Anexa 1 - DEFINIȚII ȘI ABREVIERI. - NORMĂ nr. 6/2015 - gestionarea riscurilor operaţionale generate de sistemele informatice utilizate de entităţile reglementate, autorizate/avizate şi/sau supravegheate de Autoritatea de Supraveghere Financiară

1. acord de furnizare a serviciului la parametrii agreați (SLA) - un acord între un furnizor de servicii IT și un client, care descrie unul sau mai multe servicii IT, documentează nivelurile de serviciu țintă agreate și specifică obligațiile furnizorului de servicii IT și ale clientului;

2. activități de control informatic - politici, proceduri și practici aplicate pentru atingerea obiectivelor entității și pentru îndeplinirea strategiilor de eliminare a riscurilor, concepute pentru atingerea fiecărui obiectiv de control pentru eliminarea riscului identificat;

3. arhivare electronică - stocarea documentelor în format digital;

4. amenințări - capacități, strategii, intenții sau planuri ce periclitează infrastructurile, materializate prin atitudini, gesturi, acte sau fapte cu impact asupra securității activității entităților și a integrității sectorului în care activează;

5. analiză de risc - analiza scenariilor de amenințări semnificative, pentru a evalua probabilitatea materializării acestora și impactul potențial pe care un astfel de eveniment l-ar avea asupra entității si operațiunilor acesteia;

6. angajați/persoane-cheie - persoane cu funcții de conducere/persoane relevante/persoane semnificative care au atribuții și răspunderi cu privire la planificarea, conducerea și controlarea activităților entității;

7. atac etic/test de penetrare - test al sistemelor informatice realizat printr-o simulare a unui atac real asupra rețelelor, sistemelor și programelor informatice utilizate de entitatea testată sau auditată, după caz;

8. audit informatic (audit IT) - activitatea de colectare și evaluare a unor probe pentru a determina dacă sistemul informatic respectă parametrii de performanțe și de lucru conform cerințelor de proiectare, asigură funcționalitățile necesare cerințelor de afaceri și respectarea legislației în domeniu, este securizat, menține integritatea datelor prelucrate și stocate, permite atingerea obiectivelor strategice ale entității și utilizarea eficientă a resurselor informaționale;

9. auditor (auditor IT) - persoana fizică autorizată care deține certificat de auditor IT sau persoană juridică cu personal certificat, care derulează o activitate de auditare a sistemelor informatice, conform reglementărilor și bunelor practici în domeniu;

10. audit IT cu resurse interne - audit care se realizează de personal certificat în domeniul auditării IT, angajat în cadrul entității sau în cadrul unei companii din cadrul aceluiași grup financiar, prin aplicarea prevederilor prezentei norme și a metodologiilor certificate internațional;

11. bază de date - structură de organizare a informației într-unul sau mai multe domenii de aplicare, cu scopul de a o face accesibilă în permanență către utilizatori prin ansamblul de programe informatice;

12. bune practici - activități sau procese certificate care au fost folosite cu succes în mai multe organizații și au căpătat o largă recunoaștere, precum SR ISO/IEC 27002, ISO 20.002, cadrul de lucru și metodologiile ISACA - COBIT, RiskIT, dar fără a se limita la acestea;

13. centru de date - spațiu securizat, dotat cu tehnică de calcul și echipamente de comunicații prin intermediul cărora se primesc, se stochează și se transmit date în formă electronică, care se implementează respectând standardele specifice, utilizând conceptul de nivel sau un echivalent al acestuia, precum, dar fără a se limita la, standardele SR EN 50600 (European Standard - Data Centers Facilities and Infrastructures) sau TIA-942 (Telecommunications Industry Association);

14. centru de date de nivel 2 - centru de date care îndeplinește cerințele TIA-942 tier 2 sau echivalent și a cărui infrastructură prezintă caracteristicile de disponibilitate de 99,741%, circuit dedicat pentru răcire și alimentare cu energie electrică, include componente redundante, include podea înălțată, surse neîntreruptibile de putere, generator și se încadrează într-un număr de maximum 22 de ore de nefuncționare pe an;

15. centrul principal de date - centru de date care asigură serviciile IT și procesează în mod curent datele, tranzacțiile și operațiunile entității;

16. CERT/Echipă sau centru de răspuns la incidente de urgență aferente securității informatice - structură organizațională specializată în vederea colectării, analizării, identificării, prevenirii și reacției la incidente cibernetice cu impact semnificativ;

