Kroki milowe wdrożenia Wytycznych IT KNF
wtorek, 12 kwietnia 2016 08:42

Wdrożenie wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (Wytyczne IT KNF) jest procesem długoterminowym, narażonym na liczne przeszkody – kadrowe, finansowe, organizacyjne, itp. Ze względu na te trudności, proces zaleca się realizować w sposób formalny i zorganizowany, najlepiej zgodnie z posiadaną procedurą prowadzenia projektów. Pozwoli to na przetestowanie poprawności procedury i jednoczesne dostarczenie dowodów w przypadku audytu Wytycznej 6. (projekty w zakresie środowiska teleinformatycznego).

Spośród wszystkich 22 wytycznych, warto wskazać te, które ze względu na ogromny wpływ na całość procesów zachodzących w danej organizacji, stanowią we wdrożeniu tzw. kroki milowe. Będą to Wytyczne nr 3, 5, 8, 9, 14, 15, 18 i 19, z czego na szczególną uwagę zasługują Wytyczna 15 (ciągłość działania) oraz Wytyczna 18 (system zarządzania bezpieczeństwem środowiska teleinformatycznego).

Wyzwania

Wdrożenie wytycznych wchodzących w skład „kroków milowych” powinno być starannie przygotowane poprzez wykonanie analizy wykonalności, szczegółowego harmonogramu realizacji oraz wyznaczenia punktów kontrolnych. Najważniejszym czynnikiem jest oczywiście czas realizacji.

Jednym z głównych wyzwań będzie tu opracowanie procedur. Niestety, często okazuje się, że nowe regulacje są jedynie „produktem” zawierającym niezbędne elementy, niespójnym z resztą funkcjonujących w firmie procedur. W takim przypadku zapewniona będzie tylko częściowa zgodność z Wytycznymi IT KNF.

Wyzwaniem jest również dotrzymanie terminu wdrożenia. Upływa on 31 grudnia br., a więc czasu jest już naprawdę niewiele. Na podstawie doświadczeń z realizacji w sektorze bankowym tzw. Rekomendacji D, można wnioskować, że w większości organizacji proces wdrożenia się przedłuży. Szansę na ukończenie prac w terminie mają właściwie tylko te organizacje, które obecnie kończą proces wdrożeniowy. Potrzeba bowiem dodatkowego czasu na udokumentowanie działającego procesu lub wdrożenie/uruchomienie zaprojektowanych zabezpieczeń.

Zgodność

Na szczególną uwagę zasługuje zgodność opracowanych regulacji/procedur z obowiązującymi regulacjami prawnymi i/lub wymaganiami branżowymi, takimi jak:

  • Ustawa o ochronie danych osobowych,
  • Dyrektywa Wypłacalność II (Solvency II), 
  • Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.


Zgodność formalnoprawna została ujęta również w Wytycznych IT KNF (Wytyczna 21). Należy o tym pamiętać przy realizacji wdrożenia, by na końcowym etapie wdrożenia nie okazało się, że opracowane regulacje/procesy są sprzeczne z obowiązującymi ustawami lub wymogami branżowymi.

Wytyczna 15 – ciągłość działania

Wytyczna została podzielona na cztery części składowe:

  1. plany ciągłości działania i plany awaryjne,
  2. zasoby techniczne oraz warunki fizyczne i środowiskowe, 
  3. kopie awaryjne, 
  4. weryfikacja efektywności podejścia do zarządzania ciągłością działania.


Obszar planów ciągłości działania i planów awaryjnych skupia się na opracowaniu regulacji, czyli formalnych zapisów przywrócenia do działania krytycznych w organizacji procesów na akceptowanym przez klientów poziomie, gwarantując jakość świadczonych usług. Regulacje te mają uchronić organizację przed poniesieniem strat finansowych oraz utratą reputacji.

W Wytycznej 15.2 wymienione zostały kluczowe elementy planu ciągłości działania – organizacja, komunikacja, procesy krytyczne, czasy przywrócenia usług oraz potrzebne zasoby.

Ważnym aspektem dla określenia struktury organizacyjnej systemu zarządzania ciągłością działania jest też wykonanie analizy, o której mowa w Wytycznej 15.3. Ma ona wskazać, czy istnieje konieczność powołania komitetu do spraw ciągłości działania.

W dalszej części wytyczne skupiają się na roli środowiska teleinformatycznego oraz poprawiania opracowanych procedur odtworzeniowych. W ramach opracowywania procedur komunikacji wewnętrznej należy pamiętać również o zewnętrznych dostawcach usług, którzy niejednokrotnie mają kluczowe znaczenie w odtworzeniu procesów krytycznych.

Obszar zasobów technicznych oraz warunków fizycznych i środowiskowych skupia się na zabezpieczeniu zasobów niezbędnych do utrzymania środowiska teleinformatycznego na potrzeby procesów krytycznych. W Wytycznej 15.10 pojawia się wymóg posiadania lokalizacji zapasowej, dostosowanej do skali i specyfiki organizacji. Ważnym aspektem niezawodności zasobów teleinformatycznych jest ich bezpieczeństwo fizyczne, które powinno wynikać z analizy bezpieczeństwa fizycznego i środowiskowego, szczegółowo opisanej w Wytycznych 15.13 i 15.14.

Obszar kopii zapasowych skupia się na zabezpieczeniu organizacji w awaryjne kopie danych, systemów informatycznych oraz konfiguracji kluczowych komponentów infrastruktury teleinformatycznej. Szczególną uwagę zwrócono na formalne zapisy w postaci regulacji i instrukcji odtwarzania komponentów środowiska teleinformatycznego na podstawie kopii awaryjnych oraz testowania poprawności ich zapisu.

Obszar weryfikacji efektywności podejścia do zarządzania ciągłością działania skupia się na weryfikacji przejętego podejścia w zakresie środowiska teleinformatycznego, w tym też odtworzenia działalności w oparciu o środowisko zapasowe. Testy powinny być udokumentowane, a wyniki testów przedstawiane zarządowi, np. poprzez System Informacji Zarządczej (SIZ – Wytyczna 2).

Wytyczna 18 – system zarządzania bezpieczeństwem środowiska teleinformatycznego

Wytyczna została podzielona na pięć części składowych:

  1. wstęp,
  2. identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  3. mierzenie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  4. monitorowanie i zarządzanie ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  5. monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego.


Wstęp skupia się na opracowaniu regulacji „Zasady bezpieczeństwa informacji”, wynikającej z Wytycznej 18.1. W dalszych wytycznych mowa jest o ciągłym doskonaleniu wdrożonego systemu oraz o wykorzystywaniu dobrych praktyk z międzynarodowych norm ISO/IEC 27000. Po wykonaniu stosownej analizy możemy więc zdecydować, czy zastosujemy model ciągłego doskonalenia, zgodnego z modelem PDCA (cyklem Deminga), czy jako punkt wyjścia do zarządzania ryzykiem utraty atrybutów bezpieczeństwa informacji będziemy wykorzystywać normę ISO/IEC 27005. Dodatkowo, Wytyczna 18.4 wymaga ścisłej integracji systemu zarządzania bezpieczeństwem środowiska teleinformatycznego z systemem zarządzania ryzykiem operacyjnym.

Obszar identyfikacji ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na identyfikacji zagrożeń i podatności dla środowiska teleinformatycznego. W celu podjęcia decyzji, czy warto wdrożyć system do automatycznego wykrywania podatności, należy wykonać stosowną analizę. W przypadku zmaterializowania się zagrożenia, Wytyczna 18.8 wymaga uwzględnienia zdarzenia w bazie zdarzeń operacyjnych.

Obszar mierzenia ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na określeniu prawdopodobieństwa i potencjalnego wpływu – materialnego i niematerialnego – zaistnienia  zagrożeń, a następnie dokonanie oceny ryzyka. Należy pamiętać, że zgodnie z Wytyczną 18.11 należy uwzględnić wyniki Wytycznej 19 (Klasyfikacja informacji i systemów informatycznych).

Obszar monitorowania i zarządzania ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego działa na podstawie wyników obszaru mierzenia ryzyka. Obszar ten skupia się na postępowaniu z ryzykiem. Zgodnie z opisem Wytycznej 18.12 możemy ryzyko ograniczyć, wytransferować, uniknąć go lub je zaakceptować. W obszarze tym mowa jest o stosowaniu mechanizmów kontrolnych – organizacyjnych, technicznych, administracyjnych – w celu ograniczenia ryzyka. Wymagane jest także badanie skuteczności wykorzystywanych zabezpieczeń, np. poprzez dedykowane audyty bezpieczeństwa lub testy penetracyjne (mowa o nich w Wytycznej 9.21).

Obszar monitorowania i raportowania ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na opracowywaniu raportów z przeprowadzonej analizy ryzyka i przedstawieniu ich zarządowi organizacji, np. poprzez System Informacji Zarządczej (SIZ – Wytyczna 2).
Maciej Jurczyk
ODO 24 sp. z o.o.

 

Wierzbowski Eversheds Sutherland: Paweł Stykowski szefem praktyki compliance

W lipcu do kancelarii prawnej Wierzbowski Eversheds Sutherland dołączył Paweł Stykowski, do niedawna dyrektor Departamentu Prawnego InterRisk....


czytaj dalej

TUW PZUW: Paweł Stopczyński nowym członkiem zarządu

Rada nadzorcza TUW PZUW powołała z dniem 27 czerwca Pawła Stopczyńskiego na stanowisko członka zarządu. Będzie on odpowiedzialny za obszar...


czytaj dalej

Coface: Patrice Luscan prezesem ICISA

Podczas Walnego Zgromadzenia ICISA (International Credit Insurance and Surety Association), zorganizowanego w 90. rocznicę powstania...


czytaj dalej

Lloyd’s: Nowa cyfrowa platforma dystrybucji

Lloyd’s uruchomił nową cyfrową platformę dystrybucji – Lloyd’s Bridge – zaprojektowaną w celu szybkiego, łatwego i sprawnego połączenia firm...


czytaj dalej

PSU: Dorota Jezierska nowym prezesem Stowarzyszenia

26 czerwca odbyło się Walne Zebranie Członków Polskiego Stowarzyszenia Underwriterów. Podczas obrad uczestnicy WZC dokonali zmian we władzach...


czytaj dalej

XXIV Forum Teleinformatyki: System informacyjny państwa i obywatela

W dniach 27-28 września 2018 roku w Centrum Konferencyjno-Szkoleniowym BOSS w Miedzeszynie odbędzie się XXIV Forum Teleinformatyki. Patronem...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Kursy on-line
Zamów newsletter
Facebook