System Zarządzania Bezpieczeństwem

Informacji wg ISO/IEC 27001:2005 a

Rekomendacja D

Krzysztof Maćkowiak

Doradztwo Gospodarcze DGA SA

Agenda prezentacji

 System Zarządzania Bezpieczeństwem Informacji

 Norma ISO/IEC 27001:2005
 Porównanie Rekomendacji D z normą ISO/IEC
27001:2005

Doradztwo Gospodarcze DGA SA

Agenda prezentacji

 System Zarządzania Bezpieczeństwem Informacji

 Norma ISO/IEC 27001:2005
 Porównanie Rekomendacji D z normą ISO/IEC
27001:2005

Doradztwo Gospodarcze DGA SA

Tożsame atrybuty bezpieczeństwa
INTEGRALNOŚĆ

POUFNOŚĆ

Bezpieczeństwo
informacji

DOSTĘPNOŚĆ

Doradztwo Gospodarcze DGA SA

Systemowe podejście do bezpieczeństwa

Bezpieczeństwo
Ludzie Usługi
osobowe

ISO 27001
Bezpieczeństwo Bezpieczeństwo
fizyczne informatyczne

Informacje Bezpieczeństwo Technologia

prawne

Doradztwo Gospodarcze DGA SA

Podejście procesowe

Głównym celem SZBI jest Ustanowienie

minimalizacja ryzyka utraty SZBI
najważniejszych informacji
organizacji

Wdrożenie i
eksploatacja SZBI Utrzymanie i
doskonalenie
SZBI

Monitorowanie i
przegląd SZBI

Doradztwo Gospodarcze DGA SA

Agenda prezentacji

 System Zarządzania Bezpieczeństwem Informacji

 Norma ISO/IEC 27001:2005
 Porównanie Rekomendacji D z normą ISO/IEC
27001:2005

Doradztwo Gospodarcze DGA SA

Historia standardów
BS PD0003:1993
1993

WYTYCZNE WYMAGANIA

BS 7799-1:1995
1995
BS 7799-2:1998
1998
BS 7799-1:1999 BS 7799-2:1999
1999

ISO/IEC 17799:2000
2000

2002 BS 7799-1:2002 BS 7799-2:2002

Standardy: 2003 PN-ISO 17799:2003

Polskie 2005
ISO/IEC 17799:2005 PN-I-07799-2:2005

Brytyjskie
ISO/IEC 27002:2005 ISO/IEC 27001:2005

Międzynarodowe 2007
Rodzina standardów ISO/IEC 27000

Doradztwo Gospodarcze DGA SA

 ISO 27001 podstawą SZBI
 Międzynarodowy, uznany i sprawdzony standard
bezpieczeństwa informacji.
 Szczególny nacisk położony jest na zarządzanie ryzykiem
utraty ważnych informacji.
 Norma definiuje poszczególne elementy kontroli i zarządzania
bezpieczeństwem informacji w tematycznie uporządkowanych
11 grupach wymagań.
 Pozwala organizacji na zidentyfikowanie najwłaściwszych
zabezpieczeń w kontekście specyfiki działalności.
 Norma dotyczy wszystkich form informacji, w tym także
ustnych, graficznych, powstających z wykorzystaniem telefonów
komórkowych i faksów.
 Norma uwzględnia najnowsze formy działalności gospodarczej,
np. e-biznes, internet, outsourcing, teleworking, mobile
computing.

Doradztwo Gospodarcze DGA SA

ISO/IEC 27001 a ISO/IEC 17799

Norma ISO/IEC 27001 służy Norma ISO/IEC 17799

do certyfikacji zawiera wytyczne, a nie wymagania

Wymagania Wytyczne

System zarządzania
bezpieczeństwem informacji

Doradztwo Gospodarcze DGA SA

ISO/IEC 27001 – Spis treści
Wymagania

0 Wstęp
1 Zakres normy
2 Odwołania normatywne
3 Terminy i definicje
4 System Zarządzania Bezpieczeństwem
Informacji
5 Odpowiedzialność kierownictwa
6 Audyty wewnętrzne
ISO
7 Przegląd kierownictwa SZBI 2 70
8 Udoskonalanie SZBI
01
9 Załącznik A

