Standard 4.4b Hantering av operativa risker - Finanssivalvonta

More documents

Recommendations

Info

FINANSINSPEKTIONEN Utfärdad 25.5.2004 4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare 4.4b Hantering av operativa risker Ändrad senast 22.6.2010 överenskommet sätt. dnr 3/120/2004 30 (40) • För att säkerställa tillgänglighet och kontinuitet ska återställningsplaner upprättas för respektive system, reservsystem läggas upp för problemsituationer och åtgärder vidtas för att reservsystemen snabbt ska kunna sättas in vid störningar. • Systemen bör vid behov belastningstestas. Särskilt viktigt är det att testa att datasystemen har tillräcklig kapacitet även när exceptionellt många kunder samtidigt är uppkopplade till systemen. • Systemen ska förses med nödvändiga mekanismer för bekämpning av virus och andra skadliga program. • Systemen och dataförbindelserna ska skyddas så att de inte kan blockeras med onödiga förfrågningar eller på annat sätt. Systemets Internetgränssnitt kan eventuellt blockeras på ett sätt som tjänsteleverantören inte har möjlighet att påverka. För sådana situationer ska finnas beredskap, t.ex. tillräckliga reservsystem. • Systemen ska förses med en mekanism för behörighetskontroll och instituten ska sörja för att behörighetshanteringen har ordnats på behörigt sätt. • Det externa nätet (Internet) ska skiljas åt från institutets interna nät med säkerhetsanordningar. • Systemen ska testas med jämna mellanrum och framför allt efter systemändringar för att förhindra att obehöriga får tillträde till systemen eller kan utnyttja eventuella säkerhetshål. Upptäcks brister i säkerheten måste de omedelbart åtgärdas. • Instituten ska säkerställa att dataöverföringen mellan tjänstemottagaren och tjänsteleverantören och databehandlingen i tjänsteleverantörens system uppfyller kraven på konfidentialitet, integritet och oavvislighet. Också identifieringen och autentiseringen av de sinsemellan kommunicerande parterna måste vara tillförlitlig. Lämpliga metoder är till exempel en tillräckligt stark kryptering 5 , elektroniska certifikat och elektroniska signaturer. • Kontrollmekanismer och revisionsspår ska byggas in i datasystemen för att säkerställa in- och utdatas riktighet och integritet, 5 Riskerna med krypteringsmetoden ska analyseras fall för fall. Det lönar sig alltid att göra krypteringen så bra som det på kostnadseffektiva grunder är möjligt utgående från hur väl informationen behöver skyddas. tfn 010 831 51 Upplysningar: fax 010 831 5297 Marknadsrisker och operativa risker, tfn 010 förnamn.efternamn@fiva.fi www.finanssivalvonta.fi 831 5208
Motivering Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 Motivering Utfärdad 25.5.2004 Gäller fr.o.m. 1.1.2005 FINANSINSPEKTIONEN Utfärdad 25.5.2004 4 Kapitaltäckning och riskhantering Gäller fr.o.m. 1.1.2005 tills vidare 4.4b Hantering av operativa risker Ändrad senast 22.6.2010 dnr 3/120/2004 31 (40) behörigheter, återställande av information efter avbrott i databehandlingen samt transaktionernas reviderbarhet. De transaktioner som handläggs i systemet ska kunna spåras. • Systemen ska ha inbyggda kontroller som möjliggör avstämning av transaktioner som har utförts i olika delsystem. Det rekommenderas att transaktionsförloppet avstäms alltifrån det att transaktionen lämnar kunden ända tills den når institutets bassystem. • Eventuella lösenord för kunder ska krypteras inom systemet och vid överföring mellan systemen. • Vid uppläggning, behandling och överlämning till kunden av dennes identifikationsuppgifter (användaridentitet och lösenord) ska extra aktsamhet iakttas och s.k. farliga arbetskombinationer undvikas. • Instituten ska sörja för att systemen för en tillräckligt noggrann logg över inloggning, försök till inloggning och användning av tjänsten. Loggarna och loggrappporterna ska gås igenom regelbundet. Särskilt för försök till intrång eller annat missbruk bör finnas rapporteringsrutiner. Vid genomgången av loggarna och rapporterna ska förpliktelserna och åtgärderna enligt lag genomföras omsorgsfullt och utan att äventyra kommunikationens konfidentialitet eller integritetsskyddet. • I en tjänst som marknadsförs till kunder ska ges tillräckligt med information exempelvis i bruksanvisningen om den tjänst som marknadsförs, om ansvarfördelningen mellan den som tillhandahåller och den som utnyttjar tjänsten och om hur användaren tryggt kan utnyttja tjänsten. 6.8 Betalningssystem och betalningsförmedling (70) Det är viktigt att betalningssystemen är välfungerande eftersom största delen av betalningarna i samhället förmedlas i systemen. Avbrott och störningar försvårar kundernas betalningar och kan därigenom medföra problem för landets ekonomi. (71) Med betalningssystem avses i regel ett system • där överenskomna betalningsmedel används • där deltagarna är banker och kreditinstitut • där deltagarna kommer överens om olika betalningsförmedlings- och riskhanteringsrutiner • som möjliggör förmedling av transaktioner från betalaren till tfn 010 831 51 Upplysningar: fax 010 831 5297 Marknadsrisker och operativa risker, tfn 010 förnamn.efternamn@fiva.fi www.finanssivalvonta.fi 831 5208
Page 1 and 2: Standard 4.4b Hantering av operativ
Page 3 and 4: FINANSINSPEKTIONEN Utfärdad 25.5.2
Page 5 and 6: Utfärdad 22.6.2010 Gäller fr.o.m.
Page 9 and 10: 4 RÄTTSGRUND Utfärdad 18.9.2007 G
Page 11 and 12: Motivering Utfärdad 25.5.2004 Gäl
Page 13 and 14: Bindande Utfärdad 25.5.2004 Gälle
Page 19 and 20: Rekommendation Utfärdad 25.5.2004
Page 23 and 24: Tillämpningsråd Utfärdad 18.9.20
Page 25 and 26: Tillämpningsråd Utfärdad 18.9.20
Page 27 and 28: Motivering Utfärdad 25.5.2004 Gäl
Page 29: Bindande Utfärdad 25.5.2004 Gälle
Page 39 and 40: 9 YTTERLIGARE FINANSINSPEKTIONEN Ut

Standard 4.4b Hantering av operativa risker - Finanssivalvonta

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?