EBA DORA TESTY PENETRACYJNE ZARZĄDZANIE RYZYKIEM ICT W BANKU

ZARZĄDZANIE RYZYKIEM ICT W BANKU TESTY PENETRACYJNE

Przypominamy Państwu, że zgodnie z obowiązującymi od 2019 wytycznymi EUNB (w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT (EBA/GL/2019/04 z 28 listopada 2019 r.), Banki muszą dbać o bezpieczeństwo swoich zasobów informacyjnych m.in. poprzez monitorowanie zagrożeń i podatności – a proces opiera się o ich identyfikację, ocenę oraz naprawę.

Zgodnie z wytycznymi Bank powinien przeprowadzać testy środków bezpieczeństwa na bieżąco i powtarzać je. W odniesieniu do wszystkich krytycznych systemów ICT testy te należy przeprowadzać co najmniej raz w roku. Systemy inne niż krytyczne należy testować regularnie zgodnie z podejściem opartym na ocenie ryzyka.

Dodatkowe potwierdzenie tych wymagań znajduje się także w nadchodzącym wielkimi krokami dokumencie nazywanym nieformalnie „DORA” – pełna nazwa to „Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie cyfrowej odporności operacyjnej sektora finansowego”. Będziemy Was informować, jeśli przyniesie on zmiany w stosunku do obowiązujących obecnie wytycznych.

Instytucje finansowe powinny zapewnić ciągłe monitorowanie zagrożeń i podatności właściwych dla ich procesów biznesowych, funkcji pomocniczych i zasobów informacyjnych oraz regularnie dokonywać przeglądu scenariuszy ryzyka, które mają na nie wpływ.
Instytucje finansowe powinny wdrożyć procedury służące zapobieganiu problemom z bezpieczeństwem systemów ICT i usług ICT oraz ograniczać do minimum ich wpływ na dostarczanie usług ICT. Procedury te powinny obejmować następujące środki: a) identyfikację potencjalnych podatności, które należy oceniać i naprawiać poprzez zapewnienie aktualizacji oprogramowania i oprogramowania firmware, włączając w to oprogramowanie zapewniane przez instytucje finansowe użytkownikom wewnętrznym i zewnętrznym, poprzez wprowadzanie krytycznych poprawek zabezpieczeń oraz poprzez wdrażanie kompensacyjnych środków kontroli;
Ramy testowania bezpieczeństwa informacji powinny zapewniać przeprowadzanie testów:
a) przez niezależnych testerów posiadających dostateczną wiedzę, umiejętności i wiedzę fachową w zakresie środków bezpieczeństwa informacji, niezaangażowanych w rozwój środków bezpieczeństwa informacji;
b) obejmujących skanowanie podatności i testy penetracyjne (w tym, gdy jest to konieczne i stosowne, testy penetracyjne ukierunkowane na zagrożenie) współmierne względem poziomu ryzyka określonego w procesach i systemach biznesowych.
Instytucje finansowe powinny przeprowadzać testy środków bezpieczeństwa na bieżąco i powtarzać je. W odniesieniu do wszystkich krytycznych systemów ICT (ust. 17) testy te należy przeprowadzać co najmniej raz w roku, a w przypadku dostawców usług płatniczych będą one stanowić część kompleksowej oceny ryzyka dla bezpieczeństwa związanego ze świadczonymi usługami płatniczymi, prowadzonej na podstawie art. 95 ust. 2 drugiej dyrektywy w sprawie usług płatniczych. Systemy inne niż krytyczne należy testować regularnie zgodnie z podejściem opartym na ocenie ryzyka, nie rzadziej jednak niż co 3 lata
Instytucje finansowe powinny testować systemy ICT, usługi ICT oraz środki bezpieczeństwa informacji w celu zidentyfikowania potencjalnych podatności, naruszeń i incydentów bezpieczeństwa.

Pamiętajmy, ustawa o cyfrowej odporności operacyjnej (DORA) jest rozporządzeniem, a nie dyrektywą,
dlatego obowiązuje w całości i jest bezpośrednio stosowana we wszystkich państwach członkowskich UE.

CZĘSTOTLIWOŚĆ WYKONYWANYCH TESTÓW PENETRACYJNYCH

Kwartalne badanie podatności w ramach testów zewnętrznych (prowadzonych zdalnie).
Coroczne badanie podatności wewnętrznych zasobów krytycznych Banku (prowadzone w siedzibie Banku).

EBA DORA – Zarządzanie ryzykiem i odporność

Zalecane testy podatności – penetracyjne są podstawą EBA DORA do budowania odpornej infrastruktury ICT na zagrożenia. Testy powinny być wykonywane regularnie przez niezależnych ekspertów i powinny być przeprowadzane przynajmniej raz do roku lub po większych zmianach w środowisku ICT.

Zapraszamy Państwa na szkolenia powiązane tematycznie z opisanym zagadnieniem oraz do kontaktu w sprawie przygotowania oferty i zakresu testów penetracyjnych.