Wydanie Wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji.

- funkcji tworzenia lub modyfikowania systemów informatycznych od ich testowania (poza testami realizowanymi przez programistów w ramach wytwarzania oprogramowania), administracji i użytkowania,

- funkcji administrowania danym komponentem środowiska teleinformatycznego od projektowania związanych z nim mechanizmów kontrolnych w zakresie bezpieczeństwa,

- funkcji administrowania danym systemem informatycznym od monitorowania działań jego administratorów,

- funkcji audytu od pozostałych funkcji w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

5.3. Towarzystwo powinno wyznaczyć osoby lub funkcje odpowiedzialne za podejmowanie decyzji w zakresie poszczególnych systemów eksploatowanych w towarzystwie (często zwane właścicielami systemów), opartych zarówno na infrastrukturze teleinformatycznej towarzystwa, jak i infrastrukturze zapewnianej przez podmioty zewnętrzne. Do obowiązków tych osób lub funkcji powinno należeć w szczególności:

- zapewnienie prawidłowości działania i bezpieczeństwa systemu pod względem biznesowym (np. poprzez właściwe zdefiniowanie procedur korzystania z systemu, udział w procesie zarządzania ciągłością jego działania, udział w procesie zarządzania uprawnieniami),

- nadzór nad działaniami użytkowników systemu,

- udział w procesie podejmowania decyzji w zakresie rozwoju tych systemów.

W przypadku, gdy dla danego systemu informatycznego określona została więcej niż jedna osoba odpowiedzialna/funkcja odpowiedzialna, towarzystwo powinno poświęcić szczególną uwagę precyzyjnemu określeniu podziału ich kompetencji i obowiązków.

5.4. Zapewnienie bezpieczeństwa informacji przetwarzanych w środowisku teleinformatycznym nie jest wyłącznie domeną osób odpowiedzialnych/funkcji odpowiedzialnych za obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, ale w dużej mierze zależy od właściwego postępowania bezpośrednich użytkowników systemów informatycznych i danych. W związku z tym, każdy pracownik towarzystwa powinien być świadomy, że jego obowiązkiem jest dbanie o bezpieczeństwo informacji przetwarzanych w środowisku teleinformatycznym. W tym celu towarzystwo powinno premiować zachowania i postawy wspierające tworzenie kultury bezpieczeństwa informacji, edukować pracowników w zakresie bezpieczeństwa środowiska teleinformatycznego 14 oraz uzyskać zobowiązania (w formie pisemnej lub elektronicznej) do przestrzegania regulacji wewnętrznych dotyczących tego obszaru.

5.5. Jako uzupełnienie wobec powyższego, pracownicy obszaru bezpieczeństwa środowiska teleinformatycznego powinni w sposób niezależny aktywnie monitorować realizację czynności przypisanych w tym obszarze jednostkom biznesowym i odpowiedzialnym za obszar technologii informacyjnej (np. w zakresie okresowych przeglądów uprawnień do systemów, bieżącej kontroli w zakresie bezpieczeństwa środowiska teleinformatycznego prowadzonej w jednostkach organizacyjnych, testowania poprawności procesu odtwarzania komponentów środowiska teleinformatycznego na podstawie kopii awaryjnych itp.).

- zapewnić, aby poziom obciążenia pracowników pozwalał na efektywną realizację powierzonych im obowiązków,

- zapewnić pracownikom regularne szkolenia (adekwatnie do specyfiki zajmowanego przez nich stanowiska) 15 , promować zdobywanie wiedzy oraz umożliwiać im wymianę doświadczeń (np. poprzez zapewnienie dostępu do tzw. baz wiedzy, udział w konferencjach i forach branżowych).

5.7. Towarzystwo nie powinno wprowadzać do użytku nowych komponentów środowiska teleinformatycznego bez posiadania wiedzy i kompetencji umożliwiających właściwe zarządzanie związanym z nimi ryzykiem. W związku z tym, towarzystwo każdorazowo powinno oceniać adekwatność tych kompetencji, zaś w przypadku stwierdzenia, że są one niewystarczające - podjąć działania mające na celu ich uzupełnienie (np. szkolenia pracowników, zatrudnienie nowych pracowników, podjęcie współpracy z zewnętrznymi dostawcami usług itp.).

5.8. Towarzystwo powinno przyłożyć szczególną uwagę do doboru pracowników zatrudnianych na stanowiskach dających dostęp do informacji o wysokim stopniu poufności 16 .

5.9. Towarzystwo powinno podejmować działania mające na celu minimalizację ryzyka związanego z ewentualnym odejściem z pracy kluczowych pracowników obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. W szczególności towarzystwo powinno:

- identyfikować kluczowych pracowników, których odejście wiąże się ze znacznym ryzykiem dla działalności towarzystwa,

- zapewnić dostępność aktualnej i precyzyjnej dokumentacji środowiska teleinformatycznego 17 ,

- zapewnić, że czynności przypisane do kluczowych pracowników są okresowo realizowane przez inne osoby (np. w trakcie odpowiednio długich urlopów kluczowych pracowników),

- posiadać opracowane programy sukcesji na pozycje zajmowane przez wybranych kluczowych pracowników,

- promować dzielenie się wiedzą między pracownikami,

- objąć informacją zarządczą istotne zdarzenia w zakresie kluczowych pracowników (w szczególności informacje o ich odejściach z pracy lub długotrwałych nieobecnościach) 18 .

8.2. Zakres i poziom szczegółowości powyższej inwentaryzacji powinny być uzależnione od skali działalności towarzystwa oraz określonej przez towarzystwo istotności poszczególnych grup danych (tj. danych dotyczących pewnego, określonego przez towarzystwo obszaru jego działalności). W przypadku istotnych grup danych towarzystwo powinno opracować ich szczegółową dokumentację, zawierającą modele tych danych, opisujące m.in. zależności pomiędzy ich poszczególnymi elementami oraz przepływy pomiędzy systemami informatycznymi, jak również posiadać odpowiednią dokumentację (zasady, standardy, procedury itp.) przetwarzania tych danych.

8.3. Do każdej zinwentaryzowanej grupy danych (lub jej podzbioru) powinien zostać przypisany podmiot (jednostka organizacyjna, funkcja, osoba itp.), który jest ostatecznie odpowiedzialny za jakość tych danych i nadzór nad nimi, w szczególności w zakresie zarządzania związanymi z nimi uprawnieniami i udziału w rozwoju systemów informatycznych, w których są one przetwarzane.

- okresowe dokonywanie oceny jakości danych,

- dokonywanie czyszczenia danych,

- identyfikację przyczyn błędów występujących w danych, wewnętrzne procesy i procedury, zapewniające adekwatność, kompletność i dokładność danych.

- bieżące monitorowanie jakości danych.

8.5. Dokonując okresowej oceny jakości danych, towarzystwo powinno w szczególności identyfikować błędy w danych oraz badać ich wpływ na swoją działalność. Towarzystwo powinno także upewniać się, że przetwarzane dane są odpowiednie z perspektywy zarządzania (w tym pomiaru) poszczególnymi rodzajami ryzyka, jak również zaspokajania potrzeb raportowych i analitycznych ich kluczowych odbiorców - to znaczy, czy i w jakim stopniu ewentualne podjęcie błędnych decyzji wynikać może z niskiej jakości danych stanowiących ich podstawę. W tym celu towarzystwo powinno w szczególności:

- określić atrybuty wykorzystywane do oceny jakości danych (np. adekwatność, kompletność i dokładność itp.) oraz częstotliwość i sposoby dokonywania ich pomiaru (np. automatyczne porównanie danych dotyczących tych samych operacji przechowywanych w różnych źródłach, weryfikacja z dokumentacją źródłową na podstawie próby, badanie satysfakcji użytkowników danych); w odniesieniu do poszczególnych danych możliwe jest stosowanie różnych atrybutów lub sposobów ich pomiaru,

- określić wartości progowe dla powyższych atrybutów, które towarzystwo uznaje za akceptowalne w odniesieniu do poszczególnych danych,

- regularnie dokonywać pomiaru jakości danych, zgodnie z zasadami określonymi w ramach powyższych działań.

