plik pdf
Transkrypt
plik pdf
Bezpieczeństwo Bankowe Aspekty prawne Gdynia, 20 czerwca 2006 Cezar Cichocki ASSECO Poland S.A. c Copyright CYBER Service 2002,2006 – p.1/18 Rekomendacja D Generalny Inspektorat Nadzoru Bankowego Komisja Nadzoru Bankowego Narodowy Bank Polski Rekomendacja D — dotyczaca ˛ zarzadzania ˛ ryzykami towarzyszacymi ˛ systemom informatycznym i telekomunikacyjnym używanym przez banki c Copyright CYBER Service 2002,2006 – p.2/18 Rekomendacja D. . . Władze banku w ramach wypełniania swoich funkcji sa˛ odpowiedzialne za opracowywanie strategii banku, w tym strategii w zakresie rozwoju i eksploatacji systemów informatycznych i sieci. c Copyright CYBER Service 2002,2006 – p.3/18 Rekomendacja D. . . Władze banku powinny ustanowić kontrol˛e zarzadcz ˛ a˛ ryzyk zwiazanych ˛ z systemami informatycznymi, w tym ustanowić polityki i inne, bardziej szczegółowe regulacje służace ˛ zarzadzaniu ˛ tymi ryzykami. c Copyright CYBER Service 2002,2006 – p.4/18 Rekomendacja D. . . Kierownictwo banku odpowiada za stworzenie i realizacj˛e polityki bezpieczeństwa. c Copyright CYBER Service 2002,2006 – p.5/18 A to przecież nie wszystko! Ustawy i rozporzadzenia ˛ Rekomendacje GINB NBP (D, H, M) Wewn˛etrzne procedury banków, zrzeszeń i KIR Dokumenty UE (Komitet Bazylejski, ITSEM/ITSEC) Normy mi˛edzynarodowe (ISO, ISO/TR) Zalecenia organizacji finansowych (BIS, VISA. . . ) c Copyright CYBER Service 2002,2006 – p.6/18 Strategia Technologia informatyczna jest podstawa˛ funkcjonowania banku Bezwzgl˛edny wymóg spójności strategii rozwoju informatycznego z ogólna˛ strategia˛ rozwoju banku Centralizacja — odmiejscowienie rachunków Dualność internetu — czynnik tak zagrożenia jak i rozwoju Konkurencja wymusza wprowadzanie nowych produktów, a co za tym idzie — technologii i rozwiazań ˛ c Copyright CYBER Service 2002,2006 – p.7/18 Kontrola Stosowanie nowych technologii bez ich zrozumienia stanowi pot˛eżny czynnik ryzyka Integracja procesów zarzadzania ˛ ryzykiem informatycznym z procesami zarzadzania ˛ ryzykiem w banku Ustanowienie podstawowych upoważnień, mechanizmów podległości i procedur wpływajacych ˛ na bezpieczeństwo Konieczność ciagłych ˛ analiz kosztów do korzyści Wiarygodne systemy informatyczne c Copyright CYBER Service 2002,2006 – p.8/18 Polityka bezpieczeństwa Jasno określajaca: ˛ co wolno, a czego nie Precyzujaca ˛ role pracowników Definiujaca ˛ standardy post˛epowania Trójfilarowa polityka bezpieczeństwa: — Bezpieczeństwo fizyczne lokalizacji — Bezpieczeństwo fizyczne systemów — Bezpieczeństwo logiczne systemów HRF – Czynnik ryzyka ludzkiego (Human Risk Factor) c Copyright CYBER Service 2002,2006 – p.9/18 Audyt Weryfikacja adekwatności istniejacej ˛ polityki bezpieczeństwa Spójna analiza stanu zastanego z uwzgl˛ednieniem wszystkich trzech filarów — infrastruktura i bezpieczeństwo fizyczne lokalizacji — bezpieczeństwo fizyczne i logiczne systemów i sieci — trafność stosowanych instrukcji i procedur Zalecenia poaudytowe do ewentualnego uwzgl˛ednienia w strategii Banku c Copyright CYBER Service 2002,2006 – p.10/18 Celowość audytu zewn˛etrznego Obiektywność — niezależność od opinii banku Niezależność od układów interpersonalnych Świeże spojrzenie na stan zastany Rzetelna i wiarygodna analiza Analiza pod katem ˛ zaktualizowanych norm Możliwość szerszego spojrzenia na strategi˛e Banku c Copyright CYBER Service 2002,2006 – p.11/18 Zasadność nadzoru wewn˛etrznego Wymóg prawa weryfikacja i dostosowywanie regulacji wewn˛etrznych Ochrona interesów Banku Ochrona interesów Klientów Detekcja "kretów" Ochrona interesów Pracowników wspomaganie trafnego planowania strategii rozwoju c Copyright CYBER Service 2002,2006 – p.12/18 Stan obecny STAN OBECNY c Copyright CYBER Service 2002,2006 – p.13/18 Stan zastany — Czynniki zewn˛etrzne: Mnogość regulacji i wymogów Wzrost agresywności GINB Coraz wyższe kary Biurokratyczne wymagania EU — Czynniki wewn˛etrzne: Komplikacja nowych technologii Coraz wi˛ecej czynników ryzyka "Mi˛ekka" definicja Ryzyka Operacyjnego c Copyright CYBER Service 2002,2006 – p.14/18 Główne problemy Z doświadczeń audytowych wynika że: Władze Banku doskonale wiedza˛ czego im brakuje! Instrukcje operacyjne sa˛ bardzo cz˛esto fikcja˛ Nawet poprawne instrukcje sa˛ niewygodne w użyciu – brak rozbicia na procedury – brak rozbicia na role w firmie – brak szybkiej i efektywnej oceny poziomu ryzyka – niska percepcja zmian Nikt nie czyta instrukcji operacyjnych!!! W sytuacji kryzysowej podejmowane sa˛ działania intuicyjne c Copyright CYBER Service 2002,2006 – p.15/18 Najcz˛estsze problemy z szacowaniem Władze banku nie sa˛ w stanie analizować wszystkich czynników ryzyka Przecia˛żone służby IT nie sa˛ w stanie nadzorować na bieżaco ˛ Ryzyka Operacyjnego Władze firmy nie rozumieja˛ co mówia˛ informatycy Na ryzyko operacyjne wpływ maja˛ nie tylko informatycy Firmy zewn˛etrzne dodatkowo zwi˛ekszaja˛ zamieszanie Nie ma możliwości efektywnej analizy gromadzonych danych Efekt? Średnia dla I i II filaru < 6, dla III filaru < 5 c Copyright CYBER Service 2002,2006 – p.16/18 Co zatem robić. . . ? przeprowadzić całościowy audyt określić późniejsze obszary kontroli przeszkolić ADO/ABI/IT wytworzyć wst˛epne dokumenty przeszkolić Władze Banku wytworzyć docelowe dokumenty przeszkolić pracowników operacyjnych uświadamiać korzyści i zagrożenia płynace ˛ z nowych produktów c Copyright CYBER Service 2002,2006 – p.17/18 CYBER Service Prosz˛e o pytania. . . <[email protected]> c Copyright CYBER Service 2002,2006 – p.18/18