Doradztwo Gospodarcze DGA SA

ISO/IEC 27001 – Spis treści
Wymagania
A.5 Polityka bezpieczeństwa
A.6 Organizacja bezpieczeństwa
ISO/IEC 2
A.7 Zarządzanie aktywami 2. Polity 7001
ka bezpie
3. Organ czeństwa
A.8 Bezpieczeństwo osobowe
iza
4. Klasyf cja bezpieczeństw
ika a
5. Bezpie cja i kontrola zasob
czeństwo ów
A.9 Bezpieczeństwo fizyczne i
6. Zarząd osobowe
zanie sys
7. Bezpie temami i s
czeńs ieciami
i środowis two fizyczne
środowiskowe 8. Kontro
la
k owe
9. Pozys dostępu do system
A.10 Zarządzanie systemami i sieciami
kiwanie, ro u
systemu zwój i utrzy
manie
10. Zarząd
zanie
bezpiecze incydentami
A.11 Kontrola dostępu do systemów 11. Zarząd ństwa
za
12. Zgodn nie ciągłością dzia
A.12 Pozyskanie, rozwój i utrzymanie
ość z wym łania
własnymi aganiami
standarda prawa i
mi
systemów
A.13 Zarządzanie incydentami
bezpieczeństwa
A.14 Zarządzanie ciągłością działania
A.15 Zgodność
Doradztwo Gospodarcze DGA SA
Agenda prezentacji

 System Zarządzania Bezpieczeństwem Informacji

 Norma ISO/IEC 27001:2005
 Porównanie Rekomendacji D z normą ISO/IEC
27001:2005

Doradztwo Gospodarcze DGA SA

Co podlega ochronie
ISO/IEC 27001:2005
 System informacyjny – system przepływu informacji, obejmujący swoim zakresem:
 źródła informacji
 kanały przesyłania
 punkty gromadzenia
 procesy przekształcania
 punkty efektywnego przeznaczenia łącznie ze środowiskiem
(społecznym i technicznym), w którym ten system jest osadzony
 Zakres systemu informacyjnego to całe spektrum działań związanych z informacją,
w każdej jej postaci – papierowej, elektronicznej, głosowej czy optycznej

Doradztwo Gospodarcze DGA SA

Co podlega ochronie
Rekomendacja D
 System informatyczne i teleinformatyczne wraz z danymi przetwarzanymi przez te
systemy
 Systemy bankowości elektronicznej
 Kanały dystrybucji (kanały elektroniczne i związane z nim technologie - Internet,
GSM, WAP)
 Dokumentacja systemowa

Doradztwo Gospodarcze DGA SA

Zarządzanie ryzykiem
Norma ISO/IEC 27001:2005 wymaga, aby:
 Zdefiniować systematyczne podejście do analizy ryzyka
 Metoda szacowania ryzyka
 Kryteria akceptacji ryzyka i akceptowalne poziomy ryzyka
 Identyfikować ryzyka:
 Przeprowadzić inwentaryzację (klasyfikację) zasobów
 Określić zagrożenia dla zdefiniowanych zasobów
 Zidentyfikować słabości, które mogą zostać wykorzystane przez zagrożenia
 Oszacować skutki zrealizowania się zagrożeń w odniesieniu do utraty poufności,
integralności lub dostępności zasobów
 Wyznaczyć ryzyko:
 Określić skutki wystąpienia zagrożenia jako miarę kosztów zastąpienia lub odnowienia
zasobu
 Określić prawdopodobieństwo wystąpienia zagrożenia, przy uwzględnieniu środków
kontroli już wprowadzonych
 Oszacować ryzyko utraty informacji
 Oszacować, czy ryzyko jest akceptowalne, czy wymaga podjęcia działań dla jego
zmniejszenia

Doradztwo Gospodarcze DGA SA

Zarządzanie ryzykiem
Norma ISO/IEC 27001:2005 wymaga, aby:
 Zidentyfikować i ocenić warianty postępowania z ryzykiem
 Zastosowanie zabezpieczeń
 Akceptacja ryzyk
 Unikanie ryzyk
 Przeniesienie związanych ryzyk biznesowych na innych uczestników
 Określić odpowiednie zabezpieczenia
 Uzyskać akceptację kierownictwa dla wybranych ryzyk szczątkowych
 Opracować i wdrożyć plan postępowania z ryzykiem
 Mierzyć efektywność wdrożonych zabezpieczeń

Doradztwo Gospodarcze DGA SA

Odpowiedzialność kierownictwa
ISO/IEC 27001:2005

 Zaangażowanie kierownictwa

 Zapewnienie zasobów

 Zapewnienie kompetencji osób odpowiedzialnych za bezpieczeństwo

 Szkolenia i uświadamianie pracowników

 Ustanowienie polityki SZBI

 Określenie ról i zakresów odpowiedzialności

 Zapewnienie przeprowadzania audytów wewnętrznych

 Przeprowadzanie przeglądów SZBI

Doradztwo Gospodarcze DGA SA

Odpowiedzialność kierownictwa
Rekomendacja D
 Opracowanie strategii w zakresie rozwoju i eksploatacji systemów informatycznych
i sieci.
 Podjęcie decyzji o wyborze scentralizowanej lub rozproszonej architektury systemu
informatycznego.
 Podjęcie decyzji czy bank będzie świadczył usługi bankowości elektronicznej
(unikanie ryzyka).
 Prawidłowy nadzór ze strony władz banku ma podstawowe znaczenie dla
zapewnienia efektywnych wewnętrznych mechanizmów kontroli elektronicznej
działalności bankowej.
 Kierownictwo banku odpowiada za stworzenie i realizację polityki bezpieczeństwa.
 Kierownictwo banku odpowiedzialne jest za bezpieczeństwo systemów
informatycznych i sieci w każdej jednostce organizacyjnej banku.
 Kierownictwo banku jest odpowiedzialne za szkolenie użytkowników.

Doradztwo Gospodarcze DGA SA

Zarządzanie ryzykiem
Rekomendacja D dotycząca zarządzania ryzykami towarzyszącymi systemom
informatycznym i telekomunikacyjnym używanym przez banki:

Profil ryzyka każdego banku jest inny i wymaga dostosowania metody jego redukcji do skali
zastosowań systemów informatycznych i operacji bankowości elektronicznej, istotności
występujących ryzyk oraz woli i zdolności banków do zarządzania tymi ryzykami

Władze banku powinny upewnić się czy jest prowadzona analiza ryzyka w zakresie
elektronicznej działalności bankowej, czy ustanowione są odpowiednie procesy redukowania i
monitorowania zidentyfikowanych ryzyk.

Władze banku powinny ustanowić efektywną kontrolę zarządczą ryzyk związanych z systemami
informatycznymi, w tym ustanowić polityki i inne, bardziej szczegółowe regulacje służące
zarządzaniu tymi ryzykami.

Władze banku powinny zapewnić integrację procesów zarządzania ryzykiem w systemach

informatycznych z procesami zarządzania ryzykiem w skali banku.

Precyzyjne określenie akceptowanego przez bank poziomu ryzyka w zakresie systemów

informatycznych.

Identyfikacja tych zagrożeń powinna poprzedzić określenie rodzaju ryzyka, analizę i

zarządzanie ryzykiem poprzez wybór, testowanie i implementację nowych lub
uzupełniających mechanizmów zabezpieczeń, minimalizujących ryzyko do poziomu,
który może być przez bank akceptowany.
Doradztwo Gospodarcze DGA SA
 A.5 Polityka bezpieczeństwa
Dokument polityki bezpieczeństwa informacji.
Przegląd polityki bezpieczeństwa informacji.

