Αποφάσεις - Ανακοινώσεις — ΦΕΚ A' 77/2005

Η υποχρέωση λεπτομερούς καταγραφής των όρων και διαδικασιών λειτουργίας του πιστωτικού ιδρύματος, στο πλαίσιο εφαρμογής του κεφ. ΙΙΙ της ΠΔ/ΤΕ 2438/1998, αφορά και τις κάθε μορφής πιστοδοτήσεις ή συμμετοχές προς τα πρόσωπα που έχουν ειδική σχέση με το πιστωτικό ίδρυμα (σύμφωνα με τα οριζόμενα στην Κατάσταση 1 του Πίνακα Γ1 της ΠΔ/ΤΕ 1313/1988, όπως εκάστοτε ισχύει), ώστε να διασφαλίζεται ότι:

Τα αναφερόμενα στην πιο πάνω παρ. 1 πρόσωπα που έχουν ειδική σχέση με το πιστωτικό ίδρυμα, οφείλουν να γνωστοποιούν στο Διοικητικό του Συμβούλιο το σύνολο του υφιστάμενου υπολοίπου των πιστοδοτήσεών τους από συνδεδεμένες με το πιστωτικό ίδρυμα επιχειρήσεις, κατά την έννοια του άρθρου 42ε του Ν. 2190/1920, όπως ισχύει, εντός 20 ημερών από το τέλος κάθε ημερολογια?κού έτους. Η υποχρέωση αυτή είναι ανεξάρτητη από την υποβολή από το πιστωτικό ίδρυμα στην Τράπεζα της Ελ?λάδος υπολοίπων των σχετικών πιστοδοτήσεων, κατ’ εφαρμογή της ΠΔ/ΤΕ 1313/1988, όπως εκάστοτε ισχύει.

α. Στο συνημμένο στην παρούσα απόφαση Παράρτη?μα, το οποίο αποτελεί εφεξής αναπόσπαστο τμήμα της ΠΔ/ΤΕ 2438/6.8.1998 (όπως συμπληρώνεται με την πα?ρούσα απόφαση), καθορίζονται οι βασικές αρχές που οφείλουν να τηρούν για την ασφαλή και αποτελεσματική λειτουργία των συστημάτων πληροφορικής τα πιστωτικά 843 Συστήματος της Τράπεζας της Ελλάδος να εξειδικεύει περαιτέρω τις διατάξεις της ΠΔ/ΤΕ 2438/6.8.1998, όπως συμπληρώνεται με την παρούσα απόφαση, καθώς και την έκταση συμμόρφωσης προς τις αρχές του πιο πάνω Πα?ραρτήματος των πιστωτικών ιδρυμάτων, των οποίων το Σύνολο του Ενεργητικού υπολείπεται του ως άνω ελαχί?στου ορίου. Κατά τα λοιπά οι διατάξεις της ΠΔ/ΤΕ 2438/6.8.1998, όπως ισχύει, παραμένουν αμετάβλητες. Από τις διατάξεις της παρούσας απόφασης δεν προκα?λείται δαπάνη σε βάρος του Κρατικού Προϋπολογισμού. Η απόφαση αυτή να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως. Ο Πρόεδρος Τα Μέλη Ο Γραμματέας Ακριβές αντίγραφο Αθήνα, 21 Μαρτίου 2005 Ο Γραμματέας Σ. ΠΑΠΑΔΟΠΟΥΛΟΣ (ΠΔ /ΤΕ 2438/1998) ΠΑΡΑΡΤΗΜΑ - ΑΡΧΕΣ ΑΣΦΑΛΟΥΣ ΚΑΙ ΑΠΟΤΕΛΕΣΜΑΤΙΚΗΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ΣΤΑ ΠΛΑΙΣΙΑ ΤΗΣ ΔΙΑΧΕΙΡΙΣΗΣ ΤΟΥ ΛΕΙΤΟΥΡΓΙΚΟΥ ΚΙΝΔΥΝΟΥ ΑΠΟ ΤΑ ΠΙΣΤΩΤΙΚΑ ΙΔΡΥΜΑΤΑ Περιεχόμενα ΕΙΣΑΓΩΓΗ ........................................................................ 3 Α. ΟΡΓΑΝΩΣΗ ΚΑΙ ΔΙΟΙΚΗΣΗ ΠΛΗΡΟΦΟΡΙΚΗΣ ........... 4 Α1. Διακυβέρνηση Πληροφορικής .................................. 4 Α2. Οργάνωση Υπηρεσιακής Μονάδας Πληροφορικής ..7 A3. Σχέσειςμε Εξωτερικούς Συνεργάτες ........................ 7 Β. ΑΝΑΠΤΥΞΗ ΚΑΙ ΠΡΟΜΗΘΕΙΑ ΣΥΣΤΗΜΑΤΩΝ .......... 10 Β1. Ανάπτυξη Συστημάτων ............................................ 10 Β2. Προμήθεια Συστημάτων ......................................... 13 Γ. ΛΕΙΤΟΥΡΓΙΑ ΚΑΙ ΥΠΟΣΤΗΡΙΞΗ ................................. 15 Γ1. Λειτουργία Συστημάτων ......................................... 15 Γ2. Φυσική Ασφάλεια ......................................................18 Γ3. Λογική ασφάλεια ...................................................... 19 (α) για την ασφάλεια των προσβάσεων στα συστήματα .20 (β) για την προστασία των δεδομένων ........................... 21 (γ) για την προστασία των συστημάτων ......................... 22 (δ) για την ασφάλεια της δικτυακής υποδομής και των επι?κοινωνιών ....................................................................... 23 Γ4. Σχέδια Συνέχειας Εργασιών & Ανάκαμψης από Κατα?στροφή .......................................................................... 25 Δ. ΕΛΕΓΧΟΣ ΣΥΣΤΗΜΑΤΩΝ ΠΛΗΡΟΦΟΡΙΚΗΣ ............ 28 ΕΙΣΑΓΩΓΗ Η Τράπεζα της Ελλάδος στο πλαίσιο των αρμοδιοτήτων της, προσδίδει ιδιαίτερη σημασία στην ασφαλή και αποτε?λεσματική λειτουργία των Συστημάτων Πληροφορικής των εποπτευομένων Πιστωτικών Ιδρυμάτων (ΠΙ). Το βασικό πλαίσιο αρχών και κριτηρίων για τα Πληροφοριακά Συστή?ματα (ΠΣ) τέθηκε με την Π.Δ./Τ.Ε. 2438/98 με στόχο την επάρκεια του συστήματος εσωτερικού ελέγχου. Η παρού?σα θέτει ένα δομημένο και λεπτομερές πλαίσιο γενικών αρχών για την ασφαλή και αποτελεσματική λειτουργία των Πληροφοριακών Συστημάτων, λαμβάνοντας παράλληλα υπόψη τις πλέον πρόσφατες εξελίξεις της πληροφορικής στον βαθμό που επηρεάζουν την λειτουργία των ΠΙ. Το συ?γκεκριμένο πλαίσιο θα αποτελέσει τη βάση αξιολόγησης των Πιστωτικών Ιδρυμάτων στο συγκεκριμένο τομέα. Η εφαρμογή του πλαισίου αρχών θα συμβάλλει σημα?ντικά στην αποτελεσματική διαχείριση του λειτουργικού κινδύνου που σχετίζεται με τα Πληροφοριακά Συστήμα?τα. Η ανάγκη αυτή υπαγορεύεται και από το νέο σύστημα Κεφαλαιακής Επάρκειας των ΠΙ της Επιτροπής της Βασι?λείας για την Τραπεζική Εποπτεία (Basel II), το οποίο ει?σάγει για πρώτη φορά τον λειτουργικό κίνδυνο στον υπο?λογισμό των κεφαλαιακών απαιτήσεων. Οι αρχές αυτές ομαδοποιούνται σε τέσσερις ενότητες και συγκεκριμένα στις: • Οργάνωση και Διοίκηση Πληροφορικής, όπου γίνεται αναφορά στην Διακυβέρνηση της Πληροφορικής, στην οργάνωση της Υπηρεσιακής Μονάδας της Πληροφορι?κής και στις σχέσεις με τους Εξωτερικούς Συνεργάτες. • Ανάπτυξη και Προμήθεια Συστημάτων, όπου γίνεται αναφορά στις μεθοδολογίες, πρότυπα και διαδικασίες ανάπτυξης και προμήθειας Πληροφοριακών Συστημάτων • Λειτουργία και Υποστήριξη, όπου γίνεται αναφορά στις διαδικασίες λειτουργίας των συστημάτων, στην φυ?σική και λογική τους ασφάλεια, καθώς και στην διασφάλι?ση της συνέχειας των εργασιών του ΠΙ. • Έλεγχος Συοτημάτων Πληροφορικής, όπου γίνεται αναφορά σε κανόνες και βασικές απαιτήσεις για την επαρκή και αποτελεσματική λειτουργία του Εσωτερικού Ελέγχου αναφορικά με τα Πληροφοριακά Συστήματα. Α. ΟΡΓΑΝΩΣΗ ΚΑΙ ΔΙΟΙΚΗΣΗ ΠΛΗΡΟΦΟΡΙΚΗΣ Α1. Διακυβέρνηση Πληροφορικής Η Διακυβέρνηση της Πληροφορικής (Information Tech?nology Governance) είναι ευθύνη της Διοίκησης του ΠΙ και αποτελεί αναπόσπαστο τμήμα της Εταιρικής Διακυ?βέρνησης (Corporate Governance). Περιλαμβάνει το σύ?νολο των κατάλληλων επιχειρησιακών δομών και διαδικα?σιών μέσω των οποίων διασφαλίζεται ότι η Πληροφορική υποστηρίζει τη στρατηγική και τους στόχους του ΠΙ, προ?σθέτει αξία στον οργανισμό, διαχειρίζεται αποτελεσματι?κά τους πόρους που της διατίθενται, αξιολογεί και διαχει?ρίζεται αποτελεσματικά τους κινδύνους που απορρέουν από την λειτουργία των Πληροφοριακών Συστημάτων, εφαρμόζει πιστά την Πολιτική Ασφάλειας, είναι σε θέση να μετρήσει την αποτελεσματικότητα και αποδοτικότητα της και τέλος υλοποιεί ένα σύνολο μηχανισμών ελέγχου στα πλαίσια ενός γενικότερου ελεγκτικού πλαισίου. Για την επίτευξη των προαναφερθέντων το ΠΙ θα πρέπει:

να διαθέτει καταγεγραμμένη και εγκεκριμένη στρατη?γική για την Πληροφορική, συμβατή με τη γενικότερη επιχειρησιακή στρατηγική του. Η στρατηγική της Πληροφορι?κής οφείλει, αφ’ ενός μεν να υλοποιεί τους επιχειρησιακούς στόχους που έχουν τεθεί από τη Διοίκηση του ΠΙ, αφ’ ετέ?ρου δε να διαμορφώνει έγκαιρα την απαραίτητη τεχνολο?γική υποδομή για τις μελλοντικές ανάγκες του οργανισμού. Το ΠΙ πρέπει να διαθέτει τα κατάλληλα υπηρεσιακά όργα?να και διαδικασίες για τη χάραξη της στρατηγικής της Πλη?ροφορικής, την τήρηση και την περιοδική ενημέρωση της, ώστε να εναρμονίζεται διαρκώς με τους εκάστοτε επιχει?ρησιακούς στόχους και το εκάστοτε ισχύον θεσμικό πλαί?σιο. Η εγκεκριμένη στρατηγική της Πληροφορικής πρέπει να περιλαμβάνει τόσο βραχυπρόθεσμα (ετήσια) όσο και μέσο - μακροπρόθεσμα (τριετή) σχέδια. 844 ΕΦΗΜΕΡΙΣ ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ (ΤΕΥΧΟΣ ΠΡΩΤΟ) σύνθεση της επιτροπής θα πρέπει να ορίζονται σε επίση?μο κανονισμό. Στα καθήκοντα της επιτροπής, μεταξύ άλ?λων περιλαμβάνονται η αξιολόγηση των βραχυπρόθε?σμων και μέσο - μακροπρόθεσμων σχεδίων της Πληροφο?ρικής στα πλαίσια της επιχειρησιακής στρατηγικής, η αξιολόγηση της Ανάλυσης & Διαχείρισης των Κινδύνων που σχετίζονται με τα Πληροφοριακά Συστήματα, η αξιο?λόγηση και έγκριση μεγάλων προμηθειών υλικού και λογι?σμικού, η εποπτεία των μεγάλων έργων και του προϋπο?λογισμού της Πληροφορικής, ο καθορισμός προτεραιοτή?των, η αξιολόγηση πολιτικών, προτύπων και διαδικασιών, η έγκριση και εποπτεία των συνεργασιών με τρίτους (π.χ. θέματα outsourcing), κ.λπ. Η Επιτροπή, τέλος, θα πρέπει να λαμβάνει γνώση των πορισμάτων των ελέγχων που διε?νεργούνται στα Πληροφοριακά Συστήματα.

