Kroki milowe wdrożenia Wytycznych IT KNF
wtorek, 12 kwietnia 2016 08:42

Wdrożenie wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (Wytyczne IT KNF) jest procesem długoterminowym, narażonym na liczne przeszkody – kadrowe, finansowe, organizacyjne, itp. Ze względu na te trudności, proces zaleca się realizować w sposób formalny i zorganizowany, najlepiej zgodnie z posiadaną procedurą prowadzenia projektów. Pozwoli to na przetestowanie poprawności procedury i jednoczesne dostarczenie dowodów w przypadku audytu Wytycznej 6. (projekty w zakresie środowiska teleinformatycznego).

Spośród wszystkich 22 wytycznych, warto wskazać te, które ze względu na ogromny wpływ na całość procesów zachodzących w danej organizacji, stanowią we wdrożeniu tzw. kroki milowe. Będą to Wytyczne nr 3, 5, 8, 9, 14, 15, 18 i 19, z czego na szczególną uwagę zasługują Wytyczna 15 (ciągłość działania) oraz Wytyczna 18 (system zarządzania bezpieczeństwem środowiska teleinformatycznego).

Wyzwania

Wdrożenie wytycznych wchodzących w skład „kroków milowych” powinno być starannie przygotowane poprzez wykonanie analizy wykonalności, szczegółowego harmonogramu realizacji oraz wyznaczenia punktów kontrolnych. Najważniejszym czynnikiem jest oczywiście czas realizacji.

Jednym z głównych wyzwań będzie tu opracowanie procedur. Niestety, często okazuje się, że nowe regulacje są jedynie „produktem” zawierającym niezbędne elementy, niespójnym z resztą funkcjonujących w firmie procedur. W takim przypadku zapewniona będzie tylko częściowa zgodność z Wytycznymi IT KNF.

Wyzwaniem jest również dotrzymanie terminu wdrożenia. Upływa on 31 grudnia br., a więc czasu jest już naprawdę niewiele. Na podstawie doświadczeń z realizacji w sektorze bankowym tzw. Rekomendacji D, można wnioskować, że w większości organizacji proces wdrożenia się przedłuży. Szansę na ukończenie prac w terminie mają właściwie tylko te organizacje, które obecnie kończą proces wdrożeniowy. Potrzeba bowiem dodatkowego czasu na udokumentowanie działającego procesu lub wdrożenie/uruchomienie zaprojektowanych zabezpieczeń.

Zgodność

Na szczególną uwagę zasługuje zgodność opracowanych regulacji/procedur z obowiązującymi regulacjami prawnymi i/lub wymaganiami branżowymi, takimi jak:

  • Ustawa o ochronie danych osobowych,
  • Dyrektywa Wypłacalność II (Solvency II), 
  • Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.


Zgodność formalnoprawna została ujęta również w Wytycznych IT KNF (Wytyczna 21). Należy o tym pamiętać przy realizacji wdrożenia, by na końcowym etapie wdrożenia nie okazało się, że opracowane regulacje/procesy są sprzeczne z obowiązującymi ustawami lub wymogami branżowymi.

Wytyczna 15 – ciągłość działania

Wytyczna została podzielona na cztery części składowe:

  1. plany ciągłości działania i plany awaryjne,
  2. zasoby techniczne oraz warunki fizyczne i środowiskowe, 
  3. kopie awaryjne, 
  4. weryfikacja efektywności podejścia do zarządzania ciągłością działania.


Obszar planów ciągłości działania i planów awaryjnych skupia się na opracowaniu regulacji, czyli formalnych zapisów przywrócenia do działania krytycznych w organizacji procesów na akceptowanym przez klientów poziomie, gwarantując jakość świadczonych usług. Regulacje te mają uchronić organizację przed poniesieniem strat finansowych oraz utratą reputacji.

W Wytycznej 15.2 wymienione zostały kluczowe elementy planu ciągłości działania – organizacja, komunikacja, procesy krytyczne, czasy przywrócenia usług oraz potrzebne zasoby.

Ważnym aspektem dla określenia struktury organizacyjnej systemu zarządzania ciągłością działania jest też wykonanie analizy, o której mowa w Wytycznej 15.3. Ma ona wskazać, czy istnieje konieczność powołania komitetu do spraw ciągłości działania.

W dalszej części wytyczne skupiają się na roli środowiska teleinformatycznego oraz poprawiania opracowanych procedur odtworzeniowych. W ramach opracowywania procedur komunikacji wewnętrznej należy pamiętać również o zewnętrznych dostawcach usług, którzy niejednokrotnie mają kluczowe znaczenie w odtworzeniu procesów krytycznych.

Obszar zasobów technicznych oraz warunków fizycznych i środowiskowych skupia się na zabezpieczeniu zasobów niezbędnych do utrzymania środowiska teleinformatycznego na potrzeby procesów krytycznych. W Wytycznej 15.10 pojawia się wymóg posiadania lokalizacji zapasowej, dostosowanej do skali i specyfiki organizacji. Ważnym aspektem niezawodności zasobów teleinformatycznych jest ich bezpieczeństwo fizyczne, które powinno wynikać z analizy bezpieczeństwa fizycznego i środowiskowego, szczegółowo opisanej w Wytycznych 15.13 i 15.14.

Obszar kopii zapasowych skupia się na zabezpieczeniu organizacji w awaryjne kopie danych, systemów informatycznych oraz konfiguracji kluczowych komponentów infrastruktury teleinformatycznej. Szczególną uwagę zwrócono na formalne zapisy w postaci regulacji i instrukcji odtwarzania komponentów środowiska teleinformatycznego na podstawie kopii awaryjnych oraz testowania poprawności ich zapisu.

Obszar weryfikacji efektywności podejścia do zarządzania ciągłością działania skupia się na weryfikacji przejętego podejścia w zakresie środowiska teleinformatycznego, w tym też odtworzenia działalności w oparciu o środowisko zapasowe. Testy powinny być udokumentowane, a wyniki testów przedstawiane zarządowi, np. poprzez System Informacji Zarządczej (SIZ – Wytyczna 2).

Wytyczna 18 – system zarządzania bezpieczeństwem środowiska teleinformatycznego

Wytyczna została podzielona na pięć części składowych:

  1. wstęp,
  2. identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  3. mierzenie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  4. monitorowanie i zarządzanie ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  5. monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego.


Wstęp skupia się na opracowaniu regulacji „Zasady bezpieczeństwa informacji”, wynikającej z Wytycznej 18.1. W dalszych wytycznych mowa jest o ciągłym doskonaleniu wdrożonego systemu oraz o wykorzystywaniu dobrych praktyk z międzynarodowych norm ISO/IEC 27000. Po wykonaniu stosownej analizy możemy więc zdecydować, czy zastosujemy model ciągłego doskonalenia, zgodnego z modelem PDCA (cyklem Deminga), czy jako punkt wyjścia do zarządzania ryzykiem utraty atrybutów bezpieczeństwa informacji będziemy wykorzystywać normę ISO/IEC 27005. Dodatkowo, Wytyczna 18.4 wymaga ścisłej integracji systemu zarządzania bezpieczeństwem środowiska teleinformatycznego z systemem zarządzania ryzykiem operacyjnym.

Obszar identyfikacji ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na identyfikacji zagrożeń i podatności dla środowiska teleinformatycznego. W celu podjęcia decyzji, czy warto wdrożyć system do automatycznego wykrywania podatności, należy wykonać stosowną analizę. W przypadku zmaterializowania się zagrożenia, Wytyczna 18.8 wymaga uwzględnienia zdarzenia w bazie zdarzeń operacyjnych.

Obszar mierzenia ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na określeniu prawdopodobieństwa i potencjalnego wpływu – materialnego i niematerialnego – zaistnienia  zagrożeń, a następnie dokonanie oceny ryzyka. Należy pamiętać, że zgodnie z Wytyczną 18.11 należy uwzględnić wyniki Wytycznej 19 (Klasyfikacja informacji i systemów informatycznych).

Obszar monitorowania i zarządzania ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego działa na podstawie wyników obszaru mierzenia ryzyka. Obszar ten skupia się na postępowaniu z ryzykiem. Zgodnie z opisem Wytycznej 18.12 możemy ryzyko ograniczyć, wytransferować, uniknąć go lub je zaakceptować. W obszarze tym mowa jest o stosowaniu mechanizmów kontrolnych – organizacyjnych, technicznych, administracyjnych – w celu ograniczenia ryzyka. Wymagane jest także badanie skuteczności wykorzystywanych zabezpieczeń, np. poprzez dedykowane audyty bezpieczeństwa lub testy penetracyjne (mowa o nich w Wytycznej 9.21).

Obszar monitorowania i raportowania ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na opracowywaniu raportów z przeprowadzonej analizy ryzyka i przedstawieniu ich zarządowi organizacji, np. poprzez System Informacji Zarządczej (SIZ – Wytyczna 2).
Maciej Jurczyk
ODO 24 sp. z o.o.

 

Pocztowe TUW: Stanisław Sokołowski nowym wiceprezesem

Z dniem 29 marca Stanisław Sokołowski został powołany na wiceprezesa zarządu Pocztowego Towarzystwa Ubezpieczeń Wzajemnych. Na tym stanowisku...


czytaj dalej

MetLife: Mirosław Kisyk za Łukasza Kalinowskiego na stanowisku prezesa

27 marca MetLife TUnŻiR poinformował, że Łukasz Kalinowski złożył rezygnację z pełnienia funkcji prezesa zarządu spółki i jednocześnie zakończył...


czytaj dalej

Najczęściej czytane

IFRS 17: Program do raportowania w nowym standardzie

Moody’s Analytics wypuścił program RiskIntegrityTM IFRS 17, rozwiązanie gotowe do działania w chmurze, mające pomóc ubezpieczycielom...


czytaj dalej

Insurtech: Włoska telematyka poza rosyjskim wpływem

Włoska Octo Telematics ogłosiła, że jej prezes i dyrektor generalny podpisali umowę zakupu 20% akcji Octo od rosyjskiej firmy Renova Holdings....


czytaj dalej

Rynek ubezpieczeń: Pod znakiem nowych regulacji

Gdy w marcu Sąd Najwyższy podjął uchwały dopuszczające możliwość przyznania zadośćuczynienia bliskim osoby ciężko poszkodowanej w wypadku, stało...


czytaj dalej

Nowa polisa PZU Ja Plus dostępna w moje.pzu.pl

PZU rozszerzył ofertę ubezpieczeń dostępnych on-line o polisy na życie. Nowy produkt PZU Ja Plus jest dostępny na portalu moje.pzu.pl obok...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Kursy on-line
Zamów newsletter
Facebook