Rekomendacja D:
 Kierownictwo banku odpowiedzialne jest za stworzenie polityki bezpieczeństwa i
zapewnienie stałego nadzoru nad jej realizacją.
 W celu zapewnienia odpowiednich systemów kontroli bezpieczeństwa, kierownictwo
banku musi ustalić, czy bank posiada wszechstronny proces zabezpieczeń, w tym
odpowiednią politykę i procedury, uwzględniające potencjalne wewnętrzne i
zewnętrzne zagrożenia bezpieczeństwa.
 Zasady polityki bezpieczeństwa należy cyklicznie analizować i aktualizować
stosownie do zmieniających się warunków organizacyjnych.
 Kierownictwo banku powinno nadzorować opracowanie, w formie pisemnej,
procedur i zasad kontroli bezpieczeństwa zapewniających prawidłowe
zabezpieczenie systemów informatycznych i danych (ze szczególnym uwzględnieniem
bankowości elektronicznej) przed zagrożeniami wewnętrznymi i zewnętrznymi,
pozwalających na zminimalizowanie prawdopodobieństwa wystąpienia negatywnych
zdarzeń.

Doradztwo Gospodarcze DGA SA

 A.6 Organizacja bezpieczeństwa informacji
Organizacja wewnętrzna – odpowiedzialności, koordynacja, autoryzacja urządzeń, umowy o
zachowaniu poufności, kontakty z organami władzy, niezależny przegląd bezpieczeństwa
Strony trzecie – określenie ryzyk, określenie wymagań bezpieczeństwa, umowy ze stronami
trzecimi

Rekomendacja D:
 Opracowana polityka powinna określać obowiązki kierownictwa banku /
pracowników w zakresie kontroli opracowywania i przestrzegania polityki
bezpieczeństwa.
 Dla wypracowania i zatwierdzenia zasad polityki bezpieczeństwa zalecane jest
wyłonienie spośród najwyższego szczebla kierownictwa banku stosownego komitetu.
 Polityka korzystania z zewnętrznych urządzeń, warunkujących pracę systemu
informatycznego oraz współpraca z firmami zewnętrznymi (dostawcami sprzętu,
oprogramowania, ośrodkami przetwarzania danych na zlecenie) może potencjalnie
zwiększać prawdopodobieństwo utraty danych.
 Uwzględnienie unikalnych czynników ryzyka związanych z zapewnieniem
bezpieczeństwa, integralności i dostępności produktów i usług bankowości
elektronicznej oraz wymaganie, aby strony trzecie, którym banki zleciły sprawy
podstawowych systemów lub aplikacji, podejmowały te same kroki.
 Odpowiednio przygotowane umowy o pracę lub odrębne oświadczenia powinny
zawierać klauzule o ochronie tajemnicy służbowej oraz szczegółowy zakres
obowiązków.

Doradztwo Gospodarcze DGA SA

 A.7 Zarządzanie aktywami
Odpowiedzialność za aktywa – inwentaryzacji, określenie własności i akceptowalnego użycia
aktywów
Klasyfikacja informacji – zdefiniowanie klasyfikacji informacji i określenie zasad postępowania
z informacjami

Rekomendacja D:
 Należy dokonać określenia stopnia poufności wszystkich rodzajów informacji
przetwarzanych w systemach informatycznych, a w szczególności wskazać, które
informacje i w jakim okresie powinny podlegać bez względu na formę absolutnemu
zakazowi publikacji (czasowe embargo na niektóre informacje). Niezbędne jest również
precyzyjne określenie zasad obowiązujących przy przekazywaniu danych.
 Dane i systemy informatyczne powinny być klasyfikowane zgodnie z ich
wrażliwością i znaczeniem oraz odpowiednio chronione.
 Opracowanie zasad polityki powinno być poprzedzone sklasyfikowaniem poziomów
bezpieczeństwa informacji i oznaczeniem ich dla określenia właściwych
zabezpieczeń.
 W procesie planowania zabezpieczeń powinny być określone wartości zasobów
systemu informatycznego, ich klasyfikacja, zasady inwentaryzacji, osoby,
którym zostały powierzone i ich zakresy odpowiedzialności oraz granice
dopuszczalnych modyfikacji systemu zabezpieczeń.

