Wdrożenie wytycznych KNF przy pomocy normy ISO/IEC 19770-1

Komentarze ekspertów

Komisja Nadzoru Finansowego, dążąc do zmniejszenia ryzyka działalności banków, rozpoznała, że wykorzystanie systemów teleinformatycznych w bankach jest istotnym źródłem takiego ryzyka. Dlatego w roku 2013 wydała uaktualnienie dyrektywy D, dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach w celu obniżenia tego ryzyka. Jednocześnie pod koniec 2014 roku wydała prawie identyczny dokument w formie wytycznych dla sektora ubezpieczeń. Tymczasem okazuje się, że wdrożenie programu zarządzania zasobami informatycznymi zgodnego w normą ISO/IEC 19970-1 pozwala spełnić znakomitą większość zaleceń zawartych w tych dokumentach.

System zarządzania zasobami informatycznymi to narzędzie, które porządkuje sposób działania IT w organizacji tak, aby posiadany majątek informatyczny przynosił założone korzyści przy jak najmniejszych kosztach. Taki system opisuje norma ISO/IEC 19770-1, która stanowi wyliczenie wymagań potrzebnych do uznania go za kompletny.

Wdrożenie podejścia opisanego w normie może stanowić podstawę przy wdrożeniach dowolnych zbiorów narzędzi zarządzania IT opisanych w najlepszych praktykach i dokumentach normatywnych. Ich dobrym przykładem może być zbiór wytycznych dla zakładów ubezpieczeń i reasekuracji,a także rekomendacja D dla banków.. Ze względu na to, że lista wytycznych i rekomendacji (nazwijmy je ogólnie zaleceniami) są podobne,  projekty ich wdrożeń mogą wyglądać tak samo, a zarazem spełnić wymagania stawiane przez KNF i normę ISO/IEC 19770-1.

Strategia IT
Pierwszą dziedziną opisywaną w dokumentach KNF jest wdrożenie samego systemu zarządzania na poziomie strategicznym. Ogólnie rzecz ujmując, obszar teleinformatyczny musi być nadzorowany i zarządzany podobnie jak każdy inny obszar w organizacji. Zwłaszcza zalecenie pierwsze wymaga, aby zapewnić odpowiednie mechanizmy nadzoru i zarządzania. Takie mechanizmy są podstawą wszystkich systemów zarządzania ISO i w tym systemu zarządzania zasobami informatycznymi, opisanego w normie ISO/IEC 19770-1. Już na początku listy wymagań występują zagadnienia, które dotyczą wdrożenia ładu korporacyjnego oraz kontroli nadzorczej w zakresie informatyk.

Aby takie mechanizmy mogły działać, konieczne jest posiadanie sformalizowanych systemów informacji zarządczej, które będą zapewniać każdemu z odbiorców informacji właściwy poziom wiedzy w zakresie technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego. Działania w towarzystwie ubezpieczeniowym i banku muszą obejmować zatem zaplanowanie sposobu raportowania, jak i samego raportowania, których wymaga norma. Zawierać powinny także dostarczanie właściwej informacji zarządczej, finansowej, o aktualności danych oraz raportów o stanie posiadania. Większość z tych działań jest dokładnie rozpisana na konkretne wymagania w normie, co pozwala na sprowadzenie zaleceń do konkretów.

Powyższe mechanizmy muszą być wdrażane w taki sposób, aby współpracowały zarówno z celami strategicznymi organizacji, jak i podobnymi mechanizmami, działającymi w innych częściach organizacji. Realizując to wymaganie należy określić cele i plany rozwoju organizacji, monitorować kontekst organizacji i dostosowywać strategię do rzeczywistości, monitorować realizację celów oraz kontrolować przegląd dokumentacji systemowej, w tym strategii. Te same działania wymagane są również przez normę. Konieczne jest także pozyskanie szczegółowych danych na temat środowiska teleinformatycznego, co jest głównym tematem normy.

