Prezentacja | Zarządzanie bezpieczeństwem środowiska teleinformatycznego w bankach spółdzielczych w kontekście nowych rekomendacji D i M.

Prezentacja | Zarządzanie bezpieczeństwem środowiska teleinformatycznego w bankach spółdzielczych w kontekście nowych rekomendacji D i M.
Fot. stock.adobe.com / Gorodenkoff
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Testy penetracyjne jako kluczowy element oceny rzeczywistego poziomu narażenia na ryzyko informatyczne.

Część 1. Wymogi nadzorcze i biznesowe w zakresie bezpieczeństwa IT

8 stycznia 2013 r. KNF jednogłośnie wydała Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Rozwój technologii informacyjnych, ich bezwarunkowa obecność we wszystkich procesach biznesowych realizowanych w bankach, ekspansja bankowości elektronicznej, w tym przede wszystkim internetowej i kartowej, wskazały na konieczność sformalizowania zasad zarządzania bezpieczeństwem i ciągłością działania.

W stosunku do poprzedniej wersji Rekomendacji D wprowadzono zapisy dotyczące m.in.3: zarządzania danymi (w tym ich jakością), zasad współpracy pomiędzy obszarami biznesowymi i technicznymi, systemu informacji zarządczej obszarów technologii informacyjnej i bezpieczeństwa teleinformatycznego oraz tzw. przetwarzania w chmurze. Zaktualizowano i doprecyzowano również oczekiwania nadzorcze dotyczące m.in. planowania strategicznego w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, wdrażania nowych i modyfikacji istniejących rozwiązań informatycznych, współpracy z zewnętrznymi dostawcami usług oraz zarządzania ryzykiem związanym z bezpieczeństwem środowiska teleinformatycznego. W zaleceniach znaczny nacisk położony został na zasadę proporcjonalności. Zalecenia powinny zostać wprowadzone do dnia 31 grudnia 2014 r.

Dokument zawiera 22 rekomendacje, odniesione do poniższych obszarów:

  1. Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.
  2. Rozwój środowiska teleinformatycznego.
  3. Utrzymanie i eksploatacja środowiska teleinformatycznego.
  4. Zarządzanie bezpieczeństwem środowiska teleinformatycznego.

W szczególności istotne dla banku spółdzielczego są rekomendacje:

Rekomendacja 4

Bank powinien określić zasady współpracy oraz zakres odpowiedzialności obszaru biznesowego, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, pozwalające na efektywne i bezpieczne wykorzystanie potencjału środowiska teleinformatycznego w działalności banku.

Rekomendacja 18

W banku powinien funkcjonować sformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w banku.

Rekomendacja 20

Bank powinien posiadać sformalizowane zasady zarządzania incydentami naruszania bezpieczeństwa teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowanie działań naprawczych oraz usuwanie przyczyn.

Rekomendacja 21

Bank powinien zapewnić zgodność funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego z wymaganiami prawnymi, regulacjami wewnętrznymi i zewnętrznymi, zawartymi umowami i przyjętymi w banku standardami.

Rekomendacja 22

Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów.

Spośród wyróżnionych powyżej 5 rekomendacji szczegółowych, aż 4 z nich dotyczą obszaru zarządzania bezpieczeństwem środowiska teleinformatycznego. Wybrano je nieprzypadkowo, wszakże rekomendacje z obszarów strategii rozwoju i eksploatacji środowiska teleinformatycznego w praktyce banków spółdzielczych będą „klonami” opracowanych przez pionierów Strategii…, Polityk… i Zasad….

Zarzadzanie bezpieczeństwem środowiska IT wymaga szczegółowej wiedzy o specyfice organizacji, zasobach procesowych, technologicznych i wreszcie ludzkich, które są unikalne w kontekście każdego z banków. Proces zarządzania IT musi być szyty na miarę, dopasowany indywidualnie do wymagań i potrzeb oraz poprzedzony wnikliwą analizą ryzyka informatycznego i operacyjnego banku.

Jednocześnie Komisja wydała Rekomendację M dotyczącą zarządzania ryzykiem operacyjnym w bankach.

Celem nowelizacji było usystematyzowanie i upowszechnienie dobrych praktyk w zarządzaniu ryzykiem operacyjnym we wszystkich bankach, niezależnie od złożoności struktury i procesów w bankach, z uwzględnieniem zasady proporcjonalności Do najistotniejszych zmian w Rekomendacji M należą m.in.:

  • podkreślenie konieczności posiadania przez bank struktury, procesów i zasobów odpowiednich do skali i złożoności prowadzonej działalności, pozwalających na sprawne zarządzanie ryzykiem operacyjnym,
  • określenie oczekiwań związanych z ryzykiem braku zgodności w zakresie rozwijania nowych modeli biznesowych lub tworzenia nowych.

W szczególności istotne dla banku są rekomendacje:

Rekomendacja 7

Bank powinien realizować i dokumentować proces identyfikacji zagrożeń związanych z ryzykiem operacyjnym dla wszystkich istotnych obszarów dział...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI