CATEGORII DOCUMENTE |
SECURITATE Banca
CAP. 1 - Principii generale privind gestionarea securitatii
Securitatea reflecta starea de functionare normala a bancii. Mecanismele de securitate trebuie sa fie capabile sa faca fata unei game largi de atacuri/amenintari/accidente sau calamitati, tratate previzionar, simultan si/sau post factum, cu asumarea constienta a riscurilor, in limita unor costuri suportabile.
Strategia si politica de securitate se stabilesc la nivelul Directiei Generale in baza propunerilor si rapoartelor inaintate de directiile competente si sunt definite de urmatoarele coordonate:
sunt dedicate principalelor probleme de securitate,
definesc actiunile BANCA in vederea reducerii riscurilor;
stabilesc principiile de baza pentru reducerea riscurilor;
stabilesc obiectivele generale privind asigurarea securitatii;
cuprind deciziile fundamentale pentru stabilirea limitelor valorilor de risc acceptate;
Pentru BANCA, securitatea reprezinta capacitatea de conservare a caracteristicilor functionale ale sistemului indiferent de natura si amploarea amenintarilor (cu rezultante directe sau indirecte asupra bancii) cu care se confrunta.
Dimensiunile securitatii:
Juridica - legi generale si speciale, standarde, normative, proceduri, coduri deontologice
Fizica - aspectele de existenta si manifestare a elementelor de securitate, inclusiv cele tehnologice si de functionalitate
Informationala - fluxul informational si sistemele, elementele si echipamentele care protejeaza sau care realizeaza protectia informatiilor,
Economica - costurile securitatii / insecuritatii (consecintele unui eveniment nedorit),
Organizatorica - infrastructura structurala,
Teoretico-Stiintifica - baze teoretice, statistice, tehnologii si metodologii de apreciere a nivelului de risc si de securitate .
Conform practicii internationale, din punct de vedere al risculului asumat, sunt definite 4 niveluri de securitate:
sigura - riscul asumat este de 3%-5%,
acoperitoare - riscul asumat este de 5%-8%,
suficienta - riscul asumat este de 8%-12%,
minimala - riscul asumat este de 12%-15%.
BANCA aplica o strategie de securitate ierarhica, fara ca nivelul de securizare pentru unele categorii de obiective (sedii) sa fie mai mic decat "suficient".
Nivelul global de securizare se determina prin studii efectuate de societati specializate sau de catre un comitet/comisie formata din reprezentanti ai directiilor competente.
RISC - risc, audit specializat
DSI - securitate IT, audit specializat
IMM - securitate bancara
DOCB - securitate tranzactii carduri
SEGL - asigurari, deontologie
INS - audit privind modul de asigurare a securitatii
Regulile privind asigurarea securitatii activitatii bancii sunt prevazute in documentele normative interne specifice domeniilor de activitate.
Sectiunea 4 - Continuitatea activitatii bancii
Continuitatea activitatii BANCA se asigura conform "Planului de Continuitate a Activitatii" (PCA).
CAP. 2 - Riscuri privind problematica securitatii
Managementul riscului este conceptul prin care premisele actuale sau potentiale de aparitie a unor pierderi accidentale sau statistice sunt analizate in mod unitar, astfel incat acestea sa poata fi tratate in modul cel mai eficient (eficace si economic) posibil.
Managementul riscului este concentrat asupra evitarii si atenuarii consecintelor oricarui eveniment nedorit ce poate aduce atingere obiectivelor principale: realizarea profitului, protectia personalului si clientilor, siguranta valorilor, credibilitatea fata de clienti si colaboratori.
Nu exista actiune, oricat de simpla care sa nu implice asumarea unui risc.
Prin risc se intelege in general, probabilitatea de a infrunta o situatie neprevazuta (anormala) cu consecinte negative sau de a suporta o paguba. Din definitie reies atat necesitatea obiectiva de a infrunta aceste situatii cat si obligativitatea de a actiona rational si de a mentine sub control incertitudinea raspunsului.
Prin risc rational se intelege modalitatea de actiune bazata pe perceperea intuitiva (in cunostinta de cauza) a situatiei conflictuale, capabila sa contracareze pericolul prin masuri preventive si / sau sa aleaga o varianta de atenuare a situatiei de criza. Astfel riscul rational se concretizeaza in risc operational[1], reprezentand diferenta dintre eficacitatea variantei optime si eficacitatea variantei alese.
