• Start
  • Rozwiązania branżowe
  • Oferta rozwiązań dla rynku Bankowości Spółdzielczej

Oferta rozwiązań dla rynku Bankowości Spółdzielczej

Sektor Bankowości Spółdzielczej zobligowany został przez ustawodawcę do  wypełnienia szeregu wymogów dotyczących tak zakresu bezpieczeństwa systemów teleinformatycznych, jak i obowiązków raportowych. 

Kluczowe dla tego sektora są:

  1.  w zakresie wymogów bezpieczeństwa:
    • ustawa o ochronie danych osobowych oraz towarzyszące jej rozporządzenie MSWiA dotyczące poziomu bezpieczeństwa jakie muszą spełniać systemy i sieci gdzie przetwarzane są dane osobowe;
    • ustawa prawo bankowe nakładająca na banki obowiązek należytego dochowania tajemnicy przechowywanych danych;
    • rekomendacja D Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach;
    • rekomendacja M definiująca zasady zarządzania ryzykiem operacyjnym Banku, w tym ryzykami związanymi z bezpieczeństwem teleinformatycznym.
  2. w zakresie raportowania i analizy:
    • wynikający z rekomendacji D i M obowiązek należytego dbania o poziom bezpieczeństwa eksploatowanych oraz outsourcowanych systemów teleinformatycznych; 
    • obowiązek bieżącej, trafnej i rzetelnej analizy wszelkich czynników ryzyka operacyjnego mających wpływ na poziom bezpieczeństwa Banku, w tym ryzyk teleinformatycznych;
    • obowiązek analizy przez Zarząd Banku wszystkich istotnych czynników ryzyka;
    • obowiązek regularnego raportowania przez Zarząd do Rady Nadzorczej informacji na temat poziomu ryzyka towarzyszącego prowadzonej przez Bank działalności;
    • obowiązki raportowe do Komisji Nadzoru Finansowego, Narodowego Banku Polskiego, Banku Zrzeszającego, oraz innych, wskazanych w stosownych dokumentach, instytucji;
    • prowadzenie regularnego pomiaru ryzyka i nadzoru o niego opartego zgodnie z wymogami BION („Badanie I Ocena Nadzorcza”).

Bank Spółdzielczy zobowiązany jest zatem do prowadzenia regularnego pomiaru ryzyka operacyjnego dotyczącego systemów teleinformatycznych oraz poziomu bezpieczeństwa eksploatowanych systemów nie tylko w dobrze rozumianym własnym interesie, ale również na mocy wymagań prawa. 

Outsourcing i odpowiedzialność w Bankowości Spółdzielczej

Elementem niepewności wprowadzanym do działalności bankowej jest coraz częstsze stosowanie outsourcingu (bądź zbliżonych funkcjonalnie rozwiązań natury formalnej). W modelu tym Bank eksploatuje oprogramowanie oraz systemy firm trzecich, które zobligowane są do zapewnienia stosownego poziomu bezpieczeństwa. 

Co do zasady jednak, zgodnie z wymogami prawa, za wszelkie problemy oraz naruszenia bezpieczeństwa odpowiada Bank, mając jedynie prawo regresu kar na podwykonawcę. Konsekwencje wystąpienia błędów bądź naruszeń bezpieczeństwa obciążają zatem w sposób oczywisty Bank, stanowiąc rażące naruszenie ryzyka reputacji oraz ryzyka prawnego. Dla tego też krytyczne dla Banku jest monitorowanie efektywności i rzetelności działania podwykonawców. Proponowane przez OpenBIZ rozwiązania zapewniają:

  • ciągły, zautomatyzowany nadzór nad poziomem bezpieczeństwa systemów dostawców zewnętrznych;
  • weryfikację wywiązywania się przez dostawców z ich obowiązków, w tym: 
    • instalacji aktualizacji oprogramowania systemowego;
    • usuwania odkrytych podatności bezpieczeństwa;
    • stosowania się do narzuconych prawem i normami wymogów bezpieczeństwa w trakcie instalacji oraz aktualizacji oprogramowania.

Pomiar i analiza ryzyka

Rzetelny i wiarogodny pomiar oraz analiza ryzyka systemów teleinformatycznych stanowi jeden z najtrudniejszych elementów zarządzania Bankiem Spółdzielczym. O ile Władze Banku mają pełne kompetencje w zakresie finansowym i zarządczym, o tyle nie zawsze uzyskują odpowiedni poziom wsparcia informacyjnego od służb informatycznych. Prowadzi to do nieadekwatnego, nadmiarowego budżetowania oraz do powstawania w eksploatowanych systemach (bądź oferowanych przez Bank produktach) zagrożeń bezpieczeństwa mających istotny wpływ na ogólny profil ryzyka Banku. 

Prawidłowa implementacja oferowanych przez OpenBIZ rozwiązań pozwala władzom Banku nie tylko na trafne i rzetelne zarządzanie ryzykiem operacyjnym, ale również na efektywny wgląd w zakres niezbędnych do lokacji środków budżetowych, tak aby nakłady inwestycyjne na zabezpieczenie teleinformatyczne były nie wyższe, niż niezbędne.

Dostarczane przez OpenBIZ rozwiązania zapewniają:

  1. Stały, zautomatyzowany pomiar poziomu bezpieczeństwa wszystkich eksploatowanych przez Bank systemów;
  2. Wizualizację poziomu ryzyka operacyjnego bez konieczności wnikania w szczegóły natury technicznej;
  3. Efektywną analizę ryzyka teleinformatycznego w postaci oczekiwanej przez kadrę zarządczą, to jest syntetycznych zestawień oraz map ryzyka.

Obowiązki raportowe

Akty prawne nakładają na Banki Spółdzielcze szereg obowiązków dotyczących raportowania ryzyka operacyjnego systemów teleinformatycznych, tak na potrzeby własne jak i dla instytucji zewnętrznych. Zakres informacji niezbędnych do trafnej analizy danych jest niezmiernie szeroki i bez wsparcia zewnętrznym systemem analitycznym wydaje się być trudny do rzetelnej analizy.

Dostarczane przez OpenBIZ rozwiązania zapewniają:

  1. wiarygodny, rzetelny i aktualny obraz wiedzy o eksploatowanych przez Bank systemach, oraz zagrożeniach im towarzyszących;
  2. możliwość trafnego planowania środków zaradczych, zarówno natury organizacyjnej i operacyjnej, jak i nakładów budżetowych;
  3. możliwość szybkiego i trafnego tworzenia raportów dla Rady Nadzorczej oraz wypełniania zestawień BION.

Scenariusze wdrożeniowe

Poniżej przedstawiono konkretne scenariusze wdrożeniowe dla poszczególnych rodzajów Banków Spółdzielczych, w zależności od zakresu ich działania terytorialnego oraz poziomu zaawansowania eksploatowanych przez nie systemów teleinformatycznych.

Mały Bank Spółdzielczy

Przez mały Bank Spółdzielczy rozumie się Bank spełniający następujące kryteria:

  1. Posiada do 100 urządzeń sieciowych, wliczając w to komputery oraz urządzenia aktywne sieci;
  2. Posiada do 3 lokalizacji zdalnych, które mają być monitorowane.

Bankowi takiemu oferujemy wdrożenie systemu Nessus w wersji podstawowej.

Średni Bank Spółdzielczy

Przez średni Bank Spółdzielczy rozumie się Bank spełniający następujące kryteria:

  1. Posiada do 300 urządzeń sieciowych, wliczając w to komputery oraz urządzenia aktywne sieci;
  2. Posiada do 7 lokalizacji zdalnych które mają być monitorowane.

Bankowi takiemu oferujemy wdrożenie systemu Nessus w wersji Enterprise, oraz systemu Passive Vulnerability Scanner. Bank taki powinien również rozważyć wdrożenie systemu Security Center, lub Security Center Continuous View.

Duży Bank Spółdzielczy

Przez duży Bank Spółdzielczy rozumie się Bank spełniający następujące kryteria:

  1. Posiada powyżej 300 urządzeń sieciowych, wliczając w to komputery oraz urządzenia aktywne sieci;
  2. Posiada powyżej 7 lokalizacji zdalnych, które mają być monitorowane.

Bankowi takiemu oferujemy wdrożenie systemu Security Center Continuous View jako kompleksowego rozwiązania do zarządzania bezpieczeństwem system teleinformatycznych.

Warto przeczytać:

Inwentaryzacja bezpieczeństwa sieci
Testy penetracyjne punktu styku
Działania kontrwywiadowcze
 Nessus Professional
Security Center Continuous View