Informationssäkerhet

Informationssäkerheten av finanssektorns aktörer gås genom i flera olika faser. Med informationssäkerhet avses ett arrangemang som syftar till att trygga informationens konfidentialitet, integritet och tillgänghet1.

Om kraven på informationssäkerheten inom finanssektorn föreskrivs i lagar och i Finansinspektionens föreskrifter och anvisningar

Tillsynen över informationssäkerheten är en väsentlig del av tillsynen över serviceleverantörernas operativa risker2 inom finanssektorn, och den hör till Finansinspektionens grundläggande uppgifter. Flera speciallagar ställer sådana krav på informationssäkerheten som aktörer i finanssektorn måste iaktta. Till exempel i kreditinstitutslagen förutsätts det att kreditinstitut ska införa metoder för att identifiera, utvärdera och hantera exponeringen för operativa risker. Kreditinstitutet ska ha adekvata, trygga och funktionssäkra betalningsdatasystem, värdepappersdatasystem och andra datasystem. Kreditinstitutet ska även ha beredskaps- och kontinuitetsplaner för att bereda sig för allvarliga störningar i affärsverksamheten samt säkerställa sin förmåga att fortlöpande bedriva verksamhet och begränsa förlusterna i störningssituationer.

Finansinspektionen har i flera speciallagar getts behörigheten att utfärda närmare föreskrifter och anvisningar om den tillräckliga informationssä-kerhetsnivån hos sina tillsynsobjekt.3

Nivån på informationssäkerheten gås genom redan innan verksamheten inleds

Verksamheten i finanssektorn är tillståndsbelagd. Bara sökande som uppfyller minimikraven enligt bestämmelserna kan få ett tillstånd att bedriva verksamhet. I tillståndsvillkoren ingår krav som gäller hanteringen av operativa risker, och sökanden måste visa att den uppfyller dem innan tillståndet kan beviljas. Sökande bevisar ofta att de uppfyller kraven gällande informationssäkerheten genom att skaffa ett utlåtande om informationssäkerheten av en extern, oberoende värderare (auditering).

Efter att tillståndet har beviljats blir aktören Finansinspektionens tillsyns-objekt, vilket innebär att aktören omfattas av löpande tillsyn. Finansinspektionen kan göra en riskbedömning av aktören och i den även un-dersöka hur informationssäkerheten har genomförts. Tillsynsmyndigheten kan också göra inspektioner och bedöma utläggandet på entreprenad, när betydande IT-funktioner läggs ut på entreprenad.

Informationssäkerheten ska även beaktas i situationer i vilka tillhandahållandet av tjänster läggs ner. En plan för nedläggandet eller överföringen av tjänster krävs ofta redan i det skedet då ansökan om inledandet av verksamheten lämnas in.

 

1Konfidentialitet betyder att information bara kan användas av de som har rätt att använda den och att den inte avslöjas till någon annan. Med integritet avses att informationen inte har ändrats utan tillstånd eller i misstag och att eventuella ändringar kan verifieras. Med tillgänglighet avses det hur information, ett inform-ationssystem eller en tjänst kan utnyttjas under den önskade tiden och på det önskade sättet. Tillgänglig-heten betyder också att det ska finnas nödvändiga reservarrangemang för fel- och störningssituationer.
2Med operativ risk avses risken för förlust till följd av
• otillräckliga eller misslyckade interna processer
• personalen
• system
• externa faktorer.
3Se till exempel: Föreskrifter och anvisningar 8/2014, Hantering av operativa risker i företag under tillsyn inom finanssektorn