Sugriežtinti informacinių technologijų rizikų valdymo reikalavimai finansų įstaigoms

Finansinių paslaugų teikimas yra persikėlęs į interneto erdvę, o finansų įstaigų darbuotojai savo funkcijas vykdo nuotoliniu būdu. Siekiant užtikrinti teikiamų finansinių paslaugų saugumą ir veiklos tęstinumą, finansų įstaigos privalo skirti vis didesnį dėmesį informacinių ir ryšių technologijų (IRT) ir saugumo rizikos valdymui.

Nuo šių metų pradžios įsigaliojo Lietuvos banko priimtas Informacinių ir ryšių technologijų ir saugumo rizikos valdymo reikalavimų aprašas („Aprašas“), kuris detaliau reglamentuoja IRT ir saugumo rizikos valdymą.

Aprašas taikomas ne tik mokėjimo paslaugų teikėjams (bankams, elektroninių pinigų ir mokėjimo įstaigoms), tačiau ir finansų maklerio įmonėms, taip pat šių subjektų užsienio valstybių filialams, įsteigtiems Lietuvos Respublikoje, centrinėms kredito unijoms ir kredito unijoms („Įstaigos“).

Aprašas parengtas atsižvelgiant į 2019 m. lapkričio 29 d. Europos bankininkystės institucijos IRT ir saugumo rizikos valdymo gaires EBA/GL/2019/04.

Apraše numatyti reikalavimai Įstaigai taikomi proporcingai, atsižvelgiant į jos veiklos mastą, organizacinę struktūrą, teikiamas paslaugas.

Esminiai Apraše įtvirtinti reikalavimai, kuriuos privalo įgyvendinti Įstaigos. Atkreipiame jūsų dėmesį į svarbiausius iš jų:

1. IRT ir saugumo rizikos nustatymas bei valdymas turi būti įtrauktas į bendrą Įstaigos vidaus kontrolės sistemą.

2. Įstaigos vadovybė turi patvirtinti IRT strategiją, suderintą su bendrąja Įstaigos veiklos strategija, taip pat numatyti priemones ir procesus IRT strategijos įgyvendinimui bei jos įgyvendinimo stebėsenai ir kontrolei.

3. Kai operacinės mokėjimo paslaugų ir (arba) IRT paslaugų bei bet kurios veiklos rūšies IRT sistemų funkcijos užsakomos, Įstaigos sutartyse su paslaugų tiekėjais privaloma numatyti Apraše numatytas nuostatas, užtikrinančias IRT paslaugų ir IRT sistemų tęstinumą. Taip pat primename, kad Įstaiga, perduodama savo funkcijų vykdymą, turi vadovautis Finansų rinkos dalyvių veiklos funkcijų perdavimo kitiems asmenims taisyklėmis.

4. Įstaigos vadovybė privalo patvirtinti ir ne rečiau kaip kas metus peržiūrėti Įstaigos IRT ir saugumo rizikos valdymo sistemą. Tokia sistema turi būti visiškai integruota į bendrus Įstaigos rizikos valdymo procesus ir su jais suderinta. Siekdama užtikrinti, kad IRT ir saugumo rizikos valdymo sistema būtų veiksminga, Įstaiga turi apibrėžti ir priskirti pagrindines funkcijas ir pareigas bei nustatyti atitinkamas atskaitomybės linijas.

5. Reikalavimas Įstaigai turėti Informacijos saugumo politiką („Politika“) nėra naujas, tačiau Aprašu nustatyti Politikos turinio reikalavimai. Politikoje turi būti:

  • pagrindinių informacijos saugumo valdymo srities funkcijų ir pareigų aprašymas;
  • reikalavimai darbuotojams ir trečiosioms šalims;
  • su informacijos saugumu susijusių procesų ir technologų reikalavimai, darant prielaidą, kad už Įstaigos informacijos saugumą atsako visų lygių darbuotojai ir trečiosios šalys;
  • reikalavimai, padėsiantys užtikrinti Įstaigos kritiniais pripažintų loginių ir fizinių turto objektų, išteklių ir saugomų, perduodamų ar naudojamų neskelbtinų duomenų konfidencialumą, vientisumą ir prieinamumą.

6. Įstaiga turi atlikti įvairias informacijos saugumo peržiūras, vertinimus ir testavimus tam, kad užtikrintų veiksmingą IRT sistemų ir IRT paslaugų pažeidžiamumo nustatymą.

7. Įstaiga vidaus dokumentuose turi aprašyti, kaip naudoja, stebi ir valdo savo IRT sistemas ir paslaugas, įskaitant kritinių IRT operacijų dokumentavimą.

8. Įstaiga turi įsidiegti incidentų ir problemų valdymo procesą.

9. Įstaiga turi parengti ir įgyvendinti IRT projektų valdymo politiką, kurioje, be kita ko, būtų nustatyta:

  • projekto tikslai;
  • funkcijos ir pareigos;
  • projekto rizikos vertinimas;
  • projekto planas, trukmė ir numatomi atlikti veiksmai;
  • pagrindiniai etapai;
  • pokyčių valdymo reikalavimai.

10. Įstaiga turi sukurti ir įgyvendinti IRT sistemų įsigijimo, kūrimo ir palaikymo valdymo procesą. Įstaiga turi užtikrinti, kad, prieš įsigyjant ar sukuriant IRT sistemas, būtų aiškiai apibrėžti funkciniai ir nefunkciniai reikalavimai (įskaitant informacijos saugumo reikalavimus) ir kad šie reikalavimai būtų patvirtinti IRT sistemą užsakančio padalinio vadovo.

11. Siekiant užtikrinti informacijos saugumą ir su juo susijusias rizikas, Įstaigoje turi būti patvirtinta ir įgyvendinama mokymų programa, skirta ne tik Įstaigos darbuotojams, bet ir Įstaigos partneriams (paslaugų teikėjams ir kt.). Mokymai turi būti organizuojami bent kartą per metus.

Apraše taip pat detalizuoti reikalavimai, kaip valdyti Įstaigos veiklos tęstinumą, ryšius su mokėjimo paslaugų vartotojais.

Mūsų patirtis