Doradztwo Gospodarcze DGA SA

 A.8 Bezpieczeństwo osobowe
Przed zatrudnieniem – role i odpowiedzialności, postępowanie sprawdzające, zasady i warunki
zatrudnienia
Podczas zatrudnienia – odpowiedzialność kierownictwa, szkolenia,
Zakończenie lub zmiana zatrudnienia – zwrot aktywów, odebranie praw dostępu

Rekomendacja D:
 Z uwagi na statystycznie wysoki odsetek użytkowników wewnętrznych, naruszających
zasady bezpieczeństwa, zalecany jest bardzo staranny dobór, pod względem
profesjonalnego przygotowania i cech osobowościowych, pracowników
zatrudnianych na stanowiskach dających dostęp do szczególnie ważnych
informacji.
 Należy stosować rygorystyczny proces analizy bezpieczeństwa wobec wszystkich
pracowników i usługodawców zajmujących newralgiczne stanowiska.
 Należy utrzymywać niezbędny poziomu edukacji użytkowników wymaganej dla
zapewnienia bezpieczeństwa informacji poprzez udział w seminariach, kursach i
szkoleniach. Użytkownicy powinni być szkoleni w zakresie procedur bezpieczeństwa i
właściwego korzystania ze sprzętu i systemów informatycznych.
 Dla zachowania bezpieczeństwa systemu, bank powinien opracować formalny proces
dyscyplinarnego postępowania z osobami nie przestrzegającymi procedur.

Doradztwo Gospodarcze DGA SA

 A.9 Bezpieczeństwo fizyczne i środowiskowe
Obszary bezpieczne –zabezpieczenie budynku, pomieszczeń, ochrona przed zagrożeniami
środowiskowymi, obszary publicznie dostępne, zasady pracy w obszarach bezpiecznych
Bezpieczeństwo sprzętu – systemy wspomagające, bezpieczeństwo okablowania,
konserwacja i zbywanie sprzętu, bezpieczeństwo sprzętu poza siedzibą, wynoszenie mienia

Rekomendacja D:
 W celu zapobieżenia dostępowi do głównych systemów, serwerów, baz danych i aplikacji
bankowości elektronicznej bez upoważnienia należy wprowadzić odpowiednie
mechanizmy kontroli fizycznego dostępu.
 Należy zdefiniować poziom zabezpieczenia fizycznego oraz procedury
zabezpieczenia przeciwpożarowego proporcjonalnie do wartości sprzętu i wielkości
potencjalnych strat, które mogą być wyrządzone w wyniku uszkodzenia zabezpieczeń.
 W okresach czasowej nieobecności pracowników w pomieszczeniu, okna i drzwi powinny
być pozamykane, a systemy alarmowe włączone. Niezbędne jest odpowiednie
wyposażenie pomieszczeń w czujniki ciepła i dymu, instalacje alarmowe, sprzęt
przeciwpożarowy, wyjścia ewakuacyjne itp.
 Działania naprawcze może podejmować jedynie ściśle określony personel.
 W przypadku przekazywania sprzętu do naprawy należy sprawdzić czy nie pozostały
w nim informacje.

Doradztwo Gospodarcze DGA SA

 A.10 Zarządzanie systemami i sieciami
Procedury eksploatacyjne
Zarządzanie zmianami. Oddzielenie urządzeń rozwojowych, testowych i eksploatacyjnych
Rozdzielenie obowiązków
Zarządzanie usługami dostarczanymi przez strony trzecie
Planowanie i odbiór systemów
Ochrona przed kodem złośliwym i kodem mobilnym
Kopie zapasowe
Zarządzanie bezpieczeństwem sieci
Obsługa nośników
Wymiana informacji
Usługi handlu elektronicznego
Monitorowanie

Doradztwo Gospodarcze DGA SA

 A.10 Zarządzanie systemami i sieciami
Rekomendacja D:
 Konieczne jest stosowanie kopii bezpieczeństwa (tzw. backup) i bieżącego
dziennika zdarzeń (tzw. log), które w przypadku utraty danych w systemie
informatycznym, powinny pozwolić na odtworzenie zasobów. Dane z kopii zapasowych
należy regularnie sprawdzać w zakresie pozwalającym na ocenę ich stanu (możliwości
użycia) w przypadku załamania pracy systemu.
 Tworzone przez systemy księgi rejestrujące zdarzenia zachodzące w systemie (log)
powinny zawierać wykazy wszystkich czynności, czasy przebiegu (od rozpoczęcia do
zakończenia), wykryte błędy, działania naprawcze, potwierdzenie właściwego postępowania
ze zbiorami danych i ewentualnie wydrukami.
 Oddzielenie i niezależna realizacja czynności testujących od operacyjnych
zapobiega wprowadzaniu nieoczekiwanych i niepożądanych zmian do wersji użytkowej
systemu oraz nadmiernemu dzieleniu się informacjami. Prace testujące powinny być
oddalone od normalnej, operacyjnej pracy systemów informatycznych również w sensie
fizycznym.
 Modyfikacja systemu, wdrażania nowej wersji lub przejście na inny system jak również
wymiana sprzętu powinna być prowadzona w taki sposób aby zabezpieczyć bank przed
możliwością wystąpienia przestojów.

Doradztwo Gospodarcze DGA SA

 A.10 Zarządzanie systemami i sieciami
Rekomendacja D:
 Bank powinien posiadać dokumentację systemową wszystkich systemów
informatycznych używanych przez bank, dbać o jej aktualność i bezpieczeństwo.
 Sposób postępowania z nośnikami danych wszelkiego rodzaju powinien zapobiegać
uszkodzeniom sprzętu i zakłóceniom pracy systemu.
 Kierownictwo banku odpowiedzialne jest za przesyłane informacje: tj. ich zatwierdzenie,
zabezpieczenie technicznych standardów dla transmisji i standardów identyfikacji
kurierskich.
 Monitorowanie przestrzegania warunków umownych i szczegółowa analiza zachowań
klientów, mających dostęp do systemów informatycznych, powinny być
zinstytucjonalizowane procedurami obowiązującymi w tym zakresie.
 Z procedur obowiązujących w banku powinien jednoznacznie wynikać obowiązek
oddzielenia funkcji operacyjnych od rozwojowych. Osoby odpowiedzialne za
bezpieczeństwo systemów informatycznych nie powinny łączyć tych funkcji z pracami
dotyczącymi obsługi systemów.

Doradztwo Gospodarcze DGA SA

 A.11 Kontrola dostępu do systemów
Polityka kontroli dostępu
Zarządzanie dostępem użytkowników – rejestracja, zarządzanie przywilejami i hasłami, przegląd
praw dostępu
Odpowiedzialność użytkowników – używanie haseł, pozostawienie sprzętu bez opieki
Kontrola dostępu do sieci – korzystanie z usług sieciowych, połączenie z zewnątrz, rozdzielenie
sieci, kontrola połączeń
Kontrola dostępu do systemów operacyjnych – bezpieczne logowanie, identyfikacja i
uwierzytelnianie, hasła, zrywanie sesji
Kontrola dostępu do aplikacji
Przetwarzanie mobilne i praca na odległość

