Rekomendacja D a certyfikacja ISO DataCenter - część 2

Część 2

W poprzedniej części artykułu, którą możecie Państwo znaleźć tutaj została po krótce omówiona historia najważniejszych norm związanych z bezpieczeństwem informacji, które mogą być szczególnie istotne dla instytucji sektora finansowego, w kontekście najnowszej wersji Rekomendacji D wydanej przez Komisję Nadzoru Finansowego w styczniu 2013 roku.


W tej części postaram się udzielić odpowiedzi na pytanie czy wdrożenie systemów zarządzania usługami IT oraz bezpieczeństwem informacji w instytucji finansowej bądź outsourcing usług IT do przedsiębiorstwa mogącego poszczycić się wspomnianą certyfikacją rozwiązuje problem zgodności z rekomendacją?.

Nadrzędnym celem, który przyświecał KNF podczas opracowywania najnowszej wersji rekomendacji D było wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami IT oraz ryzykiem związanym z tymi obszarami. Całość 22 rekomendacji należy zatem traktować jako drogę do osiągnięcia tego nadrzędnego celu.

Pierwszy obszar „Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego”, tj. rekomendacje 1-5 znajdują odzwierciedlenie w pkt 4 i 5 normy ISO 27001, tj. Kontekst organizacji oraz Przywództwo. Zapisy normy omawiają rolę zarządu firmy oraz kontekstu organizacyjnego, w tym proces ciągłego doskonalenia kadry poprzez system szkoleń, skuteczną komunikację, identyfikację czynników wewnętrznych i zewnętrznych mających wpływ na funkcjonowanie systemu bezpieczeństwa informacji. Również norma ISO 20000 porusza aspekty ujęte w tym obszarze w punkcie 4.1, omawiającym odpowiedzialność kierownictwa oraz punkcie 4.2, omawiającym nadzorowanie procesów obsługiwanych przez strony trzecie. Nie bez znaczenia pozostają także pkt. 4.3, który odnosi się do sposobu zarządzania dokumentacją, oraz pkt. 6.2 omawiający sposób raportowania, które są omówione w sposób dość ogólny w rekomendacji nr 2. Należy przy tym zwrócić uwagę, że zapisy poszczególnych rekomendacji mówią „co powinno być zrobione”, a poszczególne normy ISO poza sformułowaniem „co”, definiują również w dużej mierze „jak”, a przynajmniej określają minimalne wymagania dotyczące sposób realizacji poszczególnych zapisów.

Drugi obszar, tj. „Rozwój środowiska teleinformatycznego”, został opisany jedynie w 2 rekomendacjach 6 i 7. Te niezwykle ważne zagadnienie, szczególnie z punktu widzenia dostarczania nowych usług w sposób zgodny z normą ISO 20000, został w niej zdefiniowany w sposób szczegółowy, począwszy od procesu planowania nowych usług, poprzez ich projektowanie oraz dostarczanie. Co w mojej ocenie jest niezwykle istotne, norma wymusza na usługodawcy opracowanie planu wycofania usługi, już na etapie jej planowania. Rekomendacja 7 natomiast mówi jedynie o tym, że bank powinien posiadać sformalizowane regulacje w zakresie wycofywania z eksploatacji rozwiązań informatycznych. Uważam, że podejście zapisane w normie ISO jest o tyle korzystniejsze, że pozwala przedstawić zespołowi zajmującemu się wdrożeniem nowej usługi wymagania w zakresie sposobu jej wycofania jeszcze na etapie implementacji, co w późniejszym okresie potencjalnie może znacząco ograniczyć koszty wycofania danej usługi. Kolejnym aspektem, omówionym w dokumencie KNF jest zarządzanie zmianą, które z kolei znajduje swój odpowiednim w pkt. 9.2 normy ISO 20000.

Najbardziej rozbudowany bo zawierający aż 10 rekomendacji jest obszar dotyczący utrzymania i eksploatacji środowiska informatycznego. Porusza on szereg zagadnień związanych z codzienną eksploatacją systemów, takich jak utrzymanie architektury danych, zarządzania pojemnością i wydajnością komponentów infrastruktury, kontroli dostępu, ochrony przed wirusami, helpdesku, szkoleń, ciągłości działania, kopii zapasowych, kanałów dostępu, kontrolą nad oprogramowaniem stacji roboczych itp. Zagadnienia te w większości mają swoje odzwierciedlenie w normach ISO 20000 i 27001. Szczególnie warte podkreślenia są punkty 7 i 8 normy ISO 27001 dotyczące Wsparcia użytkowników nie tylko od strony technicznej ale też edukacyjnej i komunikacyjnej oraz działań operacyjnych, a także punkty 6 i 7 normy ISO 20000, dotyczące procesu dostarczania usług, ciągłości działania oraz zarządzania relacjami z biznesem.

