Wymogi określone w rozporządzeniu DORA (Rozporządzenie o Cyfrowej Odporności Operacyjnej) oraz zalecenia Komisji Nadzoru Finansowego (KNF), Europejskiego Urzędu Nadzoru Bankowego (EUNB) i Systemu Standaryzacji Obsługi Zrzeszonych (SSOZ) stawiają przed bankami spółdzielczymi jasne wymagania:
trzeba formalnie rozdzielić odpowiedzialności za bezpieczeństwo informacji i systemów informatycznych.
W tym artykule wyjaśniamy:
jak odróżnić obowiązki ABI, IOD i ASI,
jak zastosować model trzech linii odpowiedzialności w banku,
dlaczego warto regularnie szkolić zarząd i pracowników z podstaw bezpieczeństwa ICT.
ABI, IOD i ASI – kto za co odpowiada?
Administrator Bezpieczeństwa Informacji (ABI)
odpowiada za wdrożenie i nadzór nad Systemem Zarządzania Bezpieczeństwem Informacji (SZBI),
tworzy i aktualizuje polityki bezpieczeństwa, ocenia ryzyka ICT, zarządza incydentami,
przygotowuje dokumentację zgodną z wymaganiami DORA i RTS,
raportuje bezpośrednio do zarządu.
Inspektor Ochrony Danych (IOD)
nadzoruje zgodność przetwarzania danych osobowych z przepisami Rozporządzenia o Ochronie Danych Osobowych (RODO),
opiniuje procedury, prowadzi rejestr czynności przetwarzania,
nie odpowiada za zarządzanie ryzykiem ICT – to rola ABI,
nie powinien pełnić równocześnie funkcji ABI (ryzyko konfliktu interesów).
Administrator Systemów Informatycznych (ASI)
zajmuje się utrzymaniem i zabezpieczeniem systemów informatycznych,
wdraża aktualizacje, tworzy kopie zapasowe, zarządza dostępami, monitoruje infrastrukturę,
działa zgodnie z procedurami opracowanymi przez ABI i IOD,
odpowiada za realizację technicznych aspektów bezpieczeństwa informacji.
W wielu bankach spółdzielczych jedna osoba pełni więcej niż jedną z powyższych funkcji. Niezbędne jest jednak formalne przypisanie ról i zakresów odpowiedzialności oraz ich zatwierdzenie przez zarząd.
Model trzech linii odpowiedzialności – jak działa w banku?
Pierwsza linia – użytkownicy i dział operacyjny (np. ASI, pracownicy oddziałów)
wykonują codzienne obowiązki zgodnie z obowiązującymi politykami i procedurami,
zgłaszają incydenty, wykonują kopie zapasowe, realizują zalecenia ABI,
odpowiadają za bezpieczne korzystanie z systemów i danych.
Druga linia – nadzór i kontrola (ABI, IOD, specjaliści ds. zgodności)
tworzy i nadzoruje realizację polityk bezpieczeństwa informacji,
prowadzi ocenę ryzyk ICT i rejestr incydentów,
szkoli pracowników i prowadzi audyty wewnętrzne,
nadzoruje realizację zaleceń oraz testów planów ciągłości działania.
Trzecia linia – audytorzy i instytucje zewnętrzne (audyt wewnętrzny, SSOZ, KNF)
przeprowadzają niezależne kontrole dokumentacji i działań banku,
oceniają skuteczność wdrożonych zabezpieczeń,
wydają zalecenia pokontrolne, które bank musi wdrożyć w określonym terminie.
Wdrożenie modelu trzech linii zwiększa przejrzystość struktury odpowiedzialności oraz pozwala lepiej przygotować się do audytu.
Szkolenia z bezpieczeństwa ICT – obowiązek, nie opcja
Kto powinien być szkolony?
Zarząd banku – co najmniej raz w roku, w zakresie nadzoru nad ryzykiem ICT, polityk DORA, roli ABI i IOD,
Kierownicy działów i oddziałów – znajomość procedur awaryjnych, polityk bezpieczeństwa, BCP i DRP,
Wszyscy pracownicy operacyjni – bezpieczne korzystanie z systemów bankowych, rozpoznawanie zagrożeń, procedura zgłaszania incydentów.
Co powinno zawierać szkolenie?
podstawy bezpiecznego korzystania z poczty, internetu i danych,
obowiązki wynikające z polityki bezpieczeństwa informacji,
zgłaszanie incydentów i naruszeń bezpieczeństwa,
aktualne wymagania wynikające z DORA, RODO, wytycznych KNF i normy ISO 27001.
Szkolenia powinny być dokumentowane (np. testem wiedzy lub potwierdzeniem uczestnictwa) i przechowywane w rejestrze szkoleń.
Potrzebujesz pomocy? Skorzystaj z naszego wsparcia
Zespół Servus Comp Kraków wspiera banki spółdzielcze w:
przygotowaniu struktury odpowiedzialności zgodnej z DORA,
opracowaniu dokumentów dla ABI, IOD i ASI,
prowadzeniu obowiązkowych szkoleń z bezpieczeństwa ICT,
przygotowaniu banku do audytu KNF i SSOZ.
Skontaktuj się z nami – zadbaj o czytelny podział ról i pełną zgodność z wymaganiami nadzoru.
Zapraszamy Państwa do zapoznania się z naszą ofertą:
PLATFORMA KRÓTKICH SZKOLEŃ – kompleksowe wsparcie dla banków spółdzielczych zgodne z wytycznymi DORA i RTS
https://premiumbank.zadbajobezpieczenstwo.pl/platforma-krotkich-szkolen-kompleksowe-wsparcie-dla-bankow-spoldzielczych-zgodne-z-wytycznymi-dora-i-rts/
AUDYT ZGODNOŚCI Z DORA JAK UZYSKAĆ PEŁNY OBRAZ BEZPIECZEŃSTWA ICT BANKU SPÓŁDZIELCZEGO
ANALIZA UMÓW OUTSOURCINGOWYCH WAŻNY ELEMENT CYBERBEZPIECZEŃSTWA W ŚRODOWISKU ICT BANKU SPÓŁDZIELCZEGO
NOWA ERA AUDYTÓW BEZPIECZEŃSTWA INFORMACJI W BANKACH SPÓŁDZIELCZYCH: DLACZEGO WARTO DZIAŁAĆ JUŻ TERAZ?
https://premiumbank.zadbajobezpieczenstwo.pl
Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.