Ca urmare, riscul asumat este minim in momentul in care varianta adoptata (bine aleasa si realizata) se apropie de cea optima.
Pentru determinarea nivelului de risc sunt luate in calcul probabilitatea de producere a evenimentului nedorit si consecintele producerii acestuia.
Matematic riscul este descris de relatia:
RISC = PROBABILITATExCONSECINTE
In functie de nivelul de risc determinat pentru fiecare proces se stabileste conduita optima a bancii, corespunzatoare riscului respectiv.
Metodologia de evaluare a riscului
Analizele de risc se vor efectua prin metoda matricelor de risc, prin metoda interdependentelor functionale (prin prisma actionala si a obiectivelor propuse) sau prin alte metode specifice acceptate pe plan international.
In particular, identificarea, evaluarea si controlul riscurilor de incendiu se fac potrivit reglementarilor specifice.
Nivelurile riscului de incendiu sunt: redus (mic), mediu (mijlociu) si ridicat (mare).
Riscurile operationale sunt riscurile de pierderi directe sau indirecte, care rezulta din inadaptarea sau din greseli de procedura, ale persoanelor sau de sistem, sau care rezulta din evenimente exterioare (New Basel Capital Accord - 2001).
Intre riscul operational si securitate exista o legatura de cauzalitate, in principiu pentru fiecare categorie de risc operational fiind necesar un mecanism de securitate adecvat (corelativ) sau o masura asiguratorie.
Din punct de vedere statistic infractiunile la adresa institutiilor financiar-bancare vizeaza:
valorile materiale in tranzit (transporturile de valori),
valorile pastrate in tezaure, seifuri, casete de valori si bancomate,
valorile (bancnote) care fac obiectul tranzactiilor la ghisee (casierii),
inscrisurile de valoare si cardurile,
procedurile informatice de transfer valori si de recunostere a clientilor,
bancile si bazele de date.
Principalele tipuri de infractiuni/evenimente provocatoare de pagube sunt prezentate in Anexa 1.
CAPITOLUL 3 - Securitatea fizica - Sistemul integrat de securitate
Solutiile integrate de securizare pentru aplicatiile distribuite in areal geografic semnificativ, sunt construite pe arhitecturi de tip network, cu management in timp real, bazate pe urmatoarele principii:
principiul prioritatii protectiei valorilor umane,
principiul adecvarii (proportionalitatii),
principiul omogenitatii,
principiul segmentarii si complementaritatii,
principiul substituirii,
principiul auditarii active,
Realizarea unui sistem integrat de securitate presupune conceperea si implementarea unor "centuri" concentrice de protectie, adecvate si eficiente in fata amenintarilor interne si externe la adresa obiectivului securizat.
Sistemul integrat de securitate este definit de urmatoarele caracteristici:
este implementat in scopul de a proteja vieti si bunuri materiale impotriva unor pericole/riscuri potentiale, determinate sau doar anticipate;
are concomitent functie de preventie si de protectie;
are regim de lucru permanent si redundant;
asigura trecerea rapida de la starea de rutina la raspuns (reactie)
Infrastructura sistemului de securitate este formata din:
informatii verificate si permanent actualizate (CE riscuri trebuie contracarate, CE puncte critice avem de protejat, CINE este "inamicul" potential etc),
resursa umana (personal specializat precum si intreg personalul),
resursa materiala (eficienta si permanent modernizata),
proceduri (generale si specifice),
conducere unitara si control permanent.
Proceduri (exemple)
generale (SOP - standard operations procedures - ex. Cum se actioneaza in cazul receptionarii unui mesaj de amenintare telefonica, Cum si ce informatii se pot da de la secretariate etc),
de control acces,
de conduita preventiva,
de actiune in caz de urgenta,
speciale (pentru actiuni cu grad ridicat de risc, pentru activitati importante pentru banca etc),
de audit.
Dimensionarea si configuratia sistemului integrat de securitate se stabilesc in urma analizei de risc a obiectivului, fiind folosit sistemul piramidal.
Protectie totala Protectie optimala
Componentele structurale ale sistemului integrat de securitate se dispun prin aplicarea principiului "foilor de ceapa" in centrul zonelor protejate situandu-se punctele vitale, folosindu-se formula timpilor de actiune/reactie.