στο πλαίσιο της αρμόδιας υπηρεσιακής μονάδας Διαχείρισης Κινδύνων να αξιολογεί, κατηγοριοποιεί και διαχειρίζεται τους κινδύνους που απορρέουν από την ανά?πτυξη, ενσωμάτωση και λειτουργία των Πληροφοριακών Συστημάτων. Οι κίνδυνοι αυτοί θα πρέπει να συνεκτιμού?νται με τους υπόλοιπους κινδύνους στους οποίους είναι εκτεθειμένο το ΠΙ.

να διαθέτει καταγεγραμμένη και εγκεκριμένη από την Διοίκηση Πολιτική Ασφάλειας για τα Πληροφοριακά Συ?στήματα με τη μορφή αρχών - δεσμεύσεων, οι οποίες θα προδιαγράφουν τις κατευθύνσεις και τους στόχους του οργανισμού για την αποτελεσματική διαχείριση, προστα?σία και κατανομή των πληροφοριακών του πόρων. Η Πο?λιτική Ασφάλειας οφείλει, (i) να παραπέμπει σε συγκεκριμένα πρότυπα και διαδι?κασίες δεσμεύοντας έτσι τις υπηρεσιακές μονάδες στην υλοποίηση και το προσωπικό στην τήρησή τους (ii) να προσφέρει ένα κανονιστικό πλαίσιο βάσει του οποίου διενεργούνται οι έλεγχοι και (iii) να προσαρμόζεται και ενημερώνεται βάσει θεσμο?θετημένων διαδικασιών. Το περιεχόμενο της Πολιτικής Ασφάλειας θα πρέπει να κοινοποιείται στο προσωπικό του ΠΙ και να υπάρχει από αυτό η έγγραφη αποδοχή του. Η ύπαρξη της Πολιτικής Ασφάλειας, οι στόχοι της, σύνοψή της, και το περιεχόμενο συγκεκριμένων τμημάτων της - αν αυτό απαιτείται -, μπο?ρεί να γνωστοποιείται στο κοινό, έτσι ώστε να προάγεται το αίσθημα εμπιστοσύνης των πελατών απέναντι στο ΠΙ.

να διαθέτει, πέραν της Πολιτικής Ασφάλειας, την κα?τάλληλη διοικητική δομή που θα εγγυάται τη ασφάλεια των επιχειρησιακών πληροφοριών. Στο πλαίσιο αυτής της δομής θα πρέπει τουλάχιστον να προβλέπεται θέση Υπεύ?θυνου Ασφάλειας ΠΣ, η αμεροληψία και η ανεξαρτησία του οποίου θα πρέπει να διασφαλίζονται μέσω της απευ?θείας αναφοράς του σε υψηλά κλιμάκια της ιεραρχίας.

να μεριμνά ώστε οι υπάρχουσες πολιτικές, πρότυπα, διαδικασίες και μεθοδολογίες να είναι επίσημα καταγε?γραμμένες και εγκεκριμένες από τα αρμόδια υπηρεσιακά όργανα.

