Aprašas bus taikomas net tik mokėjimo paslaugų teikėjams, teikiantiems mokėjimo paslaugas pagal Lietuvos Respublikos mokėjimų įstatymą, tačiau taip pat ir Lietuvos Respublikoje įsteigtiems bankams, finansų maklerio įmonėms bei užsienio valstybių šių subjektų filialams, įsteigtiems Lietuvos Respublikoje, centrinėms kredito unijoms ir kredito unijoms (Finansų rinkos dalyviai, FRD).
Atsižvelgiant į tai, kad patikimas informacinių ir ryšių technologijų (IRT) ir saugumo rizikos valdymas yra labai svarbus finansų įstaigoms siekiant strateginių, korporatyvinių, veiklos ir reputacijos tikslų, Apraše yra nustatytos rizikos valdymo priemonės, kurių privalo imtis finansų rinkos dalyviai, siekdami valdyti IRT ir saugumo riziką visoje savo veikloje, ir mokėjimo paslaugų teikėjai, siekdami valdyti operacinę ir saugumo riziką, susijusią su jų teikiamomis mokėjimo paslaugomis. Esminiais Aprašo pakeitimais įtvirtinami nauji bei detalizuojami Nutarime jau išdėstyti reikalavimai, susiję su tuo, kad:
1. FRD turi užtikrinti, kad IRT ir saugumo rizikai valdyti FRD turėtų tinkamą vidaus valdymo sistemą, o IRT ir saugumo rizikos nustatymas ir valdymas būtų įtrauktas į FRD vidaus kontrolės sistemą;
2. FRD turi parengti ir patvirtinti IRT strategiją, kuri turi būti suderinta su bendra FRD verslo strategija arba yra jos dalimi, bei užtikrinti jos įgyvendinimo priežiūrą.
3. Tais atvejais, kai operacinės mokėjimo paslaugų ir (arba) IRT paslaugų ir bet kurios veiklos rūšies IRT sistemų funkcijos yra užsakomos, į su trečiosiomis šalimis arba FRD grupės subjektais sudarytas sutartis turi būti įkeliamos nuostatos/procedūros, užtikrinančios IRT paslaugų ir IRT sistemų tęstinumą;
4. FRD turi patvirtinti informacijos saugumo politiką bei nurodomas tokios politikos turinys;
5. FRD turi apibrėžti, dokumentuoti ir įgyvendinti loginės prieigos kontrolės (tapatybės ir prieigos valdymo) procedūras, įtraukdami Apraše nurodomus tokiose procedūrose turinčius būti elementus;
6. FRD turi atlikti įvairias informacijos saugumo peržiūras, vertinimus ir testavimus;
7. FRD turi valdyti savo IRT operacijas, grindžiamas dokumentuotais ir įgyvendintais procesais ir procedūromis, patvirtintomis valdymo organo;
8. FRD turi sukurti ir įgyvendinti incidentų ir problemų valdymo procesą, kurį taikant būtų stebimi ir į žurnalą įrašomi IRT operaciniai ir saugumo incidentai, o FRD sutrikimų atveju tęstų arba laiku vėl pradėtų vykdyti kritines veiklos funkcijas ir procesus;
9. FRD turi įgyvendinti programą ir (arba) projektų valdymo procesą, parengti ir įgyvendinti IRT projektų valdymo politiką;
10. FRD turi sukurti ir įgyvendinti IRT sistemų įsigijimo, kūrimo ir palaikymo valdymo procesą;
11. FRD turi sukurti ir įgyvendinti IRT pokyčių valdymo procesą.
Atkreiptinas dėmesys, kad Apraše įtvirtintas reikalavimas dėl Įstaigų valdymo, sistemų ir procesų, susijusių su IRT ir saugumo rizika, audito. Tokių auditų dažnumo ir srities parinkimas turi būti proporcingas IRT ir saugumo rizikai.
Parengė ECOVIS ProventusLaw advokato padėjėja Eglė Juškaitė