T0 - momentul inceperii actiunii ostile |
3
Sistemul integrat de securitate este viabil in momentul in care timpul necesar pentru atingerea scopului actiunii ostile este mai mare decit T3.
Elementele componente se stabiliesc in vederea reducerii la minim a intervalelor T0 -T1, T1 -T2, T2 -T3 cat si pentru cresterea intervalului de timp necesar reusitei actiunii ostile.
In concluzie pentru atingerea acestor deziderate principalele directii de actiune sunt:
alegerea unor elemente din componenta sistemului de bariere fizice cu grad de rezistenta ridicat,
sisteme electronice performante,
viteza mare de reactie a echipelor de interventie,
personal bine pregatit.
Solutia de securizare se va stabili ca urmare a studiului de specialitate realizat de SEC, studiu care va cuprinde: Planul de situatie al obiectivului, Analiza de risc, Planul de ansamblu cu toate elementele sistemului integrat de securitate si Proiectele fiecarui subsistem.
In cazul obiectivelor vitale sau complexe (ex. Centru Informatic) solutia de securizare - concept si proiectare, poate fi realizata prin intermediul unei societati specializate.
Raspunderea pentru stabilirea si implementarea solutiei de securizare a unui obiectiv apartine serviciilor de specialitate din cadrul BANCA.
Raspunderea pentru exploatarea si mentinerea in functiune a sistemului integrat de securitate apartine conducatorilor de unitati.
Sectiunea 2 - Structura sistemului integrat de securitate (anexa 2)
Fiecare subsistem din componenta sistemului integrat de securitate este in principiu independent putand face fiecare obiectul unei analize separate, dar ele se intrepatrund si se completeaza reciproc, rezultatul fiind relevant doar in cazul analizei de ansamblu.
Sistemele integrate de securitate se dimensioneaza, implementeaza si exploateaza conform Instructiunii specifice "Securitatea Fizica".
CAP. 4 - Securitatea informatiilor
Securitatea informatiilor este parte integranta a mediului de securitate a bancii, cuprinzand ansamblul masurilor de calificare, clasificare si categorisire a informatiilor, stabilirea riscurilor si a masurilor minime de protectie a procesarii, stocarii si transmiterii informatiilor.
Din punct de vedere al clasificarii, informatiile gestionate de BANCA pot fi secrete de serviciu sau neclasificate (acces liber). Lista cu informatii secrete de serviciu se intocmeste conform prevederilor legale in vigoare.
Accesul la informatiile clasificate se asigura cu respectarea principiului necesitatii de a cunoaste.
Regulile privind protectia informatiilor sunt cele prevazute in instructiunea "Protectia informatiilor".
Se realizeaza conform dispozitiilor DSI si in principiu se axeaza pe urmatoarele directii:
Securitatea infrastructurii informatice:
securitatea retelelor,
securitatea sistemelor:
definirea regulilor de utilizare a sistemului informatic;
controlul accesului logic;
utilizarea posturilor de lucru;
securitatea in dezvoltarea de proiecte informatice:
analiza riscurilor;
dezvoltarile externe;
punerea in productie.
Securitatea exploatarii sistemului informatic:
elaborarea procedurilor de exploatare;
urmarirea incidentelor;
protectia mediului de exploatare a sistemului informatic;
planul de salvari si de rezerva;
accesul la resursele de exploatare;
contractele de intretinere a sistemului informatic.
Principalele riscuri I.T.:
intreruperea functionarii sistemului informatic,
alterarea informatiilor;
accesul neautorizat,
tranzactii neautorizate,
blocajul/interceptarea comuncatiilor,
furtul/falsificare/scurgerea/distrugerea de informatii.
Circuitul documentelor (emitere, inregistare, receptie, evidenta, pastrare) se reglementeaza prin instructiune specifica.
Documentele originale, care prezinta interes crescut (care pot atrage raspunderea materiala a BANCA, avize, autorizatii, contracte etc) se pastreaza in dulapuri/fisete speciale, rezistente la foc si efractie (cu incuietoare) accesul fiind limitat (se asigura acces doar persoanelor care invoca un interes justificat).
Documentele de importanta deosebita se pastreaza conform instructiunii specifice privind protectia documentelor in cadrul PCA.
Arhivarea documentelor se realizeaza conform instructiunii specifice.
Din punct de vedere al securitatii arhivarea informatiilor trebuie sa prezinte rezistenta la: efractie, foc, umiditate, campuri magnetice, lumina puternica/radiatii nocive si agenti corozivi (acizi/gaze).
Intrucat ponderea infractiunilor avand ca obiect informatiile arhivate/stocate (determinata statistic) este de aproximativ 20%, securizarea arhivelor prezinta un interes special si se asigura prin:
organizarea arhivelor in incaperi/imobile special amenajate, cu acces controlat (electronic sau prin posturi de paza),
interzicerea amenajarii "arhivelor curente" cu acces liber,
stabilirea de responsabilitati concrete in sarcina personalului cu functii de conducere pe linia protectiei informatiilor.
CAP. 5 - Securitatea personalului
Suplimentar fata de sfera de actiune a legislatiei privind protectia muncii, in sistemul bancar exista categorii de personal expuse la riscuri atipice - infractiuni produse cu violenta.
Protectia acestor persoane se realizeaza prin doua tipuri de masuri:
compensatorii - financiare sub forma sporului de periculozitate,
de securitate - ansamblul de masuri specifice menite protejarii categoriilor de personal expuse.
Personalul incadrat pe astfel de functii va fi instruit/antrenat periodic privind modul de actiune in situatii de deosebite (atac armat, luare de ostateci).
Controlul intern se desfasoara conform Normei de functionare BANCA si celorlalte documente normative interne specifice.
Din punct de vedere statistic, infractiunile/actiunile provocatoare de pagube produse de angajati (sau cu sprijinul acestora) sunt responsabile in procent de 80%-85% de pierderile inregistrate la nivelul institutiilor financiar-bancare.
Reglementata intern prin directiva "Codul de deontologie BANCA" si instructiunii specifice privind deontologia profesionala.
Deontologia profesionala este un instrument producator de securitate prin diminuarea riscurilor interne (fidelizare/loializare) si prin stabilirea unei conduite adecvate privind relatia salariatului cu clienti/colaboratori/colegi/sefi .
Protectia civila este o componenta a sistemului securitatii nationale si reprezinta un ansamblu integrat de activitati specifice, masuri si sarcini organizatorice, tehnice, operative, cu caracter umanitar si de informare publica, planificate, organizate si realizate in scopul prevenirii si reducerii riscurilor de producere a dezastrelor, protejarii populatiei, bunurilor si mediului impotriva efectelor negative ale situatiilor de urgenta, conflictelor armate si inlaturarii operative a urmarilor acestora si asigurarii conditiilor necesare supravietuirii persoanelor afectate.
In BANCA protectia civila se realizeaza conform prevederilor legale in vigoare si este reglementata prin instructiunea privind protectia civila si managementul situatiilor de urgenta.
Protectia muncii (securitatea si sanatatea muncii) vizeaza implementarea de masuri tehnico-organizatorice in vederea diminuarii la minimum posibil a riscurilor de accidentare si imbonlavire in timpul si din cauza activitatii profesionale.
In BANCA aceasta activitate se desfasoara conform instructiunii privind securitatea si sanatatea muncii.
Domeniu de stricta specializare cu legislatie proprie si autoritati dedicate, apararea impotriva incendiilor face obiectul unei analize separate in vederea stabilirii solutiei de securizare (siguranta), solutie integrata in conceptul general stabilit pentru un obiectiv individualizat.
Apararea impotriva incediilor este reglementata prin instructiunea privind organizarea si functionarea apararii impotriva incendiiilor.
Pentru persoanele incadrate pe functii de conducere la nivelul Directiei Generale se instituie un pachet minim de masuri de protectie care constau in:
informari periodice, prin distributia unor documentatii privind protectia personala, intocmite de serviciul securitate,
supravegherea electronica a rezidentei (cu acceptul persoanei in cauza),
asigurare "garda corp" (la cerere/din oficiu) pe timpul participarii in numele/interesul bancii la evenimente oficiale
CAP. 6 - Insecuritatea - efecte si costuri
Efectele insecuritatii pot fi grupate in doua categorii:
Necuantificabile - pierderi umane
Cuantificabile - costuri
Tipuri de costuri:
a. Costurile directe: Valoarea bunurilor pierdute
b. Costurile indirecte (insotesc automat costurile directe si reprezinta costul efectelor adiacente):
Pierderi de imagine, reputatie;
Penalizari;
Scaderea productivitatii;
Pierderea unor oportunitati;
Intreruperea activitatii.
