1. For the purposes of adequately protecting ICT systems and with a view to organising response measures, financial entities shall continuously monitor and control the security and functioning of ICT systems and tools and shall minimise the impact of ICT risk on ICT systems through the deployment of appropriate ICT security tools, policies and procedures.
2. Financial entities shall design, procure and implement ICT security policies, procedures, protocols and tools that aim to ensure the resilience, continuity and availability of ICT systems, in particular for those supporting critical or important functions, and to maintain high standards of availability, authenticity, integrity and confidentiality of data, whether at rest, in use or in transit.
3. In order to achieve the objectives referred to in paragraph 2, financial entities shall use ICT solutions and processes that are appropriate in accordance with Article 4. Those ICT solutions and processes shall:
(a) ensure the security of the means of transfer of data;
(b) minimise the risk of corruption or loss of data, unauthorised access and technical flaws that may hinder business
activity;
(c) prevent the lack of availability, the impairment of the authenticity and integrity, the breaches of confidentiality and the loss of data; L 333/32 EN Official Journal of the European Union 27.12.2022
(d) ensure that data is protected from risks arising from data management, including poor administration, processingrelated risks and human error.
Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.
Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.
Kun varmuuskopioiden luottamuksellisuus on tärkeää, varmuuskopiot suojataan salauksella. Varmuuskopioiden salaamisen tarve voi korostua, kun varmuuskopioita säilytetään fyysisessä sijainnissa, jonka turvallisuuskäytännöistä ei ole varmuutta.
Järjestelmän tai sovelluksen kirjautumismenettelyn olisi oltava suunniteltu siten, että mahdollisuus luvattomaan pääsyyn on mahdollisimman pieni.
Kirjautumismenettelyn olisi siksi paljastettava mahdollisimman vähän tietoa järjestelmästä tai sovelluksesta, jotta luvatonta käyttäjää ei avustettaisi tarpeettomasti. Kriteerejä hyvälle kirjautumismenettelylle ovat mm.:
Organisaation verkoille on määritelty omistaja. Omistaja vastaa verkon rakenteen suunnittelusta ja sen dokumentoinnista.
Verkon suunnittelussa käytetään tarpeen mukaan erillisiä verkkoalueita. Verkkoalueet voivat olla määritelty mm.:
Eriyttäminen voidaan toteuttaa joko fyysisesti erillisillä verkoilla tai loogisesti erillisillä verkoilla.
Viranomaisen on varmistettava tietojärjestelmien saatavuus koko niiden elinkaaren ajan. Tämän vuoksi eri tietojärjestelmien saatavuusvaatimukset (etenkin pisin aika, jonka järjestelmä voi olla pois käytöstä, palautusaikatavoite sekä palautuspistetavoite).
Saatavuusvaatimusten toteutuksen tulee huomioida tietojärjestelmältä edellytettävä kuormituksen kesto, vikasietoisuus ja palautumisaika.
Lisäksi tarve saatavuutta suojaaville menettelyille on tunnistettu ja menettelyt on toteutettu kriittisille järjestelmille järjestelmäkohtaisesti räätälöidyillä suojauksilla. Suojauksiin voi sisältyä esimerkiksi keskeisten verkkoyhteyksien, laitteistojen ja sovellusten ajoympäristöjen kahdentamiset.
Siirrettävä data täytyy suojata käyttämällä kryptografisia menetelmiä. Siirrettävän datan luottamuksellisuuden ja eheyden suojaaminen koskee sisäisiä ja ulkoisia verkko sekä kaikkia järjestelmiä, jotka voivat siirtää tietoa. Näitä ovat esimerkiksi:
Siirrettävä data voidaan suojata fyysisin tai loogisin keinoin.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
