PDF Drukuj Email

Rekomendacja D

Rekomendacja D wydana przez Generalny Inspektorat Nadzoru Bankowego D—dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki to zbiór zaleceń i dobrych praktyk, które powinien stosować każdy poważny bank. 

Poniżej przedstawiamy wymagania jakie powinny być spełnione przez Bank:

ROLA WŁADZ BANKU W ZARZĄDZANIU BEZPIECZEŃSTWEM SYSTEMÓW INFORMATYCZNYCH

A. NADZÓR

  • Władze banku w ramach wypełniania swoich funkcji są odpowiedzialne za opracowywanie strategii banku, w tym strategii w zakresie rozwoju i eksploatacji systemów informatycznych i sieci.
  • Władze banku powinny ustanowić kontrolę zarządczą ryzyk związanych z systemami informatycznymi, w tym ustanowić polityki i inne, bardziej szczegółowe regulacje służące zarządzaniu tymi ryzykami.
B. POLITYKA W ZAKRESIE BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH
  • Kierownictwo banku odpowiada za stworzenie i realizację polityki bezpieczeństwa.

C. PLANOWANIE SKALI SYSTEMÓW INFORMATYCZNYCH

  •  Kierownictwo banku odpowiada za rozwój systemów informatycznych.

MECHANIZMY KONTROLI BEZPIECZEŃSTWA

A. MECHANIZMY KONTROLI DOTYCZĄCE WSZYSTKICH SYSTEMÓW INFORMATYCZNYCH
1. Analiza zagrożeń i metody zabezpieczeń

  • Bank powinien stosować zabezpieczenia systemów informatycznych za pośrednictwem narzędzi zawartych w systemach operacyjnych (dla sieci i/lub stanowisk komputerowych), wyspecjalizowanego oprogramowania, zastosowania rozwiązań sprzętowych, audytu,zarządzania konfiguracją, a także działań organizacyjnych, podejmowanych profilaktycznie na wypadek naruszenia zabezpieczeń oraz w stanach awaryjnych i katastrofalnych.

 2. Bezpieczeństwo dokumentacji systemowej

  • Bank powinien posiadać dokumentację systemową wszystkich systemów informatycznych używanych przez bank, dbać o jej aktualność i bezpieczeństwo.

3. Zarządzanie sprzętem, wyposażeniem komputerowym oraz siecią

  • Kierownictwo banku odpowiedzialne jest za techniczne zabezpieczenie prawidłowego funkcjonowania systemów informatycznych i sieci.

4. Bezpieczeństwo systemów informatycznych a działania personelu i upoważnionych osób trzecich

  • Kierownictwo banku jest odpowiedzialne za stworzenie właściwej polityki bezpieczeństwa redukującej ryzyko błędu ludzkiego i niewłaściwego wykorzystania sprzętu i informacji.

5. Współpraca z klientami

  • Kierownictwo banku jest odpowiedzialne za monitorowanie przestrzegania warunków umowy z klientami.

6. Szkolenie użytkowników

  • Kierownictwo banku jest odpowiedzialne za szkolenie użytkowników.

7. Bezpieczeństwo fizyczne i środowiskowe systemów informatycznych

  • Kierownictwo banku odpowiada za fizyczne i środowiskowe bezpieczeństwo systemów.

B. SZCZEGÓLNE MECHANIZMY KONTROLI BEZPIECZEŃSTWA DOTYCZĄCE BANKOWOŚCI ELEKTRONICZNEJ
1. Współpraca z klientami

  • Banki powinny podjąć odpowiednie kroki w celu potwierdzenia tożsamości i upoważnień klientów, z którymi prowadzą interesy za pośrednictwem Internetu lub innych elektronicznych kanałów dystrybucji.

2. Zarządzanie transakcjami w bankowości elektronicznej

  • Banki powinny stosować takie metody potwierdzania transakcji, które uniemożliwiają negowanie dokonanych transakcji i wprowadzają odpowiedzialność za transakcje bankowości elektronicznej.

3. Zarządzanie bezpieczeństwem w bankowości elektronicznej

  • Banki powinny upewniać się, że posiadają odpowiednie środki służące promowaniu adekwatnego podziału obowiązków w zakresie systemów, baz danych i aplikacji bankowości elektronicznej
  • Banki powinny upewniać się, że posiadają właściwe mechanizmy kontroli autoryzacji i uprawnień dostępu do systemów, baz danych i aplikacji bankowości elektronicznej.
  • Banki powinny podejmować odpowiednie kroki w celu zachowania poufności podstawowych informacji bankowości elektronicznej. Środki podejmowane w celu zachowania poufności powinny odpowiadać wrażliwości przekazywanych informacji i/lub informacji przechowywanych w bazach danych.

V. ZARZĄDZANIE RYZYKAMI

  • Banki powinny podejmować odpowiednie kroki w celu zapewnienia przestrzegania wymagań w zakresie ochrony danych o klientach obowiązujących w jurysdykcjach, wktórych bank oferuje produkty lub świadczy usługi.
  • Bank powinien posiadać zdolność efektywnego świadczenia usług, zapewniać ciągłość działalności oraz posiadać procesy planowania awaryjnego w celu zapewnienia dostępności systemów i usług.
  • Bank powinien opracować odpowiednie plany reagowania na incydenty służące zarządzaniu, przeciwdziałaniu i minimalizacji problemów wynikających z nieoczekiwanych zdarzeń, w tym ataków wewnętrznych i zewnętrznych, które mogą szkodzić funkcjonowaniu systemów i świadczeniu usług bankowości elektronicznej.
  • Bank powinien udostępniać odpowiednie informacje na swych stronach internetowych, które umożliwią ich potencjalnym klientom wyciągnięcie dobrze ugruntowanych wniosków na temat tożsamości banku oraz jego statusu prawnego przed rozpoczęciem realizacji transakcji bankowości elektronicznej.

VI. AUDYT INFORMATYCZNY I NADZÓR

A. KONTROLA WEWNĘTRZNA

  • Władze banku są odpowiedzialne za powołanie, w ramach kontroli instytucjonalnej, komórki odpowiedzialnej za audyt systemów informatycznych.

B. KONTROLA ZEWNĘTRZNA

C. ZALECENIA NADZORCZE

 

Pomożemy Państwu zaprojektować i wdrożyć system,  który będzie spełniał te wszystkie wymagania.

W szerszej perspektywie banki zobowiązane są do zarządzania ryzykiem operacyjnym i przestrzegania Rekomendacji M - dotyczącej zarządzania ryzykiem operacyjnym w bankach, wydanej przez Komisję Nadzoru Bankowego

 

Kontakt z SZBI.pl w związku z tą informacją.

Warto przeczytać:

Oferta biznesowa nasze firmy

Incydenty – Sektor Bankowy

SZBI / ISMS

Zalety naszej oferty

Zespół specjalistów 

Zarządzanie ryzykiem w systemach technologicznych banku

 

 

 

 


 

< Poprzednia   Następna >
LAST_UPDATED2
 
Joomla 1.5 Templates by JoomlaShine.com