Banki: Rekomendacja D, czyli wskazówki dla banków w świecie standardów

Agnieszka Frommholz, Dariusz Stefaniuk

Rekomendacja D jest zbiorem 22 rekomendacji, na które składają się wybrane przez specjalistów elementy najważniejszych norm z punktu widzenia zarządzania IT. Warto przypomnieć, że jej wdrożenie ma służyć przede wszystkim poprawie jakości zarządzania i zwiększeniu poziomu bezpieczeństwa IT, usprawnieniu nadzoru w tych obszarach oraz udoskonaleniu zarządzania ryzykiem. W zaleceniach KNF znajdują się zarówno przepisy pochodzące wprost z ISO27001, ISO20000 oraz ISO22301, jak i zalecenia z międzynarodowego kodeksu ITIL (Information Technology Infrastructure Library). Właściwe wdrożenie zaleceń zawartych w Rekomendacji D daje kompleksową informację o obszarze wsparcia IT, a tym samym ułatwia podejmowanie decyzji osobom zarządzającymi procesami bankowymi w danej instytucji. Wszystkie te zalecenia stanowią uzupełniający się mechanizm, który, pod warunkiem że dobrze działa, daje całą informację o obszarze wsparcia IT, a tym samym udostępnia narzędzie do podejmowania decyzji dla kierownictwa każdego szczebla – od menadżerów operacyjnych do zarządu banku.

Bezpieczeństwo danych i analiza ryzyka (ISO 27001)

W kwestii bezpieczeństwa danych i analizy ryzyka Rekomendacja D w dużej mierze pokrywa się z wymaganiami normy ISO27001. Kwestie te omawiane są w jej zaleceniach dotyczących rozwoju środowiska teleinformatycznego, utrzymania, eksploatacji, jak i zarządzania bezpieczeństwem środowiska. Analiza ryzyka pod kątem bezpieczeństwa zasobów informatycznych w banku kierunkuje działania związane z ochroną wszelkich nośników danych, w tym infrastruktury IT. Wymagania dotyczące zasad dostępu, utrzymania poufności i integralności danych powodują, że konieczne jest wdrożenie procedur i narzędzi służących zabezpieczeniu poszczególnych aktywów informatycznych. Kluczowe w dostępności jest opracowanie procedur zarządzania uprawnieniami IT, czyli wdrożenie skutecznych zasad związanych z nadawaniem, modyfikacją czy usuwaniem uprawnień spowodowanych zmianą stanowiska lub odejściem pracownika z firmy. Sposób zarządzania, jaki należy wprowadzić, uzależniony jest od skali działania banku. Może to być zarządzanie na poziomie użytkownika lub roli albo funkcji. W bankach o rozbudowanej strukturze, działających na wielu obszarach, w których rotacja pracowników jest duża, należy rozważyć wdrożenie automatyzacji nadawania uprawnień oznaczającą wdrożenie procedur, które na podstawie informacji otrzymanej z systemu zgłoszeniowego banku, automatycznie nadadzą uprawnienia w aplikacjach bankowych. Jeżeli chodzi o ochronę dostępów, ważne jest również to, by nie koncentrować się tylko na użytkownikach systemu, ale także na uprawnieniach administratorów, którzy często mają bezpośredni dostęp do baz danych, aplikacji oraz systemów operacyjnych.

W zakresie dostępności ważna jest również analiza infrastruktury sieciowej banku, czyli sprawdzenie, jak funkcjonuje architektura logiczna sieci oraz jakie zabezpieczenia filtrowania ruchu i ochrony zasobów w sieci wewnętrznej banku są w niej wdrożone. Gdy chodzi o integralność, ważna są: weryfikacja pod kątem jakości danych (czyli kontroli przy wprowadzaniu danych) oraz badanie spójności (szczególnie w przypadku przesyłania danych pomiędzy systemami informatycznymi), czyli analiza działania interfejsów oraz platform integracyjnych

Współpraca IT z dostawcami oraz biznesem (ISO 20000)

Rekomendacje numer 4 i 10, obejmują wymagania ...