Wdrażanie regulacji branżowych

Wdrażanie regulacji branżowych

W zależności od specyfiki i branży organizacji, w procesie tworzenia zasad bezpieczeństwa informacji brane są pod uwagę i wdrażane różne regulacje i rekomendacje, dobre praktyki, a także wymaganie specyficzne dla konkretnych branż. Oprócz powszechnych wymogów prawnych związanych z ochroną danych osobowych RODO oraz podstawowych norm serii ISO/IEC 2700x, wspieramy organizacje we wdrażaniu Rekomendacji D i Wytycznych IT KNF.

Korzyści

  • wsparcie przy wdrażaniu regulacji w zakresie bezpieczeństwa informacji jest elementem kompleksowej oferty, w zakresie usług oferujemy również dobór i dostarczenie odpowiednich rozwiązań technicznych oraz indywidualne szkolenia,
  • pomagamy w dostosowaniu regulacji wewnętrznych do zaleceń poaudytowych,
  • w ramach projektów korzystamy z własnej, wypracowanej metodyki pracy oraz  rozwiązań technicznych od sprawdzonych, renomowanych partnerów, liderów w zakresie bezpieczeństwa.

Jest normą międzynarodową standaryzującą systemy zarządzania bezpieczeństwem informacji (SZBI). Została ogłoszona w październiku 2005, a jej pierwowzorem był wydany przez BSI brytyjski standard BS 7799-2. W Polsce normę ISO/IEC 27001 opublikowano w styczniu 2007.

Podstawą normy jest ocena ryzyka związanego z bezpieczeństwem informacji oraz, na jej podstawie, implementacja odpowiednich mechanizmów nadzoru i zarządzania niezbędnego do zachowania podstawowych atrybutów bezpieczeństwa informacji, jakimi są: poufność, integralność oraz dostępność danych.

Norma jest usystematyzowanym zbiorem wymagań/rekomendacji, obejmującym swoim zakresem takie zagadnienia jak: tworzenie strategii i polityki bezpieczeństwa informacji, identyfikacja, analiza i zarządzanie ryzykami wystąpienia zagrożeń, poprzez wdrażanie i zarządzanie zabezpieczeniami chroniącymi przed tymi zagrożeniami, a także monitorowanie systemu za pomocą audytów wewnętrznych i przeglądów kierownictwa.

W normie przyjęto podejście procesowe: model PDCA (Plan-Do-Check-Act). Model ten stosowany jest do całej struktury procesów SZBI, tzn.: ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia systemu.

W normie ISO/IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji. W ramach tych obszarów zdefiniowano cele, jakie ma realizować sprawny system zarządzania bezpieczeństwem informacji (SZBI) oraz zabezpieczenia (w postaci wytycznych) niezbędne do realizacji tych celów.

Obszary, mające wpływ na bezpieczeństwo informacji wg. normy ISO/IEC 27001:

  1. Polityka bezpieczeństwa
  2. Organizacja bezpieczeństwa informacji
  3. Zarządzanie aktywami
  4. Bezpieczeństwo zasobów ludzkich
  5. Bezpieczeństwo fizyczne i środowiskowe
  6. Zarządzanie systemami i sieciami
  7. Kontrola dostępu
  8. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych
  9. Zarządzanie incydentami związanymi z bezpieczeństwem informacji
  10. Zarządzanie ciągłością działania
  11. Zgodność z wymaganiami prawnymi i wprowadzonymi standardami

Warto zauważyć, że norma wskazuje, iż określone w niej cele stosowania zabezpieczeń i same zabezpieczenia nie są wyczerpujące i  organizacja może, w zależności od potrzeby,  rozważyć wyznaczenie nowych celów i zabezpieczeń.

Oferujemy: wsparcie przy wdrożeniu systemu zarządzania bezpieczeństwem informacji wg. normy oraz audyty zgodności z normą ISO 27001.

Jest międzynarodową normą określającą wymagania dla ustanowienia i zarządzania systemem zarządzania ciągłością biznesu (BCMS) w każdej organizacji, niezależnie od rozmiaru i rodzaju prowadzonej działalności.

Norma ISO 22301 zastępuje brytyjską normę BS 25999-2, która do tej pory była wzorcem w tym obszarze zarządzania  i zdobyła sobie uznanie na całym świecie.

Na ciągłość biznesu zwracana jest coraz większa uwaga ponieważ od ciągłości świadczonych przez organizacje usług zależy nasz komfort życia, a w wielu przypadkach i jego bezpieczeństwo. Norma ISO 22301 daje organizacjom dostęp do wymagań, które pozwolą na przygotowanie się do incydentów mogących uniemożliwiać osiągnięcie celów biznesowych.

Norma może być wzorcem pomocnym przy ocenie:
– zdolności organizacji do spełnienia własnych potrzeb i obowiązków wobec klientów, związanych z ciągłością prowadzonego biznesu,
– aktualnego poziomu ustanowienia i wdrożenia polityki zarządzania ciągłością biznesu.

W zależności od potrzeb i dojrzałości zarządzania organizacji, normę można traktować jako zbiór wskazówek w zakresie dobrych praktyk z zarządzania ciągłością działania.

ISO 22301 pomaga w zrozumieniu i doskonaleniu organizacji w zakresie:

  • zrozumienia jej potrzeb i zobowiązań względem klientów i innych interesariuszy,
  • identyfikacji kluczowych czynników ryzyka, które wpływają na skuteczność i ciągłość działania organizacji,
  • planowania, ustanowienia, wdrożenia i utrzymania systemu zarządzania ciągłością biznesu,
  • mierzenia ogólnej zdolności organizacji do zarządzania incydentami,
  • zagwarantowania zgodności z dobrymi praktykami z zakresu polityki ciągłości biznesowej.

Występowanie incydentów zagrażających ciągłości działania krytycznych procesów w organizacji jest nieakceptowalne i należy zrobić wszystko, aby im zapobiec. Jeśli mimo wszystko takie incydenty wystąpią, organizacja musi być przygotowana do sprawnego i szybkiego odtworzenia krytycznych procesów, a tym samym najważniejszych usług świadczonych swoim klientom.

Wdrożenie systemu zarządzania ciągłością działania, bazującego na wymaganiach zawartych w normie ISO 22301, może być pomocne w ustanowieniu najlepszego podejścia do zarządzania ciągłością biznesu.

To międzynarodowy standard zarządzania usługami w IT, opracowany przez Międzynarodową Organizację Normalizacyjną.

Na standard składają się dwa dokumenty:

  • ISO/IEC 20000-1:2011 – International Standard – Information Technology – Service Management – Part 1: Service management system requirements
  • ISO/IEC 20000-2:2005 – International Standard – Information Technology – Service Management – Part 2: Code of practice.

Polska  wersja opublikowana została w 2007 roku i została zwarta w dokumentach jak poniżej:

  • PN-ISO/IEC 20000-1: 2007 – Technika informatyczna – Zarządzanie usługami – Część 1: Specyfikacja
  • PN-ISO/IEC 20000-2: 2007 – Technika informatyczna – Zarządzanie usługami – Część 2: Reguły postępowania.

Część pierwsza zawiera specyfikację wymagań, na podstawie których firmy mogą się certyfikować i uzyskać potwierdzenie zgodności z normą. Niespełnienie któregokolwiek z wymagań może oznaczać, że firma nie uzyska certyfikatu.
Część 2 stanowi rozszerzenie wymagań z części pierwszej o pewne rekomendacje, bazujące na modelu Information Technology Infrastructure Library, elementach Microsoft Operations Framework i COBIT.

REKOMENDACJA D Komisji Nadzoru Finansowego dotyczy zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach.

WYTYCZNE IT KNF dla Towarzystw Zarządzających Funduszami Inwestycyjnymi i Firm Inwestycyjnych zawierają rekomendacje tożsame rekomendacjami dla sektora bankowego.

Komisja Nadzoru Finansowego sprawuje nadzór nad sektorem bankowym, rynkiem kapitałowym, ubezpieczeniowym, emerytalnym, nadzór nad instytucjami płatniczymi i biurami usług płatniczych, instytucjami pieniądza elektronicznego oraz nad sektorem kas spółdzielczych.
Celem nadzoru nad rynkiem finansowym jest zapewnienie prawidłowego funkcjonowania tego rynku, jego stabilności, bezpieczeństwa oraz przejrzystości, zaufania do rynku finansowego, a także zapewnienie ochrony interesów uczestników tego rynku. Więcej na stronie www.knf.gov.pl.

Sformułowanie „rekomendacja” może sugerować, że Rekomendacje wydawane przez KNF są jedynie zaleceniami, a stosowanie się do nich jest dobrowolne. Rekomendacje są zestawem wymagań obowiązujących instytucje finansowe, a niestosowanie się do nich może skutkować różnymi sankcjami ze strony KNF.

REKOMENDACJA D KNF to zestaw wymagań jakie powinny spełniać banki, aby zarządzać IT z uwzględnieniem obowiązujących standardów bezpieczeństwa. Zarządzanie ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym, zostało podzielone w rekomendacji na cztery ogólne zagadnienia:

  • Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego
  • Rozwój środowiska teleinformatycznego,
  • Utrzymanie i eksploatacja środowiska teleinformatycznego
  • Zarządzanie bezpieczeństwem środowiska teleinformatycznego

Rekomendacja ta zawiera w swojej treści zalecenia Bazylejskiego Komitetu ds. Nadzoru Bankowego dotyczące zasad zarządzania ryzykiem w bankowości elektronicznej.

Posiadamy doświadczenie w audytach zgodności z Rekomendacją D/ Wytycznymi IT oraz wdrażaniu regulacji wewnętrznych.