17. ciclu de viață - totalitatea stadiilor din viața unui serviciu IT, a unui element de configurație, a unui incident, a unei probleme sau a unei schimbări, fără a se limita la acestea;

18. cloud computing public - infrastructură informatică, cu resurse de calcul configurabile, care permite furnizarea la cerere de servicii IT și este asigurată prin centre de date publice, altele decât infrastructura informatică proprie entității, prin intermediul unui furnizor extern, ca un ansamblu distribuit de servicii de calcul, programe informatice, acces la informații și stocare de date;

19. COBIT/Obiective de Control pentru Tehnologia Informațiilor si Tehnologii Conexe - furnizează îndrumare și bună practică pentru managementul controalelor proceselor IT, fiind publicat de către ISACA în colaborare cu IT Governance Institute (ITGI);

20. comunicații/telecomunicații - sisteme de transmisie, precum și orice alte resurse care permit transportul semnalelor prin fir, radio, fibră optică sau orice alte mijloace electromagnetice, precum și tehnologiile utilizate în cadrul proceselor de comunicare, care presupun existența unui mediu informatic constituit din echipamente hardware, software specializat, precum și dispozitive electronice de transmisie/ recepție date;

21. controale informatice - totalitatea politicilor, procedurilor, practicilor și a structurilor organizaționale informatice proiectate să ofere o asigurare rezonabilă asupra faptului că obiectivele afacerii vor fi atinse și evenimentele nedorite vor fi prevenite sau detectate și corectate;

22. date (informatice) - orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic, incluzându-se și orice program informatic care poate determina realizarea unei funcții similare de către un sistem informatic;

23. disponibilitate - capabilitatea unui serviciu IT sau unui element de configurație IT de a efectua funcțiile agreate atunci când este necesar acest lucru;

24. dubla validare/validare dublă - validarea unei acțiuni de către doi utilizatori sau existența unei validări informatice duble ce implică un program care verifică o anumită acțiune prin metode diferite;

25. externalizare servicii IT - utilizarea de către o entitate a unui furnizor extern de servicii IT, în vederea desfășurării de către acesta, pe bază contractuală și în mod continuu sau pentru o perioadă, a operațiunilor aferente suportului tehnic sau al procesării, necesare desfășurării activității efectuate în mod obișnuit de către entitatea în cauză;

26. externalizare în lanț - externalizare în cadrul căreia furnizorul extern subcontractează cu alți furnizori externi elemente componente ale serviciilor prestate entității;

27. factori de risc - situații, împrejurări, elemente, condiții sau conjuncturi interne și externe, uneori dublate și de acțiune, ce determină ori favorizează materializarea unei amenințări la adresa infrastructurilor importante, în funcție de o vulnerabilitate determinată, generând efecte de insecuritate;

28. furnizor extern - persoană juridică sau fizică autorizată furnizoare de bunuri (precum hardware, licențe software, componente etc.) și soluții informatice, care deține expertiză în domenii specializate, cu respectarea cadrului legal aplicabil;

29. furnizor de servicii IT externalizate - persoană juridică sau persoană fizică autorizată cu obiect de activitate și expertiză în domeniul serviciilor informatice, furnizoare de servicii informatice în condițiile respectării cadrului legal aplicabil și a autorizării primite;

30. hardware - ansamblul elementelor fizice și tehnice cu ajutorul cărora datele se pot culege, verifica, prelucra, transmite, afișa și stoca, inclusiv suporturile de memorare a datelor, precum și echipamentele de calculator auxiliare;

31. incident de securitate - eveniment înregistrat și declarat la nivelul entității privind securitatea informației sau a sistemelor informatice cu o probabilitate semnificativă de compromitere a operațiunilor și de amenințare a securității IT a cărei consecință a determinat sau este de natură să determine compromiterea informațiilor sau a sistemelor informatice;

32. indicatori-cheie de performanță (KPI) - parametri analitici reprezentativi selectați pentru monitorizarea unor activități și procese-cheie pentru entități, oferind o privire de ansamblu asupra performanței;

33. indicatori-cheie de risc (KRI) - parametrii care măsoară efectiv riscurile aferente procedurilor și activităților entității, furnizând în timp semnalări corespunzătoare ale consecințelor cu efect negativ, care pot genera potențiale pierderi directe sau indirecte;

