Rekomendacja D wydana przez Komisję Nadzoru Finansowego to wytyczne do zarządzania ryzykami w bankowych systemach informatycznych i telekomunikacyjnych. Jej wydanie spowodowane zostało przez postęp technologiczny i poszerzenie wykorzystania IT w bankowości. W artykule przedstawimy jej podstawowe założenia oraz informacje jak dostosować systemy IT do jej wymogów.
Sposoby zabezpieczenia sieci od Ekran System
Rekomendacja D – założenia
Pierwsza Rekomendacja D została wydana przez KNF w 2002 r., ale ze względu na szybki rozwój technologii została zaktualizowana w styczniu 2013 r. Zawiera 22 rekomendacje szczegółowe, podzielone na cztery obszary ryzyk środowiska teleinformatycznego:
- strategię i organizację obszarów technologii informacyjnej i bezpieczeństwa,
- rozwój środowiska IT,
- utrzymanie i eksploatację IT,
- zarządzanie bezpieczeństwem IT.
Obszar 1
KNF w Rekomendacji D zaleca przede wszystkim zbudowanie spójnego systemu zarządzania ryzykiem IT w bankach. Według jej opinii organy zarządzające powinny położyć nacisk na:
- zarządzanie bezpieczeństwem środowiska teleinformatycznego i ciągłością działania,
- zarządzanie elektronicznymi kanałami dostępu,
- tworzenie i aktualizację strategii w obszarach bezpieczeństwa środowiska teleinformatycznego i technologii informacyjnej,
- współpracę z zewnętrznymi dostawcami usług z zakresu środowiska teleinformatycznego i jego bezpieczeństwa.
Wytyczne te powinny być spełnione poprzez system przydzielania dostępu do informacji uprawnionym osobom. Każdy bank powinien ściśle zdefiniować i sporządzić w formie pisemnej obowiązki i uprawnienia pracowników w zakresie bezpieczeństwa informacji. Tak wypracowany podział ma ograniczać ryzyko błędów i nadużyć w procesach i systemach bankowych.
Obszar 2
Rekomendacja D w tym obszarze przede wszystkim zaleca stosowanie już sprawdzonych dobrych praktyk zarządzania w zakresie środowiska IT, np. PRINCE2 (PRojects IN Controlled Environments) czy standard PMBoK (Project Management Body of Knowledge). Wymienione standardy regulują sposób organizacji projektów, organy je realizujące, relacje między nimi i sposób rozwiązywania konfliktów. KNF wyraźnie stawia na zastosowanie rozwiązań przetestowanych przed nowatorskimi, kierując się przede wszystkim bezpieczeństwem.
Projekty teleinformatyczne w pierwszej kolejności powinny być prowadzone we własnym zakresie, a w braku takich możliwości przez zweryfikowane pod względem wiarygodności podmioty zewnętrze.
Obszar 3
Ten obszar zgodnie z Rekomendacją D jest dla banku kluczowy, bo obejmuje najszerszy zakres ryzyk. Wymogi KNF sprowadzają się do zbudowania i stosowania procedur dotyczących utrzymania i eksploatacji IT, m.in.: zarządzania danymi, infrastrukturą teleinformatyczną, współpracy z dostawcami zewnętrznymi czy organizacji systemów kształcenia pracowników.
Realizacja tych zaleceń może się odbywać poprzez stosowanie systemów ochrony fizycznej, rejestrującej dostęp do danych oraz elementów infrastruktury IT. Należy także uregulować zasady zarządzania oprogramowaniem użytkownika końcowego, czyli zablokować możliwość jego instalacji przez osoby nieuprawnione oraz dbać o poprawność i aktualność posiadanych licencji.
Obszar 4
Zarządzanie bezpieczeństwem IT to ostatni obszar Rekomendacji D. Zgodnie z nim banki powinny posiadać sformalizowany system zarządzania nim obejmujący działania związane z kontrolą, identyfikacją, szacowaniem, przeciwdziałaniem i raportowaniem ryzyka w tym zakresie. Taki system musi być połączony z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w banku.
Dostosowując systemy IT do tej rekomendacji, banki określają procedury zarządzania incydentami naruszenia bezpieczeństwa, wdrażają mechanizmy analizy tych incydentów, określają stopień ich priorytetów oraz wyszukują powiązania między nimi. Instytucje te powinny też posiadać mechanizmy działań naprawczych i usuwania przyczyn zaistnienia incydentów.
Sposoby zabezpieczenia sieci od Ekran System
Bezpieczeństwo IT jest najważniejszą kwestią dla banków i innych instytucji finansowych. Ekran System oferuje program do monitorowania komputera, który zapewnia uzyskanie zgodności z regulacjami rekomendowanymi przez KNF w Rekomendacji D. Umożliwia śledzenie wszystkich aktywności użytkowników na komputerze oraz monitoring serwera, dając możliwość odpowiedzi na incydenty bezpieczeństwa w czasie rzeczywistym.
Innym sposobem jest system DLP (Data Loss Prevention), który zabezpiecza sieć, skutecznie blokując każdą czynność zidentyfikowaną jako próba przejęcia danych. Dotyczy to zarówno prób kradzieży, jak i wycieków przypadkowych, wynikających np. z nieświadomych działań pracowników banku.
Podsumowanie
Rekomendacja D to ważne źródło wytycznych do zarządzania bezpieczeństwem środowiska IT w bankach i innych instytucjach finansowych. Jej wdrożenie wymaga utworzenia i stosowania wielu procedur oraz zabezpieczeń systemów teleinformatycznych. Warto skorzystać przy tym z pomocy doświadczonych i sprawdzonych firm zewnętrznych specjalizujących się w zarządzaniu bezpieczeństwem IT.
Share:
