Zarządzanie ryzykiem ICT

Obowiązki, które sektorowi finansowemu znane są już wskutek realizacji wytycznych organów nadzoru (EBA czy KNF), realizacji polityk bezpieczeństwa czy planów BCP – znajdują odzwierciedlenie w nowych wymogach prawnych. I tak na przykład: będzie to wymóg prowadzenia dokumentacji działań instytucji finansowej przed oraz w trakcie incydentu ICT (art. 10 DORA), bądź wymóg przywrócenia danych z kopii zapasowej w odrębnym środowisku operacyjnym (art. 11 DORA).

Dane związane z działalnością instytucji finansowych hostowane są przez dostawców. W myśl DORA dostawcy tacy mogą zostać zakwalifikowani jako krytyczni, co będzie równało się z objęciem ich bezpośrednim nadzorem, a nie jak dotąd pośrednim, którym niejako zarządzała instytucja finansowa (zarządzała w tym sensie, że audytowała dostawcę oraz nakładała na niego określone obowiązki umowne). To powinno skutkować praktyką, w której dostawca dokonuje przeglądu własnych procesów dokumentacji i przygotowuje się w ten sposób na zgodność z DORA (przykładowe dokumenty, które mogą wymagać weryfikacji wymieniamy w ramce obok).

Przykładowe zagadnienia regulowane w umowach pod kątem DORA  
  • opis funkcji oraz usług, być może wraz z oceną ich krytycznej roli
  • lokalizacja dostawcy i jurysdykcja, której dostawca podlega
  • stosowane rozwiązania techniczne, np. w zakresie szyfrowania czy backupu danych
  • obowiązki i gwarancje w zakresie przetwarzanych danych, znana triada CIA (poufność, integralność oraz dostępność danych)
  • czas i zasady wypowiadania umowy
  • strategia wyjścia z wyraźnym określeniem wsparcia po stronie dostawcy (tzw. exit plan)
  
Przykładowa lista dokumentów do weryfikacji zgodności z DORA  
  • polityka prywatności
  • polityka bezpieczeństwa informacji
  • plan ciągłości działania (BCP)
  • polityka reakcji na incydenty
  • plany testowania cyfrowej odporności
  • wzory ankiet oceny bezpieczeństwa produktów i usług
  • dokument OSA (Operation, Security & Architecture)