Raport Specjalny Bezpieczeństwo Banków: Krajowy system cyberbezpieczeństwa z punktu widzenia banków

BANK 2018/12

Praktyczne wdrożenie wymogów ustawy o krajowym systemie cyberbezpieczeństwa, uwzględniające funkcjonujące procesy bezpieczeństwa w banku.

image

Paweł Ornoch
Senior Manager, JT Weston

Ustawa o krajowym systemie cyberbezpieczeństwa adresuje zadania oraz obowiązki, które muszą zostać podjęte w celu organizacji krajowego systemu cyberbezpieczeństwa. Zgodnie z jej założeniami w skład tego systemu wchodzić mają m.in. podmioty z sektora bankowości i infrastruktury rynków finansowych uznane za tzw. operatorów usług kluczowych (OUK). Decyzję administracyjną w tym zakresie wydaje organ właściwy do spraw cyberbezpieczeństwa. W przypadku sektora bankowości i infrastruktury rynków finansowych jest nim Komisja Nadzoru Finansowego. Od momentu otrzymania decyzji o uznaniu danego podmiotu za OUK, jest on zobowiązany do spełnienia określonych wymagań w terminie od 3 do 12 miesięcy.

 

3 miesiące

W ciągu 3 miesięcy OUK mają powołać wewnętrzne struktury lub podpisać umowy ze specjalistycznym podmiotem zewnętrznym, który świadczy usługi w zakresie cyberbezpieczeństwa oraz wyznaczyć osobę odpowiedzialną za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa.

Kluczowym aspektem efektywnego wdrożenia wymogów ustawy jest – podobnie jak w przypadku RODO – wdrożenie systemu szacowania ryzyka wystąpienia incydentu oraz zarządzania ryzykiem (gdzie incydent należy rozumieć jako zdarzenie, które ma lub może mieć niekorzystny wpływ na cyberbezpieczeństwo). Przy ustanawianiu procesu zarządzania ryzykiem warto wziąć pod uwagę zasady i wytyczne określone w ISO 31000 (Zarządzanie ryzykiem), ISO 27005 (Zarządzanie ryzykiem w bezpieczeństwie informacji) oraz funkcjonujące już procesy i procedury w nadzorowanych przez KNF bankach, które wdrożyły Rekomendację D. W szczególności jest to system zarządzania bezpieczeństwem środowiska teleinformatycznego wynikający z rekomendacji nr 18, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka.

Podobnie jak w przypadku RODO, podmioty muszą ustanowić i wdrożyć proces oraz narzędzia IT umożliwiające wykrywanie, zarządzanie i zgłaszanie incydentów, w zależności od ich klasyfikacji, do odpowiednich organów. Przy wdrażaniu wymogów ustawy warto wziąć pod uwagę funkcjonujące w banku zasady zarządzania incydentami bezpieczeństwa, wynikające z rekomendacji nr 20, obejmujące identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowanie działań naprawczych i usuwanie przyczyn incydentów oraz wymogi artykułu 33 RODO, dotyczącego zasad zgłaszania incydentów organowi nadzorczemu.

Następnym obowiązkiem jest zapewnienie użytkownikowi usługi kluczowej dostępu do wiedzy pozwalającej na zrozumienie zagrożeń cyberbezpieczeństwa i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. W ramach rekomendacji nr 16 bank powinien edukować klientów w zakresie zasad bezpiecznego korzystania z elektronicznych kanałów dostępu, poprzez zapewnienie odpowiedniego poziomu wiedzy pozwalającej na zrozumienie zagrożeń związanych z nieodpowiednim zabezpieczeniem danych i urządzeń. Dotychczasowe praktyki w tym zakresie można rozszerzyć o obszar cyberbezpieczeństwa. Edukacja użytkownika usługi kluczowej może być realizowana np. w formie informacji zamieszczonych na stronach www, poprzez ulotki informacyjne i przesyłanie dedykowanych wiadomości e-mail.

6 miesięcy

OUK mają sześć miesięcy na wdrożenie adekwatnych zabezpieczeń do oszacowanego ryzyka wystąpienia incydentu. Oprócz zabezpieczeń technicznych i fizycznych OUK muszą opracować i wdrożyć niezbędną dokumentację, w szczególności dotyczącą Systemu Zarządzania Bezpieczeństwem Informacji, Systemu Zarządzania Ciągłością Działania usługi kluczowej, ochrony infrastruktury oraz dokumentację techniczną systemu informacyjnego wykorzystywanego do świadczenia kluczowej usługi oraz innych zagadnień wynikających ze specyfiki świadczonej usługi kluczowej.

image

Skontaktuj się z naszym ekspertem:
Paweł Ornoch,
Senior Manager, JT Weston
E-mail: kontakt@jtweston.pl
Tel.: 22 378 16 63

12 miesięcy

W terminie do roku od uznania podmiotu za OUK należy przeprowadzić audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Następne audyty powinny być przeprowadzane co najmniej raz na 2 lata.

Wymagania stawiane operatorom usług kluczowych są w wielu obszarach zbieżne z wymaganiami wynikającymi z RODO oraz z Rekomendacji D, jak chociażby podejście do zabezpieczeń opartych na szacowaniu ryzyka czy konieczności zarządzania incydentami i ich zgłaszania. Istotne jest, aby patrzeć na te obszary kompleksowo i maksymalnie wykorzystywać procedury i procesy, które już w banku obowiązują. Niezbędne jest również korzystanie z wielu norm i standardów, w szczególności ISO 31000, ISO 22301 oraz z grupy ISO 27000.

Udostępnij artykuł: