H O T Ă R Â R E
cu privire la aprobarea Regulamentului privind cerinţele minime
pentru sistemele informaţionale şi de comunicare ale băncilor
nr. 47 din 14.03.2018
Monitorul Oficial nr.113-120/491 din 06.04.2018
* * *
|
ÎNREGISTRAT: Ministerul Justiţiei al Republicii Moldova nr.1307 din 28 martie 2018 |
În temeiul art.38 din Legea nr.202 din 6 octombrie 2017 privind activitatea băncilor, Comitetul executiv al Băncii Naţionale a Moldovei
HOTĂRĂŞTE:
1. Se aprobă Regulamentul privind cerinţele minime pentru sistemele informaţionale şi de comunicare ale băncilor, conform anexei.
2. Prezenta hotărâre intră în vigoare la data publicării în Monitorul Oficial al Republicii Moldova.
3. Băncile vor întreprinde masurile necesare pentru asigurarea conformării cu prevederile Capitolului II, secţiunea 2, din prezentul Regulament până la data de 1 ianuarie 2019. În acest scop, băncile vor prezenta la Banca Naţionala a Moldovei, în termen de două luni de la data intrării în vigoare a prezentei hotărâri, planuri de acţiuni întru realizarea prevederilor prezentului punct.
| PREŞEDINTELE | |
| COMITETULUI EXECUTIV | |
| AL BĂNCII NAŢIONALE A MOLDOVEI | Sergiu CIOCLEA
|
| Nr.47. Chişinău, 14 martie 2018. | |
Anexă
Aprobat
prin Hotărârea Comitetului executiv
al Băncii Naţionale a Moldovei
nr.47 din 14 martie 2018
REGULAMENT
privind cerinţele minime pentru sistemele informaţionale
şi de comunicare ale băncilor
Capitolul I
DISPOZIŢII GENERALE
Secţiunea 1
Domeniul de aplicare
1. Prezentul Regulament se aplică băncilor din Republica Moldova şi sucursalelor băncilor străine deschise pe teritoriul Republicii Moldova şi stabileşte cerinţe minime pentru sistemele informaţionale şi de comunicare ale băncilor.
2. Scopul Regulamentului este de a asigura că băncile dispun de o strategie adecvată aferentă Tehnologiei Informaţiei şi Comunicaţiilor (în continuare TIC) aliniată la strategia generală de afaceri, că procesele de guvernanţă internă sunt stabilite adecvat în raport cu sistemele TIC ale băncii şi că cadrul intern de gestionare a riscurilor TIC şi control intern protejează în mod adecvat sistemele TIC ale băncilor.
Secţiunea 2
Noţiuni principale
3. Termenii şi expresiile utilizate în prezentul Regulament au semnificaţiile prevăzute în Regulamentul privind cadrul de administrare a activităţii băncii, aprobat prin Hotărârea Comitetului Executiv al Băncii Naţionale a Moldovei nr.146 din 7 iunie 2017, înregistrată la Ministerul Justiţiei cu nr.1229 din 14 iunie 2017 (Monitorul Oficial al Republicii Moldova, 2017, nr.201-213, art.1183 din 23.06.17).