να διαθέτει πρότυπα και μεθοδολογίες για το σχεδια?σμό και την ανάπτυξη των Πληροφοριακών Συστημάτων, καθώς και διαδικασίες για την καθημερινή τους λειτουρ?γία και υποστήριξη.

να διαθέτει πρότυπα και διαδικασίες για τη διαχείρι?ση των έργων πληροφορικής. Στην πρόταση για την υλο?ποίηση κάθε μεγάλου έργου πληροφορικής πρέπει να προσδιορίζεται ο επιχειρησιακός στόχος, καθώς και τα ποιοτικά και ποσοτικά οφέλη που θα αποφέρει η υλοποί?ηση του. Η αποτελεσματική έκβαση ενός έργου διασφα?λίζεται με την ύπαρξη και τήρηση καταλλήλων μεθοδολο?γιών και πρακτικών που ακολουθούνται σε όλο τον κύκλο ζωής του. Σε αυτές περιλαμβάνονται, η μεθοδολογία και τα εργαλεία παρακολούθησης του έργου, ο συντονισμός των απαιτούμενων ενεργειών και πόρων, η τήρηση χρο?νοδιαγραμμάτων, η παρακολούθηση του κόστους, η συμ?μετοχή των στελεχών τόσο της Πληροφορικής όσο και των άλλων επιχειρησιακών μονάδων στις διάφορες φά?σεις υλοποίησης, η μεθοδολογία διαχείρισης αλλαγών, η εκπαίδευση του προσωπικού και Τέλος, η διασφάλιση της ποιότητας πρέπει να αποτελεί ανεξάρτητη διαδικασία στην οργάνωση και διαχείριση ενός έργου πληροφορι?κής.

να εγγυάται την ποιότητα των παρεχόμενων υπηρε?σιών πληροφορικής μέσω της ύπαρξης διαδικασιών δια?σφάλισης ποιότητας και εναρμόνισης με τα πρότυπα ποι?ότητας που έχει θέσει το ΠΙ. Η ποιότητα πρέπει να δια?σφαλίζεται σε όλα τα στάδια του κύκλου ζωής των συστημάτων και να καλύπτει τα παραδοτέα, την τεκμη?ρίωση, την εκπαίδευση, τις προδιαγραφές, τις διαδικα?σίες, και τα σχέδια υλοποίησης ενός έργου.

να διαθέτει τις κατάλληλες διαδικασίες για τον έγκαιρο εντοπισμό και την αποτελεσματική αντιμετώπιση των προβλημάτων που προκύπτουν στα Πληροφοριακά Συστήματα.

να διαθέτει διαδικασίες καταγραφής και κατηγοριο?ποίησης των γεγονότων που δημιουργούν λειτουργικό κίνδυνο, συμπεριλαμβανομένων των ζημιών (detailed event type logging and classification) που προέρχονται από προβλήματα στα Πληροφοριακά Συστήματα (π.χ. μη εξουσιοδοτημένη δραστηριότητα, κλοπή μηχανογραφι?κού εξοπλισμού, απάτη, παραβίαση ασφάλειας, μη δια?θεσιμότητα συστημάτων, καταστροφή μηχανογραφικού εξοπλισμού, κακόβουλη χρήση, κ.α. και ενημέρωσης των αρμόδιων υπηρεσιακών μονάδων (Διαχείρισης Κινδύνων και Εσωτερικού Ελέγχου), για την αποτελεσματικότερη καταγραφή και αντιμετώπιση του λειτουργικού κινδύνου. Η καταγραφή θα πρέπει να είναι συστηματική με στόχο την δημιουργία ιστορικότητας και λεπτομερής έτσι ώστε να περιγράφει με σαφήνεια το γεγονός. Οι σχετικές πλη?ροφορίες θα πρέπει να καταγράφονται ηλεκτρονικά και να δομούνται με τέτοιο τρόπο ώστε να διευκολύνεται η αυτόματη παραγωγή αναφορών αλλά και η άμεση ενημέ?ρωση των εμπλεκόμενων υπηρεσιακών μονάδων.

