Prezentacja OpenBIZ: Bank, IT, Bezpieczeństwo

NBS 2016/09

Które z tych określeń jest ważniejsze? Który obszar funkcjonowania instytucji bankowej” jest najważniejszy? Czy Bank bez Technologii Informacyjnych może funkcjonować?

Które z tych określeń jest ważniejsze? Który obszar funkcjonowania instytucji bankowej” jest najważniejszy? Czy Bank bez Technologii Informacyjnych może funkcjonować?

Pierwsza logiczna myśl ‚„Bank jest podstaw( jest słuszna, jednak większość z nas doświad czyła i doświadcza rozterki myślowej, a decy denci odpowiedzialni za funkcjonowanie ban ku również rozterki strategicznej, taktycznej i operacyjnej”, którą można zobrazować pyta niem Jak duży wpływ na prawidłowe funk cjonowanie banku mają technologie informa cyjne i bezpieczeństwo?”. Schemat” rozterki można przedstawić graficznie. Obszary funk cjonowania instytucji bankowej przenikają się.

Każdy z nich jest określony mniej lub bardziej szczegółowo przez system prawny Polski i Unii Europejskiej, przez rekomendacje i uchwały nadzorcy jakim w Polsce jest Komisja Nadzoru Finansowego. Regulacje te tworzą dosyć obszer ną listę. Bank jest zobowiązany wszystkie je sto sować. Lista przedstawiona w ramce jest dosyć obszerna, a nie wyczerpuje „calości.

  1. Ustowo Prawo bankowe z 29 sierpnia 1997 r
  2. Ustawo o rachunkowości z 29 wrześnio 1994
  3. Ustawo o usługoch płatniczych z 19 sierpnia 2011 r
  4. Ustawo o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu z 16 listopada 2000 r
  5. Dyrektywo Parlamentu Europejskiego i Rady nr 48/2006
  6. Dyrektywo Parlamentu Europejskiego i Rody nr 49/2006 Z Dyrektywo Parlamentu Europejskiego i Rody 2013/36/UE z 26 czerwca 2013 r.
  7. Ustawo o zwalczaniu nieuczciwej konkurencji z 16 kwietnia 1993 r
  8. Ustawo o ochronie danych osobowych z 29 sierpnia 1997 r
  9. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentac przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jokim powinny odpowiadać urządzenia i systemy informatyczne służące do przetworzonio danych osobowych z 29 kwietnio 2004 r
  10. Rekomendacjo A
  11. Rekomendoqo B
  12. Rekomendacjo C
  13. Rekomendacjo D
  14. Rekomendocjo F
  15. Rekomendacjo G
  16. Rekomendacjo H
  17. Rekomendocjo I
  18. Rekomendacjo J
  19. Rekomendacjo K
  20. Rekomendacjo L
  21. Rekomendacjo M
  22. Rekomendacjo P
  23. Rekomendacjo R
  24. Rekomendacjo S
  25. Rekomendacjo T
  26. Rekomendacjo U
  27. Rekomendacjo W
  28. Ustawo o ochronie osób imienia z 22 sierpnia 1997 r
  29. Ustowo Kodeks Procy — Dział IV (Dbo wiązki procodowcy i pracownika) Rozdział li (Dbo wiązki pracownika) iii o (Zakaz konkurencji) z 26 czerwca 1974 r
  30. Ustowo o ochronie informacji niejawnych z 5 sierpnia 2010 r
  31. Ustowo o bankowym funduszu gwarancyjnym z 14 grudnia 1994 r
  32. Ustowo oprawie autorskim i prawach pokrewnych z 4 lutego 1994 r
  33. Ustowo o elektronicznych instrumentach płatniczych z 12 wrześnio 2002 r

 

Zapisy zawarte w wymienionych dokumentach muszą być odzwierciedlone w wewnętrznym „systemie prawnym instytucji bankowej. Prze łożyć na misję, strategię, polityki, procedury i wynikające z nich procesy. Kończą się niestety możliwości wyobraźni.

