Uwagi do Rekomendacji D KNF _WBI z popr_x

Warszawa, dnia 2012-10-22
UWAGI
Polskiej Izby Informatyki i Telekomunikacji [PIIT]
do projektu „Rekomendacji D” Komisji Nadzoru Finansowego.
Polska Izba Informatyki i Telekomunikacji (PIIT) z zadowoleniem przyjmuje pomysł zmian
w Rekomendacji D przygotowany przez Komisję Nadzoru Finansowego, uwzględniający
powstanie nowego obszaru usług teleinformatycznych
określanego jako
„Cloud
Computing”. Zdajemy sobie również sprawę z ograniczeń i trudności we wprowadzaniu tej
metody i powiązanych z nią technologii do praktyki bankowej. Wydaje się jednak, że
racjonalizacja kosztów przetwarzania poprzez wykorzystanie „Cloud Computing” przy
zachowaniu odpowiedniego poziomu jego bezpieczeństwa może być właściwym i
uzasadnionym ekonomicznie rozwiązaniem w wybranych segmentach działalności
bankowej.
Uwagi do dokumentu.
Przedstawiony do konsultacji dokument oceniamy bardzo wysoko. Zawarte w nim
rekomendacje, jego struktura i użyte sformułowania świadczą o dogłębnej znajomości
przedmiotu. Dlatego pozwalamy sobie, przygotowane przez ekspertów PIIT, uwagi i
propozycje zmian przedstawić w kontekście załączonego fragmentu tekstu.
Rekomendujemy ich uwzględnienie w końcowej wersji dokumentu.
Uwagi szczegółowe:
„Wstęp
Niniejsza Rekomendacja (…).
Komisja Nadzoru Finansowego oczekuje, że niniejsza Rekomendacja zostanie
wprowadzona w bankach nie później niż do dnia 31 grudnia 2013 r.
Komentarz PIIT: Data wprowadzenia przedmiotowej Rekomendacji, jako
dokumentu powszechnie obowiązującego, nie powinna być jednoznaczne z
wprowadzeniem rozwiązań wskazanych w Rekomendacji. Moim zdaniem należy
wystąpić o dodatkowy czas na wprowadzenie rozwiązań np. 12 miesięcy od
wprowadzenia niniejszej Rekomendacji.
Słownik pojęć
Cloud computing – model świadczenia usług zapewniający niezależny od lokalizacji (…)
Komentarz PIIT: Lepiej pisać „Cloud Computing” z dużej litery. Dobrze by też było
poszukać odpowiedniej polskiej nazwy np.: Przetwarzanie w chmurze – stosując tę
polską nazwę wymiennie z angielskim określeniem.
22 października 2012 roku, Propozycje PIIT poprawek do projektu Rekomendacji D KNF
Strona 1
Incydent bezpieczeństwa środowiska teleinformatycznego – (…)
Komentarz PIIT: Może lepiej dodać „Incydent naruszenia bezpieczeństwa „…, gdyż
jest to bardziej dokładne określenie danej sytuacji.
Lista rekomendacji
Strategia i organizacja obszaru technologii informacyjnej i bezpieczeństwa środowiska
teleinformatycznego
Rekomendacja 12
Bank powinien zapewnić skuteczną ochronę środowiska teleinformatycznego
przed szkodliwym oprogramowaniem.
Komentarz PIIT: Lepiej zamiast „skuteczną” użyć pojęcia „adekwatną” lub
„odpowiednią”. Nie ma bowiem metod całkowicie skutecznych oprócz być może
całkowitego odłączenia od prądu...
Rekomendacja 17
Bank powinien posiadać sformalizowane zasady zarządzania oprogramowaniem
użytkownika końcowego, skutecznie ograniczające ryzyko związane z
eksploatacją tego oprogramowania.
Komentarz PIIT: Wydaje się, że ten punkt Rekomendacji wymaga znaczącego
przerobienia – po pierwsze, warto byłoby określić kto to jest „użytkownik końcowy”
– pracownik banku? Zewnętrzny pracownik, np. agent, dostawca, a może pracownik
z innego podmiotu tej samej grupy, który ma dostęp do niektórych systemów?
Klient banku, który przecież jest także użytkownikiem systemu?
Po drugie, jeśli oprogramowanie użytkownika końcowego jest zainstalowane na
urządzeniu, które jest własnością osoby trzecie to bank nie może DOWOLNIE
kształtować zasad zarządzania, ponieważ może dopuszczać się ingerencji w
integralność cudzej własności. W czasach BYOD taka sytuacja nie jest niemożliwa.
Po trzecie, bank nie tylko powinien mieć takie zasady, ale powinien je przedstawić
odpowiednio użytkownikowi końcowemu. Dotyczy RÓWNIEŻ wewnętrznych
pracowników banku
Rekomendacja 22
Obszar
technologii
informacyjnej
i
bezpieczeństwa
środowiska
teleinformatycznego banku powinien być przedmiotem systematycznych,
niezależnych audytów.
Komentarz PIIT: Warto tutaj doprecyzować, czy nie powinny być wprowadzone
audyty wewnętrzne. Można wtedy szybciej wyeliminować większość z uchybień.
22 października 2012 roku, Propozycje PIIT poprawek do projektu Rekomendacji D KNF
Strona 2
Strategia i organizacja obszaru technologii informacyjnej i bezpieczeństwa środowiska
teleinformatycznego
Rola zarządu i rady nadzorczej
1. Rekomendacja 1
Zarząd i rada nadzorcza banku są odpowiedzialne za obszar technologii
informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku.
1.1.
(…) decyzję dotyczącą wyznaczenia1:
–
komitetu
właściwego
teleinformatycznego,
–
komitetu właściwego do spraw obszaru technologii informacyjnej.
do
spraw
obszaru
bezpieczeństwa
środowiska
Pracami powyższych komitetów kierować powinien posiadający odpowiednie kwalifikacje
członek zarządu banku lub wyznaczony przez zarząd banku pełnomocnik.
Komentarz PIIT: Sugerujemy zastąpienie „komitetu” „jednostką”, aby nie
wprowadzać nowych „bytów”.
Architektura infrastruktury teleinformatycznej
Komponenty infrastruktury teleinformatycznej
1.2.
(…) 9.18 Wykorzystywane przez bank drukarki sieciowe powinny w szczególności
zapewniać szyfrowanie przesyłanych i przechowywanych zadań drukowania oraz
odpowiednie mechanizmy weryfikacji tożsamości użytkowników. Drukarki przechowujące
w podajnikach wrażliwe formularze papierowe powinny zapewnić ochronę tych
formularzy przed kradzieżą.
Komentarz PIIT: Raczej powinno być zastrzeżenie, że przesyłanie danych do takich
drukarek powinno być szyfrowane, przy czym wymaga to poniesienia sporych
nakładów finansowych. Chyba lepszym rozwiązaniem jest „trzymanie” takich
drukarek pod kontrolą, aż do odpowiedniego zabezpieczenia wydrukowanych
wrażliwych formularzy. Podobne zastrzeżenia mamy do zarządzania skanerami.
(patrz następne punkt). Naszym zdaniem fizyczne odseparowanie tego typu
urządzeń jest lepszym rozwiązaniem. A koniecznośc przesłanie wrażliwych danych
na odległość lepiej jest przeprowadzić w sieci „komputer-komputer” z odpowiednim
poziomem szyfrowania danych.
1.3.
10.6 (…)
–
mieć świadomość miejsc, w których dane te są przetwarzane i obowiązujących tam
przepisów prawa, oraz zapewnić zgodność świadczonych usług z przepisami prawa
obowiązującymi w Polsce,
Komentarz PIIT: „mieć świadomość” nie jest precyzyjnym określeniem. Lepiej
może warto napisać: „- posiadać informację o zasadach przechowywania danych w
1
Nie jest wymagane, aby były to odrębne, dedykowane komitety – w szczególności dopuszczalne jest
np. uwzględnienie zadań komitetu do spraw obszaru bezpieczeństwa środowiska teleinformatycznego
w ramach komitetu do spraw ryzyka operacyjnego. Bank powinien jednak zapewnić, aby przyjęte
rozwiązanie pozwalało na efektywną realizację zadań w przedmiotowym zakresie.
22 października 2012 roku, Propozycje PIIT poprawek do projektu Rekomendacji D KNF
Strona 3
różnych lokalizacjach lub zasadach rządzących transferem danych do tych lokalizacji
oraz zapewnić zgodność świadczonych usług...”. W uzasadnieniu Jeśli dane są przechowywane poza terenem Polski lub EU to istnieją bądź
porozumienia pozwalające generalnie transferować dane (jak np. safe harbor –
transfer do krajów zapewniających taki sam poziom bezpieczeństwa prywatności)
bądź zapisy w umowach pozwalające na transfer do krajów innych, ale dostawca
usług wtedy zobowiązuje się do odpowiedniego poziomu (np. EU Model Clauses)
–
(…) przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję
dotyczącą wprowadzenia obowiązku przedstawiania przez dostawcę certyfikatów w
zakresie zgodności z uznanymi międzynarodowymi normami dotyczącymi
bezpieczeństwa informacji (szczególnie w przypadku przetwarzania danych poza
granicami Polski).
–
Komentarz PIIT: Lepiej napisać „przeanalizować poziom bezpieczeństwa w centrach
danych dostawcy usług potwierdzony odpowiednimi certyfikatami” oraz wpisać
„poza granicami Unii Europejskiej”.
1.4.
11.14 W pomieszczeniach, w których ulokowane są kluczowe elementy infrastruktury
teleinformatycznej, z zasady nie powinno się zezwalać na wnoszenie telefonów
komórkowych, fotografowanie, nagrywanie audio/video itp. Zezwolenia przewidujące
wyjątki w tym zakresie powinny być udzielane przez odpowiednio upoważnione osoby
oraz rejestrowane.
Komentarz PIIT: To nie jest właściwa ochrona bezpieczeństwa – zakaz wnoszenia
telefonów komórkowych. Po prostu do tego typu pomieszczeń mogą wyłącznie
wchodzić osoby odpowiednio uprawnione (certyfikowane).
Zarządzanie oprogramowaniem użytkownika końcowego
17. Rekomendacja 2
Bank powinien posiadać sformalizowane podejście do zarządzania
oprogramowaniem użytkownika końcowego, skutecznie ograniczające ryzyko
związane z eksploatacją tego oprogramowania.
Komentarz PIIT: Uważamy, że ta cała rekomendacja jest do ponownego przejrzenia.
Prosimy zwrócić uwagę, że w akapicie poprzedzającym właśnie mówi się o edukacji
klientów zaczynając od słów, że „część kanału świadczenia usług jest POZA kontrolą
banku”
22 października 2012 roku, Propozycje PIIT poprawek do projektu Rekomendacji D KNF
Strona 4