να διαθέτει Σύστημα Διοικητικής Πληροφόρησης (M.I.S. - Management Information System) κατάλληλο για την αποτελεσματική πληροφόρηση της Διοίκησης του οργανισμού. Ένα τέτοιο σύστημα θα πρέπει να χαρακτη?ρίζεται από την ομοιόμορφη και βάσει καταγεγραμμένων διαδικασιών συλλογή και επεξεργασία, την έγκαιρη διά?θεση, την ακρίβεια, την αξιοπιστία, και την πληρότητα των πληροφοριών. Η συλλογή και επεξεργασία των απαραί?τητων πληροφοριών θα πρέπει να γίνεται όσο το δυνατόν πιο αυτοματοποιημένα.

να γνωρίζει και να συμμορφώνεται με το νομικό, επο?πτικό και κανονιστικό πλαίσιο σε ό,τι αφορά θέματα πλη?ροφορικής. ΕΦΗΜΕΡΙΣ ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ (ΤΕΥΧΟΣ ΠΡΩΤΟ) 845 Το Πιστωτικό Ίδρυμα θα πρέπει να διαθέτει εξειδικευ?μένη Υπηρεσιακή Μονάδα Πληροφορικής, λειτουργικά και διοικητικά ανεξάρτητη από τους τελικούς χρήστες των υπηρεσιών πληροφορικής η οποία θα πρέπει:

να διαθέτει οργανόγραμμα στο οποίο: • απεικονίζονται οι επιχειρησιακές και οργανωτικές ανάγκες της μονάδας και περιγράφονται με σαφήνεια οι αρμοδιότητες των επί μέρους υπηρεσιακών μονάδων που το αποτελούν • απεικονίζεται ο διαχωρισμός των καθηκόντων προ?κειμένου να αποκλείεται η ύπαρξη ασυμβίβαστων ρόλων, να παρέχεται η δυνατότητα καταλογισμού των ευθυνών και να αξιοποιούνται με τον καταλληλότερο τρόπο οι δυ?νατότητες του προσωπικού. Ειδικότερα, θα πρέπει να δια?σφαλίζεται ότι διαχωρίζονται πλήρως οι λειτουργίες που σχετίζονται με τον σχεδιασμό και την ανάπτυξη των συ?στημάτων από τις λειτουργίες που αφορούν στην καθη?μερινή λειτουργία τους • προβλέπεται, ανάλογα με το μέγεθος του ΠΙ και την πολυπλοκότητα των συστημάτων, υπηρεσιακή μονάδα Ασφάλειας των ΠΣ. Η συγκεκριμένη υπηρεσιακή μονάδα, μαζί με τον Υπεύθυνο Ασφάλειας των ΠΣ, πρέπει να δια?μορφώνουν ολοκληρωμένη εικόνα για το επίπεδο ασφά?λειας των συστημάτων και τους κινδύνους που απορρέ?ουν από την ανάπτυξη, ενσωμάτωση και λειτουργία τους. Στις αρμοδιότητες τους περιλαμβάνονται, μεταξύ άλλων, η συμμετοχή στην αξιολόγηση και διαχείριση των κινδύ?νων των ΠΣ, η σύνταξη και ενημέρωση της πολιτικής ασφάλειας, η συμμετοχή στη διαδικασία εύρεσης λύσεων για την κάλυψη κενών ασφάλειας και την αντιμετώπιση έκτακτων περιστατικών κ.α. • εξασφαλίζεται η αναπλήρωση του προσωπικού του?λάχιστον στις κρίσιμες μηχανογραφικές λειτουργίες

να διαθέτει καταγεγραμμένες και επίσημα εγκεκριμέ?νες περιγραφές θέσεων εργασίας στις οποίες θα περι?λαμβάνονται οι αρμοδιότητες, οι υπευθυνότητες και οι δεξιότητες που απαιτούνται για κάθε θέση. A3. Σχέσεις με Εξωτερικούς Συνεργάτες Όταν το ΠΙ συνεργάζεται με εξωτερικούς συνεργάτες σε θέματα πληροφορικής (Πάροχοι Υπηρεσιών Πληρο?φορικής - Π.Υ.Π., προμηθευτές, κ.λπ.), θα πρέπει να λαμ?βάνει υπόψη του ότι: