Österreich
Secure Your Business
 

ZARZĄDZANIE RYZYKIEM I BEZPIECZEŃSTWEM INFORMACJI W BANKACH SPÓŁDZIELCZYCH



Czasy, gdy informacje zbierane były w pojedynczych systemach komputerowych to już przeszłość. W chwili obecnej żadna firma nie może obyć się bez kompleksowego systemu informatycznego wspomagającego ją w jej podstawowej działalności.

 

Niestety, oprócz oczywistych korzyści, rozbudowane systemy komputerowe są także źródłem nowych zagrożeń, które muszą być brane pod uwagę przy planowaniu codziennej działalności. Naruszenie bezpieczeństwa informacji niesie za dobą straty materialne wynikające z konieczności jej odtworzenia, przerw w działalności, a także niematerialne wynikające chociażby z utraty dobrego wizerunku. Coraz więcej organizacji poszukuje systemowego podejścia do problemu ochrony informacji, zastanawiając się nie tylko nad tym jak ową informację chronić, ale także, jak monitorować skuteczność wdrożonych zabezpieczeń.

Mając na uwadze wszystkie te korzyści i zagrożenia Komisja Nadzoru Finansowego wprowadziła
8 stycznia 2013r. ,,Nową" Rekomendację D, nakładającą na banki i instytucje kredytowe obowiązek przeprowadzania audytów bezpieczeństwa systemów teleinformatycznych i ich otoczenia. Oprócz systematycznych działań w tym zakresie, zapisy wskazują na konieczność wykonania dodatkowych audytów, zawsze wtedy, gdy wprowadzone w instytucji zmiany techniczne lub organizacyjne mogły wpłynąć na bezpieczeństwo środowiska teleinformatycznego.
 

Wraz z wprowadzeniem rekomendacji D banki zaczęły odczuwać potrzebę systematyzowania podejścia służącego zarządzaniu bezpieczeństwem, które jednocześnie spełniałoby stawiane przed nimi zalecenia i wymagania prawne. Odpowiedzią na to zapotrzebowanie stała sie norma opisująca System Zarządzania Bezpieczeństwem Informacji PN-ISO/IEC 27001:2013, a na podstawie jej poprzedników KNF opracowała dla instytucji rekomendację D.

zarzadzanie-bezpieczenstwem-informacjiZakres normy ISO 27001 jest szerszy niż ten przedstawiony w rekomendacji D, a budowa pozwala na dostosowanie jej wymogów w praktycznie każdej organizacji. ISO 27001 umożliwia zaprojektowanie
i wdrożenie Systemu Zarządzania Bezpieczeństwem informacji odpowiedniego do potrzeb każdej organizacji. Zapewnia ona podejście procesowe oraz zwraca uwagę użytkowników na szczególne znaczenie ochrony informacji w organizacji, poprzez podnoszenie ich świadomości. Norma stosuje model PDCA (,,Planuj-Wykonuj-Sprawdzaj-Działaj"), znany także z zaleceń OECD na których opiera się bezpieczeństwo systemów informatycznych i sieci.
 

Zarządzanie bezpieczeństwem środowiska IT wymaga szczegółowej wiedzy o specyfice organizacji, zasobach procesowych, technologiach i wreszcie ludzkich, które są unikalne w kontekście każdego
z banków. Proces zarządzania IT musi być szyty na miarę, dopasowany indywidualnie do wymagań
i potrzeb oraz poprzedzonych wnikliwą analizą ryzyka informatycznego i operacyjnego banku.

W związku z tym, jednocześnie z Rekomendacją D Komisja Nadzoru Finansowego wydała Rekomendację M dotyczącą zarządzania ryzykiem operacyjnym w bankach. Celem nowelizacji było usystematyzowanie i upowszechnienie dobrych praktyk w zarządzaniu ryzykiem operacyjnym we wszystkich bankach, niezależnie od złożoności struktury i procesów w bankach, z uwzględnieniem zasady proporcjonalności.

Risk-Image

W tym przypadku odpowiedzią na Rekomendację M jest wdrożenie i stosowanie przez banki Systemu Zarządzania Ryzykiem zgodnego z wymaganiami normy ISO 31000. Systemy zarządzania ryzykiem zakłada systematyczne podejście do przewidywania potencjalnych sytuacji zagrożenia. Dobrze ukierunkowane i systematyczne zapobieganie jest najlepszą ochroną dla banków, mającą na celu uniknięcia potencjalnych skutków wyrządzonych przez zagrożenia oraz zwiększenie szans na osiągnięcie wyższych zysków.
 

Dynamiczne zmiany zarówno otoczenia instytucjonalnego, jak i konkurencji oraz wymagania klientów zmuszają banki spółdzielcze do szybkich dostosowań w obszarze technologicznym, praktycznie bez możliwości żmudnego i długotrwałego testowania nowych rozwiązań. Rekomendacje D i M wskazują na konieczność audytowania obszaru IT, nie tylko regularnie, zgodnie z przyjętymi harmonogramami i oceną ryzyka, ale także każdorazowo po wdrożeniu znaczących zmian w środowisku IT. Biorąc pod uwagę
z jednej strony poziom ryzyka IT w banku, z drugiej zaś nieustanne powstawanie nowych zagrożeń na skalę działalności hackerów, uznaną praktyką banków spółdzielczych powinno być zlecanie dodatkowych audytów specjalizowanym firmom audytorskim, których wiedza i doświadczenie warunkują prawidłowość identyfikacji i oceny poziomu ryzyka informatycznego w kluczowych obszarach biznesowych, a w szczególności bankowości elektronicznej.
 

Jako międzynarodowa jednostka certyfikująca specjalizująca się w systemach zarządzania bezpieczeństwem informacji, zarządzania ryzykiem, zarządzania ciągłością działania oraz zarządzania usługami IT, chcielibyśmy zaproponować Państwu wsparcie w realizacji zadań wynikających
z rekomendacji D i M.
 

Specjalizacja CIS - Certification & Information Security Services, dysponowanie doświadczeniem międzynarodowym, oraz fachowość kadry to nasze atuty, które z korzyścią dla Państwa pozwolą zmierzyć się z tematyką Rekomendacji D i M. Nie są to gołe słowa chwalące nasze kompetencje, za dowód wystarczą listy referencyjne Klientów z całego świata, gdzie z sukcesem współpracujemy
z rozpoznawalnymi bankami, korporacjami, firmami oraz jednostkami administracyjnymi. Zachęcamy do skorzystania z tych możliwości współpracy rozpoczynając od zapoznania się z problematyką związaną z stosowaniem zabezpieczeń systemów teleinformatycznych oraz systemów bezpieczeństwa informacji i zarządzania ryzykiem. Wskażemy Państwu konkretne rozwiązania oparte o międzynarodowe sprawdzone standardy, które pozostają w pełni zgodne z Rekomendacją D i M.

 

Karolina Kord


Karolina Kord

Koordynator Usług
Certyfikacyjnych i Szkoleniowych

 
 
CIS - Certification & Information Security Services Sp. z o.o. T +48 32 216 26 40 office.pl@cis-cert.com Imprint

T&C