Doradztwo Gospodarcze DGA SA

 A.11 Kontrola dostępu do systemów
Rekomendacja D:
 Niezbędna jest alokacja odpowiedzialności za bezpieczeństwo systemów
informatycznych, w formie wyznaczenia stanowisk i zakresów odpowiedzialności.
 Użytkownik danego terminala powinien być odpowiedzialny za wszelkie czynności
wykonane za jego pomocą.
 Dla zapewnienia bezpiecznego dostępu do aplikacji i baz danych należy tworzyć i
utrzymywać profile bezpieczeństwa. Dotyczy to także konkretnych przywilejów
autoryzacji przyznawanych wszystkim użytkownikom systemów informatycznych i aplikacji
bankowości elektronicznej, w tym wszystkim klientom, wewnętrznym użytkownikom
bankowym oraz usługodawcom, którym zlecono usługi.
 Poszczególni użytkownicy aplikacji powinni mieć indywidualne, własne, często
zmieniane hasła dostępu.
 Każdy właściciel aplikacji powinien opracować precyzyjnie zdefiniowane procedury i
zasady dostępu, które będą określały prawa dostępu poszczególnych użytkowników/grup
użytkowników, sposoby autoryzacji i aktualizacji listy użytkowników oraz haseł.
 Banki powinny stosować takie metody potwierdzania transakcji, które uniemożliwiają
negowanie dokonanych transakcji i wprowadzają odpowiedzialność za transakcje
bankowości elektronicznej.

Doradztwo Gospodarcze DGA SA

 A.12 Pozyskanie, rozwój i utrzymanie systemów
Analiza i opis wymagań bezpieczeństwa
Poprawne przetwarzanie w aplikacjach – potwierdzenie danych wejściowych i wyjściowych,
przetwarzanie wewnętrzne, integralność wiadomości
Zabezpieczenie kryptograficzne
Bezpieczeństwo plików systemowych
Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej
Zarządzanie podatnościami technicznymi

Doradztwo Gospodarcze DGA SA

 A.12 Pozyskanie, rozwój i utrzymanie systemów
Rekomendacja D:
 W świetle unikalnych cech bankowości elektronicznej, nowe projekty w zakresie
bankowości elektronicznej, które mogą wywrzeć istotny wpływ na profil ryzyka i strategię
banku powinny być poddawane odpowiednim analizom strategicznym i analizom
kosztów/korzyści.
 W celu wyeliminowania ograniczeń i zagrożeń związanych z niezdolnością funkcjonującego
systemu informatycznego do rozwoju, zalecane jest prognozowanie przyszłego
zapotrzebowania na sprzęt i usługi informatyczne oraz monitorowanie możliwości
jego rozwoju i unowocześnienia.
 Wybór nowych rozwiązań, tryb ich akceptacji i testowanie, przed podjęciem
ostatecznej decyzji zakupu, powinny być zgodne z obowiązującymi w banku procedurami.
Należy zwrócić uwagę, aby wprowadzenie nowych systemów nie zakłóciło pracy
dotychczasowych, równolegle funkcjonujących w banku.
 Niezależnie od zabezpieczeń stosowanych w systemach informatycznych konieczne jest
stosowanie zabezpieczeń organizacyjnych (proces tworzenia nowego
oprogramowania powinien być podzielony na następujące, odrębne etapy: opracowanie
strategii, analizę, projektowanie, budowę systemu wraz ze stworzeniem dokumentacji
użytkowej, testowanie, wdrożenie i eksploatację).
 Ryzyko niedokładnego, niekompletnego bądź wielokrotnego wprowadzenia tych samych
danych powinno być eliminowane przez odpowiednie procedury kontroli np.
sprawdzanie i poprawianie prawidłowości danych.
Doradztwo Gospodarcze DGA SA
 A.13 Zarządzanie incydentami bezpieczeństwa
Raportowanie incydentów bezpieczeństwa i słabości – zapewnienie, że incydenty bezpieczeństwa i
słabości będą zgłaszane w sposób umożliwiający podjęcie na czas stosownych działań.
Zarządzanie incydentami bezpieczeństwa i doskonalenie.

Rekomendacja D:
 W trakcie szkoleń użytkownicy powinni być wyczuleni na obserwację i reagowanie na
wszelkie przypadki, mogące mieć wpływ na bezpieczeństwo systemu i zapoznani z
formalnoprawnymi procedurami postępowania w przypadkach faktycznego lub
podejrzewanego zagrożenia bezpieczeństwa systemu oraz zasadami bezzwłocznego
powiadamiania kierownictwa banku o nieprawidłowościach. Obowiązek raportowania
dotyczy wszelkich przypadków działania systemów niezgodnie z ich
przeznaczeniem.
 Bank powinien opracować odpowiednie plany reagowania na incydenty służące
zarządzaniu, przeciwdziałaniu i minimalizacji problemów wynikających z nieoczekiwanych
zdarzeń, w tym ataków wewnętrznych i zewnętrznych, które mogą szkodzić funkcjonowaniu
systemów i świadczeniu usług bankowości elektronicznej.
 W procedurach należy wskazać zasady analizy słabości systemów aktualnie
funkcjonujących, środków zaradczych, ich testowania i wdrażania

Doradztwo Gospodarcze DGA SA

 A.14 Zarządzanie ciągłością działania
Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania – przeciwdziałanie
przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed
wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego
wznowienia ich działalności.

Rekomendacja D:
 Bank powinien posiadać zdolność efektywnego świadczenia usług, zapewniać ciągłość
działalności oraz posiadać procesy planowania awaryjnego w celu zapewnienia
dostępności systemów i usług.
 Należy również określić zasady realizacji krytycznych aplikacji w warunkach
awaryjnych, katastrof lub klęsk żywiołowych (w tym plany działań awaryjnych i plany
odtwarzania działalności).
 Pisemne zasady postępowania i zakresy odpowiedzialności powinny szczegółowo normować
sposób postępowania w przypadkach incydentalnych: załamania się systemu, utraty
danych, wystąpienia błędnych i/lub niekompletnych danych operacyjnych, naruszenia lub
prób naruszenia poufności informacji.
 Procedury postępowania w nagłych wypadkach winny mieć formę pisemną i być
okresowo sprawdzane w symulowanych warunkach zagrożenia, a pracownicy
szkoleni w zakresie zasad bhp i p.poż.

Doradztwo Gospodarcze DGA SA

 A.15 Zgodność (z wymaganiami prawa i własnymi
standardami)
Zgodność z przepisami prawnymi – zapewnienie zgodności z wszelkimi przepisami prawnymi,
które dotyczą organizacji (w tym wymagań bezpieczeństwa).
Zgodność z politykami bezpieczeństwa i zgodność techniczna – zapewnienie zgodności systemów
z politykami bezpieczeństwa i standardami organizacji.
Rozważania dotyczące audytu systemów - zapewnienie maksymalizacji efektywności audytów i
minimalizacji ich negatywnego wpływu na działalność biznesową (zajętość zasobów).

Rekomendacja D:
 Należy określić polityki i standardowe wymagania dotyczące zgodności i
dostosowywania systemów informatycznych do obowiązujących przepisów prawa.
 Zachowanie poufnego charakteru danych o kliencie jest podstawowym obowiązkiem
banku.

Doradztwo Gospodarcze DGA SA

Podsumowanie
Szacunkowo Rekomendacja D

85 %
ISO/IEC 27001:2005
elementów
wspólnych
Norma ISO/IEC 27001:2005
 Zapewnienie bezpieczeństwa informacji w formie papierowej
 Pętla ciągłego doskonalenia: przeglądy SZBI, działania korygujące i zapobiegawcze
 Wymagane procedury systemowe: działania korygujące i zapobiegawcze, audyty
wewnętrzne, nadzór nad dokumentami

Rekomendacja D:
 Zawiera więcej szczegółowych wymagań odnośnie konkretnych zabezpieczeń, które należy
wdrożyć.
 Wymagania co do opracowania szczegółowych planów awaryjnych
 Szersze wymagania w zakresie zabezpieczeń bankowości elektronicznej

Doradztwo Gospodarcze DGA SA

Podsumowanie

Prawidłowe i efektywne zarządzanie obszarem

informatyki umożliwia niezawodne funkcjonowanie
systemów informatycznych i telekomunikacyjnych oraz
wzmacnia bezpieczeństwo banku i klientów.

Rozwiązaniem ISO 20000

Doradztwo Gospodarcze DGA SA

 Dziękuję za uwagę

krzysztof.mackowiak@dga.pl

Doradztwo Gospodarcze DGA SA