1
QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2
Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia) zgodność z przepisami, zapewnienie ciągłości działania, zaufanie klientów, bezpieczeństwo transakcji. 3
Po co Rekomendacja D? Rekomendacja ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. - wyciąg z rekomendacji 4
Przewaga konkurencyjna Tym, co nadaje wszelkim zasobom prawdziwie strategiczne znaczenie i pozwala budować przewagę nad konkurencją jest ich ograniczona, a nie powszechna dostępność. 5 5
Historia rekomendacji 1997r - I wersja Rekomendacji D 2002r II wersja Rekomendacji D 2013r II wersja rekomendacji D 6
Rekomendacja 1997 Spis treści. Definicje i przydatne słownictwo... 1 Rekomendacje... 4 1 Rola kierownictwa banku w zarządzaniu bezpieczeństwem systemów informatycznych... 4 1.1. Nadzór kierownictwa... 4 1.2. Polityka w zakresie zabezpieczenia systemów komputerowych... 5 1.3. Planowanie skali systemów informatycznych... 8 2 Infrastruktura zabezpieczeń i zarządzanie bezpieczeństwem informacji... 9 2.1. Analiza zagrożeń i metody zabezpieczeń... 9 2.2. Bezpieczeństwo dokumentacji systemowej.... 10 2.3. Zarządzanie sprzętem, wyposażeniem komputerowym oraz siecią... 12 2.4. Bezpieczeństwo systemów informatycznych a działania personelu i upoważnionych osób trzecich... 14 2.5. Współpraca z klientami... 15 2.6. Szkolenie użytkowników... 16 2.7. Bezpieczeństwo fizyczne i środowiskowe systemów informatycznych... 17 3 Kontrola wewnętrzna i nadzór... 19 3.1. Kontrola wewnętrzna... 19 3.2. Wymagania nadzorcze... 20 7 7
Rekomendacja 2002 SPIS TREŚCI I. DEFINICJE I PRZYDATNE SŁOWNICTWO... 1 II. WSTĘP... 3 III. ROLA WŁADZ BANKU W ZARZĄDZANIU BEZPIECZEŃSTWEM SYSTEMÓW INFORMATYCZNYCH... 4 A. NADZÓR.... 4 B. POLITYKA W ZAKRESIE BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH... 6 C. PLANOWANIE SKALI SYSTEMÓW INFORMATYCZNYCH... 10 IV. MECHANIZMY KONTROLI BEZPIECZEŃSTWA... 12 A. MECHANIZMY KONTROLI DOTYCZĄCE WSZYSTKICH SYSTEMÓW INFORMATYCZNYCH... 12 1. Analiza zagrożeń i metody zabezpieczeń... 12 2. Bezpieczeństwo dokumentacji systemowej... 13 3. Zarządzanie sprzętem, wyposażeniem komputerowym oraz siecią.... 14 4. Bezpieczeństwo systemów informatycznych a działania personelu i upoważnionych osób trzecich.. 16 5. Współpraca z klientami.... 17 6. Szkolenie użytkowników... 18 7. Bezpieczeństwo fizyczne i środowiskowe systemów informatycznych... 19 B. SZCZEGÓLNE MECHANIZMY KONTROLI BEZPIECZEŃSTWA DOTYCZĄCE BANKOWOŚCI ELEKTRONICZNEJ... 20 1. Współpraca z klientami... 20 2. Zarządzanie transakcjami w bankowości elektronicznej.... 22 3. Zarządzanie bezpieczeństwem w bankowości elektronicznej... 23 V. ZARZĄDZANIE RYZYKAMI... 27 VI. AUDYT INFORMATYCZNY I NADZÓR... 32 A. KONTROLA WEWNĘTRZNA.... 32 B. KONTROLA ZEWNĘTRZNA... 34 C. ZALECENIA NADZORCZE... 35 8 8
Rekomendacja 2013 Spis treści. I. Wstęp...4 II. Słownik pojęć...6 III. Lista rekomendacji...8 IV. Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska Teleinformatycznego 12 Rola zarządu i rady nadzorczej...12 System informacji zarządczej...13 Planowanie strategiczne...13 Zasady współpracy obszarów biznesowych i technicznych...14 Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego...16 Struktura organizacyjna...16 Podział obowiązków...16 Zasoby ludzkie...17 V. Rozwój środowiska teleinformatycznego...19 Projekty w zakresie środowiska teleinformatycznego...19 Rozwój systemów informatycznych... 20 VI. Utrzymanie i eksploatacja środowiska teleinformatycznego...25 Zarządzanie danymi...25 Zarządzanie architekturą danych...25 Zarządzanie jakością danych... 25 Zarządzanie infrastrukturą teleinformatyczną...28 Architektura infrastruktury teleinformatycznej...28 Komponenty infrastruktury teleinformatycznej...30 Aktualizacja oprogramowania komponentów infrastruktury teleinformatycznej..32 Zarządzanie pojemnością i wydajnością komponentów infrastruktury teleinformatycznej...33 Dokumentacja infrastruktury teleinformatycznej...35 Współpraca z zewnętrznymi dostawcami usług...35 Kontrola dostępu...39 Mechanizmy kontroli dostępu fizycznego.....41 Ochrona przed szkodliwym oprogramowaniem...41 9 9
Spis treści cd. Rekomendacja 2013 cd. Edukacja pracowników 43 Ciągłość działania środowiska teleinformatycznego. 43 Plany utrzymania ciągłości działania i plany awaryjne 43 Zasoby techniczne oraz warunki fizyczne i środowiskowe 44 Kopie awaryjne. 47 Weryfikacja efektywności podejścia do zarządzania ciągłością działania 48 Zarządzanie elektronicznymi kanałami dostępu 48 Weryfikacja tożsamości klientów.. 48 Bezpieczeństwo danych i środków klientów. 49 Edukacja klientów. 50 Zarządzanie oprogramowaniem użytkownika końcowego 51 VII Zarządzanie bezpieczeństwem środowiska teleinformatycznego. 52 System zarządzania bezpieczeństwem środowiska teleinformatycznego. 52 Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego... 52 Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego... 53 Kontrola i przeciwdziałanie ryzyku w zakresie bezpieczeństwa środowiska teleinformatycznego..54 Monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego...55 Klasyfikacja informacji i systemów informatycznych... 55 Klasyfikacja informacji.. 55 Klasyfikacja systemów informatycznych...57 Zarządzanie incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego....57 Bezpieczeństwo formalno-prawne..... 59 Rola audytu wewnętrznego i zewnętrznego... 60 10 10
QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 11
Główne obszary Rekomendacji. Strategia i organizacja obszaru IT. Rozwój środowiska IT. Utrzymanie i eksploatacja systemów IT. Bezpieczeństwo środowiska IT. 12 12
Główne obszary rekomendacji. Strategia i organizacja Rola zarządu i rady nadzorczej (R1) System informacji zarządczej (R2) Planowanie strategiczne (R3) Zasady współpracy biznes IT (R4) Organizacja IT (R5) Struktura organizacyjna, Podział obowiązków i odpowiedzialności, Zasoby ludzkie. 13 13
Główne obszary rekomendacji. Rola zarządu i rady nadzorczej (R1) zarządzanie bezpieczeństwem środowiska teleinformatycznego oraz ciągłością działania, tworzenie i aktualizacja strategii w obszarach IT i bezpieczeństwa IT, współpraca z zewnętrznymi dostawcami usług, adekwatna struktura organizacyjna oraz zasoby kadrowe w obszarach IT i bezpieczeństwa IT komitet do spraw bezpieczeństwa środowiska teleinformatycznego. 14 14
Główne obszary rekomendacji. Informacja zarządcza (R2) identyfikacja zagadnień z obszaru IT i bezpieczeństwa IT, sposób i zasady dystrybucji, zakres i częstotliwość raportowania, odbiorcy raportów, jakość raportów. 15 15
Główne obszary rekomendacji. Planowanie strategiczne (R3) realistyczna strategia środowiska IT i jego bezpieczeństwa, konkretne i mierzalne cele, priorytetyzacja projektów, nadzorowanie i monitorowanie realizacji celów, dokumentowanie, aktualizacja strategii IT, 16 16
Główne obszary rekomendacji. Współpraca biznes IT (R4) tryb podejmowania decyzji, zakresy zadań i odpowiedzialności, wspólne tworzenie strategii w zakresie IT i bezpieczeństwa IT, informacja o kosztach, raportowanie o stanie realizacji projektów, komitet do spraw współpracy biznes - IT. 17 17
Główne obszary rekomendacji. Organizacja IT i bezpieczeństwa IT (R5) struktura organizacyjna, obowiązki i uprawnienia, rozdział funkcji projektowych od testowania, administracji i użytkowania, właściciele biznesowi systemów, kompetencje i kwalifikacje poziom obciążenia pracowników dokumentacja środowiska teleinformatycznego, 18 18
Główne obszary rekomendacji. Rozwój środowiska IT Projekty w środowisku teleinformatycznym (R6) Rozwój systemów informatycznych (R7) 19 19
Główne obszary rekomendacji. Projekty w środowisku IT. 20 20
Główne obszary rekomendacji. Rozwój środowiska IT Projekty w środowisku teleinformatycznym. stosowanie standardów zarządzania projektami:pmi, PMBOK, PRINCE2, definicja projektu, etapy projektu: inicjacja, decyzja o uruchomieniu, prowadzenie, zamknięcie, interesariusze projektu, zespół projektowy, role, uprawnienia i odpowiedzialności, zarządzanie harmonogramem, budżetem, zakresem, jakością, dokumentacją, ryzykiem, zmianą, zasady odbioru i wprowadzania do eksploatacji produktów projektu (kryteria sukcesu), 21 21
Rozwój środowiska IT Zarządzanie wymaganiami funkcjonalne i niefunkcjonalne, dotyczące integracji, dotyczące oczekiwanej wydajności, dostępności i ciągłości działania, dotyczące odporności systemu na awarie i odtworzenia po awarii, dotyczące bezpieczeństwa systemu, wynikające z przepisów prawa, regulacji wewnętrznych oraz obowiązujących w banku standardów. 22 22
Rozwój środowiska IT Testowanie Weryfikacja: przyjętych założeń i wymagań funkcjonalnych, wydajności i dostępności systemu w szczególności odtwarzanie po awarii, zgodności nowego rozwiązania z wymogami bezpieczeństwa, w tym, w zakresie uprawnień, poprawności integracji (wymiany danych) danego systemu z innymi systemami, niemodyfikowanej części funkcjonalności systemu w przypadku zmian do istniejących systemów, Dedykowane środowisko testowe, Zakres i wolumen danych testowych zbliżony do faktycznych. 23 23
Rozwój systemów IT. Zarządzanie zmianą synergia z przyjętą strategią banku ryzyko technologiczne wpływ na istniejące środowisko teleinformatyczne wiarygodny dostawca (dostawca partnerem biznesowym) standardy i dobre praktyki środowiska rozwojowe, testowe 24 24
QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 25
Rzeczywistość wdrożeniowa Banki Zrzeszające BPS Przetarg na wybór firmy wspierającej wdrożenie Rekomendacji D. Przygotowanie dokumentów wzorcowych. BS-y samodzielnie wdrażają. SGB Powołanie projektu na poziomie zrzeszenia. Przygotowanie dokumentów wzorcowych. Wsparcie dla BS-ów. 26 26
Analiza luki Źródło: UKNF 27 27
Analiza luki Audyt vs samoocena 28 28
Analiza luki Audyt vs samoocena 29 29
Jeśli jest coś, czego nie potrafimy zrobić wydajniej, taniej i lepiej niż konkurenci, powinniśmy zatrudnić do wykonania tej pracy kogoś, kto zrobi to lepiej niż my. Henry Ford 30 30
Dziękuje za uwagę. krzysztof.wawrzyniak@skbank.pl krzysiek.wawrzyniak@op.pl 31