Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Transkrypt

1 1

2 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2

3 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia) zgodność z przepisami, zapewnienie ciągłości działania, zaufanie klientów, bezpieczeństwo transakcji. 3

4 Po co Rekomendacja D? Rekomendacja ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. - wyciąg z rekomendacji 4

5 Przewaga konkurencyjna Tym, co nadaje wszelkim zasobom prawdziwie strategiczne znaczenie i pozwala budować przewagę nad konkurencją jest ich ograniczona, a nie powszechna dostępność. 5 5

6 Historia rekomendacji 1997r - I wersja Rekomendacji D 2002r II wersja Rekomendacji D 2013r II wersja rekomendacji D 6

7 Rekomendacja 1997 Spis treści. Definicje i przydatne słownictwo... 1 Rekomendacje Rola kierownictwa banku w zarządzaniu bezpieczeństwem systemów informatycznych Nadzór kierownictwa Polityka w zakresie zabezpieczenia systemów komputerowych Planowanie skali systemów informatycznych Infrastruktura zabezpieczeń i zarządzanie bezpieczeństwem informacji Analiza zagrożeń i metody zabezpieczeń Bezpieczeństwo dokumentacji systemowej Zarządzanie sprzętem, wyposażeniem komputerowym oraz siecią Bezpieczeństwo systemów informatycznych a działania personelu i upoważnionych osób trzecich Współpraca z klientami Szkolenie użytkowników Bezpieczeństwo fizyczne i środowiskowe systemów informatycznych Kontrola wewnętrzna i nadzór Kontrola wewnętrzna Wymagania nadzorcze

8 Rekomendacja 2002 SPIS TREŚCI I. DEFINICJE I PRZYDATNE SŁOWNICTWO... 1 II. WSTĘP... 3 III. ROLA WŁADZ BANKU W ZARZĄDZANIU BEZPIECZEŃSTWEM SYSTEMÓW INFORMATYCZNYCH... 4 A. NADZÓR B. POLITYKA W ZAKRESIE BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH... 6 C. PLANOWANIE SKALI SYSTEMÓW INFORMATYCZNYCH IV. MECHANIZMY KONTROLI BEZPIECZEŃSTWA A. MECHANIZMY KONTROLI DOTYCZĄCE WSZYSTKICH SYSTEMÓW INFORMATYCZNYCH Analiza zagrożeń i metody zabezpieczeń Bezpieczeństwo dokumentacji systemowej Zarządzanie sprzętem, wyposażeniem komputerowym oraz siecią Bezpieczeństwo systemów informatycznych a działania personelu i upoważnionych osób trzecich Współpraca z klientami Szkolenie użytkowników Bezpieczeństwo fizyczne i środowiskowe systemów informatycznych B. SZCZEGÓLNE MECHANIZMY KONTROLI BEZPIECZEŃSTWA DOTYCZĄCE BANKOWOŚCI ELEKTRONICZNEJ Współpraca z klientami Zarządzanie transakcjami w bankowości elektronicznej Zarządzanie bezpieczeństwem w bankowości elektronicznej V. ZARZĄDZANIE RYZYKAMI VI. AUDYT INFORMATYCZNY I NADZÓR A. KONTROLA WEWNĘTRZNA B. KONTROLA ZEWNĘTRZNA C. ZALECENIA NADZORCZE

9 Rekomendacja 2013 Spis treści. I. Wstęp...4 II. Słownik pojęć...6 III. Lista rekomendacji...8 IV. Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska Teleinformatycznego 12 Rola zarządu i rady nadzorczej...12 System informacji zarządczej...13 Planowanie strategiczne...13 Zasady współpracy obszarów biznesowych i technicznych...14 Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego...16 Struktura organizacyjna...16 Podział obowiązków...16 Zasoby ludzkie...17 V. Rozwój środowiska teleinformatycznego...19 Projekty w zakresie środowiska teleinformatycznego...19 Rozwój systemów informatycznych VI. Utrzymanie i eksploatacja środowiska teleinformatycznego...25 Zarządzanie danymi...25 Zarządzanie architekturą danych...25 Zarządzanie jakością danych Zarządzanie infrastrukturą teleinformatyczną...28 Architektura infrastruktury teleinformatycznej...28 Komponenty infrastruktury teleinformatycznej...30 Aktualizacja oprogramowania komponentów infrastruktury teleinformatycznej..32 Zarządzanie pojemnością i wydajnością komponentów infrastruktury teleinformatycznej...33 Dokumentacja infrastruktury teleinformatycznej...35 Współpraca z zewnętrznymi dostawcami usług...35 Kontrola dostępu...39 Mechanizmy kontroli dostępu fizycznego Ochrona przed szkodliwym oprogramowaniem

10 Spis treści cd. Rekomendacja 2013 cd. Edukacja pracowników 43 Ciągłość działania środowiska teleinformatycznego. 43 Plany utrzymania ciągłości działania i plany awaryjne 43 Zasoby techniczne oraz warunki fizyczne i środowiskowe 44 Kopie awaryjne. 47 Weryfikacja efektywności podejścia do zarządzania ciągłością działania 48 Zarządzanie elektronicznymi kanałami dostępu 48 Weryfikacja tożsamości klientów.. 48 Bezpieczeństwo danych i środków klientów. 49 Edukacja klientów. 50 Zarządzanie oprogramowaniem użytkownika końcowego 51 VII Zarządzanie bezpieczeństwem środowiska teleinformatycznego. 52 System zarządzania bezpieczeństwem środowiska teleinformatycznego. 52 Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego Kontrola i przeciwdziałanie ryzyku w zakresie bezpieczeństwa środowiska teleinformatycznego..54 Monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego...55 Klasyfikacja informacji i systemów informatycznych Klasyfikacja informacji.. 55 Klasyfikacja systemów informatycznych...57 Zarządzanie incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego Bezpieczeństwo formalno-prawne Rola audytu wewnętrznego i zewnętrznego

