patrunderi neautorizate, fraudele, greselile de operare, intreruperea activitatii pentru o perioada oarecare, si multe altele.
Pentru a defini o buna practica privind asigurarea continuitatii operationale a institutiilor financiare, Joint Forum for Business Continuity - constituit in cadrul Comitetului Basel - a emis documentul consultativ High-level Principles for Business Continuity, adresat institutiilor bancare, dar si autoritatilor financiare, avand ca scop cresterea rezilientei sistemului financiar global.
Planificarea corespunzatoare a continuitatii operationale, prin politici, standarde si proceduri pentru asigurarea mentinerii sau reluarii in timp util a operatiunilor in eventualitatea producerii unor intreruperi, contribuie la reducerea riscurilor organizatiei si adauga valoare acesteia.
Cateva standarde care pot constitui baza pentru organizarea asigurarii continuitatii operationale pentru institutiile bancare sunt Good Practice Guidelines, emis de Business Continuity Institute, PAS 56 si BS 25999, noul standard pentru administrarea continuitatii operationale, emise de British Standards Institution. Prima parte BS 25999-1:2006 Code of practice for business continuity management, lansat in 2006, furnizeaza o baza pentru intelegerea, dezvoltarea si implementarea continuitatii operationale intr-o organizatie. Cea de a doua parte BS 25999-2:2006 - Specification for business continuity management va cuprinde cerinte pentru definirea, implementarea, operarea, monitorizarea, verificarea, intretinerea si perfectionarea unui sistem documentat de administrare a continuitatii operationale.

Securitatea informatiei la nivel de sistem
Cerintele de securitate a informatiei cresc in contextul conectarii institutiilor de credit la infrastructuri de plati, de decontari, la sisteme de raportari, constituite la nivel national, regional sau global. Necesitatea asigurarii securitatii la nivel de sistem se traduce in cerinte minime de securitate pentru fiecare participant, problemele de securitate ale unui participant putand afecta fun-ctionarea intregului sistem.
Intrarea in functiune a Sistemului Electronic de Plati a impus conditii minime de securitate pentru participanti si conditii de certificare tehnica pentru participantii cu procesare integrata (STP) in sistemul SENT. Luand in considerare cerintele specifice impuse de Bank of International Settlement pentru sisteme de tipul SENT, TransFonD isi propune sa modifice pentru viitor conditiile de certificare tehnica STP, in sensul solicitarii unui audit anual de certificare de catre un auditor extern autorizat. Se va pune un accent mai mare pe analiza de riscuri si pe faptul ca politica si strategiile de securitate ale fiecarei banci trebuie sa acopere aceasta analiza de riscuri.
Noul sistem de raportari al institutiilor de credit catre BNR, devenit operational la inceputul acestui an, va impune si un upgrade de securitate al retelei interbancare si introducerea semnaturii digitale. Tot din 2007, raportarile periodice ale bancilor catre Oficiul National de Prevenire si Combatere a Spalarii Banilor, raportari facute in prezent pe suport magnetic, se vor face prin reteaua inter-bancara, cu cerinte de securitate corespunzatoare.
In octombrie 2007, bancile din Romania vor efectua etapa a doua de migrare la SWIFTNet, constand in actualizarea mecanismelor de securitate si instrumentelor de administrare a relatiilor cu bancile corespondente pentru platforma SWIFTNet. Astfel, va fi introdus un model de securitate unic - bazat pe infrastructura de cheie publica (PKI) - pentru accesul la toate serviciile SWIFTNet.
Nu in ultimul rand, prin aderarea Romaniei la Uniunea Europeana, institutiile de credit pot avea acces la infrastructuri regionale de plati precum TARGET2, TARGET2 Securities, sistemele EBA Clearing (EURO1, STEP1, STEP2) sau alte infrastructuri de plati, care impun cerinte specifice de securitate.
Tot in zona Euro, proiectul SEPA al zonei unice de plati in Euro implica standardizarea instrumentelor de plata in Euro si cerinte noi pentru infrastructurile de plati si platile cu card-uri, incluzand si o strategie de prevenire a fraudelor cu card-uri, prin migrarea in tot spatiul Euro la standardul EMV si implementarea 3DSecure.
Fiind necesar sa se conformeze acestui numar mare de reglementari, standarde si cerinte, securitatea informatiei trebuie considerata o problema generala a organizatiei, necesita implicarea managementului la cel mai nivel si trebuie sa angreneze toate compartimentele de activitate ale unei organizatii, de la profesionistii in domeniu pana la utilizatorii informatiei. Crearea unei culturi de securitate a organizatiei este esentiala, prin educarea continua a personalului, prin colaborarea permanenta cu partenerii in vederea unei abordari comune a problemelor de securitate, dar si prin constientizarea clientilor asupra riscurilor privind securitatea informatiei.

Rodica Tuchila,
Consilier principal Asociatia Romana a Bancilor

Parerea ta conteaza:

(0/5, 0 voturi)

Asemanator

• Nu exista articole asemanatoare.

Alte articole scrise de Stefu Adrian

• Mobilitatea sporita iuteste pasul in goana dupa venituri mai mari
• Teribilism in eprubeta
• Citrix Solutions Seminar 2007
• Suntem pregatiti pentru accesarea fondurilor comunitare?

Lasa un comentariu

Nume:
Email (nu va fi afisat):
Comentariu: