Dobre praktyki w ochronie danych w bankach

Banki dbają o najwyższy poziom ochrony danych, poszukują dobrych praktyk i kierunków działania,  pozwalających się zabezpieczyć przed niepożądanymi sytuacjami, takimi jak wyciek danych, strata zapisanych kopii zapasowych czy trudności z przywróceniem do działania systemu transakcyjnego.

Pomocna w określeniu tego typu dobrych praktyk jest rekomendacja D sporządzona przez KNF. Zaleca ona wprowadzenie zmian do systemu informatycznego banków przed końcem 2014 roku. Część rekomendacji skupia się szczególnie na backupie danych i ich odzyskiwaniu, również w sytuacji gdy infrastruktura IT banku jest zwirtualizowana, nie należy zapominać o jej ochronie.

Założenia Rekomendacji 2 wskazują: „W banku powinien funkcjonować sformalizowany system informacji zarządczej w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zapewniający każdemu z odbiorców informacji właściwy poziom wiedzy o tych obszarach”. Aby dopasować się do powyższych zaleceń warto zainwestować w oprogramowanie, które daje administratorom możliwość generowania zautomatyzowanych raportów, zawierających informacje dotyczące infrastruktury wirtualnej banku. Przydatne mogą okazać się predefiniowane pulpity pozwalające na szybką analizę stanu infrastruktury, dzięki którym administratorzy mają łatwy dostęp do podstawowych informacji. Dobre rozwiązanie udostępni także użytkownikom szablony raportów zawierające informacje zarówno techniczne (liczba alarmów, wykorzystanie zasobów wybranego obiektu, konfiguracje komponentów infrastruktury), biznesowe (poziom wykorzystania infrastruktury, planowanie zasobów) jak również te związane z bezpieczeństwem danych (zabezpieczane maszyny wirtualne, raport uprawnień użytkowników, śledzenia zmian w infrastrukturze). Wybierając oprogramowanie warto zwrócić uwagę na jego dodatkowe funkcje związane z monitorowaniem oraz raportowaniem środowisk wirtualnych.

Tworzenie dokumentacji środowiska wirtualnego oraz przekazywanie informacji o działaniu systemu w celu ustalenia spójnej polityki zarządzania środowiskiem to dodatkowe wymogi, które nakłada Rekomendacja 9 stanowiąca: „Bank powinien posiadać sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych”. Dobrze dobrane oprogramowanie umożliwi monitorowanie w czasie rzeczywistym stanu infrastruktury wirtualnej zarówno jako pojedynczego obiektu, jak również z uwzględnieniem poszczególnych jej komponentów. W idealnym rozwiązaniu możliwa będzie analiza wykorzystanych zasobów, wydajności każdego z komponentów i wąskiego gardła infrastruktury. Oprócz możliwości monitorowania w czasie rzeczywistym warto zadbać o generowanie raportów w takich dziedzinach, jak planowanie zasobów, modelowanie ich wykorzystania w trakcie awarii, możliwości rozbudowy infrastruktury czy analiza zbędnie przydzielonych zasobów.

Zgodnie z Rekomendacją 20 mówiącą: „Bank powinien posiadać sformalizowane zasady zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowanie działań naprawczych oraz usuwanie przyczyn” odpowiedni system powinien umożliwiać monitorowanie stanu infrastruktury wirtualnej w czasie rzeczywistym z uwzględnieniem wyświetlania predefiniowanych alarmów oraz ostrzeżeń. Część rozwiązań dostępnych na rynku oferuje dodatkowe funkcje, umożliwiające dostęp do opisu zdarzeń w dołączonej i aktualizowanej bazie wiedzy, gdzie znajdują się takie informacje, jak opis alarmu, opis przyczyny jego występowania oraz opis najczęstszego rozwiązania problemu. Wybierając rozwiązanie informatyczne bank powinien kierować się możliwościami dostosowania systemu do indywidualnych potrzeb i standardów. W takiej sytuacji, w zależności od instytucji w jakiej wdrażane jest oprogramowanie, użytkownik może samodzielnie zdefiniować automatycznie wykonywaną akcję w czasie wystąpienia zdarzenia. Bardzo praktyczną funkcją jest możliwość modyfikacji istniejących alarmów/ostrzeżeń, jak również definiowanie zróżnicowanych progów wystąpienia zdarzenia zależnie od wybranego obiektu.

Kolejnym punktem Rekomendacji D, który należy wziąć pod uwagę, wybierając oprogramowanie służące do zabezpieczania maszyn wirtualnych, jest zakres funkcjonalności spełniających założenia Rekomendacji 15 „System zarządzania ciągłością działania banku powinien uwzględniać szczególne uwarunkowania związane z jego środowiskiem teleinformatycznym oraz przetwarzanymi w nim danymi”. Ciągłość działania może być realizowana zarówno poprzez wykorzystanie możliwości replikacji, jak również przy wykorzystaniu zwykłych kopii zapasowych. W idealnym rozwiązaniu replikacja maszyn wirtualnych umożliwia przełączenie poszczególnych elementów systemu lub całego środowiska do ośrodka zapasowego przy jednoczesnym zachowaniu możliwości wyboru punktu przywracania. Ważne by w przypadku naprawy awarii w centrum podstawowym, możliwe było wsteczne przełączenie środowiska do jego oryginalnego środowiska produkcyjnego. Gdy standardy banku uwzględniają wykorzystywanie jedynie kopii zapasowych, niezwykle cenna jest możliwość uruchomienia maszyny wirtualnej z kopii zapasowej w jak najkrótszym czasie.

Wszystkie powyższe zalecenia i odpowiadające im funkcjonalności systemów do ochrony i replikacji środowisk wirtualnych prowadzą do osiągnięcia spójnej i bezpiecznej infrastruktury IT. Zastosowanie się do rekomendacji KNF zwiększa poziom bezpieczeństwa danych oraz chroni w sytuacji awarii.

Tomasz Krajewski
Solutions Architect w firmie Veeam, która jest dostawcą narzędzi Veeam ONE oraz Veeam Management Pack dla platformy MS SCOM spełniających założenia rekomendacji D