8.6. Dokonując czyszczenia danych - o ile działania te realizowane są w sposób zautomatyzowany - towarzystwo powinno przyłożyć szczególną uwagę do poprawnego skonstruowania algorytmów czyszczących. Niepoprawny algorytm, poprawiając jedne dane, może bowiem (poprzez efekty uboczne) spowodować pogorszenie jakości innych danych.

8.7. Dokonując identyfikacji przyczyn błędów występujących w danych, towarzystwo powinno uwzględniać m.in. przyczyny związane z niewłaściwymi procedurami przetwarzania danych oraz z niską skutecznością mechanizmów kontrolnych funkcjonujących w zakresie zapewniania jakości danych, a następnie wdrażać nowe i usprawniać już funkcjonujące mechanizmy (zarówno na etapie wprowadzania danych do systemów, jak i ich późniejszego przetwarzania), w szczególności poprzez:

- modyfikację procesów zbierania i przetwarzania danych (w tym również sposobów wymiany danych pomiędzy systemami informatycznymi),

- wprowadzanie lub modyfikację mechanizmów kontroli bieżącej (takich jak automatyczne reguły walidacyjne, monitorowanie interfejsów wymiany danych, umieszczenie w procesach biznesowych punktów pomiaru jakości danych, uzgadnianie danych pomiędzy systemami itp.),

- wprowadzanie lub modyfikację mechanizmów kontroli okresowej oraz innych elementów procesu zarządzania jakością danych,

- wdrażanie zautomatyzowanych rozwiązań wspierających proces zarządzania jakością danych.

Powyższe mechanizmy kontrolne powinny być również przeglądane i dostosowywane w przypadku wprowadzania istotnych zmian w przebiegu procesów biznesowych, strukturze organizacyjnej, systemach informatycznych itp.

8.8. Bieżące monitorowanie jakości danych powinno obejmować informacje pozyskane z wykorzystaniem wprowadzonych mechanizmów kontrolnych. Zagregowane informacje dotyczące wyników monitorowania, jak również wyniki okresowych ocen jakości danych, powinny być przekazywane odpowiednim szczeblom hierarchii organizacyjnej w ramach systemu informacji zarządczej 30 .

8.9. Projektując podejście do zarządzania jakością danych - w szczególności w przypadku braku wyodrębnionej jednostki organizacyjnej odpowiedzialnej za ten obszar - towarzystwo powinno zapewnić, aby zakresy odpowiedzialności i podział zadań w tym zakresie były jednoznacznie i precyzyjnie określone. Towarzystwo powinno również zapewnić zachowanie odpowiedniego stopnia poufności danych wykorzystywanych w procesie zarządzania jakością danych.

8.10. Projektując i realizując proces zarządzania jakością danych, towarzystwo powinno w szczególności uwzględniać typowe czynniki mogące prowadzić do niskiej jakości danych, do których zaliczyć można m.in.:

- ręczne wprowadzanie danych do systemów, które w przypadku braku dostatecznej walidacji danych wejściowych czyni je podatnymi na błędy ludzkie, zaś przy niewłaściwej kontroli - na wprowadzanie danych niezgodnych z rzeczywistością,

- wymianę danych pomiędzy systemami, z którą wiążą się m.in.:

* zagrożenia wynikające z braku aktualizacji reguł wymiany danych przy dokonywaniu modyfikacji systemu źródłowego lub docelowego,

* zagrożenia wynikające z trudności w dokonywaniu korekt w danych zidentyfikowanych jako błędne w sytuacji, w której poprzez interfejsy wymiany danych zostały już one przekazane do innych systemów,

- migrację danych (w tym związane z konsolidacją systemów), w ramach których struktury danych w systemach źródłowych i docelowych są często odmienne, a także sama jakość danych w systemach źródłowych niekiedy nie jest wystarczająca.

8.11. Towarzystwo powinno tworzyć kulturę organizacyjną, w której kładzie się nacisk na zapewnianie odpowiedniej jakości danych wprowadzanych przez pracowników do systemów informatycznych.

8.12. Podejście towarzystwa do zarządzania jakością danych powinno uwzględniać szczególne uwarunkowania związane z ograniczoną kontrolą towarzystwa nad jakością danych pochodzących ze źródeł zewnętrznych (takich jak np. agenci, brokerzy, likwidatorzy szkód, operatorzy medyczni, Ośrodek Informacji Ubezpieczeniowego Funduszu Gwarancyjnego (OI UFG), Polskie Biuro Ubezpieczycieli Komunikacyjnych (PBUK)). Towarzystwo powinno podejmować działania mające na celu umożliwienie dokonania oceny jakości tych danych oraz jej poprawę, w szczególności poprzez wymaganie od dostawców danych zewnętrznych przedstawiania potwierdzenia odpowiedniej jakości danych (np. popartego wynikami niezależnego audytu zewnętrznego). Towarzystwo powinno również przykładać szczególną uwagę do jakości danych wprowadzanych przez nie do baz zewnętrznych (np. UKNF, OI UFG, PBUK, Centralna Ewidencja Pojazdów i Kierowców).

8.13. W związku z tym, że jakość danych przetwarzanych w środowisku teleinformatycznym w istotny sposób wpływa na jakość zarządzania towarzystwem, a jednocześnie często odbiorcy tych danych nie mają bezpośredniego wpływu na ich jakość (np. w przypadku danych wprowadzanych w ramach obszaru sprzedaży, a następnie wykorzystywanych przez obszar ryzyka), towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności specyfikę swojej struktury organizacyjnej oraz realizowanych procesów przetwarzania danych) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wyznaczenia lub wskazania 31 komitetu właściwego do spraw zarządzania jakością danych. Pracami komitetu powinien kierować posiadający odpowiednie kwalifikacje członek zarządu towarzystwa lub wyznaczony przez zarząd towarzystwa pełnomocnik.

9.2. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności stopień złożoności i rozproszenia środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania rozwiązań pozwalających na monitorowanie obciążenia sieci oraz na automatyczne uruchomienie łącza zapasowego.

9.3. Towarzystwo świadczące usługi za pośrednictwem elektronicznych kanałów dystrybucji powinno posiadać alternatywny dostęp do łączy telekomunikacyjnych wykorzystywanych na potrzeby tych usług na wypadek awarii u dostawcy podstawowego.

9.4. Styk sieci wewnętrznej towarzystwa z sieciami zewnętrznymi (w szczególności Internetem) powinien być zabezpieczony systemem zapór sieciowych 32 .

9.5. Towarzystwo powinno przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą dokonania podziału sieci teleinformatycznej na podsieci (logiczne lub fizyczne), oddzielone zaporami sieciowymi zapewniającymi odpowiedni poziom kontroli dostępu i wykorzystujące inne mechanizmy (np. szyfrowanie ruchu sieciowego) uwzględniające wymagany poziom bezpieczeństwa przetwarzanych w nich danych, np. poprzez:

- oddzielenie podsieci dla wewnętrznych systemów towarzystwa od podsieci dla systemów wymieniających dane z otoczeniem zewnętrznym,

- oddzielenie podsieci obsługujących back-office od front-office,

- wydzielenie podsieci na potrzeby administracji infrastrukturą,

- wydzielenie podsieci na potrzeby rozwoju systemów informatycznych.

9.6. Reguły zarządzania ruchem sieciowym powinny zostać sformalizowane, podobnie jak reguły rejestrowania zdarzeń przez narzędzia monitorujące bezpieczeństwo infrastruktury teleinformatycznej i informowania o tych zdarzeniach. Zdarzenia te powinny podlegać systematycznej analizie. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania rozwiązań klasy IDS/IPS (ang. Intrusion Detection System / Intrusion Prevention System), zwiększających bezpieczeństwo infrastruktury teleinformatycznej poprzez wykrywanie (IDS) lub wykrywanie i blokowanie (IPS) ataków w czasie rzeczywistym.

9.7. Towarzystwo powinno posiadać sformalizowane zasady podłączania urządzeń końcowych (komputerów, urządzeń mobilnych) do infrastruktury teleinformatycznej. Opracowanie tych zasad powinno być poprzedzone przeprowadzeniem analizy ryzyka w tym zakresie. Ponadto w przypadku, gdy towarzystwo zezwala pracownikom na wykorzystywanie urządzeń prywatnych do celów służbowych, powinien on opracować sformalizowane zasady w tym zakresie, określające w szczególności:

- dopuszczalny zakres korzystania z takich urządzeń, wraz ze wskazaniem, jakiego rodzaju informacje mogą być na nich przetwarzane 33 ,

- dopuszczalne rodzaje urządzeń,

- dopuszczalne aplikacje, z których pracownicy mogą korzystać do celów służbowych,

jak również zapewnić wsparcie egzekwowania i kontroli tych zasad przez rozwiązania informatyczne oraz systematycznie edukować pracowników w zakresie bezpiecznego użytkowania urządzeń prywatnych do celów służbowych 34 .

9.8. Korzystanie przez towarzystwo z sieci bezprzewodowych powinno wiązać się z analizą związanego z tym ryzyka. W szczególności towarzystwo powinno określić, jakie dane mogą być dostępne z wykorzystaniem tych sieci oraz jakie mechanizmy uwierzytelniania i szyfrowania będą wykorzystywane.

- rodzaj komponentu powinien być wybierany z uwzględnieniem wad i zalet danego rozwiązania z perspektywy punktu infrastruktury, w którym ma on zostać ulokowany (np. wybór pomiędzy sprzętowymi a programowymi zaporami sieciowymi),

- ustalając sposób konfiguracji komponentu, towarzystwo powinno kierować się zasadą minimalizacji udostępnianych przez dany komponent usług (w tym np. otwartych portów, obsługiwanych protokołów itp.), z jednoczesnym zapewnieniem planowanej funkcjonalności.

9.10. Towarzystwo powinno weryfikować predefiniowane ustawienia wprowadzone przez producenta urządzenia lub systemu - pozostawienie konfiguracji domyślnej (a zatem powszechnie znanej, np. w zakresie standardowych kont i haseł) w znacznym stopniu zwiększa poziom ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego.

9.11. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednie decyzje dotyczące:

- opracowania standardów konfiguracyjnych,

- utrzymywania rejestru komponentów infrastruktury teleinformatycznej wraz z podstawowymi informacjami na temat ich rodzaju i konfiguracji,

- utrzymywania elektronicznego repozytorium kopii zastosowanej konfiguracji.

9.12. Towarzystwo powinno posiadać sformalizowane zasady dokonywania zmian w konfiguracji komponentów infrastruktury teleinformatycznej, uwzględniające istotność poszczególnych komponentów i zapewniające:

- realizację zmian w sposób zaplanowany i kontrolowany, z uwzględnieniem wpływu danej zmiany na inne komponenty,

- zabezpieczenie komponentów przed wprowadzaniem nieuprawnionych zmian,

- możliwość wycofania zmian, w tym dostępność kopii awaryjnych konfiguracji komponentów,

- możliwość identyfikacji osób wprowadzających oraz zatwierdzających poszczególne zmiany w konfiguracji.

9.13. W przypadku przekazywania sprzętu do naprawy lub konserwacji do podmiotu zewnętrznego, towarzystwo powinno zapewnić, aby podmiot ten nie miał dostępu do zapisanych w tych urządzeniach danych o wysokim stopniu poufności 36 , lub aby odpowiedzialność za zachowanie tajemnicy tych informacji w okresie wykonywania usług oraz po zakończeniu współpracy uregulowana została w umowie z podmiotem zewnętrznym.

9.14. Towarzystwo powinno posiadać sformalizowane zasady wycofywania komponentów infrastruktury teleinformatycznej z eksploatacji, w szczególności zapewniające minimalizację ryzyka związanego z możliwością wycieku informacji przechowywanych na wycofywanych komponentach.

9.15. Konfiguracja systemu zapór sieciowych powinna zapewniać rejestrowanie niestandardowych aktywności w celu umożliwienia dokonywania ich analizy pod kątem wykrywania ataków zewnętrznych i wewnętrznych. System zapór sieciowych powinien także zapewniać kontrolę ruchu wychodzącego w celu blokowania prób nawiązania sesji z wewnątrz sieci przez szkodliwe oprogramowanie.

9.16. Towarzystwo wykorzystujące technologię wirtualizacji serwerów 37 powinno przeprowadzać analizę ryzyka związanego z tą technologią w odniesieniu do własnych uwarunkowań. Na podstawie wyników powyższej analizy, towarzystwo powinno zapewnić poprawne funkcjonowanie odpowiednich mechanizmów kontrolnych. Do dobrych praktyk w tym zakresie można zaliczyć m.in.:

- objęcie ścisłym nadzorem dostępności zasobów maszyny fizycznej (procesorów, pamięci operacyjnej, przestrzeni dyskowej itp.),

- lokowanie konsoli serwisowej i wszelkich narzędzi służących do zarządzania platformą wirtualizacji zasobów w podsieci dedykowanej administrowaniu tą platformą,

- ograniczenie możliwości nadużywania zasobów przez poszczególne maszyny wirtualne oraz współdzielenia schowka (ang. clipboard) pomiędzy maszyną fizyczną a wirtualną,

- szczególne zabezpieczenie maszyn fizycznych, na których ulokowane są maszyny wirtualne, przed nieuprawnionym dostępem do plików maszyn wirtualnych (ze względu na niewielka liczbę plików, które składają się na maszynę wirtualną, jest ona szczególnie podatna na kradzież) oraz innymi zagrożeniami, takimi jak ataki typu "Denial-of-Service" 38 (w przypadku wirtualizacji serwerów konsekwencje tego rodzaju ataków na maszynę fizyczną mogą być znacznie poważniejsze, dotykać bowiem będą wielu maszyn wirtualnych).

9.17. Towarzystwo powinno monitorować sieci teleinformatyczne, komponenty infrastruktury teleinformatycznej, pod kątem ich bezpieczeństwa i poprawności funkcjonowania adekwatnie do związanego z nimi poziomu ryzyka. Stopień automatyzacji ww. monitorowania powinien być adekwatny do złożoności środowiska teleinformatycznego.

9.18. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności stopień narażenia na ryzyko w zakresie bezpieczeństwa środowiska teleinformatycznego oraz liczbę jego użytkowników) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wprowadzenia dodatkowych zabezpieczeń w wykorzystywanym systemie poczty elektronicznej, ułatwiających sprawowanie kontroli nad informacjami o wysokim stopniu poufności 39 zawartymi w kierowanych na zewnątrz towarzystwa przesyłkach elektronicznych.

9.19. Eksploatowane w towarzystwie drukarki wykorzystywane do drukowania dokumentów zawierających informacje o wysokim stopniu poufności powinny być zabezpieczone przed możliwością wycieku informacji (w przypadku drukarek sieciowych - np. poprzez szyfrowanie przesyłanych do nich danych i przechowywanych przez nie zadań drukowania oraz odpowiednie mechanizmy weryfikacji tożsamości użytkowników).

9.20. Eksploatowane przez towarzystwo skanery sieciowe wykorzystywane do skanowania dokumentów zawierających dane osobowe lub takich, których nieuprawnione ujawnienie mogłoby narazić towarzystwo na znaczne straty, powinny być zabezpieczone przed możliwością wycieku informacji (np. poprzez przesyłanie danych w formie zaszyfrowanej). Rozwiązania towarzystwa w tym zakresie powinny również zapewniać, aby zeskanowane dokumenty były dostępne jedynie dla upoważnionych osób.

9.21. Konfiguracja komponentów infrastruktury teleinformatycznej powinna podlegać okresowej weryfikacji pod kątem pozostałych zmian zachodzących w tym środowisku, a także ujawnianych luk bezpieczeństwa. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zapewnienia wsparcia tego procesu przez narzędzia automatyzujące czynności kontrolne. Jednym z narzędzi, które powinno być systematycznie stosowane przy ocenie skuteczności mechanizmów kontrolnych w obszarach środowiska teleinformatycznego o wysokiej istotności, są testy penetracyjne.

9.23. Zasady dotyczące aktualizacji oprogramowania komponentów infrastruktury teleinformatycznej powinny w szczególności wskazywać stanowiska/funkcję odpowiedzialne za podejmowanie decyzji w zakresie zmian w środowisku produkcyjnym.

9.24. Przed dokonaniem aktualizacji oprogramowania komponentów środowiska produkcyjnego mających wpływ na systemy informatyczne o wysokiej istotności z perspektywy towarzystwa 40 , towarzystwo powinno przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą dokonania na środowisku testowym weryfikacji wpływu tej aktualizacji.

9.25. Terminowość i poprawność instalacji aktualizacji powinny być objęte okresową kontrolą. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania automatycznych mechanizmów instalacji aktualizacji oprogramowania komputerów osobistych i urządzeń mobilnych, jak również automatycznych narzędzi analizujących środowisko teleinformatyczne pod kątem aktualności oprogramowania.

9.26. Towarzystwo powinno dążyć do ograniczenia liczby komponentów środowiska teleinformatycznego pozbawionych odpowiedniego wsparcia producentów, w szczególności w odniesieniu do elementów istotnych z perspektywy działalności towarzystwa. W tym zakresie towarzystwo powinno w szczególności:

- identyfikować i rejestrować przypadki występowania w środowisku teleinformatycznym komponentów pozbawionych odpowiedniego wsparcia producentów oraz oceniać związane z tym ryzyko,

- przeprowadzać analizy dotyczące możliwości wymiany takich komponentów na komponenty objęte właściwym wsparciem lub podjęcia innych działań mających na celu kontrolę związanego z nimi ryzyka.

Powyższe działania powinny być dokonywane z odpowiednim wyprzedzeniem, tj. z uwzględnieniem okresu wymaganego do zrealizowania działań mających na celu zapewnienie kontroli ryzyka wynikającego z wykorzystywania komponentów nieobjętych wsparciem producentów.

- skalowalnością, rozumianą jako możliwość odpowiednio szybkiego podniesienia wydajności i pojemności,

- nadmiarowością, rozumianą jako możliwość bieżącej obsługi zwiększonej liczby operacji w oparciu o aktualnie wykorzystywane zasoby.

9.28. Towarzystwo powinno posiadać udokumentowane zasady zarządzania wydajnością i pojemnością komponentów infrastruktury teleinformatycznej, uwzględniające istotność poszczególnych komponentów dla działalności towarzystwa oraz zależności pomiędzy tymi komponentami, obejmujące w szczególności:

- określenie parametrów wydajności (np. czas odpowiedzi systemu, czas przetwarzania) i pojemności (np. obciążenie sieci teleinformatycznej, stopień wykorzystania urządzeń pamięci masowych, stopień wykorzystania procesorów, liczba otwartych sesji połączeniowych), wraz ze wskazaniem wartości ostrzegawczych i granicznych w tym zakresie,

- monitorowanie powyższych parametrów,

- analizę trendów oraz prognozowanie zapotrzebowania na wydajność i pojemność, z uwzględnieniem celów strategicznych towarzystwa, w szczególności w zakresie planowanej liczby obsługiwanych klientów oraz zmian w profilu działalności i związanego z tym przewidywanego wolumenu przetwarzanych danych,

- podejmowanie działań w przypadku przekroczenia wartości ostrzegawczych i granicznych powyższych parametrów oraz w przypadku, gdy analizy w zakresie zapotrzebowania na wydajność i pojemność wykażą, że obecne zasoby nie są wystarczające do jego zaspokojenia,

- raportowanie w zakresie wydajności i pojemności komponentów infrastruktury teleinformatycznej, w szczególności do właścicieli systemów informatycznych.

9.29. W celu zwiększenia efektywności procesu zarządzania wydajnością i pojemnością, towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą:

- zastosowania narzędzi pozwalających na automatyzację monitorowania obciążenia zasobów,

- sformalizowania parametrów jakości usług świadczonych przez środowisko teleinformatyczne na rzecz użytkowników wewnętrznych i zewnętrznych oraz włączenie raportowania w tym zakresie do systemu informacji zarządczej 41 .

9.30. Towarzystwo powinno dokonywać okresowej weryfikacji zdolności środowiska teleinformatycznego w ośrodku zapasowym do utrzymania wymaganych dla niego parametrów wydajności i pojemności.

- jest aktualna,

- jest szczegółowa adekwatnie do poziomu istotności każdego z tych elementów,

- umożliwia przeprowadzanie wiarygodnych analiz środowiska pod kątem jego bezpieczeństwa i optymalizacji,

- pozwala na lokalizację i usuwanie przyczyn awarii,

- umożliwia odtworzenie działalności w przypadku wystąpienia takiej konieczności,

- pozwala na efektywną realizację zadań w zakresie kontroli wewnętrznej.

9.32. Dokumentacja infrastruktury teleinformatycznej powinna podlegać ochronie adekwatnej do stopnia jej wrażliwości. Zakres dokumentacji (w szczególności dokumentów opisujących szczegóły konfiguracji i funkcjonowania systemów zabezpieczeń) dostępnej dla poszczególnych pracowników nie powinien wykraczać poza minimum wynikające z powierzonego im zakresu obowiązków.

9.33. Kolejne wersje dokumentacji powinny posiadać oznaczenie oraz metrykę zmian dokumentu (data wprowadzenia, osoby opracowujące i zatwierdzające).

9.34. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, częstotliwość wprowadzania zmian technicznych oraz liczbę administratorów i serwisantów) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wdrożenia elektronicznego repozytorium dokumentacji infrastruktury teleinformatycznej.

9.35. Towarzystwo powinno posiadać procedury eksploatacji i administracji poszczególnych elementów infrastruktury teleinformatycznej. Kompletność i aktualność tych procedur powinny podlegać okresowej weryfikacji, zwłaszcza w przypadku elementów infrastruktury teleinformatycznej, w których wprowadzane są częste zmiany.

11.2. Parametry haseł dostępu (w tym długość i złożoność hasła, częstotliwość zmiany, możliwość powtórnego użycia historycznego hasła) oraz zasady blokowania kont dostępu powinny zostać ustalone w regulacjach wewnętrznych, z uwzględnieniem klasyfikacji systemu 47 oraz innych uwarunkowań z nim związanych, w tym prawnych i związanych z przyjętymi w towarzystwie standardami 48 . Funkcjonalność wykorzystywanych systemów informatycznych powinna w miarę możliwości wymuszać stosowanie obowiązujących w towarzystwie reguł dotyczących haseł dostępu oraz reguł blokowania konta dostępu w przypadku użycia błędnego hasła.

11.3. Proces zarządzania uprawnieniami powinien zostać sformalizowany w procedurach wewnętrznych, określających zasady wnioskowania, przydzielania, modyfikacji i odbierania dostępu do systemów lub ich funkcjonalności, jak również jego monitorowania. Zakres nadawanego dostępu nie powinien wykraczać poza merytoryczny zakres obowiązków i uprawnień użytkownika (w tym również użytkowników zewnętrznych, np. pracowników agencji ubezpieczeniowych) oraz podlegać okresowej kontroli.

11.4. Towarzystwo powinno przeprowadzać regularne przeglądy nadanych uprawnień, obejmujące zgodność uprawnień faktycznie nadanych w systemach informatycznych zarówno z uprawnieniami przypisanymi w rejestrach uprawnień, jak i z merytorycznym zakresem obowiązków i uprawnień poszczególnych użytkowników. Częstotliwość wykonywania tych przeglądów powinna wynikać z analizy poziomu ryzyka związanego z poszczególnymi stanowiskami lub grupami stanowisk i systemami informatycznymi, przy czym nie powinna być ona niższa niż roczna. Przeglądy uprawnień powinny być dokonywane w odpowiednim zakresie również w przypadku zmian funkcjonalności systemów informatycznych oraz zmian zakresów obowiązków pracowników. Wykryte w ramach powyższych przeglądów istotne nieprawidłowości oraz podjęte w związku z nimi działania powinny być raportowane w ramach systemu informacji zarządczej 49 .

11.5. W celu zwiększenia efektywności zarządzania i nadzoru nad uprawnieniami oraz ograniczenia ryzyka nadania nieadekwatnych praw dostępu, towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz liczbę jego użytkowników) i na tej podstawie podjąć odpowiednią decyzję dotyczącą:

- opracowania standardowych profili dostępu dla określonych grup pracowników lub stanowisk pracy,

- zastosowania narzędzi automatyzujących proces zarządzania uprawnieniami użytkowników (w szczególności rejestrowania uprawnień historycznych).

