Nowa Rekomendacja D (i M)

Podobne dokumenty
Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

BAKER TILLY POLAND CONSULTING

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Informacja Banku Spółdzielczego w Chojnowie

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Zasady zarządzania ładem korporacyjnym w Banku Spółdzielczym w Szczucinie

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zasady ładu korporacyjnego w Banku Spółdzielczym w Sierpcu

POLITYKA W ZAKRESIE STOSOWANIA ZASAD ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH W KURPIOWSKIM BANKU SPÓŁDZIELCZYM W MYSZYŃCU

Polityka zarządzania zgodnością w Banku Spółdzielczym w Łaszczowie

System kontroli wewnętrznej w Banku Spółdzielczym w Lubaczowie

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krzywdzie

System kontroli wewnętrznej w Banku Spółdzielczym w Głogowie Małopolskim

BA K SPÓŁDZIELCZY BYTOM

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

ZASADY ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W GŁOGOWIE

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Ciechanowcu

Polityka zarządzania ładem korporacyjnym w Bieszczadzkim Banku Spółdzielczym w Ustrzykach Dolnych

Promotor: dr inż. Krzysztof Różanowski

System Kontroli Wewnętrznej w Banku Spółdzielczym w Andrespolu ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPOŁDZIELCZYM W ANDRESPOLU

INFORMACJA KURPIOWSKIEGO BANKU SPÓŁDZIELCZEGO W MYSZYŃCU

Rozdział 1 Postanowienia ogólne

I. Cele systemu kontroli wewnętrznej.

Rozdział I Zagadnienia ogólne

Polityka Ładu Korporacyjnego Banku Spółdzielczego w Legnicy. BANK SPÓŁDZIELCZY w LEGNICY. Załącznik nr 1 do Uchwały Nr 380/2014

Polityka Zarządzania Ładem Korporacyjnym. w Banku Spółdzielczym w Kolbuszowej

Informacja o strategii i celach zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

BANK SPÓŁDZIELCZY w Krzeszowicach

Bank Spółdzielczy w Augustowie. Zasady Ładu Korporacyjnego dla instytucji nadzorowanych

Polityka zarządzania ryzykiem w Prosper Capital Dom Maklerski S.A.

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Iłży

INFORMACJA BANKU SPÓŁDZIELCZEGO W BIAŁEJ PODLASKIEJ

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBARTOWIE

POLITYKA INFORMACYJNA BANKU SPÓŁDZIELCZEGO. w RYMANOWIE

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Suchedniowie

Marcin Soczko. Agenda

System kontroli wewnętrznej w Banku Spółdzielczym w Jordanowie

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

Informacja Banku Spółdzielczego Pałuki w Żninie. wynikająca z art. 111a ustawy Prawo bankowe

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W MAŁOPOLSKIM BANKU SPÓŁDZIELCZYM. I. Cele i organizacja systemu kontroli wewnętrznej

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

System kontroli wewnętrznej w Banku Spółdzielczym w Białej

II. Rola Zarządu, Rady Nadzorczej i Komitetu Audytu

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Polityka zarządzania ładem korporacyjnym w Nadwiślańskim Banku Spółdzielczym w Puławach

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBAWIE

System kontroli wewnętrznej w Banku Spółdzielczym w Przeworsku

INFORMACJA MAZOWIECKIEGO BANKU SPÓŁDZIELCZEGO W ŁOMIANKACH

SPÓŁDZIELCZY BANK POWIATOWY w Piaskach

System kontroli wewnętrznej w Banku Spółdzielczym w Leśnicy

Bank Spółdzielczy w Suwałkach

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

Bezpieczeństwo teleinformatyczne danych osobowych

Polityka przestrzegania Zasad ładu korporacyjnego. w Banku Spółdzielczym w Szczuczynie

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

BANK SPÓŁDZIELCZY GRODKÓW-ŁOSIÓW z siedzibą w Grodkowie

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Komisja Nadzoru Finansowego. Rekomendacja D

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Opis systemu kontroli wewnętrznej Banku Spółdzielczego w Połańcu. 1. Cele i organizacja systemu kontroli wewnętrznej

Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach

Adonis w Banku Spółdzielczym w Trzebnicy

INFORMACJA BANKU SPÓŁDZIELCZEGO W ŁAŃCUCIE

Polityka Ładu Korporacyjnego Banku Spółdzielczego w Legnicy. BANK SPÓŁDZIELCZY w LEGNICY. Załącznik nr 1 do Uchwały Nr 249/2017

ZASADY (INSTRUKCJA) NADZORU NAD STOSOWANIEM ŁADU KORPORACYJNEGO W BANKU SPÓŁDZIELCZYM W KOŃSKICH

SYSTEM KONTROLI WEWNĘTRZNEJ

System kontroli wewnętrznej w Łużyckim Banku Spółdzielczym w Lubaniu będącym uczestnikiem Spółdzielni Systemu Ochrony Zrzeszenia BPS

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Przedszkole Nr 30 - Śródmieście

Ocena stosowania Zasad Ładu Korporacyjnego w Nadwarciańskim Banku Spółdzielczym w Działoszynie za rok 2016

Polityka ładu korporacyjnego w Banku Spółdzielczym Grodków-Łosiów z siedzibą w Grodkowie

INFORMACJA BANKU SPÓŁDZIELCZEGO KRASNOSIELCU Z SIEDZIBĄ W MAKOWIE MAZOWIECKIM

Informacja Banku Spółdzielczego w Proszowicach wynikająca z art. 111a ustawy Prawo bankowe (stan na dzień r.)

System kontroli wewnętrznej w Banku Spółdzielczym w Narolu

System kontroli wewnętrznej w Banku Spółdzielczym w Głogówku

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Informacja Banku Spółdzielczego w Nowym Dworze Mazowieckim wynikająca z art. 111a ustawy Prawo bankowe według stanu na 31 grudnia 2017 roku

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Siemiatyczach

Cele systemu kontroli wewnętrznej. Zasady funkcjonowania systemu kontroli wewnętrznej

Polityka zarządzania ładem korporacyjnym w Banku Spółdzielczym w Leżajsku

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŁOSICACH

Transkrypt:

Nowa Rekomendacja D (i M) ryzyko operacyjne a zarządzanie środowiskiem teleinformatycznym w Banku Spółdzielczym 1/47

Motto Wstęp W roku 2013 powinniśmy (musimy) zacząć zarządzać ryzykiem operacyjnym przez pryzmat bezpieczeństwa IT, ciągłości działania kluczowych procesów biznesowych i ich jakości (w szczególności bankowości elektronicznej) i budowania kompetencji tak, by minimalizować ryzyko utraty reputacji Ryzykiem operacyjnym zarządzamy przede wszystkim ze względów biznesowych, względy nadzorcze są wtórne 2/47

Wstęp Motto uzupełniające Jeśli cokolwiek może pójść źle to na pewno pójdzie Prawo Murphy ego 3/47

Ogólna charakterystyka ryzyka bankowego (1) Podejście negatywne Ryzyko to możliwość nieosiągnięcia zamierzonego celu (efektu) Podejście neutralne Ryzyko to możliwość odchylenie od zamierzonego celu 4/47

Ogólna charakterystyka ryzyka bankowego (2) Ryzyko bankowe (wg NUK) kredytowe rynkowe płynności stopy % Operacyjne Poszczególne rodzaje ryzyka nie są wyizolowane, a ich korelacja może być wysoka 5/47

Ryzyko operacyjne (1) Ryzyko Operacyjne to ryzyko straty wynikającej z niewłaściwych lub zawodnych procesów wewnętrznych, ludzi i systemów lub też zdarzeń zewnętrznych Definicja ta obejmuje ryzyko prawne, ale nie obejmuje ryzyka strategicznego i reputacji Rekomendacja M s. 3 6/47

Ryzyko operacyjne (2) Ryzyko Operacyjne nie należy jednak zapominać o możliwości utraty reputacji na skutek zdarzeń ryzyka operacyjnego, w szczególności w obszarze ryzyka prawnego*, co w konsekwencji może skutkować niepowodzeniem realizacji strategii biznesowej banku, w tym zmniejszeniem planowanych przychodów (np. wskutek spadku zaufania klientów i zakończenia przez nich współpracy z bankiem), czy spadkiem wartości firmy. Rekomendacja M s. 3 *np. z Ustawy o Ochronie Danych Osobowych 7/47

Ryzyko operacyjne (3) Specyfika ryzyka operacyjnego RO nie podejmuje się w celu osiągnięcia określonych korzyści biznesowych; towarzyszy ono prowadzeniu działalności, jest w nią wbudowane, całkowita eliminacja źródeł ryzyka nie jest możliwa, ryzyko to ma wyjątkowo heterogeniczny charakter, Źródłem ryzyka może być klient (szczególnie w e-przestrzeni) Coraz częściej straty ujawnione w obszarach ryzyka kredytowego lub rynkowego mają swoje źródło w ryzyku operacyjnym Rekomendacja M s. 2 8/47

Ryzyko operacyjne (4) Zarzadzanie ryzykiem operacyjnym Proces * obejmujący identyfikację, ocenę, redukcję *, monitorowanie i kontrolę ryzyka operacyjnego * ciąg określonych działań będących kolejnymi etapami osiągania zdefiniowanego celu * Proces implementacji rozwiązań organizacyjnych, proceduralnych, technicznych, w tym narzędzi programowych i sprzętowych, wpływających na obniżenie poziomu ryzyka 9/47

Wymogi biznesowe w zakresie zarządzania ryzykami związanymi z IT (1) Cytat z klasycznej misji Banku Spółdzielczego Pełne (optymalne) zaspokojenie potrzeb klientów (członków) budowanie pozycji banku 18% inne 4% Adekwatne do potrzeb kanały dostępu do usług/produktów zaspokajanie potrzeb klientów 78% 10/47

Wymogi biznesowe w zakresie zarządzania ryzykami związanymi z IT (2) Dostosowanie oferty do typowej na rynku z uwzględnieniem specyfiki banku spółdzielczego Bankowość elektroniczna Zakres usług realizowanych poza centralą Przelewy lokaty kredyty Operacje na rachunkach bieżących i lokatach Obsługa kredytów i windykacja Pełną oferta banku 11/47

Wymogi biznesowe w zakresie zarządzania ryzykami związanymi z IT (3) Realizacja wymogów biznesowych wymaga właściwego przygotowania infrastruktury teleinformatycznej w kontekście potrzeb informacyjnych->źródeł informacji-> wielkości strumienia informacji->wymaganego pasma przepustowości->zabezpieczeń kanału informacyjnego-> możliwości i sposobów zarządzania strumieniem informacyjnym 12/47

Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (1) Rekomendacja M wprowadzona nie później niż do dnia 30 czerwca 2013 roku z wyjątkiem pkt. 17.3 wprowadzonego nie później niż do 31 grudnia 2013 roku Rekomendacja D wprowadzona nie później niż do dnia 31 grudnia 2014 roku Rekomendacja ZBP w sprawie zapobiegania niedostępności bankowości elektronicznej oraz ograniczania ryzyka związanego z przekazywaniem przez banku zdublowanych transakcji uznaniowych, ZBP, Warszawa, 2010 13/47

Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (2) Ustawa o Ochronie Danych Osobowych Z dnia 29 sierpnia 1997 roku W szczególności Rozporządzenie MSWiA z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024) 14/47

60,00% Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (3) case study Aktualizacje zgłoszenia do GIODO (1) 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 BPS SGB Badania własne 10.2012 15/47

Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (4) case study Aktualizacje zgłoszenia do GIODO (2) UoODO art. 36 Administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieupoważnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 16/47

Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (5) Zgłoszenie zbioru danych do rejestracji GIODO (1) Rozp. MSWiA 6 pkt 4 Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Załącznik do Rozporządzenia C. Środki bezpieczeństwa na poziomie wysokim 1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczna; b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. 17/47

Wymogi nadzorcze w zakresie zarządzania ryzykami związanymi z IT (6) Zgłoszenie zbioru danych do rejestracji GIODO (2) Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 39 UoODO Pkt. 16 Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji, Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelniania, Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim jak, robaki, wirusy, konie trojańskie, rootkity, Użyto system Firewall do ochrony dostępu do sieci komputerowej, Użyto system IDP/IPS do ochrony dostępu do sieci komputerowej. 18/47

Szczegółowa charakterystyka Rekomendacji D (1) Obszary Rekomendacji D 1. Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 2. Rozwój środowiska teleinformatycznego 3. Utrzymanie i eksploatacja środowiska teleinformatycznego 4. Zarządzanie bezpieczeństwem środowiska teleinformatycznego 19/47

Szczegółowa charakterystyka Rekomendacji D (2) 1. Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego Rekomendacja 3 Bank powinien opracować i wdrożyć strategię w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zgodną ze strategią działania banku Rekomendacja 4 Bank powinien określić zasady współpracy oraz zakres odpowiedzialności obszaru biznesowego, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, pozwalające na efektywne i bezpieczne wykorzystanie potencjału środowiska teleinformatycznego w działalności banku 20/47

Szczegółowa charakterystyka Rekomendacji D (3) 3. Utrzymanie i eksploatacja środowiska teleinformatycznego Rekomendacja 9 Bank powinien posiadać sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzania danych Rekomendacja 12 Bank powinien zapewnić odpowiednią ochronę środowiska teleinformatycznego przed szkodliwym oprogramowaniem Rekomendacja 16 Bank świadczący usługi w wykorzystaniem elektronicznych kanałów dostępu powinien posiadać skuteczne rozwiązania techniczne i organizacyjne zapewniające weryfikację tożsamości i bezpieczeństwo danych oraz środków klientów, jak również edukować klientów w zakresie zasad bezpiecznego korzystania z tych kanałów 21/47

Szczegółowa charakterystyka Rekomendacji D (4) 4. Zarządzanie bezpieczeństwem środowiska teleinformatycznego (1) Rekomendacja 18 W banku powinien funkcjonować sformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w banku Rekomendacja 20 Bank powinien posiadać sformalizowane zasady zarządzania incydentami naruszania bezpieczeństwa środowiska teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowania działań naprawczych oraz usuwanie przyczyn 22/47

Szczegółowa charakterystyka Rekomendacji D (5) 4. Zarządzanie bezpieczeństwem środowiska teleinformatycznego (2) Rekomendacja 21 Bank powinien zapewnić zgodność funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego z wymaganiami prawnymi, regulacjami wewnętrznymi i zewnętrznymi, zawartymi umowami i przyjętymi w banku standardami Rekomendacja 22 Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów 23/47

Szczegółowa charakterystyka Rekomendacji M (1) Rekomendacja M Rekomendacja 4 Bank powinien posiadać strukturę, procesy i zasoby odpowiednie do skali i złożoności prowadzonej działalności, pozwalające na sprawne zarządzanie ryzykiem operacyjnym Rekomendacja 7 Bank powinien realizować i dokumentować proces identyfikacji zagrożeń związanych z ryzykiem operacyjnym dla wszystkich istotnych obszarów działalności banku oraz tworzenia wszelkich nowych i modyfikacji już istniejących produktów, procesów i systemów 24/47

Szczegółowa charakterystyka Rekomendacji M (2) Rekomendacja 9 Bank w ramach oceny ryzyka operacyjnego powinien przeprowadzać testy warunków skrajnych, których programy są regularnie przeglądane i oceniane pod kątem efektywności i dopasowania do potrzeb, zarówno pod względem jakościowym, jak i ilościowym Rekomendacja 10 Bank powinien zdefiniować działania przeciwdziałające ryzyku, polegające na jego unikaniu, ograniczaniu lub transferowaniu, które są podejmowane w zależności od zidentyfikowanego poziomu ryzyka operacyjnego w stosunku do tolerancji/apetytu na ryzyko operacyjne zaakceptowanych przez radę nadzorczą 25/47

Szczegółowa charakterystyka Rekomendacji M (3) Rekomendacja 11 Bank powinien posiadać system zarządzania ciągłością działania, w tym plany utrzymania ciągłości działania oraz plany awaryjne, zapewniające nieprzerwane działanie banku na określonym poziomie, uwzględniający profil ryzyka operacyjnego banku Rekomendacja 15 Bank powinien posiadać system regularnego monitorowania zdarzeń operacyjnych oraz wyników pozostałych narzędzi w tym zakresie (np. KRI) umożliwiający obserwację profilu ryzyka operacyjnego oraz zapewniający regularne przekazywanie zarządowi i radzie nadzorczej stosownych informacji 26/47

Szczegółowa charakterystyka Rekomendacji M (3) Rekomendacja 15 KRI (key risk indicators) praktycznie próby ataków sieciowych na styku z Internetem, zarejestrowane blokady systemu IPS, próby uzyskania dostępu do zablokowanych zasobów Internetu, (Kto? Kiedy? Ile razy?) spam z Internetu, wirusy wykryte przez routery brzegowe z Internetu, próby ataków sieciowych na styku z WAN banku zrzeszającego, zarejestrowane blokady systemu IPS, próby uzyskania dostępu do zablokowanych zasobów WAN, (Kto? Kiedy? Ile razy?) spam z WAN banku zrzeszającego, wirusy wykryte przez routery brzegowe z banku zrzeszającego, 27/47

Szczegółowa charakterystyka Rekomendacji M (3) Rekomendacja 15 KRI (key risk indicators) praktycznie wielkość średniego ruchu wychodzącego/przychodzącego z Internetu oszacowanie normalnego poziomu ruchu źródła i cele ruchu wychodzącego/przychodzącego z Internetu identyfikacja pożeraczy pasma wielkość średniego ruchu wychodzącego/przychodzącego w LAN, jw. źródła i cele ruchu wychodzącego/przychodzącego w LAN, jw. wielkość średniego ruchu wychodzącego/przychodzącego w WAN banku, jw. źródła i cele ruchu wychodzącego/przychodzącego w WAN banku, jw. odchylenia od parametrów usługi przesyłania danych, (jakość dostawcy łączy) czas niedostępności kanału głównego usługi, rozkład dzienny/tygodniowy/miesięczny, wykorzystanie pasma urządzeń, wykorzystanie mocy obliczeniowej urządzeń (wstęp do KPI). 28/47

Zasada proporcjonalności. Rekomendacja D szansa czy pułapka? (1) Zasada proporcjonalności szansa dla banków spółdzielczych czy pułapka? 29/47

Zasada proporcjonalności. Rekomendacja D szansa czy pułapka? (2) Rekomendacja D Wstęp strona 4 Wszystkie banki powinny stosować się do zawartych w niniejszym dokumencie rekomendacji. Biorąc pod uwagę specyfikę zagadnień sposób realizacji tych rekomendacji i wskazanych w nich celów może być odmienny. Opisy i komentarze należy traktować jako zbiór dobrych praktyk, które jednak powinny być stosowane z zachowaniem zasady proporcjonalności. 30/47

Zasada proporcjonalności. Rekomendacja D szansa czy pułapka? (3) Rekomendacja D Wstęp strona 5 Jednocześnie nadzór oczekuje, że decyzje dotyczące zakresu i sposobu wprowadzania wskazanych w rekomendacji rozwiązań poprzedzone zostaną pogłębioną analizą i poparte będą stosowną argumentacją. Ponadto, w przypadku banków spółdzielczych oczekiwaniem nadzoru jest, by banki zrzeszające wspierały proces wdrażania niniejszej Rekomendacji z uwzględnieniem skali i specyfiki działalności danego banku spółdzielczego, stosując zasadę proporcjonalności. 31/47

Zasada proporcjonalności. Rekomendacja D szansa czy pułapka? (4) Nie może być mowy o proporcjonalności (w ujęciu BS, czyli nie musimy tego robić) jeśli: bank spółdzielczy samodzielnie realizuje procesy zarządzania ryzykiem rekomendacja 8, 15 jakość danych, ciągłość działania bank spółdzielczy samodzielnie realizuje procesy bankowości elektronicznej rekomendacja 5, 15, 16 adekwatne zasoby, ciągłość działania, funkcjonowanie BE bank spółdzielczy funkcjonuje na lokalnym rynku usług finansowych rekomendacja 18 22 zarządzanie bezpieczeństwem środowiska IT 32/47

Praktyczne możliwości realizacji wymogów (1) Praktyczne możliwości realizacji wymogów nadzorczych i biznesowych w obszarze bezpieczeństwa IT 33/47

Praktyczne możliwości realizacji wymogów (2) Rekomendacja D pkt 9.2 9.6 w korespondencji z rekomendacją M pkt. 15 Zapewnienie szyfrowanych i zabezpieczonych łączy głównych i zapasowych do placówek banku z uwzględnieniem systemów IDS/IPS Zapewnienie łączy zapasowych dla usług bankowości elektronicznej Podział sieci teleinformatycznej na podsieci (logiczne lub fizyczne) oddzielone zaporami sieciowymi z szyfrowaniem ruchu sieciowego Wdrożenie mechanizmów monitorowania i alarmowania w segmentach LAN i WAN sieci banku Rek. D pkt. 9.15, 9.17 34/47

Praktyczne możliwości realizacji wymogów (3) Rekomendacja D pkt 9.16 Wdrożenie szczególnych mechanizmów bezpieczeństwa w odniesieniu do eksploatowanych maszyn wirtualnych Rekomendacja D pkt 9.22 9.26 Wdrożenie mechanizmów aktualizacji oprogramowania systemowego zarówno komputerów, jak i pozostałych elementów środowiska teleinformatycznego Rekomendacja D pkt 9.27 9.29 Wdrożenie mechanizmów monitorowania wydajności komponentów infrastruktury teleinformatycznej 35/47

Praktyczne możliwości realizacji wymogów (4) Rekomendacja D pkt 12 Zapewnienie automatycznej, zintegrowanej ochrony przed szkodliwym oprogramowaniem Rekomendacja D pkt 19.5 19.6 Zapewnienie adekwatnej do klasyfikacji informacji ochrony danych przetwarzanych na stacjach roboczych użytkowników poprzez szyfrowanie, mechanizmy kontroli dostępu, mechanizmy kopii zapasowych itp. Wdrożenie systemu DLP 36/47

Praktyczne możliwości realizacji wymogów (5) Rekomendacja D pkt 20 Wdrożenie zasad zarządzania incydentami naruszania bezpieczeństwa środowiska teleinformatycznego Wdrożenie systemu SIEM (Security Information and Event Management) Rekomendacja D pkt 22 Poddawanie się regularnym audytom profesjonalnych instytucji zewnętrznych 37/47

Procesy kluczowe i krytyczne (1) Kluczowe i krytyczne procesy biznesowe banku i ich zależność od IT 38/47

Procesy kluczowe i krytyczne (2) Procesy kluczowe zidentyfikowane przez bank procesy w obrębie jego działalności, które warunkują realizację strategii banku Procesy krytyczne zidentyfikowane przez bank procesy w obrębie jego działalności, które mają istotny wpływ na ciągłość działania banku 39/47

Procesy kluczowe i krytyczne (3) Kluczowość/krytyczność procesów w banku Względem klientów Względem instytucji nadzorczych Względem właścicieli 40/47

Procesy kluczowe i krytyczne (4) Problemy z usługami wewnętrzne zewnętrzne procesy ludzie technologia 41/47

Procesy kluczowe i krytyczne (5) Problemy z usługami BE Ryzyko strategiczne Ryzyko reputacji Ryzyko operacyjne Ryzyko płynności BE Ryzyko kredytowe BCM 42/47

Procesy kluczowe i krytyczne (6) Panaceum na problemy z usługami BE Procesowe monitorowanie bezpieczeństwa kanałów IT Procesowe monitorowanie wydajności infrastruktury IT Redundancja składników infrastruktury IT 43/47

Zakończenie (1) Czemu służą Rekomendacje D i M? Dlaczego ryzyko operacyjne jest coraz ważniejsze w zarządzaniu bankiem? Poprawia jakość procesów biznesowych w firmie Poprawia relacje z klientami Buduje reputację Buduje pozycje konkurencyjną na lokalnym rynku 44/47

Zakończenie (2) Podejście XX wieczne Problemy związane z informacją (IT) muszą być zrozumiane i zarządzane, tak samo jak wszystkie inne zasoby firmy Podejście XXI wieku Problemy związane z informacją (IT) muszą być zrozumiane i zarządzane jak kluczowy zasób i powiązane z reputacją i wartością firmy 45/47

Zakończenie (3) Prawo końcowe Murphy ego Jeśli pewne sprawy, które powinny były pójść źle, potoczyły się dobrze to ostatecznie okaże się, że, iż byłoby znacznie lepiej, gdyby potoczyły się źle Prawo Hellrunga uzupełnienie Shavelsona Dodatek Grelba Jeśli poczekasz, przyjdzie......narobiwszy szkody Jeśli naprawdę było niemiłe, to wróci 46/47

Dla zapalonych czytelników Ustawa z dnia 29 sierpnia 1999 r. o ochronie danych osobowych. Dz.U. 1997 Nr 133 poz. 883 Rekomendacja D dotycząca zarządzania obszarem technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, KNF, Warszawa 2013 Rekomendacja M dotycząca zarządzania ryzkiem operacyjnym w bankach, KNF, Warszawa 2013 ABC przetwarzania danych osobowych w sektorze bankowym, GIODO, Warszawa 2009 ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych, GIODO, Warszawa 2007 ABC zagrożeń bezpieczeństwa danych osobowych w systemach teleinformatycznych, GIODO, Warszawa 2009 Rekomendacja ZBP w sprawie zapobiegania niedostępności bankowości elektronicznej oraz ograniczania ryzyka związanego z przekazywaniem przez banku zdublowanych transakcji uznaniowych, ZBP, Warszawa, 2010 47/47

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres