Banki: Rekomendacja D, czyli wskazówki dla banków w świecie standardów

Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter

kf.2014.k3.foto.046.250xŚwiat norm ISO i innych międzynarodowych standardów jest niezwykle zawiły, szczególnie w obszarze bankowości. W uporządkowaniu i wdrożeniu tych rozwiązań ma pomóc bankom Rekomendacja D Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Na wdrożenie tych instrukcji banki mają czas jedynie do 31 grudnia 2014 r., dlatego warto się z nimi zapoznać już teraz.

Agnieszka Frommholz, Dariusz Stefaniuk

Rekomendacja D jest zbiorem 22 rekomendacji, na które składają się wybrane przez specjalistów elementy najważniejszych norm z punktu widzenia zarządzania IT. Warto przypomnieć, że jej wdrożenie ma służyć przede wszystkim poprawie jakości zarządzania i zwiększeniu poziomu bezpieczeństwa IT, usprawnieniu nadzoru w tych obszarach oraz udoskonaleniu zarządzania ryzykiem. W zaleceniach KNF znajdują się zarówno przepisy pochodzące wprost z ISO27001, ISO20000 oraz ISO22301, jak i zalecenia z międzynarodowego kodeksu ITIL (Information Technology Infrastructure Library). Właściwe wdrożenie zaleceń zawartych w Rekomendacji D daje kompleksową informację o obszarze wsparcia IT, a tym samym ułatwia podejmowanie decyzji osobom zarządzającymi procesami bankowymi w danej instytucji. Wszystkie te zalecenia stanowią uzupełniający się mechanizm, który, pod warunkiem że dobrze działa, daje całą informację o obszarze wsparcia IT, a tym samym udostępnia narzędzie do podejmowania decyzji dla kierownictwa każdego szczebla – od menadżerów operacyjnych do zarządu banku.

Bezpieczeństwo danych i analiza ryzyka (ISO 27001)

W kwestii bezpieczeństwa danych i analizy ryzyka Rekomendacja D w dużej mierze pokrywa się z wymaganiami normy ISO27001. Kwestie te omawiane są w jej zaleceniach dotyczących rozwoju środowiska teleinformatycznego, utrzymania, eksploatacji, jak i zarządzania bezpieczeństwem środowiska. Analiza ryzyka pod kątem bezpieczeństwa zasobów informatycznych w banku kierunkuje działania związane z ochroną wszelkich nośników danych, w tym infrastruktury IT. Wymagania dotyczące zasad dostępu, utrzymania poufności i integralności danych powodują, że konieczne jest wdrożenie procedur i narzędzi służących zabezpieczeniu poszczególnych aktywów informatycznych. Kluczowe w dostępności jest opracowanie procedur zarządzania uprawnieniami IT, czyli wdrożenie skutecznych zasad związanych z nadawaniem, modyfikacją czy usuwaniem uprawnień spowodowanych zmianą stanowiska lub odejściem pracownika z firmy. Sposób zarządzania, jaki należy wprowadzić, uzależniony jest od skali działania banku. Może to być zarządzanie na poziomie użytkownika lub roli albo funkcji. W bankach o rozbudowanej strukturze, działających na wielu obszarach, w których rotacja pracowników jest duża, należy rozważyć wdrożenie automatyzacji nadawania uprawnień oznaczającą wdrożenie procedur, które na podstawie informacji otrzymanej z systemu zgłoszeniowego banku, automatycznie nadadzą uprawnienia w aplikacjach bankowych. Jeżeli chodzi o ochronę dostępów, ważne jest również to, by nie koncentrować się tylko na użytkownikach systemu, ale także na uprawnieniach administratorów, którzy często mają bezpośredni dostęp do baz danych, aplikacji oraz systemów operacyjnych.

W zakresie dostępności ważna jest również analiza infrastruktury sieciowej banku, czyli sprawdzenie, jak funkcjonuje architektura logiczna sieci oraz jakie zabezpieczenia filtrowania ruchu i ochrony zasobów w sieci wewnętrznej banku są w niej wdrożone. Gdy chodzi o integralność, ważna są: weryfikacja pod kątem jakości danych (czyli kontroli przy wprowadzaniu danych) oraz badanie spójności (szczególnie w przypadku przesyłania danych pomiędzy systemami informatycznymi), czyli analiza działania interfejsów oraz platform integracyjnych

Współpraca IT z dostawcami oraz biznesem (ISO 20000)

Rekomendacje numer 4 i 10, obejmują wymagania ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na BANK.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI