Dogonić rynek

Nowe spojrzenie nadzorcze na zarządzanie obszarem IT i bezpieczeństwem w bankach wciąż budzi wiele wątpliwości natury formalnej.

Nowe spojrzenie nadzorcze na zarządzanie obszarem IT i bezpieczeństwem w bankach wciąż budzi wiele wątpliwości natury formalnej.

Na razie trwają konsultacje, ale Urząd Komisji Nadzoru Finansowego ma nadzieję, że nowelizacja Rekomendacji D zostanie opublikowana jeszcze w styczniu. Skąd ten pośpiech? Cóż, wiadomo, że poprzedni dokument opracowano w 2002 r., a 10 lat w przypadku IT to przepaść. - Poprzednia rekomendacja była dobra w swoim czasie, lecz przez dekadę zmieniła się sytuacja, chociażby w zakresie rozwoju technologicznego. Dziesięć lat temu nikt nie słyszał o Facebooku i smartfonach, użytkowników internetu było kilkakrotnie mniej - zauważa Mateusz Górnisiewicz z Departamentu Inspekcji Bankowych i Instytucji Płatniczych Komisji Nadzoru Finansowego. Dekadę temu bankowość elektroniczna właściwie dopiero raczkowała. Przez ten czas wzrosło znaczenie IT w bankach - nastąpiła automatyzacja procesów. - Do negatywów zaliczyć można pojawienie się w tym czasie nowych zagrożeń związanych ze zmianą wektora ataków w kierunku socjotechnicznym, przy jednoczesnym ich nasileniu - dodaje Mateusz Górnisiewicz. W jego opinii, nie można też pominąć milczeniem zebranych przez ten czas doświadczeń nadzorczych.

Reklama

Dla kogo?

- W nowelizacji chcieliśmy wskazać aktualne i całościowe oczekiwania nadzorcze dotyczące bezpiecznego zarządzania obszarem technologii informacyjnej. A także obszarem bezpieczeństwa środowiska teleinformatycznego, przy czyn przez to środowisko rozumiemy zarówno infrastrukturę, jak i wykorzystujące ją systemy informatyczne. Istotne znaczenie ma tu także zarządzanie ryzykiem związanym z tymi obszarami - tłumaczy przedstawiciel UKNF. Aktualnie trwa proces konsultacji publicznych, który już zbliża się do końca - właśnie analizowane są wszystkie napływające do KNF uwagi. Zdaniem Mateusza Górnisiewicza, ogólnie odzew jest raczej pozytywny. - Jednym z głównych wyzwań, jakie przed nami stanęły, było uczynienie tego dokumentu możliwe uniwersalnym, tak by odpowiadał on zarówno dużym, jak i małym bankom. W tym celu dokonaliśmy rozszerzenia zasady proporcjonalności w kierunku reguły comply or explain, czyli zgodności z tym, co jest opublikowane w dokumencie lub wyjaśnienia, dlaczego taka zgodność nie jest zachowana - zauważa przedstawiciel KNF. Wynika to ze specyfiki materii - organizacje różnią się między sobą, mają zróżnicowane stopnie złożoności środowisk IT, różne są także zagrożenia, na jakie banki są wystawiane. Niekiedy zróżnicowanie dotyczy też uwarunkowań prawnych. Nie istnieje więc jedno rozwiązanie dostosowane do wszystkich banków. - Zasada, którą przyjęliśmy, chociaż słuszna, stanowi z drugiej strony spore utrudnienie, bo będzie to wymagało żywego dialogu między bankami a nadzorem, popartego argumentami i analizą - ocenia przedstawiciel KNF. Nie można się w tym momencie nie zastanowić, czy aby banki nie mają w tym punkcie zbyt dużej dowolności, bo sam przepis wydaje się być nieco mglisty.

Co się zmienia?

Co ciekawe, zmienia się zakres rekomendacji, a więc także i sama jej nazwa. Wcześniej była to Rekomendacja D dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki. Obecnie jest to rekomendacja dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska informatycznego w bankach. Zmienił się także jej układ. - Chcieliśmy w nim ująć całościowo obszary, o których mówimy, jak i relacje między tymi obszarami. Jest to swoista klamra - wychodzimy od strategii i organizacji tych obszarów i dochodzimy aż do zarządzania bezpieczeństwem - dodaje Mateusz Górnisiewicz. - Gdzie zaszły największe zmiany? Zaczynając od strategii i organizacji - dość silnie zmodyfikowano i rozbudowano obszar planowania strategicznego. Mówimy bowiem, że banki powinny posiadać strategię dotyczącą obszarów IT i bezpieczeństwa - w formie dokumentu, który musi być realistyczny. Bank musi mieć świadomość i dogłębną wiedzę na temat tego, jak jego środowisko IT jest zbudowane, z jakich komponentów się składa, jaka jest architektura i współzależności oraz jak się ma to wszystko do potrzeb biznesowych. Strategia musi być regularnie przeglądana i w miarę potrzeb aktualizowana.

- Nowym elementem jest także wprowadzenie zasad współpracy obszarów biznesowych z technicznymi, gdzie zakładamy, że zarówno zakresy obowiązków, jak i reguły współdziałania, muszą być precyzyjnie określone - twierdzi przedstawiciel nadzoru. Ostatni element to system informacji zarządczej obszarów IT i bezpieczeństwa. Banki, zgodnie z rekomendacją, mają określić samodzielnie, kto powinien odbierać informacje, jakie informacje to powinny być i z jaką częstotliwością nadawane, aby każdy odbiorca miał odpowiedni poziom wiedzy.

Rozwoju dotyczą tylko dwie wytyczne. Pierwsza mówi o tym, że banki powinny wypracować metodykę zarządzania projektami - od zgłoszenia potrzeby, aż po zamknięcie projektu. Mowa jest o wdrażaniu nowych rozwiązań, gdzie wskazuje się, jakie obszary powinny być pokrywane przez wymagania i testy oprogramowania. - Mówimy tu również o zarządzaniu zmianami; podobnie jak poprzednio mówimy o konieczności opracowania zasad i ich przestrzegania w całym cyklu zarządzania zmianą. Ostatnią rzeczą w tym dziale jest wycofywanie rozwiązań informatycznych, które powinno być bezpieczne, czyli wiązać się z aktualizacją konfiguracji infrastruktury, aktualizacją dokumentacji, bezpieczną eliminacją urządzeń - tłumaczy Mateusz Górnisiewicz.

Jeśli chodzi o utrzymanie i eksploatację, to rekomendacja wypowiada się o nich bardzo szeroko. Przy zarządzaniu danymi pojawiają się dwie ważne rzeczy: zarządzanie architekturą danych, rozumianą jako posiadanie wiedzy dotyczącej tego, jakie informacje posiada instytucja, jakie są ich źródła i struktura (oraz właściciele), mowa także o umiejętnym z nich korzystaniu. Pojawia się także nowy element - zarządzanie jakością danych, w którym wskazywany jest pewien bardzo ogólny model. Banki powinny bowiem oceniać jakość danych, czyścić je w kontrolowany sposób, identyfikować przyczyny błędów oraz monitorować jakość informacji. Rekomendacja porusza też temat zewnętrznych dostawców usług - i tu pojawia się nowy element, czyli cloud computing. - Rozwiązania chmurowe chcemy polecać, ale przy założeniu, że wprowadzane są w sposób bezpieczny - dodaje Mateusz Górnisiewicz. Określono kilka wymagań, które mogą być dość trudne do realizacji. Można bowiem założyć, że bank powinien mieć świadomość, zwłaszcza w przypadku usług istotnych, w jakich lokalizacjach geograficznych dane są przetwarzane, jakie są tam uwarunkowania prawne. Bank musi mieć także możliwość szybkiego i bezpiecznego zakończenia współpracy z dostawcą usługi cloud computingu. - Wprowadzamy również pojęcie konsumeryzacji - tu banki powinny określić, jakie dane powinny być przetwarzane na urządzeniach własnych pracowników, z jakich sprzętów można korzystać, jakie aplikacje są dozwolone. Bardzo ważny element w tej materii to edukacja pracowników. Ale chodzi też o edukację klientów bankowości elektronicznej - szczególnie w kontekście zagrożeń - zauważa przedstawiciel KNF.

Co jest jeszcze istotne? W obszarze zarządzania bezpieczeństwem redefiniuje się proces zarządzania ryzykiem IT, dostosowując definicję do brzmienia znanego z Rekomendacji M. - Wprowadzamy pewne dodatkowe zasady przy klasyfikacji informacji, reguły związane z incydentami bezpieczeństwa - tu najistotniejszym elementem jest konieczność określania działań naprawczych i monitorowania ich po zajściu takich zdarzeń - kwituje Mateusz Górnisiewicz. Kilka zdań poświęcono też funkcji compliance, która powinna w obszarze IT weryfikować, czy spełniane są wymagania płynące z przepisów prawa, lub też wewnętrznych regulacji.

Co do przeróbki?

W kilu punktach swego komentarza eksperci Polskiej Izby Informatyki i Telekomunikacji wyrazili wątpliwości. I tak dla przykładu, tekst nowelizacji głosi, że Bank powinien posiadać sformalizowane zasady zarządzania oprogramowaniem użytkownika końcowego, skutecznie ograniczające ryzyko związane z eksploatacją tego oprogramowania. W ocenie PIIT ten punkt rekomendacji wymaga znaczącego przerobienia - po pierwsze, warto byłoby określić, kto to jest "użytkownik końcowy" - pracownik banku, zewnętrzny pracownik, np. agent, dostawca, a może pracownik z innego podmiotu tej samej grupy, który ma dostęp do niektórych systemów? A może klient banku, który przecież jest także użytkownikiem systemu?

Po drugie, jeśli oprogramowanie użytkownika końcowego jest zainstalowane na urządzeniu, które jest własnością osoby trzeciej, to bank nie może DOWOLNIE kształtować zasad zarządzania nim, ponieważ może dopuszczać się ingerencji w integralność cudzej własności. W czasach BYOD taka sytuacja nie jest niemożliwa. Po trzecie, bank nie tylko powinien mieć takie zasady, ale powinien je przedstawić odpowiednio użytkownikowi końcowemu. Dotyczy to RÓWNIEŻ wewnętrznych pracowników banku. Ale ogólna ocena dokumentu jest pozytywna zawarte w nim wskazania, jego struktura i użyte sformułowania świadczą o dogłębnej znajomości przedmiotu.

Krzysztof Maciejewski

Miesięcznik Finansowy Bank
Dowiedz się więcej na temat: Gazeta Bankowa | bankowość
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »