Kroki milowe wdrożenia Wytycznych IT KNF
wtorek, 12 kwietnia 2016 08:42

Wdrożenie wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (Wytyczne IT KNF) jest procesem długoterminowym, narażonym na liczne przeszkody – kadrowe, finansowe, organizacyjne, itp. Ze względu na te trudności, proces zaleca się realizować w sposób formalny i zorganizowany, najlepiej zgodnie z posiadaną procedurą prowadzenia projektów. Pozwoli to na przetestowanie poprawności procedury i jednoczesne dostarczenie dowodów w przypadku audytu Wytycznej 6. (projekty w zakresie środowiska teleinformatycznego).

Spośród wszystkich 22 wytycznych, warto wskazać te, które ze względu na ogromny wpływ na całość procesów zachodzących w danej organizacji, stanowią we wdrożeniu tzw. kroki milowe. Będą to Wytyczne nr 3, 5, 8, 9, 14, 15, 18 i 19, z czego na szczególną uwagę zasługują Wytyczna 15 (ciągłość działania) oraz Wytyczna 18 (system zarządzania bezpieczeństwem środowiska teleinformatycznego).

Wyzwania

Wdrożenie wytycznych wchodzących w skład „kroków milowych” powinno być starannie przygotowane poprzez wykonanie analizy wykonalności, szczegółowego harmonogramu realizacji oraz wyznaczenia punktów kontrolnych. Najważniejszym czynnikiem jest oczywiście czas realizacji.

Jednym z głównych wyzwań będzie tu opracowanie procedur. Niestety, często okazuje się, że nowe regulacje są jedynie „produktem” zawierającym niezbędne elementy, niespójnym z resztą funkcjonujących w firmie procedur. W takim przypadku zapewniona będzie tylko częściowa zgodność z Wytycznymi IT KNF.

Wyzwaniem jest również dotrzymanie terminu wdrożenia. Upływa on 31 grudnia br., a więc czasu jest już naprawdę niewiele. Na podstawie doświadczeń z realizacji w sektorze bankowym tzw. Rekomendacji D, można wnioskować, że w większości organizacji proces wdrożenia się przedłuży. Szansę na ukończenie prac w terminie mają właściwie tylko te organizacje, które obecnie kończą proces wdrożeniowy. Potrzeba bowiem dodatkowego czasu na udokumentowanie działającego procesu lub wdrożenie/uruchomienie zaprojektowanych zabezpieczeń.

Zgodność

Na szczególną uwagę zasługuje zgodność opracowanych regulacji/procedur z obowiązującymi regulacjami prawnymi i/lub wymaganiami branżowymi, takimi jak:

  • Ustawa o ochronie danych osobowych,
  • Dyrektywa Wypłacalność II (Solvency II), 
  • Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.


Zgodność formalnoprawna została ujęta również w Wytycznych IT KNF (Wytyczna 21). Należy o tym pamiętać przy realizacji wdrożenia, by na końcowym etapie wdrożenia nie okazało się, że opracowane regulacje/procesy są sprzeczne z obowiązującymi ustawami lub wymogami branżowymi.

Wytyczna 15 – ciągłość działania

Wytyczna została podzielona na cztery części składowe:

  1. plany ciągłości działania i plany awaryjne,
  2. zasoby techniczne oraz warunki fizyczne i środowiskowe, 
  3. kopie awaryjne, 
  4. weryfikacja efektywności podejścia do zarządzania ciągłością działania.


Obszar planów ciągłości działania i planów awaryjnych skupia się na opracowaniu regulacji, czyli formalnych zapisów przywrócenia do działania krytycznych w organizacji procesów na akceptowanym przez klientów poziomie, gwarantując jakość świadczonych usług. Regulacje te mają uchronić organizację przed poniesieniem strat finansowych oraz utratą reputacji.

W Wytycznej 15.2 wymienione zostały kluczowe elementy planu ciągłości działania – organizacja, komunikacja, procesy krytyczne, czasy przywrócenia usług oraz potrzebne zasoby.

Ważnym aspektem dla określenia struktury organizacyjnej systemu zarządzania ciągłością działania jest też wykonanie analizy, o której mowa w Wytycznej 15.3. Ma ona wskazać, czy istnieje konieczność powołania komitetu do spraw ciągłości działania.

W dalszej części wytyczne skupiają się na roli środowiska teleinformatycznego oraz poprawiania opracowanych procedur odtworzeniowych. W ramach opracowywania procedur komunikacji wewnętrznej należy pamiętać również o zewnętrznych dostawcach usług, którzy niejednokrotnie mają kluczowe znaczenie w odtworzeniu procesów krytycznych.

Obszar zasobów technicznych oraz warunków fizycznych i środowiskowych skupia się na zabezpieczeniu zasobów niezbędnych do utrzymania środowiska teleinformatycznego na potrzeby procesów krytycznych. W Wytycznej 15.10 pojawia się wymóg posiadania lokalizacji zapasowej, dostosowanej do skali i specyfiki organizacji. Ważnym aspektem niezawodności zasobów teleinformatycznych jest ich bezpieczeństwo fizyczne, które powinno wynikać z analizy bezpieczeństwa fizycznego i środowiskowego, szczegółowo opisanej w Wytycznych 15.13 i 15.14.

Obszar kopii zapasowych skupia się na zabezpieczeniu organizacji w awaryjne kopie danych, systemów informatycznych oraz konfiguracji kluczowych komponentów infrastruktury teleinformatycznej. Szczególną uwagę zwrócono na formalne zapisy w postaci regulacji i instrukcji odtwarzania komponentów środowiska teleinformatycznego na podstawie kopii awaryjnych oraz testowania poprawności ich zapisu.

Obszar weryfikacji efektywności podejścia do zarządzania ciągłością działania skupia się na weryfikacji przejętego podejścia w zakresie środowiska teleinformatycznego, w tym też odtworzenia działalności w oparciu o środowisko zapasowe. Testy powinny być udokumentowane, a wyniki testów przedstawiane zarządowi, np. poprzez System Informacji Zarządczej (SIZ – Wytyczna 2).

Wytyczna 18 – system zarządzania bezpieczeństwem środowiska teleinformatycznego

Wytyczna została podzielona na pięć części składowych:

  1. wstęp,
  2. identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  3. mierzenie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  4. monitorowanie i zarządzanie ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  5. monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego.


Wstęp skupia się na opracowaniu regulacji „Zasady bezpieczeństwa informacji”, wynikającej z Wytycznej 18.1. W dalszych wytycznych mowa jest o ciągłym doskonaleniu wdrożonego systemu oraz o wykorzystywaniu dobrych praktyk z międzynarodowych norm ISO/IEC 27000. Po wykonaniu stosownej analizy możemy więc zdecydować, czy zastosujemy model ciągłego doskonalenia, zgodnego z modelem PDCA (cyklem Deminga), czy jako punkt wyjścia do zarządzania ryzykiem utraty atrybutów bezpieczeństwa informacji będziemy wykorzystywać normę ISO/IEC 27005. Dodatkowo, Wytyczna 18.4 wymaga ścisłej integracji systemu zarządzania bezpieczeństwem środowiska teleinformatycznego z systemem zarządzania ryzykiem operacyjnym.

Obszar identyfikacji ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na identyfikacji zagrożeń i podatności dla środowiska teleinformatycznego. W celu podjęcia decyzji, czy warto wdrożyć system do automatycznego wykrywania podatności, należy wykonać stosowną analizę. W przypadku zmaterializowania się zagrożenia, Wytyczna 18.8 wymaga uwzględnienia zdarzenia w bazie zdarzeń operacyjnych.

Obszar mierzenia ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na określeniu prawdopodobieństwa i potencjalnego wpływu – materialnego i niematerialnego – zaistnienia  zagrożeń, a następnie dokonanie oceny ryzyka. Należy pamiętać, że zgodnie z Wytyczną 18.11 należy uwzględnić wyniki Wytycznej 19 (Klasyfikacja informacji i systemów informatycznych).

Obszar monitorowania i zarządzania ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego działa na podstawie wyników obszaru mierzenia ryzyka. Obszar ten skupia się na postępowaniu z ryzykiem. Zgodnie z opisem Wytycznej 18.12 możemy ryzyko ograniczyć, wytransferować, uniknąć go lub je zaakceptować. W obszarze tym mowa jest o stosowaniu mechanizmów kontrolnych – organizacyjnych, technicznych, administracyjnych – w celu ograniczenia ryzyka. Wymagane jest także badanie skuteczności wykorzystywanych zabezpieczeń, np. poprzez dedykowane audyty bezpieczeństwa lub testy penetracyjne (mowa o nich w Wytycznej 9.21).

Obszar monitorowania i raportowania ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na opracowywaniu raportów z przeprowadzonej analizy ryzyka i przedstawieniu ich zarządowi organizacji, np. poprzez System Informacji Zarządczej (SIZ – Wytyczna 2).
Maciej Jurczyk
ODO 24 sp. z o.o.

 

InterRisk: Piotr Karda opuszcza zarząd spółki

W wyniku obustronnego porozumienia w grudniu Piotr Karda przestanie pełnić funkcję członka zarządu InterRisk. Od  16 listopada do czasu...
czytaj dalej

PTR: Jacek Kugacz nowym prezesem

3 listopada rada nadzorcza Polskiego Towarzystwa Reasekuracji powołała Jacka Kugacza na stanowisko prezesa zarządu.

Jacek Kugacz jest...


czytaj dalej

Amazon: Gotowość, by zatrząść ubezpieczeniami

Amazon rekrutuje w Londynie profesjonalistów ubezpieczeniowych do nowego zespołu mającego przebojem wejść na rynek ubezpieczeniowy w Wlk....
czytaj dalej

Europa: Bez innowacji ani rusz

Z badania przeprowadzonego wśród ubezpieczycieli ze Starego Kontynentu przez Pierre Audoin Consultants (PAC) wynika, że tylko jedna trzecia...
czytaj dalej

Rynek ubezpieczeń: Silny wpływ branży na polską gospodarkę

W trakcie Kongresu 590 Polska Izba Ubezpieczeń (PIU) zaprezentowała pierwsze w Polsce opracowanie opisujące wpływ branży ubezpieczeniowej na...


czytaj dalej

UFG: Stan wiedzy na temat ochrony ofiar wypadków drogowych

Na stronie internetowej Ubezpieczeniowego Funduszu Gwarancyjnego (UFG) został opublikowany pełny raport z badania, w którym firma badawcza GfK...
czytaj dalej

Sprzedaż



 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Partnerzy