Rekomendacja D

Od dnia 31 grudnia 2014 wchodzi w życie nowa rekomendacja D. Niniejsza strona ma zawierać przydatne informacje pozwalające bankom komercyjnym i spółdzielczym efektywniej przygotować się do zmian i osiągnąć zgodność z nowymi wymogami KNF w zakresie bezpieczeństwa IT.

AVET INS oferuje kompleksowe rozwiązania i usługi dla banków komercyjnych i spółdzielczych w ramach zapewnienia zgodności z nowymi wymaganiami rekomendacji D.

Poniższa strona będzie aktualizowana wraz z pojawianiem się nowych ciekawych materiałów. Zapraszamy także do kontaktu z nami.

Typowe błędy

Poniżej przedstawiamy listę typowych błędów podczas przygotowania do zapewnienia zgodności z rekomendacją D. Lista ta została opracowana na podstawie naszych spotkań z bankami, oraz już zrealizowanych, jak również będących w trakcie realizacji projektów.

Błąd #1 Aktualizujmy tylko obszary wynikające ze zmian w rekomendacji D

Uzasadnienie: wiele banków nadal posiada obszary wymagające poprawy w ramach dotychczasowych wymagań rekomendacji D i M. Aktualizacja w obrębie tylko nowych wymagań powoduje brak zaadresowania już zidentyfikowanych obszarów wymagających doskonalenia oraz może spowodować niepotrzebny wzrost kosztów w obszarze zarządzania ryzykiem dla IT.

Błąd #2 System Zarządzania Bezpieczeństwem Informacji na bazie ISO 27001 zapewnia nam zgodność z rekomendacją D

Uzasadnienie: Po pierwsze standard ISO 27001 i jego odpowiedniki to zbiór dobrych praktyk które każda organizacja może dobrowolnie przyjąć i korzystać. Rekomendacja D dotyczy wszystkich banków. Drugą różnicą jest poziom szczegółowości wymagań odnośnie zabezpieczeń. Choć ISO 27001 pokrywa się częściowo z wymaganymi zabezpieczeniami w nowej rekomendacji D, to jednak występują pomiędzy nimi istotne różnice. Po trzecie ISO 27001 nie dostarcza gotowego przepisu na zarządzanie ryzykiem, a w szczególności na zarządzanie ryzykiem operacyjnym. Dlatego dobrze przygotowany System Zarządzania Bezpieczeństwem Informacji jest pomocny we wdrażaniu rekomendacji D, ale nie zapewnia 100% zgodności z nowymi wymogami.

Błąd #3 Aktualizacja dokumentacji „załatwi” problem zgodności

Procesy zarządzania ryzykiem operacyjnym oraz zarządzania bezpieczeństwem w obszarze IT nie są tylko i wyłącznie zbiorem dokumentów takich jak polityki, instrukcje, regulaminy czy procedury. Razem z podejściem procesowym do tych zagadnień wymagany jest także szereg zabezpieczeń i dowody na ich istnienie, funkcjonowanie oraz zrozumienie przez pracowników.

Błąd #4 Nie możemy korzystać z chmury

Nowa rekomendacja D odnosi się do pojęcia „cloud computing” i zawiera jego definicję. Co więcej dopuszcza stosowanie chmury pod warunkiem zastosowania odpowiednich zabezpieczeń i spełniania określonych warunków przez jej dostawcę. Należy zwrócić uwagę, że ograniczenia te dotyczą chmur publicznych, chmury prywatne mogą być stosowane bez dodatkowych środków ochrony.

Dokumenty KNF

Blog

MS SQL Server 2005 Extended Support kończy się 12 kwietnia

Rozszerzone wsparcie dla serwera Microsoft SQL Server 2005 kończy się 12 kwietnia. To ostatni moment aby dokonać migracji do wyższej wersji.

Jeśli tego nie zrobiłeś to AVET INS może wesprzeć ...

2016-03-01 09:00, Czytaj więcej Więcej
Kiedy Flash wyginie?

Flash to jedna z tych technologii, która ma bardzo złą – i w tym wypadku całkowicie zasłużenie – reputację w obszarze bezpieczeństwa. Ta reputacja jest tak zła, że od jakiegoś czasu część ...

2016-02-11 16:45, Czytaj więcej Więcej
Krytyczna podatność w kliencie OpenSSH (CVE-2016-0777, CVE-2016-0778)

Wersje oprogramowania klienckiego OpenSSH w wersjach od 5.4 do 7.1 podatne są na atak umożliwiający wyciek pamięci oraz kradzież kluczy prywatnych. W przypadku, gdy połączenie SSH zostanie przerwane ...

2016-02-01 09:30, Czytaj więcej Więcej
Microsoft ogranicza wsparcie IE tylko do wersji 11

Microsoft przestaje wspierać starsze wersje przeglądarki Internet Explorer. Jedyną wspieraną wersją od dzisiaj jest IE 11 i wyższe. Dla wielu systemów (np. Windows 7) może to oznaczać potrzebę aktualizacji lub ...

2016-01-13 09:00, Czytaj więcej Więcej
SafeNet Day: Szyfrowanie w chmurze - prezentacja

Prezentacja Aleksandra Czarnowskiego z konferencji SafeNet Day na temat Szyfrowanie w chmurze jest już dostępna do pobrania. Zapraszamy do pobrania poniżej:

http://www.avet.com.pl/media/pdf/2015-11-02_Szyfrowanie_w_chmurze.pdf

2015-10-31 10:00, Czytaj więcej Więcej