Ja chciałbym się jednak skupić w kontekście tego obszaru na rekomendacji 10, a w szczególności na jej punkcie 6, który omawia relacje banku z zewnętrznym usługodawcą. Ostatni podpunkt brzmi: „przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą wprowadzenia obowiązku przedstawiania przez dostawcę certyfikatów w zakresie zgodności z uznanymi międzynarodowymi normami dotyczącymi bezpieczeństwa informacji.” Innymi słowy sama rekomendacja nakłada na bank obowiązek weryfikowania procedur obowiązujących zewnętrznego dostawcę usług pod kątem bezpieczeństwa informacji i jakości świadczonych usług teleinformatycznych. Dowodem nie tylko wprowadzenia ale także faktycznego działania usługodawcy zgodnie z obowiązującymi procedurami jest posiadanie odpowiednich certyfikatów, a normy ISO będące międzynarodowym i jednocześnie bardzo rygorystycznym standardem w tym zakresie są tego najlepszym potwierdzeniem. Istotnym elementem rekomendacji 10 jest też obowiązek posiadania przez bank wiedzy na temat lokalizacji geograficznej, w jakiej przetwarzane są powierzone dane bankowe oraz jakie przepisy prawa obowiązują w tej lokalizacji w przedmiotowym zakresie. Bank ma obowiązek zapewnić zgodność tych przepisów z obowiązującymi na terenie Polski, co w dużej mierze determinuje obowiązek podejmowania współpracy wyłącznie z dostawcami posiadającymi serwerownie na terenie RP.

Ostatnim obszarem dokumentu KNF jest zarządzanie bezpieczeństwem środowiska teleinformatycznego. Już pierwsza z rekomendacji obejmujących ten obszar posiada odniesienie wprost do normy ISO 27001 w pkt. 18.3, który brzmi: „Bank powinien przeanalizować korzyści wynikające ze stosowania międzynarodowych standardów (lub ich polskich odpowiedników) w zakresie bezpieczeństwa informacji (takich jak np. normy z serii ISO/IEC 27000) oraz podjąć decyzję w zakresie ewentualnego dostosowania funkcjonującego w banku systemu zarządzania bezpieczeństwem środowiska teleinformatycznego do ich wymagań”. Cała rekomendacja 18 dotyczy szacowania ryzyka, które w pkt. 8 normy zostało bardzo ściśle sprecyzowane, a jednocześnie sam proces szacowania ryzyka jest jednym z najważniejszych procesów normy i podlega bardzo ścisłej kontroli podczas audytu certyfikującego jak również podczas kolejnych audytów nadzoru. Kolejne rekomendacje z tego obszaru także mają swoje odpowiedniki w normach – klasyfikacja informacji (ISO 27001, pkt. A8.2), zarządzanie incydentami bezpieczeństwa informacji (ISO 27001, pkt. A16, ISO 20000, pkt. 6.6.3), bezpieczeństwo formalno-prawne (ISO 27001, pk. A.18.1), audyt wewnętrzny i zewnętrzny (ISO 27001, pkt. 9, ISO 20000, pkt. 4.5.4).

Reasumując i jednocześnie odpowiadając na postawione na wstępie pytanie należy stwierdzić, że wdrożenie międzynarodowych norm dotyczących bezpieczeństwa informacji oraz zarządzania usługami IT w instytucji finansowej, będzie stanowiło znaczący krok zmierzający do spełnienia wymagań Rekomendacji D. Należy jednak przy tym pamiętać, że wprowadza ona jednocześnie wiele elementów specyficznych dla usług finansowych. Normy ISO zostały skonstruowane w taki sposób, aby normalizować procesy w każdym przedsiębiorstwie – usługowym, produkcyjnym czy handlowym. Stanowi to ich olbrzymią wartość, jednak nie odpowiadają one wprost 1:1 wymaganiom bardzo szczególnego rynku jakim jest rynek usług finansowych. Fakt posiadania certyfikacji przez instytucję stanowi z pewnością znaczące ułatwienie w rozmowach z KNF dotyczących realizacji zaleceń zawartych w rekomendacji, ale nie jest jednoznacznym potwierdzeniem spełnienia wszystkich wymogów. Jeżeli natomiast instytucja finansowa rozważa outsourcing usług teleinformatycznych do zewnętrznego dostawcy, zdecydowanie fakt posiadania certyfikacji z zakresu obu systemów ISO powinien stanowić pierwszy filtr podczas analizy ofert. Warto również podkreślić, że oba systemy wzajemnie się uzupełniają, zatem jedynie przedsiębiorcy posiadający certyfikację zarówno z zakresu ISO 20000 jak i 27001 dają nam gwarancję najwyższego poziomu usług – tak istotnego w przypadku rynku finansowego. Dzięki temu bank ma pewność, że jego dane, a co za tym idzie pieniądze klientów są bezpieczne, czego zarówno Państwu jak i sobie życzę.
Trwa ładowanie komentarzy...