Proponujemy Państwu lekturę artykułu stanowiącego odpowiedź na pojawiające się często ze strony Zarządów Banków pytania dot. kwestii związanych z zagadnieniem usługi chmury obliczeniowej czyli delegacji części usług i zasobów Banku do podmiotu zewnętrznego (CPD). Z punktu widzenia Banku zagadnienie to nie jest proste, stąd nasza chęć pomocy Państwu w tej materii.
Ze względu na konieczność przybliżenia wielu kwestii - szczególnie zagadnień formalnych – omawiany temat został podzielony na 3 części składające się w całość.
Zapraszamy do lektury i kontaktu z nami w przypadku pytań, jakie z pewnością się Państwu nasuną.
CZĘŚĆ I
CHMURA CENTRUM PRZETWARZANIA DANYCH – PODSTAWY PRAWNE, ZALECENIA KNF i REKOMENDACJA D.
Każdy podmiot, a Banki w szczególności, musi dbać o bezpieczeństwo danych. Obecnie niektórzy stają przed wyborem, jaką drogą podążać w celu realizacji założeń dotyczących kwestii teleinformatycznych. Pierwotne rozwiązania bazujące na lokalnym gromadzeniu zasobów technicznych zostały uzupełnione z czasem o opcje kolokacji i rozwiązań chmurowych. Rozwijający się w ostatnich dekadach dostęp do Internetu pozwala swobodniej myśleć o oddaniu naszych zasobów pod opiekę podmiotu zewnętrznego.
Dokument opublikowany przez KNF (komunikat UKNF ze stycznia 2020) definiuje kilka rodzajów rozwiązań chmurowych i pojęć z nimi związanych. Przytoczymy kilka z nich poniżej w celu wyjaśnienia pojęć, z jakimi możecie się Państwo spotkać w przyszłości:
CHMURA OBLICZENIOWA
- pula współdzielonych, dostępnych „na żądanie” przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy.
CHMURA OBLICZENIOWA PUBLICZNA
- chmura obliczeniowa dostępna do użytku publicznego, będąca w posiadaniu lub bezpośrednio zarządzana przez dostawcę usług chmury obliczeniowej.
CHMURA OBLICZENIOWA PRYWATNA
- chmura obliczeniowa dostępna do wyłącznego użytku jednego podmiotu, będąca w posiadaniu lub bezpośrednio zarządzana przez ten podmiot.
OUTSOURCING CHMURY OBLICZENIOWEJ
- oznacza umowę zawartą między Bankiem a dostawcą usług chmury obliczeniowej, na mocy której dostawca usług chmury obliczeniowej dostarcza Bankowi usługę chmury obliczeniowej, która służy do wsparcia realizacji procesu, usługi lub zadania, które Bank realizowałby samodzielnie, gdyby usługa chmury obliczeniowej była niedostępna.
SLA – Service Level Agreement, umowa o gwarantowanym poziomie świadczenia usługi chmury obliczeniowej.
CPD – centrum przetwarzania danych.
Podstawy prawne i zalecenia
- Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej (23.01.2020)
- Rekomendacja D
- Normy ISO:
- ISO/ IEC 27001:2013 certyfikat potwierdzający wdrożenie i funkcjonowanie Systemu Zarządzania Bezpieczeństwem Informacji
- ISO/ IEC 27017 – zgodna z ISO/ IEC 27001:2013 i uzupełniająca ISO/ IEC 27002:2013, która kładzie szczególny nacisk na specyficzne zagrożenia i ryzyka związane z chmurą obliczeniową
- ISO/IEC 27018:2014 – Praktyczne zasady ochrony informacji danych osobowych w przetwarzaniu w chmurze, uzupełniająca ISO/ IEC 27002:2013 (aspekty ochrony danych osobowych w chmurze)
CHMURA - Dlaczego to robimy?
Powody są różne i przeważnie wynikają z chęci zmiany modelu podejścia do problematyki IT w przedsiębiorstwach. Podmioty ze słabym dostępem do odpowiednich zasobów ludzkich chętnie przeniosą swoje zasoby pod opiekę firmy zewnętrznej, gwarantującej stały, wysoki poziom obsługi, relatywnie łatwe do oszacowania jej koszty oraz całkowitą stabilność rozwiązania. Trend przechodzenia do modelu usługowego IAAS, SAAS czy PAAS nabiera rozpędu. Możemy wybierać spośród dostępnych na rynku ofert spełniających oczekiwania różnego rodzaju użytkownika. Warto jednak, przed podjęciem decyzji zapoznać się z wymogami opisanymi w zaleceniach i komunikacie UKNF.
Wymogi formalne i nie tylko. Na co zwrócić uwagę?
Współpracę z zewnętrznymi dostawcami usług dokładnie opisuje Rekomendacja D KNF.
W kolejnych punktach rekomendacji nr 10 znajdziemy wyczerpujące informacje co do wymogów, na jakie powinniśmy zwrócić uwagę. Zalecenia Rekomendacji D pokrywają się z zapisami komunikatu KNF dotyczącego zagadnień chmurowych, a w wielu miejscach je uszczegółowiają.
Przede wszystkim Bank powinien posiadać sformalizowane
zasady współpracy z zewnętrznymi dostawcami
usług informatycznych, zapewniające bezpieczeństwo danych
i poprawność działania środowiska teleinformatycznego.
Powszechne korzystanie z usług chmury obliczeniowej przez Banki może powodować ryzyko koncentracji przetwarzania informacji prawnie chronionych znacznej części sektora finansowego fizycznie w tych samych obiektach (centrach przetwarzania danych) i ryzyka związane z ochroną przetwarzanych informacji. Z uwagi na te ryzyka Nadzór oczekuje, że Banki będą informowały o zamiarze przetwarzania informacji w usługach chmury obliczeniowej, na zasadach określonych w komunikacie wydanym w styczniu 2020.
Czynności realizowane w obszarze technologii informacyjnej mają szczególny charakter ze względu na ich bezpośredni wpływ na jakość i bezpieczeństwo usług świadczonych na rzecz Klientów oraz reputację Banku. W związku z tym, proces zarządzania relacjami z usługodawcami zewnętrznymi powinien być dostosowany do tych uwarunkowań.
Bardzo ważnym aspektem, na jaki zwraca uwagę Rekomendacja D jest fakt, że Bank nie może traktować zlecania jakichkolwiek usług podmiotowi zewnętrznemu jako zwolnienia z odpowiedzialności za jakość i bezpieczeństwo usług świadczonych na rzecz klientów oraz bezpieczeństwo ich danych. Jest to znaczące także pod kątem bezpieczeństwa danych osobowych.
Procedury doboru usługodawców zewnętrznych powinny uwzględniać ryzyko związane z danymi usługami i obejmować ocenę sytuacji ekonomiczno-finansowej usługodawcy, zapewnianego przez niego poziomu bezpieczeństwa oraz jakości świadczonych usług.
Bank powinien także analizować ryzyko związane z upadłością usługodawcy zewnętrznego lub jego nagłym wycofaniem się ze współpracy oraz posiadać skuteczne plany awaryjne związane z wystąpieniem takich sytuacji. W miarę możliwości należy ograniczać liczbę przypadków, w których usługodawca zewnętrzny posiada w stosunku do banku pozycję monopolistyczną.
Zgodnie z zapisami Rekomendacji D Bank powinien monitorować jakość usług świadczonych przez dostawców zewnętrznych. Efekty tego monitoringu powinny być okresowo prezentowane w systemie informacji zarządczej Banku. Zakres, częstotliwość, metody monitorowania i raportowania powinny uwzględniać specyfikę świadczonych usług oraz ich istotność z perspektywy ciągłości i bezpieczeństwa działania Banku.
Przetwarzanie danych o wysokim stopniu poufności lub istotności dla Banku poza jego infrastrukturą teleinformatyczną powinno w sformalizowany sposób określać takie parametry jak:
- odpowiednie mechanizmy kontrolne zapewniające poufność danych (np. poprzez ich szyfrowanie)
- raportowanie wszelkich incydentów przez dostawcę, wskazanie geograficznego miejsca przetwarzania
- zapewnienie mechanizmów bezpiecznego zakończenia współpracy
UKNF rekomenduje przetwarzanie informacji w CPD zlokalizowanych
na terenie państw należących do Europejskiego Obszaru Gospodarczego.
Rekomendacja D wskazuje na konieczność sprawowania kontroli nad działalnością usługodawcy w zakresie świadczonych przez niego usług, w zależności od charakteru i poziomu istotności tych usług z perspektywy Banku oraz klasyfikacji informacji przetwarzanych przez usługodawcę (w szczególności wynikającej z wymagań prawnych dotyczących przetwarzania danych osobowych klientów Banku).
Kontrola taka może w głównej mierze polegać m.in. na weryfikacji poprzez audyt wewnętrzny usługodawcy lub audytorów zewnętrznych i powinna być regulowana w zawieranych z nim umowach.
