Cu puțin ajutor am găsit și Proiectul Instrucțiunii privind adecvarea sistemelor informatice utilizate de entităţile reglementate, autorizate/avizate şi supravegheate de Autoritatea de Supraveghere Financiară despre am scris ieri. Este un document destul de consistent: 62 de pagini.
După cum spuneam și ieri, efortul este de apreciat. Consistența exprimării s-ar fi putut realiza dacă se puneau de accord definițiile/exprimările/sintagmele din standardele/cadrele de lucru utilizate.
Ar putea fi considerate exces de zel observațiile mele legate de modul în care sînt definiți termenii în acte normative. Semnificația termenilor este însă foarte importantă.
|
Prevedere instrucțiune |
Comentarii |
|
Definiții |
|
| activități de control informatic – politici, proceduri și practici aplicate pentru atingerea obiectivelor entității și pentru îndeplinirea strategiilor de eliminare a riscurilor, concepute pentru atingerea fiecărui obiectiv de control pentru eliminarea riscului identificat | Control Activities
Control activities are the policies and procedures that help ensure management directives are carried out. They help ensure that necessary actions are taken to address risks to achievement of the entity’s objectives. Control activities occur throughout the organization, at all levels and in all functions. They include a range of activities as diverse as approvals, authorizations, verifications, reconciliations, reviews of operating performance, security of assets and segregation of duties. (Sursa: COSO – Internal Control – Integrated Framework) |
| analiză de risc – analizarea scenariilor de ameninţări semnificative, pentru a evalua vulnerabilitatea și impactul potenţial al perturbării sau al distrugerii infrastructurii; | Risk analysis – 1. A process by which frequency and magnitude of IT risk scenarios are estimated2. The initial steps of risk management: analysing the value of assets to the business, identifying threats to those assets and evaluating how vulnerable each asset is to those threats (Sursa: COBIT 5 for risk)De văzut și ISO 31000 |
| auditor (auditor IT) – persoana fizică sau juridică autorizată, care derulează o activitate de auditare reglementată pe baza prezentei instrucțiuni și bunelor practici în domeniu, necesitând un certificat de auditor al sistemelor informatice (ISACA CISA – Certified Information Systems Auditor sau COBIT Certified Assessor sau CRISC – Certified in Risk and Information Systems Controls sau altă certificare echivalentă recunoscută internațional pe baza unui standard specific) şi care este înscrisă în Registrul public al A.S.F.; |
CRISC is the most current and rigorous assessment available to evaluate the risk management proficiency of IT professionals and other employees within an enterprise or financial institute. Those who earn CRISC help enterprises to understand business risk, and have the technical knowledge to implement appropriate IS controls.(Sursa: ISACA) CIA- Certified Internal Auditor este recunoscută? |
| controale informatice – totalitatea politicilor, procedurilor, practicilor și a structurilor organizaționale informatice proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse și evenimentele nedorite vor fi prevenite sau detectate și corectate; | Control
The means of managing risk, including policies, procedures, guidelines, practices or organizational structures, which can be of an administrative, technical, management, or legal nature. (Sursa: ISACA) |
| disponibilitate– o abordare, o calitate sau o măsură ce minimizează ori ascunde utilizatorilor unui serviciu informatic sau de comunicații efectele defectării unui element de configurație definit conform ISO 20.001 și care reprezintă timpul neîntrerupt de funcţionare raportat la durata unui an calendaristic; | (ITIL Service Design) Abilitatea unui element de configuratie sau a unui serviciu IT de a executa functia agreata atunci cand este cerut. Disponibilitatea este determinata de gradul de incredere, mentenabilitate, capacitatea de executie a contractului, , performanta si securitate. Disponibilitatea este de obicei calculata ca un procent. Acest calcul este de obicei bazat pe perioada agreata de furnizare a serviciului si indisponibilitate. Este o buna practica de a calcula disponibilitatea unui serviciu IT utilizand masuratori asupra efectelor de business.
AvailabilityEnsuring timely and reliable access to and use of information (Sursa: ISACA) |
| factori de risc – situaţii, împrejurări, elemente, condiţii sau conjuncturi interne și externe, uneori dublate și de acţiune, ce determină ori favorizează materializarea unei ameninţări la adresa infrastructurilor importante, în funcţie de o vulnerabilitate determinată, generând efecte de insecuritate; | Risk factor [part of risk profile] – A risk factor is a condition that can influence the frequency and impact and, ultimately, the business impact of IT related events/scenarios. (Sursa – COBIT 5 for Risk) |
| incident privind securitatea informaţiilor/incident de securitate – unul sau mai multe evenimente nedorite şi neprevăzute privind securitatea informaţiilor, cu probabilitate semnificativă de a compromite activitatea entității; | Dacă este un eveniment nedorit dar este prevăzut, nu mai este incident de securitate?Dacă probabilitatea nu este semnificativă, nu mai este incident de securitate?
(ITIL Service Operation) O intrerupere neplanificata a unui serviciu IT ori o reducere in calitate a unui serviciu IT. Defectarea unui element de configuratie care nu a afectat inca serviciul este, de asemenea, un incident – spre exemplu, defectarea unui disc dintr-un set mirror. |
| indicatori cheie de risc (KRI) – parametrii care măsoară efectiv riscurile aferente procedurilor și activităților entității, furnizând în timp semnalări corespunzătoare ale consecințelor cu efect negativ, care pot genera potențiale pierderi directe sau indirecte; | Key risk indicator (KRIs) – A risk indicator is a metric capable of showing that the enterprise is subject to, or has a high probability of being subject to, a risk that exceeds the defined risk appetite.A KRI is differentiated as being highly relevant and possessing a high probability of predicting or indicating important risk. (Sursa: COBIT 5 for risk) |
| infrastructură esențială/critică – un sistem sau o componentă a acestuia, o infrastructură informatică esenţială pentru menţinerea funcţiilor infrastructurii financiare, a căror perturbare afectează semnificativ buna funcționare a acesteia, cu un impact semnificativ ca urmare a incapacităţii de a menţine respectivele funcţii; | O mică tautologie….
Critical infrastructureSystems whose incapacity or destruction would have a debilitating effect on the economic security of an enterprise, community or nation. (Sursa: ISACA) |
| integritate – păstrarea datelor electronice, digitalizate, nealterate pe timpul comunicației dintre corespondenți sau pe perioada de stocare a datelor; | Limitare doar la datele informatice! |
| sistem informatic de management al securităţii (SMIS, transpus de ISO 27.001) – un set de instrumente, date și informaţii utilizate pentru a susține managementul securităţii informaţiei; | ???? |
Art. 1.– (1) Prezenta instrucţiune stabileşte cerinţele la nivelul entităţilor autorizate/avizate, reglementate și supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea şi reducerea impactului potenţial negativ al riscurilor operaţionale generate de utilizarea tehnologiei informaţiei și comunicaţiilor la nivel de oameni, procese, sisteme și mediu extern, inclusiv fapte ce țin de criminalitatea informatică.
Poate nu ar fi fost lipsit de importanță să regăsim în aces caz și definițiile care vizează în detaliu procesul de management al riscurilor:
- Apetitului la/pentru risc
- Toleranței față de riscuri
Art. 7.– (1) În scopul prezentei instrucțiuni, în funcţie de complexitatea activităţilor și serviciilor desfăşurate şi în funcţie de nivelul riscurilor pe care le pot induce în sistemul financiar, entităţile prevăzute la art. 5 se includ în patru categorii de risc: “risc major”, ”risc important”, ”risc mediu”, ”risc scăzut”, după cum urmează:
Înțeleg cam ce dorește această instrucțiune. Acest Art.2 mă face să înțeleg că ‘cineva’ deja știe ce riscuri comportă entitățile vizate!
Art. 8.– (1) Conform parametrilor generali descriși în anexa nr.1 la prezenta instrucțiune, entităţile desfășoară cel puțin activităţile obligatorii corespunzătoare categoriei proprii de risc, astfel cum sunt prevăzute și marcate cu „x” în tabelul nr. 1.
(2) Parametrii generali descriși în anexa nr.1 la prezenta instrucțiune au rolul de îndrumare și interpretare a activității efectuate în vederea reducerii riscului operaţional generat de utilizarea tehnologiei informaţiei şi a comunicaţiilor de către entități.
Tabelul menționat enumeră activități obligatorii pe categorii de risc. Punctul B din tabel se intitulează Organizare pe procese și enumeră: Management disponibilitate, Management incidente și probleme, Management schimbare, Management ciclu viață programe informatice, Management versiuni, Management testare, Management capacitate, Management configurații, Management niveluri servicii (SLA), Management securitate.
Ar fi foarte multe de spus. Aici cred că ar fi fost mult mai util și clar dacă se avea în vedere abordarea COBIT 5 for risk (aliniată cu ISO 31000), dacă tot este menționat acest cadru în cuprinsul proiectului de instrucțiune:
1. perspectiva funcției responsabilă cu managementul riscurilor: descrie ce trebuie să facă o organizație pentru a dezvolta și opera activitățile specifice guvernării și managementului riscurilor. Principalele procese COBIT 5 care sprijină această funcție:
- EDM01 Ensure Governance Framework Setting and Maintenance
- EDM02 Ensure Benefits Delivery
- EDM05 Ensure Stakeholder Transparency
- APO02 Manage Strategy
- APO06 Manage Budget and Costs
- APO07 Manage Human Resources
- APO08 Manage Relationships
- APO11 Manage Quality
- BAI08 Manage Knowledge
- MEA01 Monitor, Evaluate and Assess Performance and Conformance
- MEA02 Monitor, Evaluate and Assess the System of Internal Control
- MEA03 Monitor, Evaluate and Assess Compliance with External Requirement
2. perspectiva managementului riscurilor: descrie procesul de identificare, analiză, reacție și raportare a riscurilor. Principalele procese COBIt 5:
- EDM03 Ensure Risk Optimisation
This process covers the understanding, articulation and communication of the enterprise risk appetite and tolerance and ensures identification and management of risk to the enterprise value that is related to IT use and its impact. The goals of this process are to:
• Define and communicate risk thresholds and make sure that key IT-related risk is known.
• Effectively and efficiently manage critical IT-related enterprise risk.
• Ensure IT-related enterprise risk does not exceed risk appetite
- APO12 Manage Risk
This process covers the continuous identification, assessment and reduction of IT-related risk within levels of tolerance set by enterprise executive management. Management of IT-related enterprise risk should be integrated with overall ERM. The costs and benefits of managing IT-related enterprise risk should be balanced by:
• Collecting appropriate data and analysing risk
• Maintaining the risk profile of the enterprise and articulating risk
• Defining the risk management action portfolio and responding to risk
Aceste procese au descrise foarte clar: intrări, ieșiri, practici de guvernare, practici de management și activități.
ADRIAN B. MUNTEANU 
Pingback: Cum legiferăm în domeniul IT&C? | ADRIAN B. MUNTEANU