Член 12

Политики и процедури за съхраняване на резервни копия, процедури и методи за възстановяване на информацията

1. С цел да се осигури максимално бързо възстановяване на системите на ИКТ и на данните, с ограничени смущения и загуби, финансовите субекти разработват и документират като част от рамката си за управление на риска в областта на ИКТ:

а) политики и процедури за съхраняване на резервни копия на данните, в които се определя обхватът на данните, за които се съхраняват резервни копия, както и минималната честота на това копиране, въз основа на това доколко е критично значението на данните и какво е нивото им на поверителност;

б) процедури и методи за възстановяване на информацията.

2. Финансовите субекти създават резервни системи, които могат да бъдат задействани в съответствие с политиките и процедурите за съхраняване на резервни копия, както и процедури и методи за възстановяване. Активирането на резервните системи не застрашава сигурността на мрежовите и информационните системи, нито наличността, автентичността, цялостността или поверителността на данните. Процедурите за съхраняване на резервни копия и процедурите и методите за възстановяване на информацията се тестват периодично.

3. Когато финансовите субекти използват собствени системи за възстановяване на резервните копия на данните, те използват системи на ИКТ, които са отделени физически и логически от основната им система на ИКТ. Системите на ИКТ са защитени по сигурен начин от непозволен достъп или неизправност на ИКТ и дават възможност за своевременно възстановяване на услугите, които използват данни и резервни копия на системите, когато е необходимо.

При централните контрагенти плановете за възстановяване осигуряват възможност за възстановяването на всички трансакции към момента на смущението, така че централният контрагент да може да продължи да функционира по надежден начин и да приключи сетълмента на определената дата.

Доставчиците на услуги за докладване на данни освен това поддържат достатъчно ресурси и разполагат с резервни механизми и механизми за възстановяване, за да предлагат и поддържат услугите си по всяко време.

4. Финансовите субекти, без микропредприятията, поддържат възпроизвеждащи ИКТ системи, чиито ресурси, капацитет и функции са достатъчни за задоволяване на потребностите на дейността. Микропредприятията оценяват необходимостта от поддържане на такива възпроизвеждащи ИКТ системи въз основа на рисковия си профил.

5. Централните депозитари на ценни книжа поддържат поне един допълнителен обект за обработка, разполагащ с достатъчно ресурси, капацитет, функции и правила относно персонала за задоволяване на потребностите на дейността.

Допълнителният обект за обработка:

а)се намира на физическо разстояние от основния обект за обработка, така че да има различен рисков профил и да не бъде засегнат от събитието, засегнало основния обект;

б)притежава капацитет, равен на този на основния обект, за осигуряване на непрекъснатостта на критичните или важните функции или за предоставяне на такова ниво на обслужване, което позволява на финансовия субект да извършва операциите от критично значение в рамките на заложените цели за възстановяване на информацията;

в)е непосредствено достъпен за персонала на финансовия субект, в случай че основният обект за обработка е станал недостъпен, така че да се осигури непрекъснатостта на критичните или важните функции.

6. Когато определят целите си за продължителността на възстановяване на информацията и за точката на възстановяване за всяка функция, финансовите субекти взимат предвид дали функцията е критична или важна и потенциалното общо въздействие върху пазарната ефективност. Тези срокове позволяват да се удовлетворяват договорените параметри на обслужване дори при крайно неблагоприятни сценарии.

7. Когато възстановяват информацията след инцидент с ИКТ, финансовите субекти извършват необходимите проверки, включително множествени проверки и сравнение на възстановените с оригиналните данни, за да се гарантира поддържането на най-високо ниво на пълнота на данните. Тези проверки се извършват и когато се възстановяват данни от външни заинтересовани страни, така че да се осигури съгласуваност на всички данни между отделните системи.