LIETUVOS BANKO VALDYBA
NUTARIMAS
DĖL LIETUVOS BANKO VALDYBOS 2007 M. SPALIO 18 D. NUTARIMO NR. 136 „DĖL MOKĖJIMŲ MODULIO SĄSKAITOS ATIDARYMO IR TVARKYMO MOKĖJIMO SISTEMOJE TARGET2-LIETUVOS BANKAS TAISYKLIŲ PATVIRTINIMO“ PAKEITIMO
2021 m. spalio 14 d. Nr. 03-150
Vilnius
1. Pakeisti Mokėjimų modulio sąskaitos atidarymo ir tvarkymo mokėjimo sistemoje TARGET2-LIETUVOS BANKAS taisykles, patvirtintas Lietuvos banko valdybos 2007 m. spalio 18 d. nutarimu Nr. 136 „Dėl Mokėjimų modulio sąskaitos atidarymo ir tvarkymo mokėjimo sistemoje TARGET2-LIETUVOS BANKAS taisyklių patvirtinimo“:
1.1. papildyti 1 straipsnį nauja termino „Europos mokėjimų tarybos SEPA momentinio kredito pervedimo (SCT Inst) schema arba SCT Inst schema“ apibrėžtimi:
„– Europos mokėjimų tarybos SEPA momentinio kredito pervedimo (SCT Inst) schema arba SCT Inst schema (angl. European Payments Council's SEPA Instant Credit Transfer (SCT Inst) scheme or ‘SCT Inst scheme’) – automatizuota, atvirų standartų schema, nustatanti tarpbankines taisykles, kurių turi laikytis SCT Inst dalyviai, sudaranti sąlygas SEPA mokėjimo paslaugų teikėjams teikti automatizuotą SEPA momentinio kredito pervedimo eurais produktą;“
1.2. pakeisti 1 straipsnio termino „grupė“ apibrėžtį ir ją išdėstyti taip:
„– grupė (angl. group):
a) kredito įstaigų, įtrauktų į patronuojančiosios įmonės konsoliduotąsias finansines ataskaitas, kurias patronuojančioji įmonė privalo pateikti pagal 27-ąjį Tarptautinį apskaitos standartą (27 TAS), priimtą Komisijos reglamentu (EB) Nr. 1126/2008(*), junginys, susidedantis iš:
b) kredito įstaigų junginys, kaip numatyta a punkto i arba ii papunktyje, kai patronuojančioji įmonė nepateikia konsoliduotųjų finansinių ataskaitų pagal 27 TAS, tačiau gali atitikti 27 TAS apibrėžtus kriterijus dėl įtraukimo į konsoliduotąsias finansines ataskaitas, jeigu prieš tai ją patikrina MM sąskaitos turėtojo CB arba, jeigu tai JL grupė, – vadovaujantis NCB;
c) dvišalis arba daugiašalis kredito įstaigų tinklas, kuris yra:
i) sudarytas teisės aktų, apibrėžiančių kredito įstaigų priklausymą šiam tinklui, nustatytais pagrindais; arba
ii) charakterizuojamas savo organizuotais bendradarbiavimo mechanizmais (jo narių veiklos interesų skatinimas, rėmimas ir atstovavimas) ir (arba) intensyvesnio, nei įprasta bendradarbiaujant kredito įstaigoms, ekonominio solidarumo, jeigu tokį bendradarbiavimą ir solidarumą leidžia kredito įstaigų įstatai ar steigimo dokumentai arba jie nustatyti kitais susitarimais;
ir abiem c punkte numatytais atvejais ECB valdančioji taryba yra patenkinusi prašymą dėl sudarytos grupės pripažinimo;
(*) 2008 m. lapkričio 3 d. Komisijos reglamentas (EB) Nr. 1126/2008, priimantis tam tikrus tarptautinius apskaitos standartus pagal Europos Parlamento ir Tarybos reglamentą (EB) Nr. 1606/2002 (OL L 320, 2008 11 29, p. 1)“;
1.3. papildyti 1 straipsnį nauja termino „likvidumo pervedimo iš TIPS SL sąskaitos į TIPS IS techninę sąskaitą nurodymas“ apibrėžtimi:
„– likvidumo pervedimo iš TIPS SL sąskaitos į TIPS IS techninę sąskaitą nurodymas (angl. TIPS DCA to TIPS AS technical account liquidity transfer order) – nurodymas pervesti nurodytą lėšų sumą iš TIPS SL sąskaitos į TIPS IS techninę sąskaitą, taip finansuojant TIPS SL sąskaitos turėtojo poziciją išorinės sistemos apskaitos knygose;“
1.4. papildyti 1 straipsnį nauja termino „likvidumo pervedimo iš TIPS SL sąskaitos į TIPS IS techninę sąskaitą nurodymas“ apibrėžtimi:
„– likvidumo pervedimo iš TIPS IS techninės sąskaitos į TIPS SL sąskaitą nurodymas (angl. TIPS AS technical account to TIPS DCA liquidity transfer order) – nurodymas pervesti nurodytą lėšų sumą iš TIPS IS techninės sąskaitos į TIPS SL sąskaitą, nurašant lėšas iš TIPS SL sąskaitos turėtojo pozicijos išorinės sistemos apskaitos knygose;“
1.5. pakeisti 1 straipsnio termino „momentinio mokėjimo nurodymas“ apibrėžtį ir ją išdėstyti taip:
„– momentinio mokėjimo nurodymas (angl. instant payment order) – Europos mokėjimų tarybos parengtos SEPA momentinio kredito pervedimo (SCT Inst) schemos reikalavimus atitinkanti mokėjimo instrukcija, kuri gali būti vykdoma nedelsiant arba beveik nedelsiant 24 valandas per parą visomis kalendorinėmis metų dienomis, tai pranešant mokėtojui, ji apima: i) momentinio mokėjimo iš TIPS SL sąskaitos į TIPS SL sąskaitą nurodymus, ii) momentinio mokėjimo iš TIPS SL sąskaitos į TIPS IS techninę sąskaitą nurodymus, iii) momentinio mokėjimo iš TIPS IS techninės sąskaitos į TIPS SL sąskaitą nurodymus ir iv) momentinio mokėjimo iš TIPS IS techninės sąskaitos į TIPS IS techninę sąskaitą nurodymus;“
1.6. papildyti 1 straipsnį nauja termino „pasiekiama šalis“ apibrėžtimi:
„– pasiekiama šalis (angl. reachable party) – subjektas, kuris a) turi bendrovės identifikavimo kodą (BIC); b) TIPS SL sąskaitos turėtojas ar išorinė sistema jį pripažino kaip tokią; c) yra TIPS SL sąskaitos turėtojo korespondentas, klientas arba filialas ar išorinės sistemos dalyvis arba išorinės sistemos dalyvio korespondentas, klientas arba filialas ir d) yra pasiekiamas ir gali pateikti momentinio mokėjimo nurodymus ir gauti momentinio mokėjimo nurodymus per TIPS platformą arba per TIPS SL sąskaitos turėtoją ar išorinę sistemą, arba, jeigu TIPS SL sąskaitos turėtojas ar išorinė sistema leidžia, tiesiogiai;“
1.7. papildyti 1 straipsnį nauja termino „TIPS išorinės sistemos techninė sąskaita (TIPS IS techninė sąskaita)“ apibrėžtimi:
„–TIPS išorinės sistemos techninė sąskaita (TIPS IS techninė sąskaita) (angl. TIPS ancillary system technical account (TIPS AS technical account) – sąskaita, kurią išorinė sistema ar CB išorinės sistemos vardu turi CB TARGET2 komponento sistemoje ir kurią išorinė sistema naudoja momentiniams mokėjimams vykdyti;“
1.9. pakeisti 2 straipsnį ir jį išdėstyti taip:
„2 straipsnis. Priedai
1. Taisyklių sudedamoji dalis yra šie priedai:
1 priedas. Mokėjimo nurodymų apdorojimo techninės specifikacijos.
2 priedas. TARGET2 kompensavimo schema.
3 priedas. Nuomonės dėl gebėjimų ir šalies sąlygos.
4 priedas. Veiklos tęstinumo ir nenumatytų atvejų procedūros.
5 priedas. Veikimo tvarkaraštis.
6 priedas. Įkainių sąrašas ir sąskaitų pateikimas.
7 priedas. Jungtinio likvidumo susitarimas.
8 priedas. Informacijos saugumo ir veiklos tęstinumo valdymo reikalavimai.
9 priedas. Dienos paskolų suteikimas.“;
1.11. papildyti 3 straipsnio 2 dalį f4 punktu:
1.12. pakeisti 3 straipsnio 3 dalį ir ją išdėstyti taip:
„3. TARGET2 teikia mokėjimų eurais realiojo laiko atskirųjų atsiskaitymų paslaugą, atsiskaitant centrinio banko pinigais per MM sąskaitas, T2S SL sąskaitas ir TIPS SL sąskaitas. TARGET2 yra sukurta ir veikia BTP, per kurią mokėjimo nurodymai pateikiami, apdorojami bei galiausiai gaunami tokiu pačiu techniniu būdu, pagrindu. Kalbant apie T2S SL sąskaitos techninį veikimą, TARGET2 yra techniškai sukurta ir funkcionuoja T2S platformos pagrindu. Kalbant apie techninį TIPS SL sąskaitų ir TIPS IS techninių sąskaitų veikimą, TARGET2 yra techniškai sukurta ir funkcionuoja TIPS platformos pagrindu.“;
1.13. pakeisti 5 straipsnį ir jį išdėstyti taip:
„5 straipsnis. Tiesioginiai dalyviai
1. MM sąskaitų turėtojai TARGET2-LIETUVOS BANKAS yra tiesioginiai dalyviai ir laikosi 8 straipsnio 1 ir 2 dalyse nustatytų reikalavimų. Jie Lietuvos banke turi bent vieną MM sąskaitą. MM sąskaitos turėtojai, kurie prisijungė prie SCT Inst schemos pasirašydami SEPA momentinio kredito pervedimo laikymosi susitarimą, yra pasiekiami ir visą laiką išlieka pasiekiami TIPS platformoje kaip TIPS SL sąskaitos turėtojas arba kaip per TIPS SL sąskaitos turėtoją pasiekiama šalis.
2. MM sąskaitos turėtojai gali nustatyti adresuojamojo BIC turėtojus neatsižvelgdami į jų įsteigimo vietą. MM sąskaitos turėtojai gali nustatyti adresuojamojo BIC turėtojus, kurie laikosi SCT Inst schemos pasirašydami SEPA momentinio kredito pervedimo laikymosi susitarimą, tik tada, jeigu šie subjektai yra pasiekiami TIPS platformoje arba kaip TIPS SL sąskaitos turėtojas arba kaip per TIPS SL sąskaitos turėtoją pasiekiama šalis.
3. MM sąskaitos turėtojai subjektus gali laikyti netiesioginiais MM dalyviais, jeigu jie atitinka 6 straipsnyje nustatytas sąlygas. MM sąskaitos turėtojai gali nustatyti netiesioginiais dalyviais subjektus, kurie laikosi SCT Inst schemos pasirašydami SEPA momentinio kredito pervedimo laikymosi susitarimą, tik tada, jeigu šie subjektai yra pasiekiami TIPS platformoje arba kaip Lietuvos banko TIPS SL sąskaitos turėtojas arba kaip per TIPS SL sąskaitos turėtoją pasiekiama šalis.
4. Daugiaadresė prieiga per filialus gali būti teikiama taip:
a) kredito įstaiga, kaip apibrėžta 4 straipsnio 1 dalies a arba b punkte, priimta kaip MM sąskaitos turėtoja, gali suteikti prieigą prie savo MM sąskaitos vienam arba daugiau savo filialų, įsteigtų Europos Sąjungoje arba EEE, kad mokėjimo nurodymai būtų pateikiami ir (arba) mokėjimai gaunami tiesiogiai, jeigu Lietuvos bankas buvo tinkamai informuotas;
1.14. papildyti 12 straipsnį 5 dalimi:
„5. Už MM sąskaitas ir jų subsąskaitas atlyginama taikant 0 proc. palūkanų normą arba palūkanų normą už naudojimąsi indėlių galimybe, taikant tą dydį, kuris yra mažesnis, išskyrus atvejus, kai jos naudojamos privalomosioms atsargoms arba atsargų pertekliui laikyti.
Privalomųjų atsargų atveju atlyginimo už laikomas atsargas apskaičiavimą ir mokėjimą reglamentuoja Tarybos reglamentas (EB) Nr. 2531/98(*) ir Europos Centrinio Banko reglamentas (ES) 2021/378 (ECB/2021/1) (**).
Atsargų pertekliaus atveju atlyginimo už laikomas atsargas apskaičiavimą ir mokėjimą reglamentuoja Sprendimas (ES) 2019/1743 (ECB/2019/31) (***).
(*) 1998 m. lapkričio 23 d. Tarybos reglamentas (EB) Nr. 2531/98 dėl Europos Centrinio Banko privalomųjų atsargų reikalavimo taikymo (OL L 318, 1998 11 27, p. 1).
(**) 2021 m. sausio 22 d. Europos Centrinio Banko reglamentas (EB) Nr. 2021/2003 dėl privalomųjų atsargų reikalavimo taikymo (ECB/2003/1) (OL L 73, 2003 1 2, p. 10).
(***) 2019 m. spalio 15 d. Europos Centrinio Banko sprendimas (ES) 2019/1743 dėl atlyginimo už laikomą atsargų perteklių ir tam tikrus indėlius (ECB/2019/31) (OL L 267, 2019 10 21, p. 12).“;
1.15. pakeisti 28 straipsnį ir jį išdėstyti taip:
„28 straipsnis. Saugumo reikalavimai ir kontrolės procedūros
1. Kad apsaugotų savo sistemas nuo neteisėtos prieigos ir naudojimo, dalyviai įgyvendina atitinkamas saugumo kontrolės priemones. Dalyviai tik patys atsako už savo sistemų konfidencialumo apsaugą, vientisumą ir prieinamumą.
2. Dalyviai informuoja Lietuvos banką apie visus su saugumu susijusius incidentus savo techninėse infrastruktūrose, o tam tikrais atvejais ir apie su saugumu susijusius incidentus, kurie įvyksta trečiųjų šalių paslaugų teikėjų techninėse infrastruktūrose. Lietuvos bankas gali paprašyti išsamesnės informacijos apie incidentą ir, kai reikia, paprašyti, kad dalyvis imtųsi tinkamų priemonių užkirsti kelią tokio įvykio pasikartojimui.
3. Lietuvos bankas visiems dalyviams ir (arba) dalyviams, kuriuos laiko svarbiais, gali nustatyti papildomus saugumo reikalavimus, ypač dėl kibernetinio saugumo ar sukčiavimo prevencijos.
4. Dalyviai pateikia Lietuvos bankui: i) nuolatinę prieigą prie patvirtinimo, kad laikosi pasirinkto tinklo paslaugų teikėjo galutinio taško saugumo reikalavimų ir ii) kasmet savo TARGET2 savarankiško sertifikavimo dokumentą, kaip paskelbta Lietuvos banko interneto svetainėje ir ECB interneto svetainėje anglų kalba.
4a. Lietuvos bankas įvertina dalyvio savarankiško sertifikavimo dokumentą (dokumentus), kuriame nurodoma, kokiu lygmeniu dalyvis laikosi kiekvieno iš reikalavimų, nurodytų TARGET2 savarankiško sertifikavimo reikalavimuose. Šie reikalavimai išvardyti 8 priede, kuris kartu su kitais 2 straipsnyje išvardytais priedais yra šių Taisyklių sudėtinė dalis.
4b. Lygmuo, kuriuo dalyvis laikosi TARGET2 savarankiško sertifikavimo reikalavimų, priskiriamas šioms kategorijoms didėjančio griežtumo seka: visiška atitiktis, mažareikšmė neatitiktis arba esminė neatitiktis. Taikomi šie kriterijai: visiška atitiktis pasiekiama, kai dalyvis atitinka 100 proc. reikalavimų; mažareikšmė neatitiktis – kai dalyvis atitinka mažiau nei 100, bet ne mažiau kaip 66 proc. reikalavimų, ir esminė neatitiktis, kai dalyvis atitinka mažiau nei 66 proc. reikalavimų. Jei dalyvis įrodo, kad konkretus reikalavimas jam netaikomas, priskiriant kategorijai laikoma, kad jis atitinkamą reikalavimą atitinka. Dalyvis, kuris nepasiekia visiškos atitikties, pateikia veiksmų planą, nurodydamas, kaip ketina pasiekti visišką atitiktį. Lietuvos bankas informuoja atitinkamas priežiūros institucijas apie tokio dalyvio atitikties statusą.
4c. Jei dalyvis atsisako suteikti nuolatinę prieigą prie patvirtinimo, kad laikosi pasirinktų tinklo paslaugų teikėjų galutinio taško saugumo reikalavimų, arba nesuteikia TARGET2 savarankiško sertifikavimo dokumento, dalyvio atitikties lygmuo priskiriamas esminės neatitikties kategorijai.
4d. Lietuvos bankas kasmet pakartotinai įvertina dalyvių atitiktį reikalavimams.
4e. Lietuvos bankas dalyviams, kurių atitiktis buvo įvertinta kaip mažareikšmė arba esminė neatitiktis, gali taikyti šias poveikio priemones didėjančia griežtumo tvarka:
i) sustiprinta stebėsena: dalyvis teikia Lietuvos bankui vyresniojo vadovo pasirašytą mėnesio ataskaitą apie pažangą, padarytą sprendžiant neatitikties problemą. Be to, dalyvis už kiekvieną paveiktą sąskaitą papildomai moka mėnesinį baudos mokestį, lygų jo mėnesio įmokai, kaip nustatyta Taisyklių VI priedo 1 dalyje, neįskaitant operacijų mokesčių. Ši atlyginimo priemonė gali būti taikoma, jei dalyvis antrą kartą iš eilės gauna mažareikšmės neatitikties arba esminės neatitikties įvertinimą;
ii) sustabdymas: dalyvavimas TARGET2-LIETUVOS BANKAS gali būti sustabdytas, esant 34 straipsnio 2 dalies b ir c punktuose apibūdintoms aplinkybėms. Nukrypstant nuo 34 straipsnio, dalyviui apie tokį sustabdymą pranešama prieš tris mėnesius. Dalyvis už kiekvieną sustabdytą sąskaitą moka mėnesinį baudos mokestį, lygų dvigubai jo mėnesio įmokai, kaip nustatyta Taisyklių VI priedo 1 dalyje, neįskaitant operacijų mokesčių. Ši poveikio priemonė gali būti taikoma, jei dalyvis antrą kartą iš eilės gauna esminės neatitikties įvertinimą;
iii) nutraukimas: dalyvavimas TARGET2-LIETUVOS BANKAS gali būti nutrauktas, esant 34 straipsnio 2 dalies b ir c punktuose apibūdintoms aplinkybėms. Nukrypstant nuo 34 straipsnio, dalyviui apie tokį nutraukimą pranešama prieš tris mėnesius. Dalyviui už kiekvieną nutrauktą sąskaitą taikomas papildomas 1 000 Eur baudos mokestis. Ši poveikio priemonė gali būti taikoma, jei dalyvis per tris mėnesius nuo sustabdymo dienos Lietuvos bankui priimtinu būdu neištaisė esminės neatitikties.
5. Dalyviai, kurie leidžia trečiosioms šalims turėti prieigą prie savo MM sąskaitos, kaip numatyta 5 straipsnio 2, 3 ir 4 dalyse, sprendžia klausimą dėl rizikos, kylančios dėl tokios prieigos suteikimo, vadovaudamiesi 1–4e dalyse nurodytais saugumo reikalavimais. 4 dalyje nurodytame savarankiško sertifikavimo dokumente nurodoma, kad dalyvis nustato, jog TARGET2 tinklo paslaugų teikėjo galutinio taško saugumo reikalavimai yra privalomi trečiosioms šalims, turinčioms prieigą prie to dalyvio MM sąskaitos.“;
1.16. pakeisti 39 straipsnio 1 dalį ir ją išdėstyti taip:
„1. Laikoma, kad dalyviai žino ir laikosi visų savo įsipareigojimų, susijusių su teisės aktais, reglamentuojančiais duomenų apsaugą, ir yra pajėgūs įrodyti atitinkamoms kompetentingoms institucijoms, kad laikosi minėtų įsipareigojimų. Laikoma, kad dalyviai žino ir laikosi visų savo įsipareigojimų, susijusių su teisės aktais, reglamentuojančiais pinigų plovimo ir terorizmo finansavimo, su padidinta platinimo rizika susijusios branduolinės veiklos ir branduolinių ginklų pristatymo sistemų plėtojimo prevenciją, ypač įgyvendindami atitinkamas priemones, susijusias su bet kokiais jų MM sąskaitose debetuojamais arba kredituojamais mokėjimais. Prieš užmegzdami sutartinius santykius su TARGET2 tinklo paslaugų teikėju, dalyviai taip pat užtikrina, kad yra informuoti apie TARGET2 tinklo paslaugų teikėjo duomenų pakartotinio pateikimo politiką.“;
1.17. papildyti 45a straipsniu:
„45a straipsnis. Pereinamojo laikotarpio nuostatos
1. Pradėjus veikti TARGET sistemai ir nutraukus TARGET2 veiklą, MM sąskaitos likučiai pervedami į sąskaitos turėtojo atitinkamas jas pakeičiančias sąskaitas TARGET sistemoje.
1.18. pakeisti 1 priedo 8 dalies 4 punktą ir jį išdėstyti taip:
„4) Galimi šie IKM naudojimo režimai:
a) režimas „programa programai“ (A2A) – taikant A2A, informacija ir pranešimai perduodami tarp MM ir dalyvio vidaus programos. Todėl dalyvis turi užtikrinti, kad būtų tinkama programa apsikeisti, naudojant standartizuotą sąsają, XML pranešimais (užklausomis ir atsakymais) per IKM. Išsamesnė informacija pateikiama IKM vartotojo žinyne ir VDFS 4 knygoje;
b) režimas „vartotojas programai“ (U2A) – U2A leidžia tiesioginę komunikaciją tarp dalyvio ir IKM. Informacija pateikiama naršyklėje, veikiančioje AK sistemoje (SWIFT Alliance WebStation arba kitoje sąsajoje, kaip gali būti reikalaujama SWIF). U2A prieigai užtikrinti IT infrastruktūra turi palaikyti slapukų veikimą. Išsamesnė informacija pateikiama IKM vartotojo žinyne.“;
1.19. pakeisti 4 priedo 6 dalies g punktą ir jį išdėstyti taip:
„g) Dėl mokėjimo nurodymų atsarginio apdorojimo dalyviai pateikia tinkamą turtą kaip įkaitą. Atliekant atsarginį apdorojimą, gautini atsarginiai mokėjimai gali būti panaudoti siekiant padengti siunčiamus atsarginius mokėjimus. Atlikdamas atsarginį apdorojimą Lietuvos bankas gali neatsižvelgti į dalyvių naudotinas lėšas.“;
1.20. papildyti nauju 8 priedu:
„Mokėjimų modulio sąskaitos atidarymo ir tvarkymo mokėjimo sistemoje TARGET2-LIETUVOS BANKAS taisyklių
8 priedas
INFORMACIJOS SAUGUMO IR VEIKLOS TĘSTINUMO VALDYMO REIKALAVIMAI
1. Informacijos saugumo valdymas
Šie reikalavimai taikomi kiekvienam dalyviui, nebent dalyvis įrodo, kad konkretus reikalavimas jam netaikomas. Nustatydamas reikalavimų taikymo apimtį savo infrastruktūroje, dalyvis turėtų identifikuoti tuos elementus, kurie yra mokėjimo sandorio grandinės (angl. Payment Transaction Chain, PTC) dalis. Konkrečiai PTC pradedama įėjimo taške (angl. Point of Entry (PoE), t. y. sistemoje, kuri naudojama sandoriams suformuoti (pvz., profesionaliuosiuose kompiuteriuose, tiesioginių paslaugų ir netiesioginių paslaugų taikomosiose programose, tarpinės programinės įrangos sistemose), ir užbaigiama sistemoje, kuri atsakinga už žinutės išsiuntimą SWIFT (pvz., SWIFT VPN Box), arba internete (pastarasis atvejis taikomas internetinės prieigos atveju).
1.1 reikalavimas: Informacijos saugumo politika
Vadovybė nustato aiškią politikos kryptį, atitinkančią verslo tikslus, ir parodo paramą bei įsipareigojimą užtikrinti informacijos saugumą, nustatydama, patvirtindama ir prižiūrėdama informacijos saugumo politiką, kuria siekiama valdyti informacijos saugumą ir kibernetinį atsparumą visoje organizacijoje informacijos saugumo ir kibernetinio atsparumo rizikos nustatymo, vertinimo ir tvarkymo požiūriu. Politikos principai turi apimti bent šiuos skirsnius: tikslai, taikymo sritis (įskaitant tokias sritis kaip organizacija, žmogiškieji ištekliai, turto valdymas ir t. t.), principai ir atsakomybės paskirstymas.
1.2 reikalavimas: Vidaus organizacija
Siekiant organizacijoje įgyvendinti informacijos saugumo politiką, sukuriama informacijos saugumo sistema. Vadovybė koordinuoja ir peržiūri sukurtą informacijos saugumo sistemą, kad užtikrintų informacijos saugumo politikos (kaip nurodyta 1.1 reikalavime) įgyvendinimą organizacijoje, įskaitant pakankamų išteklių ir saugumo pareigų skyrimą šiam tikslui.
1.3 reikalavimas: Išorės šalys
Organizacijos informacijos ir informacijos tvarkymo priemonių saugumas neturėtų sumažėti, jeigu pasitelkiama išorės šalis (išorės šalys) arba jų teikiami produktai ir (arba) paslaugos ir (arba) yra priklausoma nuo jų. Bet kokia išorės šalių prieiga prie organizacijos informacijos tvarkymo įrenginių kontroliuojama. Kai išorės šalims arba išorės šalių produktams ar paslaugoms reikia prieigos prie organizacijos informacijos tvarkymo įrenginių, atliekamas rizikos vertinimas siekiant nustatyti poveikį saugumui ir kontrolės reikalavimus. Dėl kontrolės priemonių susitariama ir jos apibrėžiamos susitarime su kiekviena atitinkama išorės šalimi.
1.4 reikalavimas: Turto valdymas
Visi informaciniai ištekliai, veiklos procesai ir pagrindinės informacinės sistemos, kaip antai operacinės sistemos, infrastruktūra, verslo taikomosios programos, standartiniai produktai, paslaugos ir naudotojų sukurtos taikomosios programos, patenkantys į mokėjimo sandorio grandinės (angl. Payment Transaction Chain) taikymo sritį, įtraukiami į apskaitą ir turi priskirtą savininką. Priskiriama atsakomybė už tinkamos veiklos procesų kontrolės ir susijusių IT komponentų informaciniam turtui apsaugoti priežiūrą ir veikimą. Pastaba: prireikus savininkas gali pavesti įgyvendinti konkrečias kontrolės priemones, tačiau lieka atsakingas už tinkamą turto apsaugą.
1.5 reikalavimas: Informacinio turto klasifikavimas
Informacijos ištekliai klasifikuojami pagal jų svarbą, kad dalyvis sklandžiai teiktų paslaugą. Klasifikacijoje nurodomas apsaugos, reikalingos naudojant informacinį turtą atitinkamuose veiklos procesuose, poreikis, prioritetai ir lygis, taip pat atsižvelgiama į pagrindinius IT komponentus. Vadovybės patvirtinta informacinio turto klasifikavimo schema naudojama tinkamam apsaugos kontrolės priemonių rinkiniui per visą informacinio turto gyvavimo ciklą nustatyti (įskaitant informacijos išteklių pašalinimą ir sunaikinimą) ir norint pranešti apie konkrečių priemonių poreikį.
1.6 reikalavimas: Žmogiškųjų išteklių saugumas
Su saugumu susijusios pareigos prieš įdarbinant nurodomos tinkamuose pareigybių aprašymuose ir įdarbinimo sąlygose. Visi kandidatai į darbuotojų pozicijas, rangovai ir trečiųjų šalių naudotojai turi būti tinkamai tikrinami, ypač dėl jautraus pobūdžio darbo vietų. Informacijos tvarkymo įrenginių darbuotojai, rangovai ir trečiųjų šalių naudotojai pasirašo susitarimą dėl saugumo funkcijų ir atsakomybės. Siekiant kuo labiau sumažinti galimą saugumo riziką, užtikrinamas tinkamas visų darbuotojų, rangovų ir trečiųjų šalių naudotojų informuotumo lygis, taip pat jiems suteikiamas švietimas ir mokymas saugumo procedūrų ir tinkamo informacijos tvarkymo įrangos naudojimo klausimais. Nustatoma oficiali drausminė procedūra saugumo pažeidimams nagrinėti. Turi būti nustatomos pareigos siekiant užtikrinti, kad darbuotojo, rangovo ar trečiosios šalies naudotojo išėjimas iš organizacijos arba jo perkėlimas organizacijoje būtų valdomas, kad būtų grąžinta visa įranga ir panaikintos visos prieigos teisės.
1.7 reikalavimas: Fizinis ir aplinkos saugumas
Ypatingos svarbos arba neskelbtinos informacijos tvarkymo įrenginiai turi būti saugiose teritorijose, apsaugotose įrengiant apibrėžtą saugumo zoną su tinkamomis saugumo užkardomis ir patekimo kontrole. Jos fiziškai apsaugomos nuo neleistinos prieigos, pažeidimo ir įsikišimo. Prieiga suteikiama tik tiems asmenims, kuriems taikomas 1.6 reikalavimas. Nustatomos procedūros ir standartai, skirti fizinėms laikmenoms, kuriose laikomi perkeliami informaciniai ištekliai, apsaugoti.
Įranga turi būti apsaugota nuo fizinių ir aplinkos pavojų. Siekiant sumažinti neteisėtos prieigos prie informacijos riziką ir apsaugoti įrangą ar informaciją nuo praradimo ar sugadinimo, būtina užtikrinti įrangos (įskaitant už objekto ribų naudojamą įrangą) apsaugą, taip pat apsaugą nuo turto paėmimo. Gali prireikti specialių priemonių siekiant apsisaugoti nuo fizinių grėsmių ir apsaugoti pagalbinius įrenginius, pvz., elektros energijos tiekimo ir kabelių infrastruktūrą.
1.8 reikalavimas: Operacijų valdymas
Nustatoma atsakomybė ir procedūros, susijusios su informacijos tvarkymo įrenginių, apimančių visas pagrindines mokėjimo sandorio grandinės ištisines sistemas, valdymu ir veikimu.
Kiek tai susiję su veiklos procedūromis, įskaitant IT sistemų techninį administravimą, kai tinkama, pareigos atskiriamos siekiant sumažinti aplaidaus ar tyčinio netinkamo sistemos naudojimo riziką. Kai pareigos negali būti atskirtos dėl dokumentais pagrįstų objektyvių priežasčių, atlikus oficialią rizikos analizę, įgyvendinama kompensacinė kontrolė. Nustatomos kontrolės priemonės, kuriomis siekiama užkirsti kelią kenkėjiško kodo įvedimui mokėjimo sandorių grandinėje ir jį aptikti. Taip pat nustatomos kontrolės priemonės (įskaitant naudotojų informuotumą), kuriomis siekiama užkirsti kelią kenkėjiškiems kodams, juos aptikti ir pašalinti. Judriojo ryšio kodas naudojamas tik iš patikimų šaltinių (pvz., pasirašytų Microsoft COM komponentų ir Java Applets). Turi būti griežtai kontroliuojama naršyklės konfigūracija (pvz., plėtinių ir papildinių naudojimas).
Vadovybė įgyvendina duomenų atsarginių kopijų saugojimo ir atkūrimo politiką. Ši atkūrimo politika apima atkūrimo proceso planą, kuris reguliariai patikrinamas bent kartą per metus.
Itin svarbios mokėjimų saugumui sistemos stebimos ir registruojami su informacijos saugumu susiję įvykiai. Pildomi operatoriaus žurnalai, siekiant užtikrinti, kad būtų nustatytos informacinės sistemos problemos. Operatoriaus žurnalai reguliariai peržiūrimi imties būdu, atsižvelgiant į operacijų svarbą. Sistemos stebėsena atliekama tikrinant kontrolės priemonių, kurios pripažintos itin svarbiomis mokėjimų saugumui, veiksmingumą ir atitiktį prieigos politikos modeliui.
Organizacijos keičiasi informacija vadovaudamosi oficialia keitimosi informacija politika, ja keičiamasi pagal dalyvaujančių šalių sudarytus keitimosi susitarimus ir laikantis visų atitinkamų teisės aktų. Trečiųjų šalių programinės įrangos komponentai, naudojami keičiantis informacija su TARGET2 (pvz., programinė įranga, gauta iš paslaugų biuro pagal TARGET2 savarankiško sertifikavimo susitarimo dokumento taikymo srities skirsnio 2 scenarijų), turi būti naudojami pagal oficialų susitarimą su trečiąja šalimi.
1.9 reikalavimas: Prieigos kontrolė
Prieiga prie informacijos išteklių pagrindžiama verslo reikalavimais (principu „būtina žinoti“([1]) ir vadovaujantis nustatyta įmonių politikos sistema (įskaitant informacijos saugumo politiką). Aiškios prieigos kontrolės taisyklės nustatomos remiantis mažiausios privilegijos principu([2]), kad būtų tiksliai atspindėti atitinkamų verslo ir IT procesų poreikiai. Atitinkamais atvejais (pvz., atsarginių kopijų valdymo) loginės prieigos kontrolė turėtų būti suderinta su fizinės prieigos kontrole, išskyrus atvejus, kai taikomos tinkamos kompensacinės kontrolės priemonės (pvz., šifravimas, asmens duomenų anonimizavimas).
Nustatomos oficialios, dokumentais įformintos procedūros, skirtos kontroliuoti prieigos prie informacinių sistemų ir paslaugų, patenkančių į mokėjimo sandorio grandinės taikymo sritį, teisių suteikimą. Procedūros taikomos visiems naudotojo prieigos gyvavimo ciklo etapams nuo pradinės naujų naudotojų registracijos iki galutinio naudotojų, kuriems prieiga nebereikalinga, išregistravimo.
Tam tikrais atvejais ypač daug dėmesio skiriama suteikiant tokios svarbos prieigos teises, kai nepagrįstas naudojimasis tomis prieigos teisėmis gali turėti didelį neigiamą poveikį dalyvio veiklai (pvz., prieigos teisėms, leidžiančiomis administruoti sistemą, perskirstyti sistemos kontrolės priemones, gauti tiesioginę prieigą prie verslo duomenų).
Įdiegiamos tinkamos kontrolės priemonės, kuriomis siekiama nustatyti, patvirtinti naudotojų tapatybę ir suteikti jiems prieigą tam tikruose organizacijos tinklo taškuose, pvz., vietos ir nuotolinės prieigos prie sistemų mokėjimo sandorio grandinės atveju. Siekiant užtikrinti atskaitomybę, asmeninėmis sąskaitomis nesidalijama.
Slaptažodžių taisyklės nustatomos ir jų vykdymas užtikrinamas specialiomis kontrolės priemonėmis, siekiant užtikrinti, kad slaptažodžių nebūtų galima lengvai atspėti, pvz., sudėtingumo taisyklės ir ribotas galiojimo laikas. Nustatomas slaptažodžio saugaus atkūrimo ir (arba) pakartotinio nustatymo protokolas.
Siekiant apsaugoti informacijos konfidencialumą, autentiškumą ir vientisumą, parengiama ir įgyvendinama šifravimo kontrolės priemonių naudojimo politika. Nustatoma rakto valdymo politika, kuria remiamas šifravimo kontrolės priemonių naudojimas.
Siekiant sumažinti neteisėtos prieigos riziką, nustatoma konfidencialios informacijos ekrane arba spausdintame vaizde peržiūros politika (pvz., tuščias ekranas, tuščio darbo stalo politika).
Dirbant nuotoliniu būdu atsižvelgiama į darbo neapsaugotoje aplinkoje riziką ir taikomos tinkamos techninės ir organizacinės kontrolės priemonės.
1.10 reikalavimas: Informacinių sistemų įsigijimas, kūrimas ir priežiūra
Saugumo reikalavimai nustatomi ir dėl jų susitariama prieš kuriant ir (arba) diegiant informacines sistemas.
Siekiant užtikrinti tinkamą apdorojimą, į taikomąsias programas, įskaitant naudotojų sukurtas taikomąsias programas, įdiegiamos tinkamos kontrolės priemonės. Šios kontrolės priemonės apima pradinių duomenų, vidaus apdorojimo ir išvesties duomenų patvirtinimą. Gali reikėti papildomų kontrolės priemonių sistemoms, kurios apdoroja arba daro poveikį neskelbtinai, vertingai ar ypatingos svarbos informacijai. Tokios kontrolės priemonės nustatomos remiantis saugumo reikalavimais ir rizikos vertinimu pagal nustatytą politiką (pvz., informacijos saugumo politiką, šifravimo kontrolės politiką).
Naujų sistemų naudojimo reikalavimai nustatomi, įtvirtinami dokumentuose ir išbandomi prieš tas sistemas priimant ir naudojant. Tinklo saugumo srityje turėtų būti įgyvendintos tinkamos kontrolės priemonės, įskaitant segmentaciją ir saugų valdymą, atsižvelgiant į duomenų srautų svarbą ir tinklo zonų rizikos lygį organizacijoje. Turi būti taikomos specialios kontrolės priemonės, skirtos viešaisiais tinklais perduodamai neskelbtinai informacijai apsaugoti.
Prieiga prie sistemos rinkmenų ir programos pirminio kodo kontroliuojama, o IT projektai ir pagalbinė veikla vykdomi saugiai. Turi būti pasirūpinta, kad testinėje aplinkoje nebūtų atskleisti jautrūs duomenys. Projektų ir pagalbinė aplinka griežtai kontroliuojamos. Pokyčių diegimas gamybinėje aplinkoje griežtai kontroliuojamas. Vertinama pagrindinių gamybinėje aplinkoje diegtinų pokyčių rizika.
Be to, pagal iš anksto nustatytą planą, grindžiamą rizikos vertinimo rezultatais, atliekami reguliarūs naudojamų sistemų saugumo patikrinimai, jie apima bent pažeidžiamumo vertinimus. Įvertinami visi trūkumai, nustatyti vykdant saugumo patikrinimo veiklą, ir laiku parengiami veiksmų planai, kuriais siekiama pašalinti nustatytą spragą, ir imamasi tolesnių veiksmų.
1.11 reikalavimas: Informacijos saugumas santykiuose su tiekėjais
Siekiant užtikrinti tiekėjams prieinamų dalyvio vidaus informacinių sistemų apsaugą, informacijos saugumo reikalavimai, skirti su tiekėjo prieiga susijusiai rizikai mažinti, turi būti įforminami dokumentais ir dėl jų oficialiai susitariama su tiekėju.
1.12 reikalavimas: Informacijos saugumo incidentų valdymas ir tobulinimas
Siekiant užtikrinti nuoseklų ir veiksmingą požiūrį į informacijos saugumo incidentų valdymą, įskaitant informavimą apie saugumo įvykius ir trūkumus, veiklos ir techniniu lygmenimis nustatomi ir patikrinami vaidmenys, atsakomybė ir procedūros, siekiant užtikrinti greitą, veiksmingą, tvarkingą ir saugų atsigavimą po informacijos saugumo incidentų, įskaitant scenarijus, susijusius su kibernetine priežastimi (pvz., sukčiavimas, kurį vykdo išorės užpuolikas ar vidaus subjektas). Šiose procedūrose dalyvaujantys darbuotojai turi būti tinkamai išmokyti.
1.13 reikalavimas: Techninės atitikties peržiūra
Reguliariai vertinama, ar dalyvio vidaus informacinės sistemos (pvz., administracinio padalinio sistemos, vidaus tinklai ir išorinio tinklo ryšys) atitinka organizacijos nustatytą politikos sistemą (pvz., informacijos saugumo politiką, kriptografinės kontrolės politiką).
1.14 reikalavimas: Virtualizavimas
Svečių virtualiosios mašinos turi atitikti visas saugumo kontrolės priemones, nustatytas fizinei techninei įrangai ir sistemoms (pvz., apsaugos stiprinimui, registravimui). Su sistemos prižiūryklėmis susiję patikrinimai privalo apimti sistemos prižiūryklių ir prieglobos operacinės sistemos stiprinimą, reguliarias pataisas, griežtą skirtingų aplinkų atskyrimą (pvz., gamyba ir plėtra). Centralizuotas valdymas, registravimas ir stebėsena, taip pat prieigos teisių valdymas, visų pirma itin privilegijuotų sąskaitų atveju, įgyvendinami remiantis rizikos vertinimu. Svečių virtualiosios mašinos, kurias valdo ta pati sistemos prižiūryklė, turi lygiavertį rizikos profilį.
1.15 reikalavimas: Debesų kompiuterija
Viešųjų ir (arba) hibridinių debesijos sprendimų naudojimas mokėjimo sandorio grandinėje turi būti grindžiamas oficialiu rizikos vertinimu, atsižvelgiant į technines kontrolės priemones ir sutarčių sąlygas, susijusias su debesijos sprendimu.
Jei naudojami hibridiniai debesijos sprendimai, laikoma, kad visos sistemos svarbos lygis yra aukščiausiasis iš prijungtų (susietųjų) sistemų. Visi hibridinių sprendimų komponentai vietoje turi būti atskirti nuo kitų vietoje esančių sistemų.
2. Veiklos tęstinumo valdymas (taikoma tik ypatingos svarbos dalyviams)
Toliau nurodyti reikalavimai (2.1–2.6) susiję su veiklos tęstinumo valdymu. Kiekvienas TARGET2 dalyvis, kurį Eurosistema laiko ypatingai svarbiu, kad sklandžiai veiktų TARGET2 sistema, turi veiklos tęstinumo strategiją, kurią sudaro šie elementai:
2.3 reikalavimas: Atsarginės veiklos vietos rizikos profilis skiriasi nuo pirminės veiklos vietos rizikos profilio, siekiant išvengti, kad tas pats įvykis tuo pačiu metu nepaveiktų abiejų veiklos vietų. Pavyzdžiui, atsarginė veiklos vieta yra kitame nei pagrindinės veiklos vietos elektros energijos tinkle ir centrinėje telekomunikacijos grandinėje.
2.4 reikalavimas: Įvykus dideliam veiklos sutrikimui, dėl kurio pagrindinė veiklos vieta tampa neprieinama ir (arba) jos ypač svarbūs darbuotojai yra nepasiekiami, ypatingos svarbos dalyvis turi pajėgumų atnaujinti įprastas operacijas iš atsarginės veiklos vietos, kurioje įmanoma tinkamai užbaigti darbo dieną ir pradėti kitą (-as) darbo dieną (-as).
2.5 reikalavimas: Nustatomos procedūros, užtikrinančios, kad sandorių apdorojimas iš atsarginės veiklos vietos būtų atnaujintas per pagrįstą laikotarpį po pradinio paslaugų teikimo sutrikdymo ir atitiktų sutrikusios veiklos svarbą.