Uwagi do Rekomendacji D KNF _WBI z popr_x
Transkrypt
Uwagi do Rekomendacji D KNF _WBI z popr_x
Warszawa, dnia 2012-10-22 UWAGI Polskiej Izby Informatyki i Telekomunikacji [PIIT] do projektu „Rekomendacji D” Komisji Nadzoru Finansowego. Polska Izba Informatyki i Telekomunikacji (PIIT) z zadowoleniem przyjmuje pomysł zmian w Rekomendacji D przygotowany przez Komisję Nadzoru Finansowego, uwzględniający powstanie nowego obszaru usług teleinformatycznych określanego jako „Cloud Computing”. Zdajemy sobie również sprawę z ograniczeń i trudności we wprowadzaniu tej metody i powiązanych z nią technologii do praktyki bankowej. Wydaje się jednak, że racjonalizacja kosztów przetwarzania poprzez wykorzystanie „Cloud Computing” przy zachowaniu odpowiedniego poziomu jego bezpieczeństwa może być właściwym i uzasadnionym ekonomicznie rozwiązaniem w wybranych segmentach działalności bankowej. Uwagi do dokumentu. Przedstawiony do konsultacji dokument oceniamy bardzo wysoko. Zawarte w nim rekomendacje, jego struktura i użyte sformułowania świadczą o dogłębnej znajomości przedmiotu. Dlatego pozwalamy sobie, przygotowane przez ekspertów PIIT, uwagi i propozycje zmian przedstawić w kontekście załączonego fragmentu tekstu. Rekomendujemy ich uwzględnienie w końcowej wersji dokumentu. Uwagi szczegółowe: „Wstęp Niniejsza Rekomendacja (…). Komisja Nadzoru Finansowego oczekuje, że niniejsza Rekomendacja zostanie wprowadzona w bankach nie później niż do dnia 31 grudnia 2013 r. Komentarz PIIT: Data wprowadzenia przedmiotowej Rekomendacji, jako dokumentu powszechnie obowiązującego, nie powinna być jednoznaczne z wprowadzeniem rozwiązań wskazanych w Rekomendacji. Moim zdaniem należy wystąpić o dodatkowy czas na wprowadzenie rozwiązań np. 12 miesięcy od wprowadzenia niniejszej Rekomendacji. Słownik pojęć Cloud computing – model świadczenia usług zapewniający niezależny od lokalizacji (…) Komentarz PIIT: Lepiej pisać „Cloud Computing” z dużej litery. Dobrze by też było poszukać odpowiedniej polskiej nazwy np.: Przetwarzanie w chmurze – stosując tę polską nazwę wymiennie z angielskim określeniem. 22 października 2012 roku, Propozycje PIIT poprawek do projektu Rekomendacji D KNF Strona 1 Incydent bezpieczeństwa środowiska teleinformatycznego – (…) Komentarz PIIT: Może lepiej dodać „Incydent naruszenia bezpieczeństwa „…, gdyż jest to bardziej dokładne określenie danej sytuacji. Lista rekomendacji Strategia i organizacja obszaru technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego Rekomendacja 12 Bank powinien zapewnić skuteczną ochronę środowiska teleinformatycznego przed szkodliwym oprogramowaniem. Komentarz PIIT: Lepiej zamiast „skuteczną” użyć pojęcia „adekwatną” lub „odpowiednią”. Nie ma bowiem metod całkowicie skutecznych oprócz być może całkowitego odłączenia od prądu... Rekomendacja 17 Bank powinien posiadać sformalizowane zasady zarządzania oprogramowaniem użytkownika końcowego, skutecznie ograniczające ryzyko związane z eksploatacją tego oprogramowania. Komentarz PIIT: Wydaje się, że ten punkt Rekomendacji wymaga znaczącego przerobienia – po pierwsze, warto byłoby określić kto to jest „użytkownik końcowy” – pracownik banku? Zewnętrzny pracownik, np. agent, dostawca, a może pracownik z innego podmiotu tej samej grupy, który ma dostęp do niektórych systemów? Klient banku, który przecież jest także użytkownikiem systemu? Po drugie, jeśli oprogramowanie użytkownika końcowego jest zainstalowane na urządzeniu, które jest własnością osoby trzecie to bank nie może DOWOLNIE kształtować zasad zarządzania, ponieważ może dopuszczać się ingerencji w integralność cudzej własności. W czasach BYOD taka sytuacja nie jest niemożliwa. Po trzecie, bank nie tylko powinien mieć takie zasady, ale powinien je przedstawić odpowiednio użytkownikowi końcowemu. Dotyczy RÓWNIEŻ wewnętrznych pracowników banku Rekomendacja 22 Obszar technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinien być przedmiotem systematycznych, niezależnych audytów. Komentarz PIIT: Warto tutaj doprecyzować, czy nie powinny być wprowadzone audyty wewnętrzne. Można wtedy szybciej wyeliminować większość z uchybień. 22 października 2012 roku, Propozycje PIIT poprawek do projektu Rekomendacji D KNF Strona 2 Strategia i organizacja obszaru technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego Rola zarządu i rady nadzorczej 1. Rekomendacja 1 Zarząd i rada nadzorcza banku są odpowiedzialne za obszar technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku. 1.1. (…) decyzję dotyczącą wyznaczenia1: – komitetu właściwego teleinformatycznego, – komitetu właściwego do spraw obszaru technologii informacyjnej. do spraw obszaru bezpieczeństwa środowiska Pracami powyższych komitetów kierować powinien posiadający odpowiednie kwalifikacje członek zarządu banku lub wyznaczony przez zarząd banku pełnomocnik. Komentarz PIIT: Sugerujemy zastąpienie „komitetu” „jednostką”, aby nie wprowadzać nowych „bytów”. Architektura infrastruktury teleinformatycznej Komponenty infrastruktury teleinformatycznej 1.2. (…) 9.18 Wykorzystywane przez bank drukarki sieciowe powinny w szczególności zapewniać szyfrowanie przesyłanych i przechowywanych zadań drukowania oraz odpowiednie mechanizmy weryfikacji tożsamości użytkowników. Drukarki przechowujące w podajnikach wrażliwe formularze papierowe powinny zapewnić ochronę tych formularzy przed kradzieżą. Komentarz PIIT: Raczej powinno być zastrzeżenie, że przesyłanie danych do takich drukarek powinno być szyfrowane, przy czym wymaga to poniesienia sporych nakładów finansowych. Chyba lepszym rozwiązaniem jest „trzymanie” takich drukarek pod kontrolą, aż do odpowiedniego zabezpieczenia wydrukowanych wrażliwych formularzy. Podobne zastrzeżenia mamy do zarządzania skanerami. (patrz następne punkt). Naszym zdaniem fizyczne odseparowanie tego typu urządzeń jest lepszym rozwiązaniem. A koniecznośc przesłanie wrażliwych danych na odległość lepiej jest przeprowadzić w sieci „komputer-komputer” z odpowiednim poziomem szyfrowania danych. 1.3. 10.6 (…) – mieć świadomość miejsc, w których dane te są przetwarzane i obowiązujących tam przepisów prawa, oraz zapewnić zgodność świadczonych usług z przepisami prawa obowiązującymi w Polsce, Komentarz PIIT: „mieć świadomość” nie jest precyzyjnym określeniem. Lepiej może warto napisać: „- posiadać informację o zasadach przechowywania danych w 1 Nie jest wymagane, aby były to odrębne, dedykowane komitety – w szczególności dopuszczalne jest np. uwzględnienie zadań komitetu do spraw obszaru bezpieczeństwa środowiska teleinformatycznego w ramach komitetu do spraw ryzyka operacyjnego. Bank powinien jednak zapewnić, aby przyjęte rozwiązanie pozwalało na efektywną realizację zadań w przedmiotowym zakresie. 22 października 2012 roku, Propozycje PIIT poprawek do projektu Rekomendacji D KNF Strona 3 różnych lokalizacjach lub zasadach rządzących transferem danych do tych lokalizacji oraz zapewnić zgodność świadczonych usług...”. W uzasadnieniu Jeśli dane są przechowywane poza terenem Polski lub EU to istnieją bądź porozumienia pozwalające generalnie transferować dane (jak np. safe harbor – transfer do krajów zapewniających taki sam poziom bezpieczeństwa prywatności) bądź zapisy w umowach pozwalające na transfer do krajów innych, ale dostawca usług wtedy zobowiązuje się do odpowiedniego poziomu (np. EU Model Clauses) – (…) przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą wprowadzenia obowiązku przedstawiania przez dostawcę certyfikatów w zakresie zgodności z uznanymi międzynarodowymi normami dotyczącymi bezpieczeństwa informacji (szczególnie w przypadku przetwarzania danych poza granicami Polski). – Komentarz PIIT: Lepiej napisać „przeanalizować poziom bezpieczeństwa w centrach danych dostawcy usług potwierdzony odpowiednimi certyfikatami” oraz wpisać „poza granicami Unii Europejskiej”. 1.4. 11.14 W pomieszczeniach, w których ulokowane są kluczowe elementy infrastruktury teleinformatycznej, z zasady nie powinno się zezwalać na wnoszenie telefonów komórkowych, fotografowanie, nagrywanie audio/video itp. Zezwolenia przewidujące wyjątki w tym zakresie powinny być udzielane przez odpowiednio upoważnione osoby oraz rejestrowane. Komentarz PIIT: To nie jest właściwa ochrona bezpieczeństwa – zakaz wnoszenia telefonów komórkowych. Po prostu do tego typu pomieszczeń mogą wyłącznie wchodzić osoby odpowiednio uprawnione (certyfikowane). Zarządzanie oprogramowaniem użytkownika końcowego 17. Rekomendacja 2 Bank powinien posiadać sformalizowane podejście do zarządzania oprogramowaniem użytkownika końcowego, skutecznie ograniczające ryzyko związane z eksploatacją tego oprogramowania. Komentarz PIIT: Uważamy, że ta cała rekomendacja jest do ponownego przejrzenia. Prosimy zwrócić uwagę, że w akapicie poprzedzającym właśnie mówi się o edukacji klientów zaczynając od słów, że „część kanału świadczenia usług jest POZA kontrolą banku” 22 października 2012 roku, Propozycje PIIT poprawek do projektu Rekomendacji D KNF Strona 4