.
ANEXA 1
PRINCIPALELE TIPURI DE INFRACTIUNI/EVENIMENTE PROVOCATOARE DE PAGUBE ESTIMATE
Infractiuni /actiuni /evenimente provocatoare de pagube |
Obiectiv /scop |
Zona vitala |
Obiect |
Mod de operare |
Urmari |
Probleme de conduita/pregatire profesionala |
|||||
Risipa |
Valori in circulatie |
Spatii lucru |
Resurse finaciare, consumabile, materiale, etc |
Administrare defectuasa, consum nejustificat |
Minore. Pe scara larga pot avea insa efecte apreciabile |
Neglijenta |
Fara obiectiv |
Spatii lucru |
Resurse / Relatii clienti / colaboratori |
Administrare defectuasa |
In general, minore |
Malpraxisisul (erori de executie sau de evaluare) |
Fara obiectiv |
F.O./B.O. |
Tranzactii /Relatii clienti / colaboratori |
Eroare |
In general, minore |
Accidentul de munca |
Fara obiectiv |
Spatii lucru / vectori deplasare |
Resurse umane / resurse materiale |
Majore |
|
Managementul deficitar |
Fara obiectiv |
Spatii lucru |
Tranzactii /Relatii clienti / colaboratori / resurse |
Conducere ineficienta sau lipsa conducerii |
Majore |
Infractiuni |
|||||
Furtul |
Valori in circulatie / depozitate |
Zone manuire /depozitare valori |
Bani/ bunuri / inscrisuri de valoare |
De regula prin efractie |
In general, minore |
Jaful |
Valori in circulatie / depozitate |
Zone manuire /depozitare valori |
Bani/ bunuri / inscrisuri de valoare |
Amenintare / lovire personal BANCA / clienti |
Majore |
Atacul armat |
Valori in circulatie / depozitate |
Zone manuire /depozitare valori Vectori transport |
Bani/ inscrisuri de valoare |
Amenintare/uz de arme de foc/albe |
Majore |
Furtul/atacul atipic |
Valori in circulatie / depozitate |
Zone manuire /depozitare valori Vectori transport |
Bani/ bunuri / inscrisuri de valoare/ informatii |
Actiuni savarsite de personal propriu sau asimilat |
Majore |
Actul de terorism |
Valori in circulatie / depozitate / Infrastructura |
Personal / Sedii |
Resurse umane / financiare / imobile |
Amenintare cu bomba / gaze, uz de arma |
Majore |
Spionajul ec./ Concurenta neloiala |
Blocarea serviciilor Erodarea/distrugerea imaginii bancii |
Spatii echipamente informatice / comunicatii / arhivare |
Informatii / imagine |
Culegere / interceptare date Propaganda negativa |
Majore |
Atacul informatic |
Sistemele informatice si de comunicatie |
Retele de comunicatii date / servere |
Informatii / retele structurate/ terminale |
Interventii soft/hard / mecanice |
Majore |
Sistemele de protectie a datelor si comuncatiilor |
Componente soft/hard de protectie |
Informatii / retele structurate/ terminale |
Interventii soft/hard / mecanice |
Majore |
|
Sistemele bazate pe carduri / bancomate |
Bancomate / Pos-uri / Capacitati de productie / Tranzactii on-line |
Automate bancare / Card-uri |
Interventii soft/hard / mecanice |
Majore |
|
Blocarea serviciilor Erodarea/distrugerea imaginii bancii |
Retele de comunicatii voce-date / servere |
Informatii / retele structurate/ terminale |
Interventii soft/hard / mecanice |
Majore / Dezastruase |
|
Incendiu/Calamitati naturale |
|||||
Incendiu/ Cutremur/ Inundatie/ |
Infrastructura / valori |
Personal / Infrastructura /date in general |
Majore / Dezastruase |
ANEXA 2
STRUCTURA SISTEMULUI INTEGRAT DE SECURITATE
BANCA CENTRALA
* Propriu sau al unui prestator
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 7070
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved