Член 9

Защита и предотвратяване

1. С цел адекватна защита на системите на ИКТ и с оглед на организирането на мерките за реакция финансовите субекти неотклонно наблюдават и контролират сигурността и функционирането на системите на ИКТ и основаните на ИКТ инструменти, и свеждат до минимум въздействието на риска в областта на ИКТ чрез въвеждането на подходящи инструменти, политики и процедури за сигурност на ИКТ.

2. Финансовите субекти проектират, възлагат и прилагат политики, процедури, протоколи и инструменти за сигурност на ИКТ, които имат за цел да осигурят устойчивостта, непрекъснатостта и наличността на системите на ИКТ, и по-специално онези, които поддържат критични или важни функции, и да поддържат високи стандарти за наличността, автентичността, цялостността и поверителността на данните при тяхното съхранение, използване или предаване.

3. За постигане на целите, посочени в параграф 2, финансовите субекти използват ИКТ решения и процеси, които са подходящи в съответствие с член 4. Тези ИКТ решения и процеси:

а) гарантират сигурността на средствата за предаване на данни;

б) свеждат до минимум риска от увреждане или загуба на данните, непозволен достъп и технически недостатъци, които могат да попречат на стопанската дейност;

в) предотвратяват липсата на наличност, нарушаването на автентичността, цялостността и поверителността и загубата на данни;

г) гарантират, че данните са защитени от рискове, произтичащи от управлението на данните, включително лошо администриране, рискове, свързани с обработването им, и човешка грешка.

(4) Като част от посочената в член 6, параграф 1 рамка за управление на риска в областта на ИКТ финансовите субекти:

а) разработват и документират политика за сигурност на информацията, в която определят правила за защита на наличността, автентичността, цялостността и поверителността на данните, информационните активи и активите на ИКТ, включително тези на техните клиенти, когато е приложимо;

б) създават, следвайки подход, при който се отчита рискът, стабилна структура за управление на мрежите и инфраструктурата с помощта на подходящи техники, методи и протоколи, което може да включва използването на автоматизирани механизми за обособяване на засегнатите при кибератаки информационни активи;

в) прилагат политики, които ограничават физическия или логическия достъп до информационните активи и активите на ИКТ единствено до необходимото с оглед на законните и одобрени функции и дейности, като за тази цел създават набор от политики, процедури и механизми за контрол на правата на достъп, и гарантират разумното им управление;

г) прилагат политики и протоколи за стабилни механизми за удостоверяване на автентичността, като използват съответните стандарти и специални системи за проверки и предпазни мерки за криптографските ключове, с които данните са криптирани след одобрено тяхно класифициране и извършена оценка на риска в областта на ИКТ;

д) прилагат документирани политики, процедури и контролни механизми за управление на промените в ИКТ — включително на промените в софтуера, хардуера, компонентите на фърмуера, параметрите на системите или сигурността — които почиват на подход с оценка на риска и са неразделна част от цялостния процес на управление на промените от страна на финансовия субект с цел да се гарантира контролираното записване, тестване, оценяване, одобряване, прилагане и проверяване на всички промени в системите на ИКТ;

е) разполагат с подходящи и обстойни документирани политики за коригиране и актуализиране.

За целите на първа алинея, буква б) финансовите субекти разработват инфраструктурата за мрежова връзка така, че да бъде възможно моменталното ѝ изваждане от експлоатация или сегментиране, за да се сведе до минимум и да се предотврати разпространяването на даден проблем, особено при взаимосвързаните финансови процеси.

За целите на първа алинея, буква д) процесът на управление на промените в ИКТ се одобрява от подходяща йерархична стълбица и за него се въвеждат специални протоколи.