Kroki milowe wdrożenia Wytycznych IT KNF
wtorek, 12 kwietnia 2016 08:42

Wdrożenie wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (Wytyczne IT KNF) jest procesem długoterminowym, narażonym na liczne przeszkody – kadrowe, finansowe, organizacyjne, itp. Ze względu na te trudności, proces zaleca się realizować w sposób formalny i zorganizowany, najlepiej zgodnie z posiadaną procedurą prowadzenia projektów. Pozwoli to na przetestowanie poprawności procedury i jednoczesne dostarczenie dowodów w przypadku audytu Wytycznej 6. (projekty w zakresie środowiska teleinformatycznego).

Spośród wszystkich 22 wytycznych, warto wskazać te, które ze względu na ogromny wpływ na całość procesów zachodzących w danej organizacji, stanowią we wdrożeniu tzw. kroki milowe. Będą to Wytyczne nr 3, 5, 8, 9, 14, 15, 18 i 19, z czego na szczególną uwagę zasługują Wytyczna 15 (ciągłość działania) oraz Wytyczna 18 (system zarządzania bezpieczeństwem środowiska teleinformatycznego).

Wyzwania

Wdrożenie wytycznych wchodzących w skład „kroków milowych” powinno być starannie przygotowane poprzez wykonanie analizy wykonalności, szczegółowego harmonogramu realizacji oraz wyznaczenia punktów kontrolnych. Najważniejszym czynnikiem jest oczywiście czas realizacji.

Jednym z głównych wyzwań będzie tu opracowanie procedur. Niestety, często okazuje się, że nowe regulacje są jedynie „produktem” zawierającym niezbędne elementy, niespójnym z resztą funkcjonujących w firmie procedur. W takim przypadku zapewniona będzie tylko częściowa zgodność z Wytycznymi IT KNF.

Wyzwaniem jest również dotrzymanie terminu wdrożenia. Upływa on 31 grudnia br., a więc czasu jest już naprawdę niewiele. Na podstawie doświadczeń z realizacji w sektorze bankowym tzw. Rekomendacji D, można wnioskować, że w większości organizacji proces wdrożenia się przedłuży. Szansę na ukończenie prac w terminie mają właściwie tylko te organizacje, które obecnie kończą proces wdrożeniowy. Potrzeba bowiem dodatkowego czasu na udokumentowanie działającego procesu lub wdrożenie/uruchomienie zaprojektowanych zabezpieczeń.

Zgodność

Na szczególną uwagę zasługuje zgodność opracowanych regulacji/procedur z obowiązującymi regulacjami prawnymi i/lub wymaganiami branżowymi, takimi jak:

  • Ustawa o ochronie danych osobowych,
  • Dyrektywa Wypłacalność II (Solvency II), 
  • Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.


Zgodność formalnoprawna została ujęta również w Wytycznych IT KNF (Wytyczna 21). Należy o tym pamiętać przy realizacji wdrożenia, by na końcowym etapie wdrożenia nie okazało się, że opracowane regulacje/procesy są sprzeczne z obowiązującymi ustawami lub wymogami branżowymi.

Wytyczna 15 – ciągłość działania

Wytyczna została podzielona na cztery części składowe:

  1. plany ciągłości działania i plany awaryjne,
  2. zasoby techniczne oraz warunki fizyczne i środowiskowe, 
  3. kopie awaryjne, 
  4. weryfikacja efektywności podejścia do zarządzania ciągłością działania.


Obszar planów ciągłości działania i planów awaryjnych skupia się na opracowaniu regulacji, czyli formalnych zapisów przywrócenia do działania krytycznych w organizacji procesów na akceptowanym przez klientów poziomie, gwarantując jakość świadczonych usług. Regulacje te mają uchronić organizację przed poniesieniem strat finansowych oraz utratą reputacji.

W Wytycznej 15.2 wymienione zostały kluczowe elementy planu ciągłości działania – organizacja, komunikacja, procesy krytyczne, czasy przywrócenia usług oraz potrzebne zasoby.

Ważnym aspektem dla określenia struktury organizacyjnej systemu zarządzania ciągłością działania jest też wykonanie analizy, o której mowa w Wytycznej 15.3. Ma ona wskazać, czy istnieje konieczność powołania komitetu do spraw ciągłości działania.

W dalszej części wytyczne skupiają się na roli środowiska teleinformatycznego oraz poprawiania opracowanych procedur odtworzeniowych. W ramach opracowywania procedur komunikacji wewnętrznej należy pamiętać również o zewnętrznych dostawcach usług, którzy niejednokrotnie mają kluczowe znaczenie w odtworzeniu procesów krytycznych.

Obszar zasobów technicznych oraz warunków fizycznych i środowiskowych skupia się na zabezpieczeniu zasobów niezbędnych do utrzymania środowiska teleinformatycznego na potrzeby procesów krytycznych. W Wytycznej 15.10 pojawia się wymóg posiadania lokalizacji zapasowej, dostosowanej do skali i specyfiki organizacji. Ważnym aspektem niezawodności zasobów teleinformatycznych jest ich bezpieczeństwo fizyczne, które powinno wynikać z analizy bezpieczeństwa fizycznego i środowiskowego, szczegółowo opisanej w Wytycznych 15.13 i 15.14.

Obszar kopii zapasowych skupia się na zabezpieczeniu organizacji w awaryjne kopie danych, systemów informatycznych oraz konfiguracji kluczowych komponentów infrastruktury teleinformatycznej. Szczególną uwagę zwrócono na formalne zapisy w postaci regulacji i instrukcji odtwarzania komponentów środowiska teleinformatycznego na podstawie kopii awaryjnych oraz testowania poprawności ich zapisu.

Obszar weryfikacji efektywności podejścia do zarządzania ciągłością działania skupia się na weryfikacji przejętego podejścia w zakresie środowiska teleinformatycznego, w tym też odtworzenia działalności w oparciu o środowisko zapasowe. Testy powinny być udokumentowane, a wyniki testów przedstawiane zarządowi, np. poprzez System Informacji Zarządczej (SIZ – Wytyczna 2).

Wytyczna 18 – system zarządzania bezpieczeństwem środowiska teleinformatycznego

Wytyczna została podzielona na pięć części składowych:

  1. wstęp,
  2. identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  3. mierzenie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  4. monitorowanie i zarządzanie ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego, 
  5. monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego.


Wstęp skupia się na opracowaniu regulacji „Zasady bezpieczeństwa informacji”, wynikającej z Wytycznej 18.1. W dalszych wytycznych mowa jest o ciągłym doskonaleniu wdrożonego systemu oraz o wykorzystywaniu dobrych praktyk z międzynarodowych norm ISO/IEC 27000. Po wykonaniu stosownej analizy możemy więc zdecydować, czy zastosujemy model ciągłego doskonalenia, zgodnego z modelem PDCA (cyklem Deminga), czy jako punkt wyjścia do zarządzania ryzykiem utraty atrybutów bezpieczeństwa informacji będziemy wykorzystywać normę ISO/IEC 27005. Dodatkowo, Wytyczna 18.4 wymaga ścisłej integracji systemu zarządzania bezpieczeństwem środowiska teleinformatycznego z systemem zarządzania ryzykiem operacyjnym.

Obszar identyfikacji ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na identyfikacji zagrożeń i podatności dla środowiska teleinformatycznego. W celu podjęcia decyzji, czy warto wdrożyć system do automatycznego wykrywania podatności, należy wykonać stosowną analizę. W przypadku zmaterializowania się zagrożenia, Wytyczna 18.8 wymaga uwzględnienia zdarzenia w bazie zdarzeń operacyjnych.

Obszar mierzenia ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na określeniu prawdopodobieństwa i potencjalnego wpływu – materialnego i niematerialnego – zaistnienia  zagrożeń, a następnie dokonanie oceny ryzyka. Należy pamiętać, że zgodnie z Wytyczną 18.11 należy uwzględnić wyniki Wytycznej 19 (Klasyfikacja informacji i systemów informatycznych).

Obszar monitorowania i zarządzania ryzykiem w zakresie bezpieczeństwa środowiska teleinformatycznego działa na podstawie wyników obszaru mierzenia ryzyka. Obszar ten skupia się na postępowaniu z ryzykiem. Zgodnie z opisem Wytycznej 18.12 możemy ryzyko ograniczyć, wytransferować, uniknąć go lub je zaakceptować. W obszarze tym mowa jest o stosowaniu mechanizmów kontrolnych – organizacyjnych, technicznych, administracyjnych – w celu ograniczenia ryzyka. Wymagane jest także badanie skuteczności wykorzystywanych zabezpieczeń, np. poprzez dedykowane audyty bezpieczeństwa lub testy penetracyjne (mowa o nich w Wytycznej 9.21).

Obszar monitorowania i raportowania ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego skupia się na opracowywaniu raportów z przeprowadzonej analizy ryzyka i przedstawieniu ich zarządowi organizacji, np. poprzez System Informacji Zarządczej (SIZ – Wytyczna 2).
Maciej Jurczyk
ODO 24 sp. z o.o.

 

TUW PZUW: Jakub Papuga nowym członkiem zarządu

W skład władz Towarzystwa Ubezpieczeń Wzajemnych Polskiego Zakładu Ubezpieczeń Wzajemnych (TUW PZUW) wejdzie nowa osoba. Od 1 lutego funkcję...


czytaj dalej

Pramerica Życie: Borys Kowalski nowym członkiem zarządu

Rada nadzorcza Pramerica Życie powołała w skład zarządu Borysa Kowalskiego. Nowy członek władz towarzystwa będzie odpowiedzialny za Pion...


czytaj dalej

Turcja: Talanx przejmuje Liberty Sigorta

23 stycznia Talanx poinformował o zawarciu porozumienia w sprawie nabycia 99,4% udziałów w Liberty Sigorta A.S., tureckim oddziale amerykańskiej...


czytaj dalej

Hippo: Inwestorzy finansują ekspansję insurtecha

Kalifornijska firma z sektora insurtech Hippo pozyskała 25 mln dol. z emisji Serii B od Comcast Ventures i Fifth Wall oraz innych inwestorów.

...


czytaj dalej

rankomat.pl: Stabilizacja cen OC

Ceny OC pomiędzy 2015 a 2016 rokiem wzrosły o 45%. Pomiędzy 2016 a 2017 tempo wzrostu było już niższe (24%). W ostatnim kwartale minionego roku...


czytaj dalej

Kasia Moś i The Chance będą nadal reklamować Link4

Powstaną kolejne muzyczne reklamy z udziałem Kasi Moś i zespołu The Chance. Link4 przedłużył kontrakt reklamowy z artystkami, które obecnie można...


czytaj dalej

Sprzedaż



 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Partnerzy