11.6. Towarzystwo w miarę możliwości powinno ograniczać użytkownikom dostęp do funkcji pozwalających na samodzielne zwiększenie własnych uprawnień. W sytuacjach, gdy powyższa zasada nie może być przestrzegana (np. w przypadku administratorów systemów informatycznych) należy zapewnić inne mechanizmy kontrolne w tym zakresie.

11.7. W przypadku systemów, których nieuprawnione użycie może skutkować szczególnie wysokimi stratami, towarzystwo powinno przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą połączenia haseł dostępu z innymi mechanizmami weryfikacji tożsamości użytkownika (np. tokeny, elektroniczne karty identyfikacyjne, metody biometryczne itp.).

11.8. Wszyscy użytkownicy systemów informatycznych towarzystwa powinni być informowani o odpowiedzialności za zapewnienie poufności haseł oraz za skutki działań wykonanych z wykorzystaniem ich kont.

11.9. Obowiązujące w towarzystwie zasady zarządzania uprawnieniami powinny w szczególności uwzględniać zagrożenia związane z nieprawidłowym wykorzystaniem uprawnień użytkowników uprzywilejowanych. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wprowadzenia mechanizmów zapewniających każdorazową rejestrację oraz możliwość monitorowania dostępu z poziomu uprawnień uprzywilejowanych do najbardziej wrażliwych komponentów środowiska teleinformatycznego.

11.10. Systemy informatyczne przetwarzające dane o wysokiej istotności dla towarzystwa 50 powinny posiadać mechanizmy pozwalające na automatyczną rejestrację zachodzących w nich zdarzeń w taki sposób, aby zapisy tych rejestrów mogły - w przypadku wystąpienia takiej konieczności - stanowić wiarygodne dowody niewłaściwego lub niezgodnego z zakresem zadań użytkowników korzystania z tych systemów. Mechanizmy rejestracji zdarzeń powinny również uniemożliwiać nieuprawnione usuwanie lub modyfikowanie zapisów.

11.11. Towarzystwo powinno posiadać sformalizowane zasady zarządzania kluczami kryptograficznymi, obejmujące w szczególności ich tworzenie, przechowywanie, dystrybucję, niszczenie oraz archiwizację, zapewniające ochronę kluczy przed nieuprawnioną modyfikacją i ujawnieniem.

11.13. W pomieszczeniach, w których ulokowane są kluczowe elementy infrastruktury teleinformatycznej, poza sytuacjami wyjątkowymi nie powinno się zezwalać przebywającym tam osobom na fotografowanie, nagrywanie audio/video itp. Zezwolenia przewidujące wyjątki w tym zakresie powinny być udzielane przez odpowiednio upoważnione osoby oraz rejestrowane.

15.2. Opracowując plany ciągłości działania zapewniające ciągłe i niezakłócone działanie towarzystwo powinno ustalić w szczególności:

- w jakich sytuacjach i w jakim trybie podejmowana będzie decyzja o aktywacji planu awaryjnego?

- jak będą podejmowane decyzje w sytuacji kryzysowej?

- które procesy biznesowe są krytyczne, ile czasu maksymalnie może trwać ich przywrócenie i jakich zasobów będzie to wymagało?

- jakie są najistotniejsze zagrożenia dla krytycznych procesów biznesowych i jaki może być ich wpływ na funkcjonowanie tych procesów?

- jak będą realizowane krytyczne procesy biznesowe w sytuacji, gdy towarzystwo będzie miało do dyspozycji ograniczone zasoby?

- jak i kiedy zostaną przywrócone dane i zasoby?

- jak zapewnić odpowiednią jakość danych, w szczególności ich spójność, kompletność i aktualność?

- ile czasu towarzystwo może prowadzić działalność w ośrodku zapasowym?

- ile czasu potrwa zorganizowanie niezbędnej przestrzeni biurowej?

- ile czasu potrwa dostarczenie niezbędnego wyposażenia i gdzie powinno ono zostać dostarczone?

15.3. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności stopień narażenia na ryzyko w zakresie bezpieczeństwa środowiska teleinformatycznego oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wyznaczenia lub wskazania 55 stałego komitetu właściwego do spraw ciągłości działania, którego zadaniem powinien być w szczególności nadzór nad zapewnieniem dostępności niezbędnych zasobów pozwalających na kontynuowanie lub odtworzenie działalności. Pracami komitetu powinien kierować posiadający odpowiednie kwalifikacje członek zarządu towarzystwa lub wyznaczony przez zarząd towarzystwa pełnomocnik.

15.4. Ponieważ odtworzenie działania środowiska teleinformatycznego jest zwykle niezbędne dla wznowienia funkcjonowania procesów biznesowych, towarzystwo powinno poświęcić szczególną uwagę zarządzaniu ciągłością działania w zakresie jednostek odpowiedzialnych za obszar technologii informacyjnej.

15.5. Towarzystwo powinno zidentyfikować krytyczne procesy biznesowe, w przypadku których szybkie odzyskanie sprawności działania może mieć istotne znaczenie z punktu widzenia towarzystwa, w szczególności te, w przypadku których występuje zależność od źródeł zewnętrznych lub osób trzecich. Dla takich procesów towarzystwo powinno określić alternatywne mechanizmy sprawnego funkcjonowania lub wznowienia działania w przypadku awarii.

15.6. Dokumentacja systemu zarządzania ciągłością działania towarzystwa w zakresie środowiska teleinformatycznego (w szczególności procedur replikacji danych, tworzenia kopii zapasowych i procedur odtworzeniowych) powinna uwzględniać klasyfikację systemów informatycznych oraz przetwarzanych w nich informacji 56 , jak również zależności pomiędzy tymi systemami. Aktualność tej dokumentacji powinna być regularnie weryfikowana.

15.7. Towarzystwo powinno posiadać efektywny system dystrybucji dokumentacji systemu zarządzania ciągłością działania w zakresie środowiska teleinformatycznego, zapewniający zarówno jej poufność, jak i dostępność dla odpowiednich osób.

15.8. W ramach podejścia do zarządzania ciągłością działania towarzystwo powinno uwzględniać zależności od zewnętrznych dostawców usług, których znaczenie jest kluczowe z perspektywy ciągłości działania towarzystwa. W szczególności towarzystwo powinno:

- określić tryb komunikacji i współpracy z usługodawcą w przypadku wystąpienia sytuacji awaryjnej,

- uwzględnić udział usługodawców zewnętrznych w procesie testowania systemu zarządzania ciągłością działania 57 ,

- opracować zasady związane z wystąpieniem konieczności zmiany usługodawcy w trakcie sytuacji awaryjnej,

- weryfikować lub co najmniej pozyskać od dostawcy zapewnienie spełnienia wymagań na dostępność świadczonych towarzystwu usług.

- parametrów określających maksymalny czas, niezbędny do odtworzenia funkcjonowania tych procesów 58 ,

- parametrów określających, jak wiele (tj. za jaki okres) maksymalnie danych przechowywanych w systemach informatycznych może zostać utraconych 59 .

15.10. W przypadku wystąpienia sytuacji rozległej awarii lub niedostępności podstawowego ośrodka przetwarzania danych, towarzystwo powinno posiadać możliwość odtworzenia środowiska teleinformatycznego (adekwatnego do założeń planów awaryjnych) w lokalizacji zapasowej. Lokalizacja ta powinna być odpowiednio odległa od ośrodka podstawowego, w celu minimalizacji ryzyka związanego z niedostępnością obu ośrodków w wyniku zajścia pojedynczej przyczyny (np. powodzi). Proces odtwarzania środowiska powinien zostać sformalizowany w szczegółowych regulacjach wewnętrznych, określających zakresy kompetencji, niezbędne zasoby oraz kolejność i sposób odtwarzania komponentów środowiska teleinformatycznego.

15.11. Charakter funkcjonowania ośrodka zapasowego powinien być dostosowany do skali i specyfiki prowadzonej działalności operacyjnej oraz uwzględniać maksymalny akceptowany przez towarzystwo czas niedostępności usług.

15.12. Warunkiem funkcjonowania środowiska teleinformatycznego, zgodnego z wymaganiami ciągłości działania jest zapewnienie bezpieczeństwa fizycznego i środowiskowego w lokalizacjach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, w szczególności w zakresie warunków związanych z ciągłością zasilania elektrycznego oraz stabilnością jego parametrów, temperaturą, wilgotnością i poziomem zapylenia, jak również kluczowe elementy instalacji zabezpieczających przed zalaniem, pożarem, włamaniem i kradzieżą lub celowym uszkodzeniem. W związku z tym, towarzystwo powinno identyfikować zagrożenia w powyższym zakresie oraz analizować ich potencjalny wpływ na bezpieczeństwo środowiska teleinformatycznego i ciągłość działania (w szczególności w przypadku, gdy zasoby ośrodka zapasowego nie pozwalają na szybkie wznowienie działalności). Analiza ta powinna umożliwić określenie, czy lokalizacja pomieszczeń, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej jest odpowiednia oraz czy są one adekwatnie zabezpieczone.

15.13. Przeprowadzając powyższą analizę towarzystwo powinno w szczególności uwzględnić zagrożenia związane z:

- lokalizacją i sąsiedztwem budynku (w tym znajdującymi się w jego okolicy lotniskami, obiektami wojskowymi itp.),

- lokalizacją i sąsiedztwem pomieszczeń, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej (w szczególności zagrożenia związane z ulokowaniem tych pomieszczeń w piwnicach lub na poddaszach),

- uwarunkowaniami konstrukcyjnymi (np. wytrzymałością stropów, szczelnością pomieszczeń, jakością instalacji odgromowej).

15.14. W celu zapewnienia właściwych warunków fizycznych i środowiskowych w lokalizacjach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, towarzystwo powinno w szczególności przestrzegać następujących zasad:

- drzwi, okna, ściany i stropy w pomieszczeniach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, powinny zapewniać właściwą odporność mechaniczną, przeciwpożarową i przeciwwłamaniową,

- w pomieszczeniach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, nie powinno się umieszczać materiałów łatwopalnych lub - w przypadku takiej konieczności - odpowiednio je zabezpieczać (np. w szafach gwarantujących ochronę przeciwpożarową),

- stosowane czynniki gaszące powinny minimalizować ryzyko uszkodzenia urządzeń elektronicznych i zapisanych w nich danych,

- systemy zabezpieczeń antywłamaniowych i przeciwpożarowych powinny zapewniać niezwłoczne powiadomienie osób odpowiedzialnych za ochronę oraz wszczęcie akcji gaśniczej i ratunkowej, przy czym towarzystwo powinno przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą uzupełnienia systemu ochrony przeciwpożarowej o urządzenia automatycznego gaszenia,

- w pomieszczeniach, w których ulokowane są komponenty infrastruktury teleinformatycznej, należy zapewnić utrzymywanie parametrów środowiskowych (np. temperatury, wilgotności, zapylenia itp.) na poziomie określonym przez producentów tych komponentów, zaś stosowane przez towarzystwo urządzenia kontrolujące te parametry powinny charakteryzować się właściwą wydajnością oraz redundancją (na wypadek awarii) towarzystwo powinno przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania rozwiązań zapewniających automatyczne monitorowanie i regulację parametrów środowiskowych,

- dobór mechanizmów zapewniających ciągłość zasilania elektrycznego powinien uwzględniać skalę i specyfikę działalności towarzystwa. Zasilanie awaryjne w oparciu o zasilacze bateryjne (UPS) pozwala na podtrzymywanie pracy zasobów przez ograniczony czas i z reguły w ograniczonym zakresie, dlatego towarzystwo powinno przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą zapewnienia niezależnego zasilania elektrycznego w oparciu o generator prądotwórczy, w miarę możliwości uruchamiany automatycznie w przypadku zaniku zasilania podstawowego, jak również stosowanie zwielokrotnionych linii elektrycznych.

15.15. W przypadku czasowego przeniesienia sprzętu teleinformatycznego do innego pomieszczenia (np. w związku z remontem) towarzystwo powinno zapewnić w tym pomieszczeniu odpowiednie warunki fizyczne i środowiskowe oraz właściwy poziom kontroli dostępu 60 .

15.16. Skuteczność funkcjonowania mechanizmów mających na celu zapewnienie właściwych warunków fizycznych i środowiskowych w lokalizacjach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, powinna podlegać okresowej weryfikacji.

- zakres, sposób i częstotliwość kopiowania danych,

- sposoby identyfikacji nośników,

- miejsce, okres i sposób bezpiecznego przechowywania nośników,

- sposób i formę autoryzacji zmian na nośnikach i usuwania danych,

- role i zakresy odpowiedzialności w zakresie zarządzania nośnikami,

- sposoby właściwej i trwałej likwidacji niepotrzebnych danych (w zakresie zarówno likwidacji danych zapisanych na nadal eksploatowanych nośnikach, jak i likwidacji nośników wycofywanych z eksploatacji).

15.18. Towarzystwo powinno zwrócić szczególną uwagę na tworzenie kopii awaryjnych oraz umiejętność odzyskiwania danych elektronicznych (w tym z kopii awaryjnych) i przechowywanych w innej postaci, niezbędnych dla ponownego rozpoczęcia działalności.

15.19. Poprawność wykonywania kopii awaryjnych oraz możliwość odtworzenia z nich danych powinny podlegać okresowej kontroli. Kontrola taka może być wykonywana automatycznie, przy czym w takim przypadku należy zapewnić, aby odpowiednie osoby były informowane o jej wynikach.

15.20. Towarzystwo powinno posiadać szczegółowe regulacje i instrukcje odtwarzania komponentów środowiska teleinformatycznego na podstawie kopii awaryjnych. Dokumenty te powinny być napisane w taki sposób, aby możliwe było przeprowadzenie tego procesu przez posiadające odpowiednie kwalifikacje i uprawnienia osoby trzecie (tj. takie, które na bieżąco nie zajmują się administracją danym komponentem środowiska). Proces odtwarzania komponentów środowiska teleinformatycznego powinien być systematycznie testowany.

15.21. Towarzystwo powinno zapewnić integralność kopii awaryjnych od momentu ich utworzenia aż do momentu ich likwidacji. Oznacza to, że przez cały ten okres powinny one odzwierciedlać faktyczny stan zasobów na moment utworzenia kopii, co wyklucza możliwość usuwania z nich jakichkolwiek danych. Regulacje i instrukcje w zakresie odtwarzania danych z kopii awaryjnych powinny uwzględniać zasady dotyczące wprowadzania w odtworzonych danych zmian powstałych pomiędzy utworzeniem danej kopii awaryjnej (lub ich sekwencji) a użyciem jej do odtworzenia stanu środowiska teleinformatycznego sprzed awarii.

15.22. Kopie, zwłaszcza transportowane lub transmitowane poza towarzystwo, powinny podlegać zabezpieczeniu (np. kryptograficznemu) przed nieuprawnionym dostępem, na poziomie adekwatnym do klasyfikacji przechowywanych na nich danych 61 . Nośniki zawierające kopie powinny być przechowywane w sposób minimalizujący ryzyko ich uszkodzenia (np. w wyniku pożaru, zalania, wpływu pola magnetycznego) lub nieuprawnionej modyfikacji. Powinny być one również składowane oddzielnie od komponentów środowiska, których dotyczą.

15.23. Nośniki uszkodzone lub wycofane z użycia powinny podlegać zniszczeniu w sposób uniemożliwiający odtworzenie danych.

15.25. Częstotliwość, zakres oraz sposób przeprowadzania testów (taki jak np. symulacje, całościowe testy operacyjne itp.) powinny uwzględniać skalę i specyfikę działalności towarzystwa, zagrożenia związane z poszczególnymi komponentami środowiska teleinformatycznego, w szczególności należy oceniać, czy testy odpowiadają zmianom zachodzącym w działalności towarzystwa oraz jego otoczeniu. Testy takie powinny być przeprowadzane również w przypadku wprowadzenia istotnych zmian w przebiegu procesów kluczowych. Testując plany awaryjne i plany ciągłości działania należy uwzględnić przygotowane wcześniej scenariusze zakładające jednoczesne zajście jednego lub kilku zdarzeń operacyjnych. W testach planów awaryjnych oraz planów ciągłości działania powinny brać udział wszystkie komórki organizacyjne towarzystwa niezbędne do realizacji danego planu.

15.26. Pracownicy towarzystwa powinni być świadomi i przeszkoleni w zakresie tych planów w celu sprawnego ich zastosowania w sytuacji awaryjnej. Testy planów ciągłości działania i planów awaryjnych należy w miarę możliwości przeprowadzać przy współudziale kluczowych dostawców. Plany testów, zwłaszcza w przypadku, kiedy mogą mieć one wpływ na bieżącą działalność towarzystwa, powinny być konsultowane w organizacji i zatwierdzane przez zarząd towarzystwa.

15.27. Wyniki testów oraz plany działań naprawczych, które należy podjąć w celu usunięcia zidentyfikowanych nieprawidłowości, powinny być dokumentowane. Rada nadzorcza i kierownictwo towarzystwa powinno być informowane o wynikach testów oraz terminowości i skuteczności podejmowanych działań naprawczych.

16.2. Wybór stosowanych przez towarzystwo metod potwierdzania tożsamości klientów korzystających z elektronicznych kanałów dostępu powinien być dokonywany w oparciu o analizę ryzyka związanego z tymi kanałami. Analiza ta powinna być przeprowadzana systematycznie i uwzględniać możliwości operacyjne oferowane przez dany kanał dostępu, przetwarzane w nim dane, rozpoznane techniki ataków, a jednocześnie łatwość korzystania przez klienta z poszczególnych metod potwierdzania tożsamości. Towarzystwo powinno także przeanalizować, czy i w jakim stopniu zastosowanie wieloczynnikowej weryfikacji tożsamości przyczyni się do zwiększenia poziomu bezpieczeństwa klientów.

16.3. Towarzystwo powinno przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania innych mechanizmów zabezpieczających, takich jak np. weryfikacja miejsca i czasu logowania do elektronicznego kanału dostępu w przypadku usług świadczonych dla przedsiębiorstw.

- posiada zasady nadawania uprawnień do elektronicznych kanałów dostępu oraz system wykrywania przypadków manipulowania operacjami lub danymi minimalizujące ryzyko wystąpienia przypadków oszustw wewnętrznych,

- sesje połączeniowe do elektronicznych kanałów dostępu są szyfrowane oraz wprowadzone są dodatkowe mechanizmy, które w możliwie największym stopniu uodparniają te sesje na manipulacje (np. poprzez zamykanie sesji w przypadku braku aktywności użytkownika przez określony czas lub po zamknięciu aplikacji klienckiej bez wylogowania),

- systemy informatyczne wykorzystywane w zakresie elektronicznych kanałów dostępu umożliwiają zidentyfikowanie i zabezpieczenie dowodów, które mogą zostać wykorzystane w ewentualnym postępowaniu sądowym lub wyjaśniającym (w szczególności zminimalizowane jest ryzyko utraty takich dowodów lub ich odrzucenia ze względu na niewłaściwe zabezpieczenie danych),

- systemy informatyczne wykorzystywane w zakresie elektronicznych kanałów dostępu są zaprojektowane w sposób minimalizujący prawdopodobieństwo przypadkowego zainicjowania operacji przez upoważnionych użytkowników,

- rozwiązania wykorzystywane w zakresie elektronicznych kanałów dostępu zapewniają towarzystwu dostęp do ścieżek audytu, w szczególności obejmujących:

* korzystanie przez klientów z usług świadczonych przez towarzystwo z wykorzystaniem elektronicznych kanałów dostępu, w szczególności wykonywanie operacji np. na rachunku jednostek w przypadku umów ubezpieczenia z ubezpieczeniowym funduszem kapitałowym,

* zmianę danych klienta,

* wszelkie udzielone klientowi limity i upoważnienia do ich przekroczenia wynikające z zawartej umowy ubezpieczenia,

* udane i nieudane próby zalogowania do systemów,

* wszelkie przypadki udzielenia, modyfikacji lub cofnięcia uprawnień dostępu do systemów.

16.5. W przypadku, gdy w procesie świadczenia usług za pośrednictwem elektronicznych kanałów dostępu uczestniczą usługodawcy zewnętrzni, towarzystwo powinno upewnić się, że posiadają oni właściwe programy zarządzania bezpieczeństwem informacji przetwarzanych na rzecz towarzystwa, zgodne z przyjętymi w towarzystwie standardami 62 .

16.6. O ile obowiązujące przepisy prawa nie dopuszczają w danym przypadku niezawarcia umowy z klientem wykorzystującym elektroniczne kanały dostępu, umowa taka powinna określać zasady ochrony informacji i szczegółowe warunki dostępu (zwłaszcza metody weryfikacji tożsamości).

16.7. Towarzystwo powinno udostępniać klientom kanał komunikacji (np. skrzynkę e-mail, numer telefonu) umożliwiający informowanie towarzystwa o zidentyfikowanych przez klientów zdarzeniach dotyczących bezpieczeństwa elektronicznych kanałów dostępu (np. o atakach opartych o technikę phishing).

16.9. Towarzystwo powinno informować klientów o zagrożeniach związanych w szczególności z:

- nieodpowiednim zabezpieczeniem danych wykorzystywanych do logowania do elektronicznych kanałów dostępu,

- nieodpowiednim zabezpieczeniem urządzeń wykorzystywanych do realizacji usług świadczonych za pośrednictwem elektronicznych kanałów dostępu (telefonów komórkowych, komputerów), w tym o istotności stosowania oprogramowania antywirusowego i zapór sieciowych, kontroli fizycznego dostępu, regularnej aktualizacji oprogramowania itp.,

- innymi technikami mającymi na celu przechwycenie informacji umożliwiających dostęp do konta dostępu (np. poprzez ataki oparte o technikę phishing), wraz ze wskazaniem sposobów zabezpieczania się przed takimi technikami.

18.6. Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego powinna być dokonywana systematycznie i opierać się na:

- identyfikacji ryzyka związanego z potencjalnym naruszeniem bezpieczeństwa środowiska teleinformatycznego przed zmaterializowaniem się danych zagrożeń,

- identyfikacji ryzyka związanego z naruszeniami bezpieczeństwa środowiska teleinformatycznego po zmaterializowaniu się zagrożeń.

18.7. Identyfikując ryzyko związane z potencjalnym naruszeniem bezpieczeństwa środowiska teleinformatycznego przed zmaterializowaniem się danych zagrożeń, szczególną uwagę towarzystwo powinno poświęcić identyfikacji istniejących podatności środowiska teleinformatycznego (w tym komponentów infrastruktury teleinformatycznej) oraz zagrożeń, które mogą je wykorzystać. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego i stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wykorzystania automatycznych narzędzi pozwalających na identyfikację istniejących podatności. Niezależnie od okresowej oceny, identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego powinna być przeprowadzana każdorazowo w przypadku planowania istotnych zmian, zarówno w samych systemach informatycznych 64 , jak i w ich wykorzystaniu, a także w przypadku planów wdrożenia nowych rozwiązań i technologii.

18.8. Identyfikując ryzyko związane z naruszeniami bezpieczeństwa środowiska teleinformatycznego po zmaterializowaniu się zagrożeń, towarzystwo powinno gromadzić informacje o zaistniałych w prowadzonej działalności zdarzeniach mających wpływ na bezpieczeństwo przetwarzanych w towarzystwie informacji oraz - w przypadku zgodności z przyjętą w towarzystwie definicją zdarzenia operacyjnego - uwzględniać je w bazie zdarzeń operacyjnych.