4. Adiţional, în sensul prezentului Regulament se aplică următoarele definiţii:
sisteme aferente TIC – TIC configurate şi interconectate ca parte a unui mecanism sau a unei reţele care susţine efectuarea operaţiunilor unei bănci;
servicii aferente TIC – servicii furnizate prin intermediul sistemelor TIC unuia sau mai multor utilizatori interni sau externi;
sisteme/servicii aferente TIC critice – sisteme/servicii TIC care sunt critice pentru bancă din perspectiva continuităţii şi disponibilităţii acestora sau a securităţii informaţiei prelucrate şi/sau stocate şi sunt esenţiale pentru funcţionarea adecvată a proceselor de guvernanţă, responsabilităţilor/rolurilor corporative critice (inclusiv gestionarea riscurilor), proceselor de activitate şi operaţiunilor băncii;
risc de disponibilitate şi continuitate aferente TIC – riscul ca performanţele sau disponibilitatea sistemelor/serviciilor şi datelor aferent TIC să fie afectate în mod negativ, inclusiv incapacitatea de a recupera în timp util procesele şi serviciile băncii;
risc de securitate aferent TIC – riscul accesului neautorizat la sistemele/serviciile şi datele aferente TIC din interiorul sau din afara băncii;
risc de schimbare aferent TIC – riscul care este un rezultat al incapacităţii băncii de a gestiona în timp util şi în mod controlat schimbările asociate sistemelor şi serviciilor aferente TIC;
risc de integritate a datelor aferent TIC – riscul ca datele stocate şi/sau procesate de sistemele/serviciile aferente TIC să fie incomplete, inexacte sau incoerente la nivelul diferitor sisteme TIC;
risc asociat externalizărilor TIC – riscul ca angajarea unei terţe părţi sau a unei alte entităţi a grupului (externalizare intragrup) pentru a furniza sisteme aferente TIC sau servicii conexe să afecteze negativ performanţa şi gestionarea riscurilor în cadrul băncii;
risc de conformitate aferent TIC – riscul de încălcare sau neconformare cu cadrul legal, acorduri, practici recomandate sau standarde etice aferent TIC;
risc aferent TIC semnificativ – risc aferent TIC ce poate avea un impact negativ asupra sistemelor sau serviciilor aferente TIC critice;
înregistrare de audit – o singură înregistrare în jurnalul de audit care descrie apariţia unui singur eveniment auditabil;
jurnal de audit – secvenţă cronologică de înregistrări de audit, fiecare dintre acestea conţinând dovezi privind rezultatul executării unui proces sau unei funcţii din cadrul unui sistem;
cadrul intern aferent TIC – totalitatea reglementărilor interne, a proceselor şi structurilor organizatorice TIC stabilite în cadrul băncii, ce asigură gestionarea adecvată a riscurilor aferente TIC şi atingerea obiectivelor privind TIC ale băncii;
profil de risc TIC – suma expunerilor unei bănci la riscuri reale şi potenţiale aferente TIC.
Capitolul II
CERINŢE PRIVIND CADRUL INTERN ŞI EVALUAREA RISCURILOR TIC
Secţiunea 1
Guvernanţa, strategia şi cadrul intern TIC
5. Banca trebuie să deţină o strategie TIC ce se conformează şi sprijină strategia generală de afaceri a băncii şi care este aprobată şi monitorizată adecvat de către organele de conducere ale băncii.
6. Banca trebuie să se asigure că are stabilit cadrul intern aferent TIC ce protejează în mod adecvat sistemele şi serviciile sale TIC proporţional cu natura, amploarea şi complexitatea riscurilor inerente modelului de afaceri şi activităţilor desfăşurate şi susţine implementarea strategiei aferent TIC, iar apetitul şi toleranţa la risc cuprind şi riscurile aferente TIC în categoria riscului operaţional.
7. Banca trebuie să asigure o structură organizatorică adecvată din punctul de vedere al responsabilităţilor aferente TIC, proporţională cu natura, amploarea şi complexitatea riscurilor inerente modelului de afaceri şi activităţilor desfăşurate.
8. Banca trebuie să asigure gestionarea adecvată a riscurilor aferente TIC identificate ca fiind semnificative şi pot avea un impact negativ asupra sistemelor şi serviciilor aferente TIC critice prin stabilirea unor proceduri de control specifice.
9. Banca trebuie să asigure că are definite roluri şi responsabilităţi de gestionare a riscurilor aferente TIC ce sunt comunicate în mod clar, stabilite şi integrate în organizarea internă şi procesele relevante, inclusiv roluri privind colectarea şi agregarea informaţiilor despre riscuri şi raportarea acestora către organele de conducere.
10. Banca trebuie să asigure pentru procesele de gestionare a riscurilor aferente TIC resurse financiare, umane şi tehnice suficiente, cât şi alte resurse necesare ce vor fi atât cantitativ, cât şi calitativ corespunzătoare cu natura, amploarea şi complexitatea riscurilor inerente modelului de afaceri şi activităţilor desfăşurate de bancă.
11. Banca trebuie să asigure că organizarea funcţiei de audit intern în ceea ce priveşte auditarea cadrului intern aferent TIC este proporţională cu natura, amploarea şi complexitatea riscurilor inerente modelului de afaceri şi activităţilor desfăşurate şi profilului de risc TIC al băncii.
12. Banca trebuie să asigure că există implementate măsuri de control adecvate pentru a trata, dacă este cazul, cel puţin următoarele categorii de riscuri aferente TIC:
a) riscuri de disponibilitate şi continuitate aferente TIC;
b) riscuri de securitate aferente TIC;
c) riscuri de schimbare aferente TIC;
d) riscuri de integritate a datelor aferente TIC;
e) riscuri asociate externalizărilor TIC;
f) riscuri de conformitate aferente TIC.
Secţiunea 2
Integritatea, disponibilitatea informaţiei şi continuitatea TIC
13. Banca va asigura, inclusiv în cazul externalizării sistemelor/serviciilor aferente TIC critice, integritatea şi disponibilitatea informaţiei, precum şi o perioadă de retenţie de minimum 12 luni a informaţiei conţinute în:
a) copiile de rezervă ale bazelor de date aferente sistemelor/serviciilor aferente TIC critice;
b) jurnalele de audit pentru sistemele/serviciile aferente TIC critice;
c) mesajele transmise/primite prin intermediul serviciului de poştă electronică oficială a băncii.
14. În urma evaluării efectuate conform pct.18, Banca Naţională a Moldovei (în continuare BNM) poate impune perioade mai mari de retenţie, în funcţie de mărimea, importanţa sistemică, natura, extinderea şi complexitatea activităţilor desfăşurate de bănci.
15. Banca va asigura că are implementat un proces de gestiune a continuităţii activităţii cu planuri pentru situaţii neprevăzute, precum şi cu planuri de redresare pentru toate funcţiile şi resursele sale critice, proporţional cu natura, amploarea şi complexitatea riscurilor inerente modelului de afaceri şi activităţilor desfăşurate ce să asigure continuitatea atât în perioade normale, cât şi în perioade de criză.
16. Banca va efectua testări anuale de disponibilitate şi continuitate pentru sistemele/serviciile TIC critice, cu un grad de complexitate adecvat riscurilor aferente TIC la care este supusă.
Capitolul III
EVALUAREA RISCURILOR
17. Banca trebuie să îşi evalueze profilul de risc aferent TIC cel puţin anual sau dacă au fost operate modificări majore în procesele, sistemele, serviciile sau echipamentele critice aferente TIC. Urmare a evaluării profilului de risc, după caz, banca va revizui cadrul intern corespunzător, precum şi măsurile de control aplicabile.
18. BNM evaluează cadrul intern aferent TIC în fiecare bancă, în raport cu natura, amploarea şi complexitatea riscurilor inerente modelului de afaceri şi activităţilor desfăşurate de bancă şi cu profilul/apetitul de risc în cadrul controalelor pe teren, controalelor din oficiu şi prin dispunerea efectuării auditurilor conform art.87 din Legea nr.202 din 6 octombrie 2017 privind activitatea băncilor.
19. Dacă urmare a evaluării efectuate conform pct.18, se constată că cadrul intern aferent TIC nu este adecvat în raport cu profilul/apetitul de risc, cu natura, amploarea şi complexitatea riscurilor inerente modelului de afaceri şi activităţilor desfăşurate de bancă, BNM poate impune cerinţe concrete faţă de cadrul intern aferent TIC.
20. Banca este obligată să notifice BNM, cel târziu în ziua următoare lucrătoare a producerii, despre incidentele ce au afectat disponibilitatea sau securitatea sistemelor/serviciilor, fie integritatea datelor aferente TIC critice. Cel mult în 4 zile lucrătoare din ziua producerii incidentului, banca va transmite pe adresa BNM informaţia suplimentară cu privire la circumstanţele incidentului produs, procesele/sistemele/serviciile afectate, impactul estimat şi măsurile de remediere întreprinse sau care urmează a fi întreprinse de bancă.
21. Băncile vor transmite, în termen de o lună de la încheierea anului de gestiune, BNM informaţii cu privire la următoarele:
a) lista sistemelor/serviciilor aferente TIC critice cu indicarea periodicităţii de efectuare şi de retenţie a copiilor de rezervă ale bazelor de date pentru fiecare sistem/serviciu aferent TIC critic;
b) rezultatele testărilor de continuitate sistemelor/serviciilor aferente TIC critice;
c) raport privind gestionarea riscurilor aferente TIC identificate ca fiind semnificative;
d) raport privind gestionarea incidentelor produse pe parcursul anului aferent sistemelor/serviciilor critice ale băncii.
22. Notificarea BNM şi/sau transmiterea informaţiilor, conform pct.20 şi 21, se efectuează prin intermediul unei scrisori oficiale şi/sau la adresa de poştă electronică supraveghereTIC@bnm.md.