Dodatkowe elementy, jakie powinna zawierać umowa to, za Rekomendacją D:
- zakresy odpowiedzialności stron umowy
- zakres informacji i dokumentacji przekazywanych przez usługodawcę w związku ze świadczeniem usług
- zasady wymiany i ochrony informacji, w tym warunki nadawania pracownikom podmiotów zewnętrznych praw dostępu do informacji oraz zasobów środowiska teleinformatycznego Banku, uwzględniające w szczególności obowiązujące przepisy prawa oraz regulacje Banku w tym zakresie; w przypadku usługodawców posiadających dostęp do informacji o wysokim stopniu poufności, uregulowana powinna zostać również kwestia odpowiedzialności za zachowanie tajemnicy tych informacji w okresie wykonywania usług oraz po zakończeniu umowy
- parametry dotyczące jakości świadczonych usług oraz sposoby ich monitorowania i egzekwowania
- zasady i tryb obsługi zgłoszeń dotyczących problemów w zakresie świadczonych usług
- zasady i tryb dokonywania aktualizacji oprogramowania komponentów infrastruktury znajdujących się pod kontrolą dostawcy
- zasady współpracy w przypadku wystąpienia incydentu naruszenia bezpieczeństwa środowiska teleinformatycznego
- zasady w zakresie dalszego zlecania czynności podwykonawcom zewnętrznego dostawcy usług
- kary umowne związane z nieprzestrzeganiem warunków umownych, w szczególności w zakresie bezpieczeństwa informacji przetwarzanych przez dostawcę usług
Umowy zawierane przez Bank z zewnętrznymi dostawcami usług powinny zapewniać, że świadczenie usług odbywać się będzie zgodnie z:
- wymaganiami prawnymi
- regulacjami wewnętrznymi i zewnętrznymi
- przyjętymi w Banku standardami
Zgodnie z zaleceniami, Bank powinien posiadać regulacje dotyczące współpracy z pracownikami zewnętrznych dostawców usług, uwzględniające warunki udzielania dostępu do informacji o wysokim stopniu poufności, zasady sprawowania nadzoru nad działaniami pracowników zewnętrznych, czy też konieczność zapewnienia, że każdy pracownik zewnętrzny posiadający dostęp do informacji o wysokim stopniu poufności objęty jest co najmniej takimi restrykcjami w zakresie bezpieczeństwa, jak pracownicy Banku posiadający dostęp do takich informacji.
W celu minimalizacji negatywnego wpływu na jakość i bezpieczeństwo usług świadczonych na rzecz klientów Banku, zasady współpracy z dostawcą zewnętrznym powinny uwzględniać reguły w zakresie komunikacji i koordynacji wykonywanych przez usługodawcę czynności serwisowych, porządkowych, konserwacyjnych, testowych itd.
Ważnym aspektem jest także przyznawanie usługodawcom zewnętrznym kompetencji w zakresie administrowania prawami dostępu do bankowych systemów informatycznych, dlatego szczególną uwagę należy zwrócić na wiążące się z tym ryzyko.
Zapraszamy do śledzenia kolejnych wpisów związanych z zagadnieniem CHMURY:
CHMURA CENTRUM PRZETWARZANIA DANYCH | Część II – ZALECENIA WYNIKAJĄCE Z KOMUNIKATU UKNF
CHMURA CENTRUM PRZETWARZANIA DANYCH | Część III - JAKIE ROZWIĄZANIE WYBRAĆ?
CHMURA CENTRUM PRZETWARZANIA DANYCH | CZĘŚĆ IV – RODO w Chmurze
Zapraszamy Państwa do kontaktu z naszymi ekspertami.
Możemy zaoferować pomoc i wsparcie w :
- audytach:
https://premiumbank.zadbajobezpieczenstwo.pl/audyty-v-premium/ - szkoleniach:
https://premiumbank.zadbajobezpieczenstwo.pl/szkolenia-dla-bankow/ - marketingu:
https://premiumbank.zadbajobezpieczenstwo.pl/jak-wdrozyc-marketing-w-bankach-spoldzielczych-szkolenie-servus-comp/ - wdrożeniach:
https://premiumbank.zadbajobezpieczenstwo.pl/idzie-nowe-nowoczesne-technologie-w-bankach-spoldzielczych/ - cyberbezpieczeństwie:
https://premiumbank.zadbajobezpieczenstwo.pl/czy-urzadzenia-mobilne-sa-zagrozeniem-bezpieczenstwa-dla-infrastruktury-it-bankow-spoldzielczych/
Zapraszamy do śledzenia wpisów na naszym blogu, gdzie można przeczytać wiele cennych informacji: https://premiumbank.zadbajobezpieczenstwo.pl/blog/
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.