11 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 11

12 Główne obszary Rekomendacji. Strategia i organizacja obszaru IT. Rozwój środowiska IT. Utrzymanie i eksploatacja systemów IT. Bezpieczeństwo środowiska IT

13 Główne obszary rekomendacji. Strategia i organizacja Rola zarządu i rady nadzorczej (R1) System informacji zarządczej (R2) Planowanie strategiczne (R3) Zasady współpracy biznes IT (R4) Organizacja IT (R5) Struktura organizacyjna, Podział obowiązków i odpowiedzialności, Zasoby ludzkie

14 Główne obszary rekomendacji. Rola zarządu i rady nadzorczej (R1) zarządzanie bezpieczeństwem środowiska teleinformatycznego oraz ciągłością działania, tworzenie i aktualizacja strategii w obszarach IT i bezpieczeństwa IT, współpraca z zewnętrznymi dostawcami usług, adekwatna struktura organizacyjna oraz zasoby kadrowe w obszarach IT i bezpieczeństwa IT komitet do spraw bezpieczeństwa środowiska teleinformatycznego

15 Główne obszary rekomendacji. Informacja zarządcza (R2) identyfikacja zagadnień z obszaru IT i bezpieczeństwa IT, sposób i zasady dystrybucji, zakres i częstotliwość raportowania, odbiorcy raportów, jakość raportów

16 Główne obszary rekomendacji. Planowanie strategiczne (R3) realistyczna strategia środowiska IT i jego bezpieczeństwa, konkretne i mierzalne cele, priorytetyzacja projektów, nadzorowanie i monitorowanie realizacji celów, dokumentowanie, aktualizacja strategii IT, 16 16

17 Główne obszary rekomendacji. Współpraca biznes IT (R4) tryb podejmowania decyzji, zakresy zadań i odpowiedzialności, wspólne tworzenie strategii w zakresie IT i bezpieczeństwa IT, informacja o kosztach, raportowanie o stanie realizacji projektów, komitet do spraw współpracy biznes - IT

18 Główne obszary rekomendacji. Organizacja IT i bezpieczeństwa IT (R5) struktura organizacyjna, obowiązki i uprawnienia, rozdział funkcji projektowych od testowania, administracji i użytkowania, właściciele biznesowi systemów, kompetencje i kwalifikacje poziom obciążenia pracowników dokumentacja środowiska teleinformatycznego, 18 18

19 Główne obszary rekomendacji. Rozwój środowiska IT Projekty w środowisku teleinformatycznym (R6) Rozwój systemów informatycznych (R7) 19 19

20 Główne obszary rekomendacji. Projekty w środowisku IT

21 Główne obszary rekomendacji. Rozwój środowiska IT Projekty w środowisku teleinformatycznym. stosowanie standardów zarządzania projektami:pmi, PMBOK, PRINCE2, definicja projektu, etapy projektu: inicjacja, decyzja o uruchomieniu, prowadzenie, zamknięcie, interesariusze projektu, zespół projektowy, role, uprawnienia i odpowiedzialności, zarządzanie harmonogramem, budżetem, zakresem, jakością, dokumentacją, ryzykiem, zmianą, zasady odbioru i wprowadzania do eksploatacji produktów projektu (kryteria sukcesu), 21 21

22 Rozwój środowiska IT Zarządzanie wymaganiami funkcjonalne i niefunkcjonalne, dotyczące integracji, dotyczące oczekiwanej wydajności, dostępności i ciągłości działania, dotyczące odporności systemu na awarie i odtworzenia po awarii, dotyczące bezpieczeństwa systemu, wynikające z przepisów prawa, regulacji wewnętrznych oraz obowiązujących w banku standardów

23 Rozwój środowiska IT Testowanie Weryfikacja: przyjętych założeń i wymagań funkcjonalnych, wydajności i dostępności systemu w szczególności odtwarzanie po awarii, zgodności nowego rozwiązania z wymogami bezpieczeństwa, w tym, w zakresie uprawnień, poprawności integracji (wymiany danych) danego systemu z innymi systemami, niemodyfikowanej części funkcjonalności systemu w przypadku zmian do istniejących systemów, Dedykowane środowisko testowe, Zakres i wolumen danych testowych zbliżony do faktycznych

24 Rozwój systemów IT. Zarządzanie zmianą synergia z przyjętą strategią banku ryzyko technologiczne wpływ na istniejące środowisko teleinformatyczne wiarygodny dostawca (dostawca partnerem biznesowym) standardy i dobre praktyki środowiska rozwojowe, testowe 24 24

25 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 25

26 Rzeczywistość wdrożeniowa Banki Zrzeszające BPS Przetarg na wybór firmy wspierającej wdrożenie Rekomendacji D. Przygotowanie dokumentów wzorcowych. BS-y samodzielnie wdrażają. SGB Powołanie projektu na poziomie zrzeszenia. Przygotowanie dokumentów wzorcowych. Wsparcie dla BS-ów

27 Analiza luki Źródło: UKNF 27 27

28 Analiza luki Audyt vs samoocena 28 28

29 Analiza luki Audyt vs samoocena 29 29

30 Jeśli jest coś, czego nie potrafimy zrobić wydajniej, taniej i lepiej niż konkurenci, powinniśmy zatrudnić do wykonania tej pracy kogoś, kto zrobi to lepiej niż my. Henry Ford 30 30

31 Dziękuje za uwagę. 31