Bezwarunkowo muszą być spełnione zapisy ustaw. Uwzględnienie zapisów rekomendacji oznacza przeprowadzenie analizy i procesu de cyzyjnego, z którego będzie wynikało czy należy je w banku stosować czy nie. Jeśli w wyniku ja chunku” merytoryczno-finansowego, bank nie zastosuje pewnych zapisów, nadzorca oczekuje klarownego wyjaśnienia powodów takiej decyzji. Bank jest organizacją, której funkcjonowanie jest możliwe dzięki zdefiniowanym i wdrożo nym procesom. Należy patrzeć na nią przez pryzmat podziału struktur na:

  • Właścicielskie — procesy realizowane są przez Radę Nadzorczą;
  • Zarzqdcze — procesy realizowane są przez Zarząd banku;
  • Nadzorcze — procesy realizowane są przez ko mórki zajmujące się audytem wewnętrznym;
  • Operacyjne — procesy realizowane są przez kadrę kierowniczą i pracowników.

nbs.2016.09.wykres.070.aStruktury Zarządcze, Nadzorcze i Operacyjne dla prawidłowego wykonywania obowiązków i realizacji procesów, w których są podmiotami, muszą wykorzystywać narzędzia z obszaru Tech nologii Informacyjnych. Zasady wykorzystania tych narzędzi określają struktury operacyjne funkcjonujące w obszarze Bezpieczeństwa.

Na każdym z poziomów struktury funkcjonu ją procesy, które w rzeczywistości zajmują się informacją. Odpowiednio na poziomie:

  • Właścicielskint — o zarządzaniu instytucją;
  • Zarzqdczym — o sposobie wykorzystania cza su i środków finansowych przeznaczonych na osiągnięcie celu określonego w strategii;
  • Nadzorczym — o prawidłowości realizacji pro cesów zgodnie z wymaganiami prawa i regu latora oraz zapisami wewnętrznego systemu prawnego;
  • Operacyjnym — o kliencie, narzędziach, zasa dach bezpieczeństwa.

Informacja jest najważniejszym „elementem” organizacji i powinna być w sposób szczególny w organizacji traktowana. Za szczególne traktowanie odpowiedzialny jest obszar Technologii Informacyjnych, a za bezpie czeństwo informacji — obszar Bezpieczeństwa. Zdajemy sobie sprawę, że informacja jest zmienna w czasie. Identyczna zasada dotyczy środowiska, w którym jest przetwarzana, a tak że środowiska, które zostalo zbudowane, aby zapewnić jej bezpieczne przetwarzanie.

Bezpieczeństwo informacji niejest stanem, tylko procesem.

nbs.2016.09.wykres.071.aZrozumienie sensu tego stwierdzenia jest klu czem do zbudowania prawidłowych procesów na każdym ze szczebli struktury banku. Skoncentrujmy się na obszarach i środowi skach odpowiedzialnych za przetwarzanie informacji. Wprowadźmy też pojęcie właści we dla obszaru Technologii informacyjnych. Informacje zmaterializowane w postaci zapisu cyfrowego nazywane są danymi. Pod pojęciem przetwarzania danych rozumiemy zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Każde z tych działań musi być wykonywane w sposób świadomy, przy założeniu, że ryzyko utraty bądź modyfikacji danych (informacji) musi być maksymalnie zminimalizowane. Ideałem jest sprowadzenie ryzyka do zera, jednak taki stan jest w zasadzie niemożliwy do osiągnięcia.

Dane przetwarzane być mogą w formie papiero wej lub jako zapisy w formie cyfrowej. Do reali zacji zadań w tej drugiej formie wykorzystywa ne jest środowisko zbudowane z komputerów i sieci. Komputery przetwarzające dane mają niestety wadę w postaci „luk”, które mogą być wykorzystane przez nieuprawnione osoby ce lem zniszczenia, modyfikacji lub po prostu kra dzieży informacji.

nbs.2016.09.wykres.071.bCelem całej organizacji, a w szczególności ob szarów Technologii Informacyjnej i Bezpie czeństwa jest stworzenie odpowiednich wa runków ochrony danych. Tworzy się je poprzez zastosowanie odpowiednich procedur, sprzętu sieciowego zapewniającego ochronę informacji oraz programów chroniących dane. Ważne jest również, aby zasady ochrony informacji i proce dury zostały poprzez system szkoleń przekaza ne wszystkim pracownikom banku.

Wyobraźmy sobie, że takie idealne środowisko zostało zbudowane i wszyscy pracownicy banku, na wszystkich szczeblach struktury organizacyj nej mają spokojny sen” i pewność, że dane są bezpieczne. Jakież będzie ich zdziwienie gdy oka że się, że duża część informacji zapisanych w na szych zbiorach danych jest znana światu. Jaki jest powód? Środowisko, w którym bank funkcjonuje zmienia się. Zainteresowani naszymi danymi doskonalą narzędzia przy pomocy, których mogą dotrzeć do „naszego skarbca wiedzy”. Jednak ide alne środowisko nie uległo w tym czasie zmia nom, nie przystosowało się do ochrony danych w nowych warunkach. Bezpieczeństwo informa cji nie jest stanem, tylko procesem.

nbs.2016.09.wykres.071.cZastosujmy narzędzia, które będą pokazywały co w naszym środowisku należy zmienić, aby było ono bezpieczne. Narzędziem takim jest $ecurity CenterTM Continuous View (SCCy). Jest to zapro jektowana z myślą o potrzebach rynku platfor ma do ciągłego monitorowania. Jako jedyna łą czy unikalne detektory skanujące i wykrywające podatności z pasywnym monitorowaniem sieci i danych o zdarzeniach, poszerzając je o aktual ne informacje o zagrożeniach i podatnościach. Zalety $ecurity Center Continuous View:

  • Wykrywa, co się dzieje w sieci, wliczając w to urządzenia fizyczne, zasoby wirtualne, mo bilne i chmury
  • Zmniejsza zakres ataku poprzez skanowanie wszystkich zasobów pod względem znanych podatności, błędów konfiguracji i szkodliwe go oprogramowania
  • Eliminuje martwe pola poprzez monitoro wanie ruchu sieciowego pod kątem nieauto ryzowanych urządzeń i podejrzanego ruchu
  • Korelując logi z sieci i urządzeń, poprzez od powiednią analitykę optymalizuje sposoby obrony
  • Dzięki priorytetyzującyrn zdarzenia alar mom, powiadomieniom i ticketowaniu umożliwia błyskawiczną reakcję na incydenty
  • Zapewnia bezpieczeństwo i zgodność w oparciu o polityki bezpieczeństwa dostoso wane do strategicznych celów biznesowych

Narzędzie SCCyznajduje zastosowanie w per manentnym monitorowaniu:

  • Zgodności z wymogami Ustawy o ochronie danych osobowych,
  • Zgodności z wymogami stawianymi przez Rekomendacje D i M,
  • Zgodności z wymogami normy PN-ISO lEC 270 05

Istotą zastosowania proponowanego rozwią zania jest również zapewnienie właściwego obiegu informacji.

O SCCy dostarcza informacje szczegółowe na poziom operacyjny. W informacji zawarty jest opis podatności, jej kategoria oraz rozwiąza nie. Pracownik po otrzymaniu tej informacji ma pełną wiedzę czego podatność dotyczy, czy jest groźna i co należy zrobić, aby ją wyeliminować.

O SCCy dostarcza inJbrmacje na poziom kie rowniczy. Pokazane zostały informacje o ilo ści podatności i ich wadze w odniesieniu do poszczególnych komponentów środowiska IT.

O $CCy dostarcza informacje na poziom zarzqdczy. Pokazana jest ogólna liczba podatności w poszczególnych kategoriach. Taki raport uzyskiwany jest w ciągu kilku minut. Osoba zarządzająca, odpowiedzialna za bezpieczeń stwo informacji w każdej chwili może uzyskać syntetyczną informację o stanie środowiska. o SCCydostarcza informacje na poziom nad zorczy (audyt wewnętrzny).

Mieczysław Pruszyński,
szefpionu rozwiązań bankowych
+48 721 464450

Partner Tenable w Polsce
OpenBlZ Sp. zoo

Hlonda 4D/2G, 02-972 Warszawa
+48 887253418

www. opon bi z . p1

Mamy nadzieję, że jesteście Państwo przekona ni, że uruchomienie procesu zapewniającego bezpieczeństwo informacji jest jedynym roz wiązaniem dającym „spokojny sen”. Szczegółowe informacje o Security Center Continuous yiew dostępne są w ulotkach oraz na stronie wwwopenbiLpl

 

Udostpnij artyku: