Zgodnie z wymaganiami Rekomendacji D Krajowego Nadzoru Finansowego, bank powinien zapewnić bezpieczeństwo informacji w swojej działalności. Zgodnie z wymaganiami Rekomendacji D Krajowego Nadzoru Finansowego, bank powinien zapewnić bezpieczeństwo informacji w swojej działalności obejmują:
Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego
Rekomendacja 1
Rada nadzorcza banku powinna nadzorować funkcjonowanie obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, natomiast zarząd banku powinien zapewnić, aby powyższe obszary zarządzane były w sposób poprawny i efektywny.
Rekomendacja 2
W banku powinien funkcjonować sformalizowany system informacji zarządczej w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zapewniający każdemu z odbiorców informacji właściwy poziom wiedzy o tych obszarach.
Rekomendacja 3
Bank powinien opracować i wdrożyć strategię w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zgodną ze strategią działania banku.
Rekomendacja 4
Bank powinien określić zasady współpracy oraz zakresy odpowiedzialności obszaru biznesowego, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, pozwalające na efektywne i bezpieczne wykorzystanie potencjału środowiska teleinformatycznego w działalności banku.
Rekomendacja 5
Rozwiązania organizacyjne oraz zasoby ludzkie w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być adekwatne do jego profilu ryzyka i specyfiki działalności oraz pozwalać na efektywną realizację działań w tych obszarach.
Rozwój środowiska teleinformatycznego
Rekomendacja 6
Bank powinien posiadać sformalizowane zasady prowadzenia projektów w zakresie środowiska teleinformatycznego, adekwatne do skali i specyfiki realizowanych projektów.
Rekomendacja 7
Systemy informatyczne banku powinny być rozwijane w sposób zapewniający wsparcie jego działalności oraz uwzględniający wymogi bezpieczeństwa środowiska teleinformatycznego.
Utrzymanie i eksploatacja środowiska teleinformatycznego
Rekomendacja 8Bank powinien posiadać sformalizowane zasady zarządzania danymi wykorzystywanymi w ramach prowadzonej działalności, obejmujące w szczególności zarządzanie architekturą oraz jakością danych i zapewniające właściwe wsparcie działalności banku.
Rekomendacja 9
Bank powinien posiadać sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych.
Rekomendacja 10
Bank powinien posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania środowiska teleinformatycznego, uwzględniające również usługi świadczone przez podmioty należące do grupy kapitałowej banku.
Rekomendacja 11
Bank powinien posiadać sformalizowane zasady oraz mechanizmy techniczne zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej.
Rekomendacja 12
Bank powinien zapewnić odpowiednią ochronę środowiska teleinformatycznego przed szkodliwym oprogramowaniem.
Rekomendacja 13
Bank powinien zapewniać wewnętrznym użytkownikom systemów informatycznych wsparcie w zakresie rozwiązywania problemów związanych z ich eksploatacją, w tym wynikających z wystąpienia awarii i innych niestandardowych zdarzeń zakłócających ich użytkowanie.
Rekomendacja 14
Bank powinien podejmować skuteczne działania mające na celu osiągnięcie i utrzymanie odpowiedniego poziomu kwalifikacji pracowników w zakresie środowiska teleinformatycznego i bezpieczeństwa informacji przetwarzanych w tym środowisku.
Rekomendacja 15
System zarządzania ciągłością działania banku powinien uwzględniać szczególne uwarunkowania związane z jego środowiskiem teleinformatycznym oraz przetwarzanymi w nim danymi.
Rekomendacja 16
Bank świadczący usługi z wykorzystaniem elektronicznych kanałów dostępu powinien posiadać skuteczne rozwiązania techniczne i organizacyjne zapewniające weryfikację tożsamości i bezpieczeństwo danych oraz środków klientów, jak również edukować klientów w zakresie zasad bezpiecznego korzystania z tych kanałów.
Rekomendacja 17
Bank powinien posiadać sformalizowane zasady zarządzania tzw. oprogramowaniem użytkownika końcowego1, skutecznie ograniczające ryzyko związane z eksploatacją tego oprogramowania.
Zarządzanie bezpieczeństwem, środowiska teleinformatycznego
Rekomendacja 18
W banku powinien funkcjonować sformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w banku.
Rekomendacja 19
Bank powinien klasyfikować systemy informatyczne i przetwarzane w nich informacje zgodnie z zasadami uwzględniającymi w szczególności wymagany dla tych systemów i informacji poziom bezpieczeństwa.
Rekomendacja 20
Bank powinien posiadać sformalizowane zasady zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowanie działań naprawczych oraz usuwanie przyczyn.
Rekomendacja 21
Bank powinien zapewnić zgodność funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego z wymaganiami prawnymi, regulacjami wewnętrznymi i zewnętrznymi, zawartymi umowami i przyjętymi w banku standardami.
Rekomendacja 22
Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów.
Bank odpowiedzialny jest za przeprowadzanie audytów wewnętrznych i zewnętrznych, które mają na celu weryfikację wypełnienie rekomendacji D KNF. Bank powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego i stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą powołania w ramach audytu wewnętrznego jednostki odpowiedzialnej za audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.
Osoby odpowiedzialne za przeprowadzanie audytów obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinny posiadać odpowiednie kwalifikacje. Audyty powinny być przeprowadzane z wykorzystaniem uznanych standardów międzynarodowych i dobrych praktyk w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, jak np.:
– standardy dotyczące audytowania systemów informatycznych ISACA (Information Systems Audit and Control Association),
– COBIT (Control Objectives for Information and related Technology),
76 Patrz też: sekcja „System informacji zarządczej”.
Rekomendacja D Strona 61 z 61
– GTAG (Global Technology Audit Guide) oraz GAIT (Guide to the Assessment for IT Risk),
– normy ISO (International Organization for Standardization).
Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinien być przeprowadzany regularnie oraz każdorazowo po wprowadzeniu zmian mogących znacząco wpłynąć na poziom bezpieczeństwa środowiska teleinformatycznego. Częstotliwość i zakres audytów powinny wynikać z poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz wyników ich wcześniejszych przeglądów.
Zlecanie dodatkowych audytów profesjonalnym instytucjom zewnętrznym specjalizującym się w badaniu obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego jest czynnikiem, który może wzmocnić w istotny sposób kontrolę nad ryzykiem związanym z tym obszarem.
W związku z tym, bank powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą uzupełnienia działań audytu wewnętrznego przez audyty zewnętrzne przeprowadzane przez tego rodzaju podmioty, w szczególności w zakresie obszarów o wysokim poziomie ryzyka.
Zapraszamy do skorzystania z oferowanych przez nas audytów bezpieczeństwa oraz testów podatności. Nasz zespół składa się z audytorów wiodących normy ISO/IEC 27001, ISO 22301 oraz CISA.