Auditarea sistemelor informatice pentru conformarea cerințelor ASF din Norma 6/2015.

Audit | Luni, 28 martie 2016

Norma 6/2015 emisă de Autoritatea de Supraveghere Financiară (ASF) privind gestionarea riscurilor operaționale generate de sistemele informatice, impune pentru entitățile supravegheate de ASF, respectarea următoarelor cerințe:

  • Obligația de a audita sistemul informatic utilizat;
  • Asigurarea faptului că furnizorii de servicii IT respectă cerințele de securitate și audit impuse de ASF;
  • Evidențierea tuturor sistemelor și programelor informatice utilizate;
  • Evidențierea schimbărilor majore aduse sistemului și programelor informatice;
  • Documentarea raportului cu testele efectuate asupra sistemului informatic;
  • Realizarea periodică a evaluării interne a riscurilor operaționale;
  • Adoptarea unui plan de acțiune pentru remedierea problemelor consemnate în raportul de audit;
  • Raportarea indicatorilor referitori la accesarea online a serviciilor oferite, la persoanele care pot să efectueze modificări ale sistemelor/programelor informatice importante, la principiul dublei validări prin operațiuni în sistemele informatice importante, la accesul la sistemele informatice importante, la incidente interne de securitate informatică, nivelurile de servicii agreate interne și pentru clienți, managementul schimbării, managementul continuității, audituri și testări.

Opinia de audit trebuie să certifice faptul că sistemul informatic utilizat asigură:

  • integritatea, confidențialitatea, autenticitatea, disponibilitatea datelor;
  • respectarea conținutului de informații prevăzut în formularele de raportare;
  • reconstituirea rapoartelor și informațiilor supuse verificării;
  • stocarea și păstrarea datelor înregistrate și jurnalizate de către sistemele de tranzacționare și back-office;
  • posibilitatea de restaurare a datelor arhivate pe suport digital extern;
  • elemente de identificare a datelor supuse prelucrării sau verificării;
  • confidențialitatea și protecția informațiilor și a programelor.

Planul de auditul va trebui să urmărească cerințele prevăzute în Norma ASF nr. 6/2015.

Nr. Referință Cerință
1 Art. 5 (1) Entitățile evaluează anual și monitorizează continuu riscurile operaționale generate de utilizarea sistemelor informatice, prioritizează resursele, implementează măsuri de securitate informatică și monitorizează eficacitatea acestora prin aplicarea managementului de risc.
2 Art. 5 (1) Modalitatea de implementare a măsurilor de securitate informatică este stabilită de fiecare entitate, în funcție de profilul de risc, de riscurile identificate, de incidentele apărute, în conformitate cu cerințele legale aplicabile.
3 Art. 8 (1) a) Sistemul informatic utilizat asigură integritatea, confidențialitatea, autenticitatea, disponibilitatea datelor în concordanță cu categoria de risc a sistemului informatic definită intern de către entitate, precum și prelucrarea acestora în conformitate cu reglementările A.S.F., luând în considerare posibilitatea actualizării acestora, în funcție de modificările intervenite în legislația incidentă;
4 Art. 8 (1) b) Sistemul informatic asigură respectarea conținutului de informații prevăzut în formularele de raportare corespunzătoare entităților, așa cum sunt prevăzute în legislația specifică, precum și alte raportări solicitate prin reglementările A.S.F.;
5 Art. 8 (1) c) Sistemul informatic asigură reconstituirea rapoartelor și informațiilor supuse verificării;
6 Art. 8 (1) d) Sistemul informatic asigură stocarea și păstrarea datelor înregistrate și jurnalizate de către sistemele de tranzacționare și back-office pentru o perioadă de timp în conformitate cu legislația aplicabilă în vigoare. Sistemul de păstrare a datelor trebuie să asigure posibilitatea ca aceste date să poată fi transmise sau puse la dispoziția A.S.F. la cerere;
7 Art. 8 (1) e) Sistemul informatic asigură posibilitatea de restaurare a datelor arhivate pe suport digital extern, precum, dar fără a se limita la, informații, date introduse, situații financiare sau alte documente;
8 Art. 8 (1) f) Sistemul informatic asigură elemente de identificare a datelor supuse prelucrării sau verificării. Sistemele informatice asigură identificarea exactă a timpului la care au fost efectuate înregistrările și identificarea utilizatorilor sistemului la acel moment;
9 Art. 8 (1) g) Sistemul informatic asigură confidențialitatea și protecția informațiilor și a programelor prin parole, coduri de identificare pentru accesul la informații, precum și realizarea de copii de siguranță pentru programele și informațiile deținute;
10 Art. 8 (1) h) Sistemul informatic asigură mecanisme de securitate și control al sistemelor informatice, pentru păstrarea în siguranță a datelor și informațiilor stocate, a fișierelor și bazelor de date, inclusiv în situația unor evenimente de risc.
11 Art. 8 (2) Cerințe ce trebuiesc îndeplinite de sisteme informatice care oferă intermediarilor și clienților lor accesul la platforme electronice de tranzacționare, precum și cele care evidențiază operațiuni de compensare, decontare și registru pentru instrumente financiare și operațiuni cu aceste instrumente.
12 Art. 11 (1) Entitățile se asigură că, pentru sistemele informatice importante, furnizorii de servicii IT externalizate, inclusiv prin externalizările în lanț, cu excepția furnizorilor de servicii de comunicații, a celor de hardware și de licențe software, raportat strict pentru activitatea externalizată
13 Art. 12 (1) Entitățile au obligația de a identifica toate sistemele/programele informatice utilizate și de a le evidenția într-un registru
14 Art. 13 (1) Entitățile au obligația să testeze sistemele/programele informatice importante înainte de prima utilizare și la orice modificare în cadrul ciclului de viață al acestora, indiferent dacă sunt realizate cu resurse interne sau de către furnizori externi.
15 Art. 13 (2) Rezultatul testărilor se consemnează într-un raport de testare IT.

Infologica are experință în efectuarea auditurilor solicitate de ASF cu personal autorizat și certificat CISA de către ISACA.