34. indisponibilitate (ca durată în timp) - intervalul de timp din cadrul perioadei agreate ca disponibilitate a serviciului, în care un serviciu IT sau o componentă critică/importantă a serviciului nu este disponibilă;

35. informație - rezultatul prelucrării datelor printr-un sistem informatic care sunt baza pentru asigurarea cunoașterii prin intermediul unor elemente noi în raport cu cunoștințele anterioare și constituie o resursă care trebuie protejată;

36. infrastructura informatică - elemente ale bazei tehnico-materiale, pe componente sau ca sistem, care susțin culegerea, stocarea și managementul datelor, precum și integrarea, căutarea și vizualizarea datelor și alte calcule și servicii de procesare a informației utilizând tehnologii informatice, deținute sau contractate extern de către entitate și necesare bunei funcționări a acesteia;

37. infrastructură esențială/critică - un sistem informatic sau o componentă a acestuia, care este esențial pentru menținerea funcțiilor infrastructurii financiare, a căror perturbare afectează semnificativ buna funcționare a acesteia, cu un impact semnificativ ca urmare a incapacității de a menține respectivele funcții;

38. infrastructură importantă - sistem informatic propriu sau externalizat, care asigură funcționarea activităților și serviciilor principale ale entității;

39. integritate - păstrarea datelor electronice, digitalizate, nealterate pe timpul comunicației dintre corespondenți sau pe perioada de stocare a datelor;

40. internet - rețea internațională de calculatoare, formată prin interconectarea rețelelor globale (Wide Area Network - WAN) independente (particulare, comerciale, academice sau guvernamentale), destinată facilitării schimbului de date și informații între utilizatori;

41. ISACA - Asociația de Audit și Control al Sistemelor Informatice/ Information Systems Audit and Control Association;

42. SR ISO/IEC 27001 - standard care stabilește cerințele pentru un sistem de management al securității informației;

43. SR ISO/IEC 27002 - cod de practică internațională pentru managementul securității informației, având specificația SR ISO/IEC 27001;

44. ISO/IEC 20000 - standard care stabilește cerințele pentru un sistem de management al serviciilor IT, bazat pe setul de publicații de bune practici al Bibliotecii pentru Infrastructura IT/IT Infrastructure Library - ITIL;

45. managementul schimbării - procesul responsabil cu controlul ciclului de viață al tuturor schimbărilor pentru a permite implementarea schimbărilor benefice cu minimum de întrerupere a serviciilor IT;

46. nerepudiere - atribut care să prevină posibilitatea unei entități de a nega o acțiune întreprinsă în context informațional;

47. obiectiv de control (informatic) - scop și mijloc care se reflectă în punctele de control din care se extrag indicatori-cheie de risc;

48. persoane - investitori, brokeri de asigurare, agenți de asigurare, furnizori externi de servicii, alți terți sau colaboratori ai entității, angajați proprii - pe perioadă nedeterminată, respectiv determinată; participanți la fondurile de pensii private. Entitățile vor raporta defalcat pe fiecare tip de "persoane" în funcție de specificul activității proprii;

49. plan de cooperare în domeniul securității rețelelor și a informației - plan care stabilește rolurile organizaționale, obligațiile și răspunderile în cadrul cooperării, precum și procedurile de menținere sau de restabilire a funcționării rețelelor și sistemelor informatice în cazul în care acestea sunt afectate de un risc sau de un incident cibernetic cu impact semnificativ;

50. portofolii, tranzacții și active - conturile proprii ale investitorilor pe piața de capital sau ale clienților societăților de asigurări; portofolii de investitori, asigurați, operațiuni cu activele investitorilor, activele proprii ale intermediarului și/sau ale persoanelor relevante;

51. program informatic (aplicație) - ansamblu de instrucțiuni care poate fi executat de un sistem informatic în vederea obținerii unui rezultat determinat;

52. resurse informaționale - totalitatea informațiilor și a documentelor, conform cerințelor stabilite de legislația în domeniu;

53. rețea - ansamblu de echipamente legate între ele prin canale de transmisie, precum, dar fără a se limita la, o rețea de calculatoare;

54. risc de securitate - orice circumstanță sau eveniment care are un efect negativ potențial asupra securității sistemelor informatice;

55. risc sistemic - riscul de afectare a unei zone importante a sistemului financiar sau a unei piețe financiare, cu potențial de consecințe negative serioase pentru piața internă și economia reală, instabilitate a sistemului financiar, posibil catastrofică, cauzată sau accentuată de evenimente idiosincratice sau de condiții ale entităților;

56. riscuri semnificative - riscuri cu impact însemnat asupra situației financiare, patrimoniale și/sau reputaționale a entităților;

57. raport de audit IT - instrumentul prin care se comunică scopul auditării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările și concluziile auditului, precum și orice rezervă pe care auditorul IT o are asupra sistemului informatic auditat;

58. raport de testare IT - instrumentul prin care se comunică scopul testării, obiectivele urmărite, normele/standardele aplicate, perioada acoperită, natura, întinderea, procedurile, constatările și concluziile testării, precum și orice rezervă pe care echipa de testare o are asupra sistemului informatic testat;

59. risc aferent tehnologiei informației (IT) - subcomponentă a riscului operațional care se referă la riscul actual sau viitor de afectare negativă, pe de o parte, a profiturilor și capitalului entităților sau a investitorilor, participanților sau asiguraților, pe de altă parte, determinat de inadecvarea strategiei și politicilor IT, a tehnologiei informației și a procesării acesteia, din punctul de vedere al capacității de gestionare, integritate, controlabilitate și continuitate, sau de utilizare necorespunzătoare a tehnologiei informației;

60. securitate (cibernetică) - capacitatea unei rețele sau a unui sistem informatic, rezultată în urma aplicării unui ansamblu de măsuri proactive și reactive, de a rezista, la un nivel de încredere dat, unei acțiuni accidentale sau răuvoitoare care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate sau transmise ori a serviciilor conexe oferite de rețeaua sau de sistemul informatic respectiv sau accesibile prin intermediul acestora;

61. semnătură electronică (digitală) - atribut indispensabil al documentului electronic, obținut în urma transformării criptografice a acestuia, cu utilizarea cheii private, conform prevederilor Legii nr. 455/2001 privind semnătura electronică, republicată;

62. serviciu IT - combinație de persoane, procese și tehnologii furnizate în interiorul entității sau de către un furnizor de servicii IT, care se bazează pe folosirea tehnologiei informației și care asigură suportul tehnic necesar desfășurării activității entității și care ar trebui să fie definită într-un acord al nivelului agreat de serviciu (SLA);

63. sistem informatic - ansamblu de elemente intercorelate funcțional în scopul automatizării obținerii informațiilor necesare activităților operaționale și manageriale într-o entitate, prin intermediul serviciilor IT, al echipamentelor hardware și produselor software, proceduri manuale, baze de date și modele matematice pentru analiză, planificare, control și luarea deciziilor, utilizând componente de introducere și prelucrare date, componente de procesare precum servere, calculatoare, sisteme software de operare de bază, programe informatice, rețele de calculatoare și telecomunicații, componente de stocare și utilizatori, fără ca enumerarea să fie limitativă;

64. sistem informatic/program informatic important (aplicații core business) - sistem/program informatic esențial pentru derularea în bune condiții a activității autorizate/avizate de Autoritatea de Supraveghere Financiară (A.S.F.) și pentru asigurarea raportărilor către A.S.F. sau folosite în activitatea financiar-contabilă a entității;

65. software - toată gama de produse program, care cuprinde cel puțin următoarele elemente: sisteme de operare, drivere sau programe informatice;

66. soluție informatică - un produs de tip sistem informatic, o combinație de produse sau o combinație de produse și servicii informatice care sunt furnizate de un producător sau furnizor de servicii informatice sau de comunicații;

67. tehnologia informației (IT) sau tehnologia informației -și a comunicațiilor - tehnologia necesară pentru prelucrarea (procurarea, procesarea, stocarea, convertirea și transmiterea) informației, în particular prin folosirea calculatoarelor electronice și a programelor corespunzătoare;

68. TIA-942 - standard ce definește infrastructura unui centru de date, în mod special din privința sistemului de cablare și al designului rețelei, dar acoperă și locația, răcirea, alimentarea cu energie electrică și amenajarea sa, precum și considerente legate de mediu;

69. vulnerabilități - stări de fapt, procese și/sau fenomene care diminuează capacitatea de reacție a sistemelor informatice la riscurile existente ori potențiale sau care favorizează apariția și dezvoltarea lor, cu consecințe în planul funcționalității și utilității.