Nowa Rekomendacja D (i M)

Transkrypt

1 Nowa Rekomendacja D (i M) ryzyko operacyjne a zarządzanie środowiskiem teleinformatycznym w Banku Spółdzielczym 1/47

2 Motto Wstęp W roku 2013 powinniśmy (musimy) zacząć zarządzać ryzykiem operacyjnym przez pryzmat bezpieczeństwa IT, ciągłości działania kluczowych procesów biznesowych i ich jakości (w szczególności bankowości elektronicznej) i budowania kompetencji tak, by minimalizować ryzyko utraty reputacji Ryzykiem operacyjnym zarządzamy przede wszystkim ze względów biznesowych, względy nadzorcze są wtórne 2/47

3 Wstęp Motto uzupełniające Jeśli cokolwiek może pójść źle to na pewno pójdzie Prawo Murphy ego 3/47

4 Ogólna charakterystyka ryzyka bankowego (1) Podejście negatywne Ryzyko to możliwość nieosiągnięcia zamierzonego celu (efektu) Podejście neutralne Ryzyko to możliwość odchylenie od zamierzonego celu 4/47

5 Ogólna charakterystyka ryzyka bankowego (2) Ryzyko bankowe (wg NUK) kredytowe rynkowe płynności stopy % Operacyjne Poszczególne rodzaje ryzyka nie są wyizolowane, a ich korelacja może być wysoka 5/47

6 Ryzyko operacyjne (1) Ryzyko Operacyjne to ryzyko straty wynikającej z niewłaściwych lub zawodnych procesów wewnętrznych, ludzi i systemów lub też zdarzeń zewnętrznych Definicja ta obejmuje ryzyko prawne, ale nie obejmuje ryzyka strategicznego i reputacji Rekomendacja M s. 3 6/47

7 Ryzyko operacyjne (2) Ryzyko Operacyjne nie należy jednak zapominać o możliwości utraty reputacji na skutek zdarzeń ryzyka operacyjnego, w szczególności w obszarze ryzyka prawnego*, co w konsekwencji może skutkować niepowodzeniem realizacji strategii biznesowej banku, w tym zmniejszeniem planowanych przychodów (np. wskutek spadku zaufania klientów i zakończenia przez nich współpracy z bankiem), czy spadkiem wartości firmy. Rekomendacja M s. 3 *np. z Ustawy o Ochronie Danych Osobowych 7/47

8 Ryzyko operacyjne (3) Specyfika ryzyka operacyjnego RO nie podejmuje się w celu osiągnięcia określonych korzyści biznesowych; towarzyszy ono prowadzeniu działalności, jest w nią wbudowane, całkowita eliminacja źródeł ryzyka nie jest możliwa, ryzyko to ma wyjątkowo heterogeniczny charakter, Źródłem ryzyka może być klient (szczególnie w e-przestrzeni) Coraz częściej straty ujawnione w obszarach ryzyka kredytowego lub rynkowego mają swoje źródło w ryzyku operacyjnym Rekomendacja M s. 2 8/47

9 Ryzyko operacyjne (4) Zarzadzanie ryzykiem operacyjnym Proces * obejmujący identyfikację, ocenę, redukcję *, monitorowanie i kontrolę ryzyka operacyjnego * ciąg określonych działań będących kolejnymi etapami osiągania zdefiniowanego celu * Proces implementacji rozwiązań organizacyjnych, proceduralnych, technicznych, w tym narzędzi programowych i sprzętowych, wpływających na obniżenie poziomu ryzyka 9/47

10 Wymogi biznesowe w zakresie zarządzania ryzykami związanymi z IT (1) Cytat z klasycznej misji Banku Spółdzielczego Pełne (optymalne) zaspokojenie potrzeb klientów (członków) budowanie pozycji banku 18% inne 4% Adekwatne do potrzeb kanały dostępu do usług/produktów zaspokajanie potrzeb klientów 78% 10/47

11 Wymogi biznesowe w zakresie zarządzania ryzykami związanymi z IT (2) Dostosowanie oferty do typowej na rynku z uwzględnieniem specyfiki banku spółdzielczego Bankowość elektroniczna Zakres usług realizowanych poza centralą Przelewy lokaty kredyty Operacje na rachunkach bieżących i lokatach Obsługa kredytów i windykacja Pełną oferta banku 11/47

12 Wymogi biznesowe w zakresie zarządzania ryzykami związanymi z IT (3) Realizacja wymogów biznesowych wymaga właściwego przygotowania infrastruktury teleinformatycznej w kontekście potrzeb informacyjnych->źródeł informacji-> wielkości strumienia informacji->wymaganego pasma przepustowości->zabezpieczeń kanału informacyjnego-> możliwości i sposobów zarządzania strumieniem informacyjnym 12/47

13 Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (1) Rekomendacja M wprowadzona nie później niż do dnia 30 czerwca 2013 roku z wyjątkiem pkt wprowadzonego nie później niż do 31 grudnia 2013 roku Rekomendacja D wprowadzona nie później niż do dnia 31 grudnia 2014 roku Rekomendacja ZBP w sprawie zapobiegania niedostępności bankowości elektronicznej oraz ograniczania ryzyka związanego z przekazywaniem przez banku zdublowanych transakcji uznaniowych, ZBP, Warszawa, /47

14 Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (2) Ustawa o Ochronie Danych Osobowych Z dnia 29 sierpnia 1997 roku W szczególności Rozporządzenie MSWiA z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024) 14/47

15 60,00% Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (3) case study Aktualizacje zgłoszenia do GIODO (1) 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% BPS SGB Badania własne /47

16 Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (4) case study Aktualizacje zgłoszenia do GIODO (2) UoODO art. 36 Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 16/47

17 Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (5) Zgłoszenie zbioru danych do rejestracji GIODO (1) Rozp. MSWiA 6 pkt 4 Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Załącznik do Rozporządzenia C. Środki bezpieczeństwa na poziomie wysokim 1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczna; b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. 17/47

18 Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (6) Zgłoszenie zbioru danych do rejestracji GIODO (2) Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art UoODO Pkt. 16 Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji, Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelniania, Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim jak, robaki, wirusy, konie trojańskie, rootkity, Użyto system Firewall do ochrony dostępu do sieci komputerowej, Użyto system IDP/IPS do ochrony dostępu do sieci komputerowej. 18/47

19 Szczegółowa charakterystyka Rekomendacji D (1) Obszary Rekomendacji D 1. Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 2. Rozwój środowiska teleinformatycznego 3. Utrzymanie i eksploatacja środowiska teleinformatycznego 4. Zarządzanie bezpieczeństwem środowiska teleinformatycznego 19/47

20 Szczegółowa charakterystyka Rekomendacji D (2) 1. Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego Rekomendacja 3 Bank powinien opracować i wdrożyć strategię w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zgodną ze strategią działania banku Rekomendacja 4 Bank powinien określić zasady współpracy oraz zakres odpowiedzialności obszaru biznesowego, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, pozwalające na efektywne i bezpieczne wykorzystanie potencjału środowiska teleinformatycznego w działalności banku 20/47

21 Szczegółowa charakterystyka Rekomendacji D (3) 3. Utrzymanie i eksploatacja środowiska teleinformatycznego Rekomendacja 9 Bank powinien posiadać sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzania danych Rekomendacja 12 Bank powinien zapewnić odpowiednią ochronę środowiska teleinformatycznego przed szkodliwym oprogramowaniem Rekomendacja 16 Bank świadczący usługi w wykorzystaniem elektronicznych kanałów dostępu powinien posiadać skuteczne rozwiązania techniczne i organizacyjne zapewniające weryfikację tożsamości i bezpieczeństwo danych oraz środków klientów, jak również edukować klientów w zakresie zasad bezpiecznego korzystania z tych kanałów 21/47

22 Szczegółowa charakterystyka Rekomendacji D (4) 4. Zarządzanie bezpieczeństwem środowiska teleinformatycznego (1) Rekomendacja 18 W banku powinien funkcjonować sformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w banku Rekomendacja 20 Bank powinien posiadać sformalizowane zasady zarządzania incydentami naruszania bezpieczeństwa środowiska teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowania działań naprawczych oraz usuwanie przyczyn 22/47

23 Szczegółowa charakterystyka Rekomendacji D (5) 4. Zarządzanie bezpieczeństwem środowiska teleinformatycznego (2) Rekomendacja 21 Bank powinien zapewnić zgodność funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego z wymaganiami prawnymi, regulacjami wewnętrznymi i zewnętrznymi, zawartymi umowami i przyjętymi w banku standardami Rekomendacja 22 Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów 23/47

24 Szczegółowa charakterystyka Rekomendacji M (1) Rekomendacja M Rekomendacja 4 Bank powinien posiadać strukturę, procesy i zasoby odpowiednie do skali i złożoności prowadzonej działalności, pozwalające na sprawne zarządzanie ryzykiem operacyjnym Rekomendacja 7 Bank powinien realizować i dokumentować proces identyfikacji zagrożeń związanych z ryzykiem operacyjnym dla wszystkich istotnych obszarów działalności banku oraz tworzenia wszelkich nowych i modyfikacji już istniejących produktów, procesów i systemów 24/47

25 Szczegółowa charakterystyka Rekomendacji M (2) Rekomendacja 9 Bank w ramach oceny ryzyka operacyjnego powinien przeprowadzać testy warunków skrajnych, których programy są regularnie przeglądane i oceniane pod kątem efektywności i dopasowania do potrzeb, zarówno pod względem jakościowym, jak i ilościowym Rekomendacja 10 Bank powinien zdefiniować działania przeciwdziałające ryzyku, polegające na jego unikaniu, ograniczaniu lub transferowaniu, które są podejmowane w zależności od zidentyfikowanego poziomu ryzyka operacyjnego w stosunku do tolerancji/apetytu na ryzyko operacyjne zaakceptowanych przez radę nadzorczą 25/47

26 Szczegółowa charakterystyka Rekomendacji M (3) Rekomendacja 11 Bank powinien posiadać system zarządzania ciągłością działania, w tym plany utrzymania ciągłości działania oraz plany awaryjne, zapewniające nieprzerwane działanie banku na określonym poziomie, uwzględniający profil ryzyka operacyjnego banku Rekomendacja 15 Bank powinien posiadać system regularnego monitorowania zdarzeń operacyjnych oraz wyników pozostałych narzędzi w tym zakresie (np. KRI) umożliwiający obserwację profilu ryzyka operacyjnego oraz zapewniający regularne przekazywanie zarządowi i radzie nadzorczej stosownych informacji 26/47

27 Szczegółowa charakterystyka Rekomendacji M (3) Rekomendacja 15 KRI (key risk indicators) praktycznie próby ataków sieciowych na styku z Internetem, zarejestrowane blokady systemu IPS, próby uzyskania dostępu do zablokowanych zasobów Internetu, (Kto? Kiedy? Ile razy?) spam z Internetu, wirusy wykryte przez routery brzegowe z Internetu, próby ataków sieciowych na styku z WAN banku zrzeszającego, zarejestrowane blokady systemu IPS, próby uzyskania dostępu do zablokowanych zasobów WAN, (Kto? Kiedy? Ile razy?) spam z WAN banku zrzeszającego, wirusy wykryte przez routery brzegowe z banku zrzeszającego, 27/47

28 Szczegółowa charakterystyka Rekomendacji M (3) Rekomendacja 15 KRI (key risk indicators) praktycznie wielkość średniego ruchu wychodzącego/przychodzącego z Internetu oszacowanie normalnego poziomu ruchu źródła i cele ruchu wychodzącego/przychodzącego z Internetu identyfikacja pożeraczy pasma wielkość średniego ruchu wychodzącego/przychodzącego w LAN, jw. źródła i cele ruchu wychodzącego/przychodzącego w LAN, jw. wielkość średniego ruchu wychodzącego/przychodzącego w WAN banku, jw. źródła i cele ruchu wychodzącego/przychodzącego w WAN banku, jw. odchylenia od parametrów usługi przesyłania danych, (jakość dostawcy łączy) czas niedostępności kanału głównego usługi, rozkład dzienny/tygodniowy/miesięczny, wykorzystanie pasma urządzeń, wykorzystanie mocy obliczeniowej urządzeń (wstęp do KPI). 28/47

29 Zasada proporcjonalności. Rekomendacja D szansa czy pułapka? (1) Zasada proporcjonalności szansa dla banków spółdzielczych czy pułapka? 29/47

30 Zasada proporcjonalności. Rekomendacja D szansa czy pułapka? (2) Rekomendacja D Wstęp strona 4 Wszystkie banki powinny stosować się do zawartych w niniejszym dokumencie rekomendacji. Biorąc pod uwagę specyfikę zagadnień sposób realizacji tych rekomendacji i wskazanych w nich celów może być odmienny. Opisy i komentarze należy traktować jako zbiór dobrych praktyk, które jednak powinny być stosowane z zachowaniem zasady proporcjonalności. 30/47

31 Zasada proporcjonalności. Rekomendacja D szansa czy pułapka? (3) Rekomendacja D Wstęp strona 5 Jednocześnie nadzór oczekuje, że decyzje dotyczące zakresu i sposobu wprowadzania wskazanych w rekomendacji rozwiązań poprzedzone zostaną pogłębioną analizą i poparte będą stosowną argumentacją. Ponadto, w przypadku banków spółdzielczych oczekiwaniem nadzoru jest, by banki zrzeszające wspierały proces wdrażania niniejszej Rekomendacji z uwzględnieniem skali i specyfiki działalności danego banku spółdzielczego, stosując zasadę proporcjonalności. 31/47

32 Zasada proporcjonalności. Rekomendacja D szansa czy pułapka? (4) Nie może być mowy o proporcjonalności (w ujęciu BS, czyli nie musimy tego robić) jeśli: bank spółdzielczy samodzielnie realizuje procesy zarządzania ryzykiem rekomendacja 8, 15 jakość danych, ciągłość działania bank spółdzielczy samodzielnie realizuje procesy bankowości elektronicznej rekomendacja 5, 15, 16 adekwatne zasoby, ciągłość działania, funkcjonowanie BE bank spółdzielczy funkcjonuje na lokalnym rynku usług finansowych rekomendacja zarządzanie bezpieczeństwem środowiska IT 32/47

33 Praktyczne możliwości realizacji wymogów (1) Praktyczne możliwości realizacji wymogów nadzorczych i biznesowych w obszarze bezpieczeństwa IT 33/47

34 Praktyczne możliwości realizacji wymogów (2) Rekomendacja D pkt w korespondencji z rekomendacją M pkt. 15 Zapewnienie szyfrowanych i zabezpieczonych łączy głównych i zapasowych do placówek banku z uwzględnieniem systemów IDS/IPS Zapewnienie łączy zapasowych dla usług bankowości elektronicznej Podział sieci teleinformatycznej na podsieci (logiczne lub fizyczne) oddzielone zaporami sieciowymi z szyfrowaniem ruchu sieciowego Wdrożenie mechanizmów monitorowania i alarmowania w segmentach LAN i WAN sieci banku Rek. D pkt. 9.15, /47

35 Praktyczne możliwości realizacji wymogów (3) Rekomendacja D pkt 9.16 Wdrożenie szczególnych mechanizmów bezpieczeństwa w odniesieniu do eksploatowanych maszyn wirtualnych Rekomendacja D pkt Wdrożenie mechanizmów aktualizacji oprogramowania systemowego zarówno komputerów, jak i pozostałych elementów środowiska teleinformatycznego Rekomendacja D pkt Wdrożenie mechanizmów monitorowania wydajności komponentów infrastruktury teleinformatycznej 35/47

36 Praktyczne możliwości realizacji wymogów (4) Rekomendacja D pkt 12 Zapewnienie automatycznej, zintegrowanej ochrony przed szkodliwym oprogramowaniem Rekomendacja D pkt Zapewnienie adekwatnej do klasyfikacji informacji ochrony danych przetwarzanych na stacjach roboczych użytkowników poprzez szyfrowanie, mechanizmy kontroli dostępu, mechanizmy kopii zapasowych itp. Wdrożenie systemu DLP 36/47

37 Praktyczne możliwości realizacji wymogów (5) Rekomendacja D pkt 20 Wdrożenie zasad zarządzania incydentami naruszania bezpieczeństwa środowiska teleinformatycznego Wdrożenie systemu SIEM (Security Information and Event Management) Rekomendacja D pkt 22 Poddawanie się regularnym audytom profesjonalnych instytucji zewnętrznych 37/47

38 Procesy kluczowe i krytyczne (1) Kluczowe i krytyczne procesy biznesowe banku i ich zależność od IT 38/47

39 Procesy kluczowe i krytyczne (2) Procesy kluczowe zidentyfikowane przez bank procesy w obrębie jego działalności, które warunkują realizację strategii banku Procesy krytyczne zidentyfikowane przez bank procesy w obrębie jego działalności, które mają istotny wpływ na ciągłość działania banku 39/47

40 Procesy kluczowe i krytyczne (3) Kluczowość/krytyczność procesów w banku Względem klientów Względem instytucji nadzorczych Względem właścicieli 40/47

41 Procesy kluczowe i krytyczne (4) Problemy z usługami wewnętrzne zewnętrzne procesy ludzie technologia 41/47

42 Procesy kluczowe i krytyczne (5) Problemy z usługami BE Ryzyko strategiczne Ryzyko reputacji Ryzyko operacyjne Ryzyko płynności BE Ryzyko kredytowe BCM 42/47

43 Procesy kluczowe i krytyczne (6) Panaceum na problemy z usługami BE Procesowe monitorowanie bezpieczeństwa kanałów IT Procesowe monitorowanie wydajności infrastruktury IT Redundancja składników infrastruktury IT 43/47

44 Zakończenie (1) Czemu służą Rekomendacje D i M? Dlaczego ryzyko operacyjne jest coraz ważniejsze w zarządzaniu bankiem? Poprawia jakość procesów biznesowych w firmie Poprawia relacje z klientami Buduje reputację Buduje pozycje konkurencyjną na lokalnym rynku 44/47

45 Zakończenie (2) Podejście XX wieczne Problemy związane z informacją (IT) muszą być zrozumiane i zarządzane, tak samo jak wszystkie inne zasoby firmy Podejście XXI wieku Problemy związane z informacją (IT) muszą być zrozumiane i zarządzane jak kluczowy zasób i powiązane z reputacją i wartością firmy 45/47

46 Zakończenie (3) Prawo końcowe Murphy ego Jeśli pewne sprawy, które powinny były pójść źle, potoczyły się dobrze to ostatecznie okaże się, że, iż byłoby znacznie lepiej, gdyby potoczyły się źle Prawo Hellrunga uzupełnienie Shavelsona Dodatek Grelba Jeśli poczekasz, przyjdzie......narobiwszy szkody Jeśli naprawdę było niemiłe, to wróci 46/47

47 Dla zapalonych czytelników Ustawa z dnia 29 sierpnia 1999 r. o ochronie danych osobowych. Dz.U Nr 133 poz. 883 Rekomendacja D dotycząca zarządzania obszarem technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, KNF, Warszawa 2013 Rekomendacja M dotycząca zarządzania ryzkiem operacyjnym w bankach, KNF, Warszawa 2013 ABC przetwarzania danych osobowych w sektorze bankowym, GIODO, Warszawa 2009 ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych, GIODO, Warszawa 2007 ABC zagrożeń bezpieczeństwa danych osobowych w systemach teleinformatycznych, GIODO, Warszawa 2009 Rekomendacja ZBP w sprawie zapobiegania niedostępności bankowości elektronicznej oraz ograniczania ryzyka związanego z przekazywaniem przez banku zdublowanych transakcji uznaniowych, ZBP, Warszawa, /47