18.9. Zaleca się nawiązanie stałej współpracy z innymi towarzystwami (w szczególności z wykorzystaniem systemów wymiany informacji pomiędzy towarzystwami) w zakresie wymiany informacji o zidentyfikowanych zagrożeniach oraz wniosków i doświadczeń wynikających z analizy zidentyfikowanych przypadków naruszeń bezpieczeństwa środowiska teleinformatycznego. Towarzystwo wchodzące w skład ubezpieczeniowej grupy kapitałowej powinno w szczególności dokonywać wymiany informacji w powyższym zakresie z innymi podmiotami tej grupy, jak również powinno gromadzić i przekazywać tym podmiotom informacje na temat narzędzi wykorzystywanych do identyfikowania, pomiaru, monitorowania, zarządzania i raportowania wszystkich czynników ryzyka powodujących naruszenie bezpieczeństwa środowiska teleinformatycznego, na które narażona jest ta grupa kapitałowa, biorąc przy tym pod uwagę interesy wszystkich podmiotów należących do grupy kapitałowej oraz uwzględniając sposób, w jaki interesy te przyczyniają się do realizacji wspólnego celu grupy, rozumianej jako całość, w perspektywie długoterminowej. Sposób oraz zakres wymienianych informacji powinny zapewniać ich poufność, w szczególności dochowanie tajemnicy ubezpieczeniowej.

18.11. Działania w zakresie mierzenia ryzyka powinny być realizowane z uwzględnieniem klasyfikacji informacji i systemów informatycznych 65 . Badanie wpływu zidentyfikowanych zagrożeń powinno obejmować również elementy powiązane z komponentem, dla którego zidentyfikowano dane zagrożenie. W wyniku przeprowadzenia pomiaru ryzyka towarzystwo powinno uzyskać wiedzę na temat występujących w jego działalności zagrożeń związanych z bezpieczeństwem środowiska teleinformatycznego, prawdopodobieństwa wystąpienia zidentyfikowanych zagrożeń oraz możliwych skutków zmaterializowania się tych zagrożeń, z uwzględnieniem potencjalnej utraty reputacji, która może prowadzić do spadku zaufania klientów i zakończenia przez nich współpracy (np. rezygnacja z umowy ubezpieczenia) z towarzystwem, co w szczególności może mieć wpływ na sytuację płynnościową towarzystwa. Wiedza ta powinna pozwolić na podjęcie właściwych decyzji w zakresie monitorowania i zarządzania ryzykiem.

- ograniczaniu ryzyka, tj. wprowadzaniu i modyfikacji istniejących organizacyjnych i technicznych mechanizmów kontrolnych w zakresie bezpieczeństwa środowiska teleinformatycznego,

- transferze ryzyka, tj. przeniesieniu części lub całości ryzyka związanego z danym zagrożeniem na podmiot zewnętrzny 66 , w szczególności poprzez zlecanie wykonywania czynności zewnętrznym dostawcom usług 67 lub stosowanie ubezpieczeń,

- unikaniu ryzyka, tj. niepodejmowaniu działań, z którymi wiąże się dane zagrożenie,

- akceptacji ryzyka, tj. świadomym niepodejmowaniu działań mających na celu ograniczenie prawdopodobieństwa lub skutków zmaterializowania się danego zagrożenia, wraz z ewentualnym zapewnieniem środków na pokrycie potencjalnie związanych z nim strat.

18.13. Stosowane mechanizmy kontrolne powinny być adekwatne w szczególności do:

- zidentyfikowanych zagrożeń, oszacowanego ryzyka wynikającego z tych zagrożeń oraz istotności związanych z nimi komponentów środowiska teleinformatycznego, w szczególności systemów informatycznych 68 ,

- skali i specyfiki działalności towarzystwa,

- złożoności środowiska teleinformatycznego.

18.14. Towarzystwo powinno zapewnić, aby wszystkie wyjątki od obowiązujących w towarzystwie regulacji oraz stosowanych mechanizmów kontrolnych dotyczących bezpieczeństwa środowiska teleinformatycznego były ewidencjonowane i kontrolowane zgodnie ze sformalizowaną procedurą, określającą m.in. sytuacje, w jakich dopuszcza się udzielenie zgody na odstępstwo, zasady składania i akceptacji wniosku o udzielenie takiej zgody (z zapewnieniem, że wniosek zawiera uzasadnienie potrzeby zastosowania wyjątku), osoby upoważnione do udzielenia zgody, akceptowalny czas obowiązywania odstępstw oraz zasady raportowania w tym zakresie. Towarzystwo powinno również systematycznie analizować ryzyko związane z ww. odstępstwami.

18.15. Towarzystwo powinno regularnie weryfikować, czy przyjęte mechanizmy kontrolne dotyczące bezpieczeństwa środowiska teleinformatycznego są adekwatne do jego profilu ryzyka i skali jego działalności, a sposób ich funkcjonowania jest prawidłowy. W przypadku zaistnienia takiej konieczności (np. w przypadku stwierdzenia, że zasoby wewnętrzne towarzystwa nie są wystarczające w danym zakresie), towarzystwo powinno wykorzystać w tym celu zewnętrznych specjalistów, mając jednak na uwadze konieczność zachowania przez nich poufności informacji pozyskanych w związku z wykonywaną kontrolą.

18.16. Kontrola ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego powinna być sprawowana adekwatnie do poziomu tego ryzyka niezależnie od tego, czy związane jest ono z przetwarzaniem danych klientów towarzystwa, (lub prowadzeniem innych operacji w ramach działalności ubezpieczeniowej lub reasekuracyjnej), czy też z przetwarzaniem danych dla zewnętrznych podmiotów.

19.2. Informacje powinny być klasyfikowane pod kątem wymaganego poziomu bezpieczeństwa z uwzględnieniem w szczególności:

- znaczenia tych informacji dla towarzystwa i realizowanych w nim procesów,

- znaczenia tych informacji z perspektywy zarządzania rodzajami ryzyka, które zostały zidentyfikowane jako istotne w prowadzonej przez towarzystwo działalności,

- skutków utraty lub nieuprawnionej zmiany danej informacji,

- skutków nieuprawnionego ujawnienia danej informacji,

- szczególnych wymagań regulacyjnych i prawnych dotyczących danego rodzaju informacji 70 .

19.3. Klasyfikacja każdej informacji powinna być uwzględniana w ramach określania mechanizmów zabezpieczających te informacje w całym cyklu ich przetwarzania - od pozyskania, poprzez wykorzystanie, ewentualne przekazywanie poza towarzystwo, aż do momentu archiwizacji oraz usunięcia.

19.4. Dostęp do informacji o wysokim stopniu poufności powinien być udzielany jedynie osobom, w odniesieniu do których towarzystwo stwierdzi, w świetle obowiązujących przepisów prawa, dopuszczalność udzielenia dostępu do takich informacji. Ponadto, każda osoba, której towarzystwo udziela dostępu do informacji o wysokim stopniu poufności, powinna zostać zobligowana do podpisania zobowiązania w zakresie zachowania ich poufności (również przez odpowiedni czas po ustaniu tego dostępu), przy czym zasada ta nie znajduje zastosowania w przypadkach, gdy powszechnie obowiązujące przepisy prawa nakładają obowiązek udzielenia takiego dostępu.

19.5. Przechowywanie informacji o istotnym znaczeniu dla towarzystwa na komputerach stacjonarnych, komputerach przenośnych lub urządzeniach mobilnych powinno być ograniczone do niezbędnego minimum i chronione adekwatnie do klasyfikacji tych informacji (np. poprzez szyfrowanie, mechanizmy kontroli dostępu, mechanizmy zapewniające możliwość odzyskiwania danych).

19.6. Towarzystwo powinno przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wykorzystania rozwiązań automatyzujących działania w zakresie kontroli ryzyka związanego z bezpieczeństwem informacji przetwarzanych w środowisku teleinformatycznym, takich jak np. rozwiązania ograniczające użytkownikom systemów informatycznych możliwość zapisu informacji na przenośnych nośnikach danych, umożliwiające sprawowanie kontroli nad informacjami przesyłanymi za pośrednictwem poczty elektronicznej oraz ograniczające dostęp do innych niż przyjęte w towarzystwie systemów poczty elektronicznej. Należy jednak pamiętać, że wykorzystanie tego rodzaju automatycznych rozwiązań nie zwalnia towarzystwa z konieczności sprawowania przez pracowników nadzoru nad tym obszarem.

- znaczenie danego systemu dla działalności towarzystwa,

- klasyfikację informacji przetwarzanych w obrębie danego systemu,

- istotność innych systemów informatycznych, których funkcjonowanie zależy od danego systemu.