Rekomendacja „D”
System Zarządzania Bezpieczeństwem Informacji jest weryfikowany względem wymagań stawianych przez Rekomendację „D” – rekomendacja Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Została wydana na podstawie art. 137 pkt 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2012 r. poz. 1376 j.t. z późn. zm.). Rekomendacja ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tym i obszarami.
W czasie audytu odbywa się analiza i ocena dokumentacji w zakresie bezpieczeństwa informacji, w tym polityk, procedur, strategii, planów, zarządzeń, instrukcji, umów oraz innych dokumentów, które zostaną udostępnione do analizy.
Powyższe dokumenty zostają sprawdzone pod kątem aktualności i poprawności względem siebie. Ponadto weryfikowane jest czy wprowadzone w organizacji dokumenty są przestrzegane zgodnie z zawartymi w nich zapisami. Może to oznaczać przegląd wymienionych w dokumentacji rejestrów, list, raportów jak np. dziennik administratora systemu, dziennik wykonywania kopii lub wyniki z przeglądów uprawnień.
Przeprowadzane są również wywiady z wytypowanymi pracownikami poszczególnych komórek organizacyjnych w zakresie niezbędnym do ustalenia poziomu stosowania wymagań bezpieczeństwa oraz z wewnętrznymi uregulowaniami, w celu ustalenia faktów niezawartych lub niewynikających wprost z dokumentacji, najczęściej z osobą odpowiedzialną za dział IT – ASI, również ABI, pracownikiem ds. ryzyka, kadrową oraz pracownikami obsługi klienta.
Prowadzone są obserwacje budynku, pomieszczeń, działań i zachowań pracowników oraz przeprowadzana jest analiza bezpieczeństwa informacji w systemach teleinformatycznych.
Wynikiem audytu Systemu Zarządzania Bezpieczeństwem Informacji jest raport zawierający wykryte niezgodności oraz dotyczące ich zalecenia naprawcze.
DORA – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego, który konsoliduje i wzmacnia zasady zarządzania ryzykiem ICT (technologie informacyjno-komunikacyjne) w sektorze finansowym UE, jednocześnie korygując wcześniej wydane akty prawne (m.in. w obszarze clearingu, rynku papierów wartościowych, itp.)
Rozporządzenie weszło w życie 16 stycznia 2023 r., zaś stosowanie jego przepisów rozpoczyna się 17 stycznia 2025 r.
DORA obowiązuje bezpośrednio we wszystkich państwach członkowskich UE, bez potrzeby transpozycji do prawa krajowego.
Główne obszary i wymogi DORA Według Komisji Nadzoru Finansowego (KNF) w Polsce, DORA obejmuje pięć kluczowych obszarów działań:
- Zarządzanie ryzykiem ICT – ustanowienie kompleksowych ram zarządzania ryzykiem technologicznym odpowiednich do wielkości i profilu działalności instytucji.
- Testowanie odporności operacyjnej cyfrowej – w tym testy TLPT (Threat-led penetration testing).
- Zarządzanie ryzykiem wynikającym z usługodawców zewnętrznych (ICT third-party).
- Stworzenie struktur nadzorczych – zarówno krajowych, jak i unijnych, nad kluczowymi dostawcami ICT oraz łańcuchem dostaw.
- Zgłaszanie poważnych incydentów ICT – harmonizacji i centralizacji systemu raportowania na szczeblu krajowym i unijnym.
Proponujemy pomoc we wdrożeniu DORA w zakresie przeprowadzania:
- Audytu bezpieczeństwa cyfrowego celem określenia potrzeb organizacji i planu wdrożenia Rozporządzenia.
- Zewnętrznych i wewnętrznych testów penetracyjnych infrastruktury informatycznej wraz z badaniem podatności.
- Kampanii socjotechnicznych wśród pracowników organizacji.
- Testów stron internetowych w oparciu o OWASP.
- Analizy i szacowania ryzyka w cyberbezpieczeństwie.
- Aktualizacji dokumentacji (m. in. Systemu Informacji Zarządczej, Procedur Szacowania Ryzyka, Polityki Bezpieczeństwa Informacji, Strategii informatyzacji, Polityki bezpieczeństwa systemów informatycznych, procedur tworzenia kopii, odtwarzania systemów i planów ciągłości działania, planów reagowania i przywracania sprawności ICT).
- Szkoleń pracowników odnośnie wdrożonej dokumentacji oraz z zakresu cyberbezpieczeństwa i socjotechniki.
- Polecamy także, wedle zaleceń Rozporządzenia, zaplanować w organizacji cykliczność usług audytorskich (audyty, socjotechnika, szkolenia, badanie podatności), celem podtrzymania najwyższego poziomu bezpieczeństwa.