Kluczowym elementem nadzoru i zarządzania jest czynnik ludzki. Należy określić zarówno zasady współpracy, jak i zakresy odpowiedzialności w obrębie obszaru biznesowego, technologii informacyjnej i bezpieczeństwa, pozwalające na efektywne i bezpieczne wykorzystanie potencjału środowiska teleinformatycznego. Organizacja powinna je tak zdefiniować, aby były one adekwatne do ich profilu ryzyka, specyfiki działalności, a także pozwalać na efektywną realizację działań w obszarze informatyki, o czym wspomniano wyżej.

Wymagania te należy realizować poprzez określenie ról i odpowiedzialności w zakresie IT, utworzenie i regularne przeglądy analizy wymagań biznesu, zarządzanie finansami IT, odpowiednie dokumentowanie budżetu i wydatków, bezpośrednią odpowiedzialność za strategię teleinformatyczną przez zarząd firmy. Nie wolno też zapominać o utrzymaniu właściwych kompetencji pracowników.

Wprowadzenie systemu zarządzania i nadzoru w informatyce zgodnie z wymaganiami KNF jest zadaniem trudnym, tym bardziej, że wymagania te zawierają w swoim zakresie wiele zagadnień z wielu pozornie niezwiązanych obszarów. Tymczasem systemy zarządzania ISO, w tym system opisany w normie ISO/IEC 19770-1 dostarcza metody spójnego wdrożenia wszystkich tych elementów tak, aby mogły one efektywnie współpracować.

Rozwój systemów IT
Drugim obszarem, którego dotyczą dokumenty KNF, jest rozwój systemów informatycznych. Należy pamiętać, że prowadzenie projektów wdrożeniowych powinno być sformalizowane na każdym etapie w taki sposób, aby wszystkie etapy wdrożenia były zawarte w powstałej dokumentacji i mechanizmach kontroli. Szczególnie analiza wymagań wymaga zarządzania, ponieważ zaniedbania na tym etapie powodują największe konsekwencje. Norma zwraca szczególną uwagę na kontrolowanie cyklu życia systemów informatycznych, rozpisując wymagania dotyczące zarówno samego początku, a więc koncepcji i analizy wymagań, jak i testowania, zarządzania zmianą, a także wycofywania oprogramowania.

Utrzymanie i eksploatacja
Utrzymanie systemów informatycznych, pozwalające na ich efektywne i bezpieczne wykorzystanie, wymaga posiadania wiarygodnych danych na temat wykorzystywanej infrastruktury informatycznej Takie działanie jest głównym motywem normy ISO/IEC 19770-1. Zalecenie numer 9 w dokumentach KNF rozpoznaje tą potrzebę i nazywa ją wprost. Podobnie wymieniony jest temat zarządzania danymi w zaleceniu numer 8. Obszar utrzymania i eksploatacji wymaga także wielu innych mechanizmów, które również są opisane w normie.

Wśród tych mechanizmów znajdują się takie, jak obsługa użytkowników pozwalająca na sprawne usuwanie awarii czy kontrola dostępu do systemów wraz z mechanizmami dokładnej ich identyfikacji. Poziom szczegółowości tych wymagań różni się w normie i zaleceniach KNF, jednak konieczność ich wdrożenia jest rozpoznawana w treści obu dokumentów.

Warto zwrócić uwagę na temat współpracy organizacji finansowych z dostawcami. Zalecenie, które tego dotyczy dotyka obszaru zarządzania cyklem życia elementów infrastruktury informatycznej, w tym usług. Ten ważny temat jest bardzo dokładnie rozpisany w wymaganiach normy.

Niewątpliwą zaletą wykorzystania normy ISO/IEC 19770-1 w celu spełnienia wymagań KNF jest fakt, że norma została napisana z myślą o tym, żeby uniknąć wielu pułapek we wdrożeniu najlepszych praktyk zarządzania w informatyce. Jednym z kluczowych celów twórców normy było zapewnienie jej użytkownikom narzędzia do skutecznego zapanowania nad złożonością problemów związanych z cyklem życia elementów infrastruktury teleinformatycznej, co pozwala na wykorzystanie jej jako wehikułu do wprowadzenia najlepszych praktyk i spełnienia nawet najwyższych wymagań związanych z zarządzaniem.

Bezpieczeństwo
Ostatni obszar zaleceń KNF, dotyczy zarządzania bezpieczeństwem środowiska teleinformatycznego. Tutaj również kluczowym czynnikiem jest pozyskiwanie właściwej informacji na temat wykorzystywanych zasobów i wdrożonych systemów. Zalecenia opisują metodyczne podejście do pozyskania tej informacji poprzez inwentaryzację zasobów, ich klasyfikację i analizę związanego z nimi ryzyka.

Już w sekcji dotyczącej utrzymania i eksploatacji, dokumenty KNF zwracają uwagę na konieczność zabezpieczania systemów informatycznych przed zagrożeniami, które mogą bezpośrednio zatrzymać lub zniekształcić działanie systemów informatycznych. Mowa tutaj o takich czynnikach, jak złośliwe oprogramowanie programy tworzone przez użytkowników.

W końcowych treściach dokumentu, powraca temat głównych mechanizmów każdego systemu zarządzania. W tym przypadku zalecenia odnoszą się do zbierania informacji o stanie systemu przez zarządzanie incydentami bezpieczeństwa i przeprowadzanie audytów. Dotyczą także konieczności zachowania zgodności z wymaganiami prawnymi, regulacyjnymi i kontraktowymi. Łatwo sobie wyobrazić, że posiadanie jednego systemu zarządzania w obszarze informatycznym pozwala na wykorzystanie jego elementów w każdym innym systemie zarządzania w tym samym obszarze.

Badania instytutu SANS, zajmującego się bezpieczeństwem teleinformatycznym pozycjonują utrzymywanie wiedzy na temat oprogramowania i sprzętu działającego w infrastrukturze informatycznej na pierwszych miejscach na liście najważniejszych mechanizmów kontroli bezpieczeństwa. Podobną relację rozpoznają inne organizacje i twórcy opracowań w tym zakresie. Dlatego wykorzystanie zbioru najlepszych praktyk w zakresie zarządzania zasobami informatycznymi, jakim jest norma ISO/IEC 19770-1 jako podstawy do zapewnienia bezpieczeństwa teleinformatycznego i spełnienia wymagań KNF w tym zakresie wydaje się naturalnym krokiem.

Podsumowanie
Aby odpowiednio wykorzystać wdrożenie systemu zarządzania opisanego w normie, należy odpowiednio interpretować przedmiot zarządzania. Norma zawiera wprawdzie w wielu miejscach (w tym w tytule) pojęcia oprogramowania, jednak w punkcie 1.2 wyjaśnione zostało, że tego typu zasób może dotyczyć każdego zasobu informatycznego, w tym sprzętu i danych.

Spełnienie wymagań normy ISO/IEC 19770-1 nie oznacza jednak spełnienia wszystkich wymagań opisanych w dokumencie KNF. Może za to stanowić platformę, na której możliwe jestzbudowanie planu wdrożenia zaleceń.  Oczywiście organizacja może zdecydować o samodzielnym wdrożeniu wymagań normy. Należy jednak pamiętać, że norma jest napisana w formie listy wymagań z pominięciem wielu przydatnych informacji na temat tego w jaki sposób te wymagania należy wprowadzać. Dlatego należy rozważyć wykorzystanie wsparcia w procesie wdrożenia. W tym celu warto skorzystać z oferty programu certyfikacyjnego BSA Verafirm, w ramach którego można wdrożyć program zgodny z normą ISO/IEC 19770-1.

Tabela przedstawia, gdzie w normie ISO/IEC 19770-1 szukać realizacji wytycznych i dyrektyw KNF:
150908.wdrazanie

Krzysztof Bączkiewicz
współtwórca normy ISO/IEC 19700-1 i członek zespołu WG21 w ISO

Udostępnij artykuł: