niedziela, Grudzień 8

Jest trochę zmian, a czasu mało. Nowe wytyczne EBA w sprawie zarządzania ryzykami IT oraz bezpieczeństwa. Cz. 1. Definicja, strategia i strony trzecie

Google+ Pinterest LinkedIn Tumblr +

W ostatnim tygodniu Europejski Urząd Nadzoru Bankowego (EBA) opublikował nową wersję wytycznych w sprawie zarządzania ryzykami teleinformatycznymi (ICT) oraz bezpieczeństwa. Na pierwszy rzut oka nie wydają się one rewolucyjne, jednak jest kilka elementów, które uległy istotnej zmianie od 2017 r. Ważne jest też to jak wpływają one na niedawno opublikowane wytyczne EBA w sprawie outsourcingu (oraz komunikat KNF w tej sprawie), a także potencjalnie projekt komunikatu KNF w sprawie wykorzystania chmury obliczeniowej. Wytyczne mają znaczenie zarówno dla banków, jak i dostawców usług płatniczych, którzy są obowiązani do posiadania ramowego systemu zarządzania ryzykiem, w tym krajowych instytucji płatniczych. W cyklu artykułów przejdę przez najistotniejsze elementy dokumentu. Zaczynamy!

Posiadanie odpowiednich rozwiązań w zakresie zarządzania ryzykiem bezpieczeństwa oraz ICT to wymóg „rozsiany” po wielu regulacjach. Z punktu widzenia banków najistotniejsze będzie Rozporządzenie Ministra Finansów w sprawie zarządzania ryzykiem, wytyczne EBA w sprawie zarządzania wewnętrznego, ale również ustawa o cyberbezpieczeństwie i akty delegowane (warto przeczytać ten artykuł), a także rekomendacje ws. bezpieczeństwa opracowane przez grupę ds. PolishAPI przy ZBP (więcej tutaj). Z kolei z punktu widzenia dostawców usług płatniczych kluczowa będzie ustawa o usługach płatniczych (w szczególności art. 64a) oraz ww. wytyczne wraz z wytycznymi EBA w sprawie udzielania zezwoleń pod PSD2 (głównie z perspektywy dostawców usług inicjowania płatności oraz dostępu do informacji o rachunku).

Przy tej okazji warto zwrócić uwagę na krótki okres na wdrożenie (czerwiec 2020), tym bardziej, że wytyczne „dotykają” również umów outsourcingowych (o czym w dalszej części).

Nowa definicja ryzyka

To co wysuwa się na plan pierwszy to nowa definicja ryzyka ICT oraz bezpieczeństwa. W pewnym uproszczeniu (na razie brakuje polskiej wersji językowej) jest to ryzyko utraty integralności systemów oraz danych, niepoprawnego działania lub niedostępności systemów lub danych czy też możliwości „podmiany” stosowanej technologii informatycznej w rozsądny czasie i „za rozsądne pieniądze”, które powstałe wskutek utraty poufności (nieuprawnionego dostępu).

Definicja ta wskazuje, że tego typu ryzyka mogą powstać w szczególności w związku z niewłaściwymi procedurami wewnętrznymi (w tym brakiem kontroli dostępu na zasadzie „wiedzy koniecznej”) lub zewnętrznymi zdarzeniami, które mogą obejmować ataki cybernetyczne lub niewłaściwe zabezpieczenia fizyczne.

Na tą definicję warto zwrócić uwagę przede wszystkim ze względu na proces zarządzania incydentami (opisany m.in. w wytycznych EBA w tej sprawie oraz komunikacie KNF w sprawie raportowania incydentów).

Strategia!

Podmiot musi posiadać odpowiednią strategię ICT. To z kolei wymaga posiadania odpowiedniego (doświadczonego i „wyedukowanego”) personelu, który będzie w stanie ją zaimplementować. Zarząd odpowiada również za zapewnienie przeszkolenia, np. w kontekście nowych zagrożeń w zakresie cyberbezpieczeństwa. Warto zwrócić uwagę, że w wytycznych znajdziemy nowe obowiązki związane z tzw. ICT project management. Napiszę o tym w kolejnym artykule.

Taka strategia powinna być dostosowana do strategii biznesowej instytucji, która jest przyjmowana najczęściej przez zarząd. Musi ona zawierać:

  1. informacje jak podmiot zamierza zapewnić prawidłowe wykonywanie ogólnej strategii biznesowej oraz dostosowywać się do wymogów zmieniającego się otoczenia;
  2. planowane działania oraz „ewolucję” architektury informatycznej (również w odniesieniu do wykorzystania outsourcerów);
  3. jasną informację odnośnie celów komórki bezpieczeństwa oraz tego jak będzie ona realizować te cele.

Taki plan działania (strategia) powinien być regularnie aktualizowany i nie mieć charakteru wyłącznie życzeniowego. Musi mu towarzyszyć odpowiedni zestaw narzędzi. Co istotne, taka strategia (lub jej część) powinna być komunikowana do wszystkich pracowników podmiotu, ale także dostawców usług outsourcingowych, a nawet tzw. Third Party Providers.

No właśnie. Outsourcing a cyberbezpieczeństwo.

Nowe wytyczne kładą nacisk na obowiązki związane ze współpracą z podmiotami trzecimi. Najważniejsze jest tutaj zapewnienie, że podmiot posiada efektywne środki zarządzania ryzykiem, które uwzględniają, że niektóre czynności operacyjne (w tym związane z usługami płatniczymi) mogą być powierzane podmiotom zewnętrznym lub też infrastruktura IT wykorzystywana jest przez podmioty trzecie (np. w ramach otwartej bankowości z użyciem Application Programming Interface – nieco więcej na ten temat w tym artykule). Znaczenie będzie tutaj miała nie tylko polityka (procedury) zarządzania ryzykiem, ale odpowiednio dostosowana polityka outsourcingu.

Same polityki i procedury nie będą jednak efektywne (choć na etapie „projektowania” współpracy będą istotne), jeżeli nie będzie im towarzyszył odpowiednio „skrojony” kontrakt (o „dobrych” umowach outsourcingowych pisałem tutaj). Z tego względu bardzo istotne będzie zapewnienie, że w umowach z outsourcerami mamy określone tzw. Service Level Targets oraz:

  1. zasady wymiany informacji i realizacji obowiązków w zakresie bezpieczeństwa (w tym minimalne standardy w zakresie cyberbezpieczeństwa – pomocne mogą być tutaj wytyczne OWASP);
  2. zasady rozwiązywania (i zgłaszania) incydentów operacyjnych i bezpieczeństwa, a także sposobu eskalowania zidentyfikowanych problemów oraz raportowania.

W umowie (oraz właściwych procedurach) należy określić zasady monitorowania oraz weryfikowania spełnienia wszelkich poziomów (np. dostępności usługi) istotnych z punktu widzenia podmiotu. Będzie to miało kluczowe znaczenie w przypadku outsourcingu szczególnego (vide projekt komunikatu KNF) czy outsourcingu obejmującego funkcje istotne.

Pewne elementy będą musiały znaleźć się również w planach ciągłości biznesowej (BCP) – więcej tutaj – oraz planach recovery. O tym jednak w kolejnej odsłonie.

Na dzisiaj koniec

W przyszłym tygodniu zajmę się bardziej szczegółowo zasadami zarządzania ryzykiem ICT oraz bezpieczeństwa, w tym samą polityką bezpieczeństwa.

 

 

 

 

Udostępnij.

Zostaw komentarz