W świetle pojawiania się nowych zagrożeń bezpieczeństwa informatycznego, włamań do systemu, luk systemu oraz przekłamań informacji rekomendacje stawiane przez KNF w roku 2002 stały się mało aktualne. Skutkiem czego KNF wydała „Rekomendację D” dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Jak oprogramowanie Skybox Security może pomóc w rozwiązaniu wyzwań stawianych przez KNF?
Rekomendacja D zawiera 22 rekomendacje szczegółowe, obejmujące cztery następujące „obszary ryzyk” środowiska teleinformatycznego:
- strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa,
- rozwój środowiska IT,
- utrzymanie i eksploatacja IT ,
- zarządzanie bezpieczeństwem IT.
Na potrzeby Rekomendacji KNF zdefiniowała podstawowe pojęcia z zakresu IT, w szczególności zdefiniowano pojęcia:
- „Cloud Computingu” (ang. przetwarzanie w chmurze), jako „model świadczenia usług zapewniający niezależny od lokalizacji, dogodny dostęp sieciowy „na żądanie” do współdzielonej puli konfigurowalnych zasobów obliczeniowych (np. serwerów, pamięci masowych, aplikacji lub usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale dostawcy usług (na podstawie NIST Special Publication 800-145 „The NIST Definition of Cloud Computing”, National Institute of Standards and Technology)”,
- „Bezpieczeństwa informacji” jako „zachowanie poufności, integralności i dostępności informacji; w ramach bezpieczeństwa informacji mogą być uwzględniane również inne właściwości, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność (na podstawie ISO/ IEC 27000:2009)”,
- „infrastruktury teleinformatycznej” jako „zespół urządzeń i łączy transmisyjnych obejmujący w szczególności platformy sprzętowe (w tym: serwery, macierze, stacje robocze), sieć teleinformatyczną (w tym: routery, przełączniki, zapory sieciowe oraz inne urządzenia sieciowe), oprogramowanie systemowe (w tym systemy operacyjne i systemy zarządzania bazami danych) oraz inne elementy umożliwiające bezawaryjną i bezpieczną pracę ww. zasobów (w tym zasilacze UPS, generatory prądotwórcze, urządzenia klimatyzacyjne), także te wykorzystywane w ośrodkach zapasowych banku”.
Ponadto zdefiniowano pojęcia: obszar bezpieczeństwa środowiska teleinformatycznego, obszar biznesowy, obszar technologii informacyjnej, poufność danych, przetwarzanie danych, system informatyczny, system zarządzania bezpieczeństwem środowiska teleinformatycznego oraz środowisko teleinformatyczne.
Skybox w odniesieniu do Rekomendacji D – KNF
Skybox Security w odniesieniu do punktu 9.12 Rekomendacji D wystosowanej przez KNF dostarcza oprogramowanie Change Manager które jest w stanie zarządzać zmianą na urządzeniach typu Firewall oraz urządzeniach L3, śledzić wprowadzone zmiany oraz dostarczać informacji na temat osób które ich dokonywały. Skybox przechowuje również historię zmian. W połączeniu z modułem Vulnerability Control potrafi wskazać wpływ zmiany oraz potencjalne ryzyko, które powstaje poprzez jej wprowadzenie. Dzięki informacjom z infrastruktury, Skybox Security buduje mapę sieci wszystkich urządzeń występujących w infrastrukturze Klienta, co sprawia że zarządzanie zmianą jest łatwiejsze. System wskazuje gdzie i jakie zmiany muszą zostać wprowadzone, po to by osiągnąć zamierzony cel.
Rekomendacja D KNF punkt 9 mówi:
„Bank powinien posiadać sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych.”
Punkt 9.12 Rekomendacji D KNF brzmi następująco:
„Bank powinien posiadać sformalizowane zasady dokonywania zmian w konfiguracji komponentów infrastruktury teleinformatycznej, uwzględniające istotność poszczególnych komponentów i zapewniające:
– realizację zmian w sposób zaplanowany i kontrolowany, z uwzględnieniem wpływu danej zmiany na inne komponenty,
– zabezpieczenie komponentów przed wprowadzaniem nieuprawnionych zmian,
– możliwość wycofania zmian, w tym dostępność kopii awaryjnych konfiguracji komponentów,
– możliwość identyfikacji osób wprowadzających oraz zatwierdzających poszczególne zmiany w konfiguracji.”
Zapraszamy do zapoznania się z oryginalnym dokumentem Rekomendacji D wydanej przez KNF >>tutaj
Jeśli chcieliby Państwo uzyskać więcej informacji na temat rozwiązania Skybox Security zapraszamy na naszą stronę produktową >>tutaj oraz do bezpośredniego kontaktu z naszym zespołem specjalistów za pomocą formularza kontaktowego >>tutaj
Kamil Jakubczyk, Skybox Product Manager w PBSG SA