Rekomendacja D a certyfikacja ISO DataCenter

Rekomendacja D, dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, spędza sen z powiek wielu Managerom IT zatrudnionym w instytucjach finansowych.

Jest ona zbiorem 22 elementów najważniejszych norm związanych z zarządzaniem IT. Duże banki, posiadające rozbudowane Działy Informatyki, wiedząc o wprowadzeniu rekomendacji z odpowiednim wyprzedzeniem były w stanie przygotować się na czas do spełnienia jej wymagań. Na ogół też zalecenia rekomendacji pokrywały się z ich wewnętrznymi procedurami, zatem przygotowanie do dnia 1 stycznia 2014, kiedy to rekomendacja weszła w życie ograniczało się do weryfikacji zgodności obowiązujących procedur z rekomendacją oraz ich nieznacznych korekt. Dużo większy problem miały mniejsze instytucje takie jak banki spółdzielcze czy biura maklerskie, które rekomendacja również dotyczy. Czy zatem podjęcie współpracy z zewnętrznym DataCenter, legitymującym się certyfikatami ISO 27001 lub ISO 20000 stanowi rozwiązanie problemu?


Historia kluczowej w tym przypadku normy ISO 27001 rozpoczyna się w roku 1993, kiedy to Brytyjski Instytut Normalizacji (British Standards Institutions) przedstawił dokument BS PD0003:1993. Wzbudził on duże zainteresowanie rynku i doprowadził do powstania nowego dokumentu BS7799 – Code of practice for Information Security Management, który zawierał zalecenia dotyczące ochrony informacji w organizacjach. Dokument ewaluował co doprowadziło do opublikowania 3 lata później drugiej części normy - BS 7799-2:1998, która definiowała wymagania i pozwała audytorom na weryfikację istniejących zabezpieczeń. Kolejne uaktualnienia ukazały się rok później i nosiły oznaczenia BS 7799-1 i BS 7799-2, natomiast w roku 2000 pierwsza część normy została ustanowiona międzynarodowym standardem ISO/IEC 17799:2000. Pierwsze polskie tłumaczenie tego dokumentu opublikowane przez Polski Komitet Normalizacyjny w roku 2003 nosiło oznaczenie PN-ISO 17799-2003. W roku 2005 ukazał się standard ISO 27001 zastępujący normę BS 7799-2, którego polska wersja została opublikowana w roku 2007 i wprowadzona jako PN-ISO/IEC 27001:2007, a następnie zaktualizowana jako ISO/IEC 27001:2013 w 2013 roku.

Norma ISO 20000 ma zdecydowanie krótszą historię, która rozpoczyna się w roku 2005. Wówczas została opracowana norma BS 15000, która następnie została wydana przez Międzynarodową Organizację Normalizacyjną. Na standard ISO 20000 składają się dwie normy – ISO 20000-1 – Information Technology Service Management Part1: Service management system requirement oraz ISO 20000-2:2005 – Information Technology – Service Management – Part 2: Code of Practice. Ich polskie odpowiedniki zostały opublikowane w roku 2007. Restrykcyjność ISO 20000 polega przede wszystkim na tym, iż niespełnienie któregokolwiek z wymagań może oznaczać, że firma nie uzyska certyfikatu. Z pewnością jest to jedna z głównych przyczyn braku popularności tej normy wśród przedsiębiorstw, które na ogół wybierają ze standardów te elementy, które są dla nich istotne i skupiają się na implementowaniu ich w swoich organizacjach w sposób wybiórczy. Nie mniej jednak należy podkreślić, iż ISO 20000 jest w wielu elementach zbieżne z ITIL’em (Information Technology Infrastructure Library), który jest w dojrzałych pod względem zasad funkcjonowania działów IT przedsiębiorstwach niemal standardem. Wdrożeniem pełnego systemu zarządzania jakością usług IT ISO 20000 w Polsce dzisiaj może pochwalić się zaledwie 16 przedsiębiorstw, z czego zdecydowana większość to właśnie instytucje finansowe.
Rekomendacja D miała swój debiut w roku 1997 kiedy to została określona jako rekomendacja dotyczące zarządzania ryzykami towarzyszącymi systemem informatycznym i telekomunikacyjnym używanym przez banki. Kolejne jej wydanie zostało opublikowane w roku 2002, a aktualnie obowiązujący zbiór z roku 2013 został przemianowany na „Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach”. Zawiera ona 4 główne obszary:
• Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego
• Rozwój środowiska teleinformatycznego
• Utrzymanie i eksploatacja środowiska teleinformatycznego
• Zarządzanie bezpieczeństwem środowiska teleinformatycznego
Obszary te nie posiadają swoich bezpośrednich odpowiedników w normach ISO 20000 czy ISO 27001, jednak dokładna lektura zarówno rekomendacji jak i obu standardów ISO pozwala dojść do wniosku, iż niemal wszystkie elementy zawarte w treści rekomendacji dla instytucji finansowych mają swoje odniesienie w jednej z tych dwóch norm – co więcej – normy obejmują zdecydowanie szerszy zakres, niż ten ujęty w dokumencie KNF.

Czy zatem wdrożenie systemów zarządzania usługami IT oraz bezpieczeństwem informacji w instytucji finansowej bądź outsourcing usług IT do przedsiębiorstwa mogącego poszczycić się wspomnianą certyfikacją rozwiązuje problem zgodności z rekomendacją? Aby odpowiedzieć na te pytanie, musimy bliżej przyjrzeć się poszczególnym zapisom rekomendacji i odnieść je do zapisów norm, co uczynię w kolejnym wpisie.
Trwa ładowanie komentarzy...