Wydanie "Wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego".

Rada nadzorcza podmiotu infrastruktury rynku kapitałowego powinna nadzorować funkcjonowanie obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, natomiast zarząd podmiotu infrastruktury rynku kapitałowego powinien zapewnić, aby powyższe obszary zarządzane były w sposób poprawny i efektywny.

1. Szczególną uwagę rada nadzorcza i zarząd powinni poświęcić:

* zarządzaniu bezpieczeństwem środowiska teleinformatycznego 2 oraz ciągłością działania 3 ,

* procesowi tworzenia i aktualizacji strategii w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 4 ,

* zarządzaniu elektronicznymi kanałami dostępu 5 ,

* współpracy z zewnętrznymi dostawcami usług w zakresie środowiska teleinformatycznego i jego bezpieczeństwa 6 ,

* zapewnieniu adekwatnej struktury organizacyjnej oraz zasobów kadrowych w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 7 ,

* zarządzaniu jakością danych o kluczowym znaczeniu dla podmiotu infrastruktury rynku kapitałowego 8 .

2. W celu zwiększenia skuteczności nadzoru i kontroli nad obszarem bezpieczeństwa środowiska teleinformatycznego, jak również zapewnienia efektywnej komunikacji w tym obszarze i zgodności jego działań z celami i potrzebami instytucji, podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wyznaczenia lub wskazania 9 (zgodnie z zasadą proporcjonalności) osoby w kierownictwie podmiotu infrastruktury rynku kapitałowego lub zespołu właściwego do spraw obszaru bezpieczeństwa środowiska teleinformatycznego. Pracami zespołu powinien kierować posiadający odpowiednie kwalifikacje członek zarządu podmiotu infrastruktury rynku kapitałowego lub wyznaczony przez zarząd podmiotu infrastruktury rynku kapitałowego pracownik kierownictwa.

W podmiocie infrastruktury rynku kapitałowego powinien funkcjonować sformalizowany system informacji zarządczej w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zapewniający każdemu z odbiorców informacji właściwy poziom wiedzy o tych obszarach.

1. Opracowując system informacji zarządczej w zakresie technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, podmiot infrastruktury rynku kapitałowego powinien:

* zidentyfikować zagadnienia w obszarach technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, które powinny być objęte systemem informacji zarządczej, z uwzględnieniem związanego z nimi ryzyka i innych specyficznych uwarunkowań,

* określić sposób i zasady udostępniania i pozyskiwania informacji dotyczących ww. zagadnień (w tym również wskazać źródła, z których możliwe jest automatyczne pozyskiwanie tych informacji) oraz wskazać odpowiedzialność w tym zakresie,

* określić adekwatny zakres i częstotliwość raportowania,

* określić osoby lub funkcje, które powinny być odbiorcami informacji,

* zapewnić, aby informacje przekazywane każdemu z odbiorców były czytelne, rzetelne, dokładne, aktualne, miały odpowiedni zakres oraz były dostarczane terminowo i z właściwą częstotliwością.

Podmiot infrastruktury rynku kapitałowego powinien opracować i wdrożyć strategię w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zgodną ze strategią działania podmiotu infrastruktury rynku kapitałowego.

1. Podstawową funkcją obszaru technologii informacyjnej w podmiocie infrastruktury rynku kapitałowego jest zapewnienie wsparcia dla działalności instytucji przez jej środowisko teleinformatyczne, zaś obszaru bezpieczeństwa środowiska teleinformatycznego - zapewnienie, że ryzyko związane z bezpieczeństwem tego środowiska jest odpowiednio zarządzane. W związku z tym, punktem wyjścia dla opracowania strategii 10 w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego powinna być strategia działania podmiotu infrastruktury rynku kapitałowego.

2. W celu zapewnienia, że strategia w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego jest realistyczna, a jednocześnie zgodna z aktualnymi i przyszłymi (przewidywanymi) uwarunkowaniami i oczekiwaniami biznesowymi, podmiot infrastruktury rynku kapitałowego powinien dysponować niezbędną wiedzą o środowisku teleinformatycznym, pozwalającą na ujęcie wzajemnych zależności pomiędzy poszczególnymi jego komponentami i przetwarzanymi w nim danymi oraz uwarunkowaniami, celami i potrzebami biznesowymi. W zakresie realizacji powyższej strategii podmiot infrastruktury rynku kapitałowego powinien w szczególności określić konkretne i mierzalne cele oraz programy/projekty o zdefiniowanych priorytetach i ramach czasowych (zgodnie z ustalonymi potrzebami). Powinny one obejmować:

* rozwój wykorzystywanego oprogramowania,

* zmiany w zakresie danych przetwarzanych w ramach działalności podmiotu infrastruktury rynku kapitałowego,

* rozwój infrastruktury teleinformatycznej,

* zmiany organizacyjne i procesowe w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, z uwzględnieniem wymagań dotyczących bezpieczeństwa środowiska teleinformatycznego, ryzyka związanego z realizacją tej strategii oraz środków finansowych koniecznych do jej realizacji.

3. Podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby realizacja powyższej strategii była w sposób efektywny nadzorowana, w szczególności poprzez monitorowanie realizacji określonych w niej celów oraz programów/projektów.

4. Podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby powyższa strategia była systematycznie 11 przeglądana i dostosowywana do zmian zachodzących zarówno w samym podmiocie infrastruktury rynku kapitałowego, jak i w jego otoczeniu (zmiany w strategii działania podmiotu infrastruktury rynku kapitałowego, zmiany w profilu ryzyka, zmiany prawne i regulacyjne, czy rozwój technologiczny).

5. Zakres i poziom szczegółowości dokumentacji powyższej strategii powinny być adekwatne do jej złożoności oraz skali i profilu działalności podmiotu infrastruktury rynku kapitałowego.

Podmiot infrastruktury rynku kapitałowego powinien określić zasady współpracy oraz zakresy odpowiedzialności obszaru biznesowego, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, pozwalające na efektywne i bezpieczne wykorzystanie potencjału środowiska teleinformatycznego w działalności podmiotu infrastruktury rynku kapitałowego.

1. Zasady określające tryb współpracy obszarów biznesowych, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz sposób komunikacji tych obszarów, powinny być określone i sformalizowane w sposób adekwatny do skali i profilu działalności podmiotu infrastruktury rynku kapitałowego.

2. Powyższe zasady powinny zapewniać, że:

* tryb podejmowania decyzji oraz zakres zadań i odpowiedzialności w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, są precyzyjnie określone i adekwatne do ustalonej w podmiocie infrastruktury rynku kapitałowego, roli obszaru technologii informacyjnej,

* obszar biznesowy możliwie precyzyjnie określa swoje oczekiwania (w tym ich priorytety) wobec obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności poprzez współuczestnictwo w procesie tworzenia strategii w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego,

* obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego możliwie precyzyjnie informują obszar biznesowy o szacowanych środkach finansowych niezbędnych do spełnienia potrzeb tego obszaru,

* obszar bezpieczeństwa środowiska teleinformatycznego uczestniczy w procesie rozwoju systemów informatycznych oraz w procesie opracowywania i zatwierdzania standardów i mechanizmów kontrolnych, które mają wpływ na poziom bezpieczeństwa środowiska teleinformatycznego,

* obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego uczestniczą w opiniowaniu strategii działania podmiotu infrastruktury rynku kapitałowego, w szczególności w zakresie wskazania ograniczeń i zagrożeń związanych z tą strategią, zidentyfikowanych z perspektywy tych obszarów,

* obszar biznesowy jest regularnie informowany o stanie realizacji istotnych z jego punktu widzenia programów/projektów związanych ze środowiskiem teleinformatycznym.

3. W celu zwiększenia skuteczności nadzoru i kontroli nad obszarem technologii informacyjnej, jak również zapewnienia efektywnej komunikacji w tym obszarze i zgodności jego działań z celami i potrzebami, podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności skalę i specyfikę prowadzonej działalności, poziom złożoności środowiska teleinformatycznego oraz założenia strategiczne dotyczące rozwoju tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wyznaczenia osoby z kierownictwa lub zespołu właściwego do spraw współpracy pomiędzy obszarem biznesowym a obszarem technologii informacyjnej. Pracami zespołu powinien kierować posiadający odpowiednie kwalifikacje członek zarządu podmiotu infrastruktury rynku kapitałowego lub wyznaczony przez zarząd pracownik podmiotu infrastruktury rynku kapitałowego.

4. Jednocześnie, w celu zapewnienia możliwie ścisłej integracji zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego z zarządzaniem całą instytucją, podmiot infrastruktury rynku kapitałowego powinien zapewnić właściwą współpracę pomiędzy jednostkami odpowiedzialnymi za obszar technologii informacyjnej, strategię działania podmiotu infrastruktury rynku kapitałowego, bezpieczeństwo, ciągłość działania, zarządzanie ryzykiem operacyjnym, system nadzoru zgodności działalności z prawem oraz audyt wewnętrzny (z zachowaniem odpowiedniego stopnia niezależności każdej z nich).

Rozwiązania organizacyjne oraz zasoby ludzkie w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego podmiotu infrastruktury rynku kapitałowego powinny być adekwatne do profilu ryzyka i specyfiki działalności oraz pozwalać na efektywną realizację działań w tych obszarach.

Struktura organizacyjna

1. Podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby struktura organizacyjna w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego pozwalała na efektywną realizację celów podmiotu infrastruktury rynku kapitałowego w tych obszarach, odpowiednio do skali i profilu działalności podmiotu infrastruktury rynku kapitałowego oraz stopnia złożoności środowiska teleinformatycznego. Adekwatność tej struktury powinna być systematycznie weryfikowana i - w przypadku wystąpienia takiej potrzeby - dostosowywana do zmian w środowisku wewnętrznym podmiotu infrastruktury rynku kapitałowego i jego otoczeniu.

Podział obowiązków

1. Podmiot infrastruktury rynku kapitałowego powinien precyzyjnie zdefiniować obowiązki i uprawnienia poszczególnych pracowników w zakresie technologii informacyjnej i bezpieczeństwa informacji. Określenie zakresów obowiązków i uprawnień powinno mieć formę pisemną, a podział obowiązków powinien minimalizować ryzyko błędów i nadużyć w procesach i systemach. W tym celu należy zwrócić uwagę na odpowiednią separację obowiązków pracowników, w szczególności oddzielenie:

* funkcji tworzenia lub modyfikowania systemów informatycznych od ich testowania (poza testami realizowanymi przez programistów w ramach wytwarzania oprogramowania), administracji i użytkowania,

* funkcji administrowania danym komponentem środowiska teleinformatycznego od projektowania związanych z nim mechanizmów kontrolnych w zakresie bezpieczeństwa,

* funkcji administrowania danym systemem informatycznym od monitorowania działań jego administratorów,

* funkcji audytu od pozostałych funkcji w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

2. Podmiot infrastruktury rynku kapitałowego powinien wyznaczyć osoby lub funkcje odpowiedzialne za podejmowanie decyzji w zakresie poszczególnych systemów eksploatowanych w podmiocie infrastruktury rynku kapitałowego (często zwanym właścicielem systemów), opartych zarówno na infrastrukturze teleinformatycznej podmiotu infrastruktury rynku kapitałowego, jak i infrastrukturze zapewnianej przez podmioty zewnętrzne. Do obowiązków tych osób lub funkcji powinno należeć, w szczególności:

* zapewnienie prawidłowości działania i bezpieczeństwa systemu pod względem biznesowym (np. poprzez właściwe zdefiniowanie procedur korzystania z systemu, udział w procesie zarządzania ciągłością jego działania, udział w procesie zarządzania uprawnieniami),

* nadzór nad działaniami użytkowników systemu,

* udział w procesie podejmowania decyzji w zakresie rozwoju tych systemów.

W przypadku, gdy dla danego systemu informatycznego określony został więcej niż jeden właściciel, podmiot infrastruktury rynku kapitałowego powinien poświęcić szczególną uwagę precyzyjnemu określeniu podziału ich kompetencji i obowiązków.

3. Zapewnienie bezpieczeństwa informacji przetwarzanych w środowisku teleinformatycznym nie jest wyłącznie domeną komórek odpowiedzialnych za obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, ale w dużej mierze zależy od właściwego postępowania bezpośrednich użytkowników systemów informatycznych i danych. W związku z tym, każdy pracownik podmiotu infrastruktury rynku kapitałowego powinien być świadomy, że jego obowiązkiem jest dbanie o bezpieczeństwo informacji przetwarzanych w środowisku teleinformatycznym. W tym celu podmiot infrastruktury rynku kapitałowego powinien podejmować działania mające na celu tworzenie tzw. kultury bezpieczeństwa informacji, edukowanie pracowników w zakresie bezpieczeństwa środowiska teleinformatycznego 12 oraz uzyskać pisemne zobowiązania do przestrzegania regulacji wewnętrznych dotyczących tego obszaru.

4. Jako uzupełnienie wobec powyższego, pracownicy obszaru bezpieczeństwa środowiska teleinformatycznego powinni w sposób niezależny, aktywnie monitorować realizację czynności przypisanych w tym obszarze jednostkom biznesowym i odpowiedzialnym za obszar technologii informacyjnej (np. w zakresie okresowych przeglądów uprawnień do systemów, bieżącej kontroli w zakresie bezpieczeństwa środowiska teleinformatycznego prowadzonej w jednostkach organizacyjnych, testowania poprawności procesu odtwarzania komponentów środowiska teleinformatycznego na podstawie kopii awaryjnych itp.).

5. W odniesieniu do systemów transakcyjnych, zaleca się zidentyfikowanie zdarzeń i wprowadzenie mechanizmu potwierdzenia wprowadzanych istotnych danych, np. znacznych kwot wpłat lub wypłat środków pieniężnych przez klienta, anulowanie lub korygowanie złożonych zleceń oraz zawartych transakcji.

Zasoby ludzkie

1. Podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby zarówno liczebność, jak poziom wiedzy i kwalifikacji pracowników obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego pozwalały na bezpieczną i poprawną eksploatację całości środowiska teleinformatycznego. W związku z tym, podmiot infrastruktury rynku kapitałowego powinien:

* zapewnić, aby poziom obciążenia pracowników pozwalał na efektywną realizację powierzonych im obowiązków,

* zapewnić pracownikom regularne szkolenia (adekwatnie do specyfiki zajmowanego przez nich stanowiska) 13 , promować zdobywanie wiedzy oraz umożliwiać im wymianę doświadczeń (np. poprzez dostęp do tzw. baz wiedzy, udział w konferencjach i forach branżowych).

2. Podmiot infrastruktury rynku kapitałowego nie powinien wprowadzać do użytku nowych technologii informatycznych bez posiadania wiedzy i kompetencji umożliwiających właściwe zarządzanie związanym z nimi ryzykiem. W związku z tym, podmiot infrastruktury rynku kapitałowego każdorazowo powinien oceniać adekwatność tych kompetencji, zaś w przypadku stwierdzenia, że są one niewystarczające - podjąć działania mające na celu ich uzupełnienie (np. szkolenia pracowników, zatrudnienie nowych pracowników, podjęcie współpracy z zewnętrznymi dostawcami usług itp.).

3. Podmiot infrastruktury rynku kapitałowego powinien przyłożyć szczególną uwagę do doboru pracowników zatrudnianych na stanowiskach dających dostęp do informacji o wysokim stopniu poufności 14 .

4. Podmiot infrastruktury rynku kapitałowego powinien podejmować działania mające na celu minimalizację ryzyka związanego z ewentualnym odejściem z pracy kluczowych pracowników obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego. W szczególności podmiot infrastruktury rynku kapitałowego powinien:

* identyfikować kluczowych pracowników, których odejście wiąże się ze znacznym ryzykiem dla działalności podmiotu infrastruktury rynku kapitałowego,

* zapewnić dostępność aktualnej i precyzyjnej dokumentacji środowiska teleinformatycznego 15 ,

* zapewnić, że czynności przypisane do kluczowych pracowników są okresowo realizowane przez inne osoby (np. w trakcie odpowiednio długich urlopów kluczowych pracowników),

* posiadać opracowane programy sukcesji kluczowych pracowników,

* promować dzielenie się wiedzą między pracownikami,

* objąć informacją zarządczą istotne zdarzenia w zakresie kluczowych pracowników (w szczególności informacje o ich odejściach z pracy lub długotrwałych nieobecnościach) 16 .

Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady prowadzenia projektów w zakresie środowiska teleinformatycznego, adekwatne do skali i specyfiki realizowanych projektów.

1. Zasady prowadzenia projektów w zakresie środowiska teleinformatycznego powinny w szczególności:

* wprowadzać definicję projektu 17 ,

* obejmować wszystkie etapy projektu, od jego inicjacji i podjęcia decyzji o rozpoczęciu do formalnego zamknięcia,

* określać sposób wskazywania interesariuszy projektu,

* określać sposób doboru uczestników projektu i wskazywać ich role, uprawnienia i odpowiedzialności,

* uwzględniać sposób dokumentowania realizacji projektu,

* określać zasady współpracy i komunikacji stron biorących udział w realizacji projektu,

* określać zasady zarządzania harmonogramem, budżetem, zakresem i jakością w projekcie,

* określać zasady zarządzania ryzykiem w projekcie,

* określać zasady zarządzania zmianą w projekcie,

* określać zasady oraz role i odpowiedzialność w zakresie odbioru i wprowadzania do eksploatacji produktów prac projektu,

* określać zasady podejmowania decyzji o zaniechaniu realizacji projektu.

2. Projekty powinny być prowadzone z wykorzystaniem lub w odniesieniu do uznanych standardów i dobrych praktyk w obszarze zarządzania projektami, jak np. standardy dotyczące zarządzania projektami proponowane przez PMI (Project Management Institute) - w szczególności standard PMBoK (Project Management Body of Knowledge) - czy metodyka PRINCE2 (PRojects IN Controlled Environments).

3. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą uwzględnienia w zasadach prowadzenia projektów udziału przedstawicieli obszaru bezpieczeństwa środowiska teleinformatycznego w całym cyklu życia projektu.

Systemy informatyczne podmiotu infrastruktury rynku kapitałowego powinny być rozwijane w sposób zapewniający wsparcie jego działalności oraz uwzględniający wymogi bezpieczeństwa środowiska teleinformatycznego.

1. Rozwój systemów informatycznych powinien być zgodny z założeniami planów wynikających ze strategii podmiotu infrastruktury rynku kapitałowego w zakresie obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

2. Podmiot infrastruktury rynku kapitałowego powinien określać szczegółowe wymagania w zakresie rozwoju systemów informatycznych z uwzględnieniem aktualnych i przewidywanych potrzeb oraz możliwości przyszłego rozwoju środowiska teleinformatycznego. Każde wymaganie powinno być formułowane w sposób umożliwiający jednoznaczną ocenę jego spełnienia. Analiza wymagań powinna w szczególności obejmować 18 :

* wymagania dotyczące funkcjonalności systemu,

* wymagania dotyczące zakresu, ilości oraz formy danych przetwarzanych w systemie, z uwzględnieniem oceny możliwości migracji danych z aktualnie użytkowanych systemów informatycznych,

* wymagania dotyczące możliwości komunikacji z innymi wykorzystywanymi przez podmiot infrastruktury rynku kapitałowego systemami informatycznymi, w szczególności zasad i zakresu wymiany danych,

* wymagania dotyczące oczekiwanej wydajności i dostępności systemu, z uwzględnieniem sytuacji jego znacznego obciążenia,

* wymagania dotyczące odporności systemu na zdarzenia awaryjne, w tym wymagania dotyczące czasu odtworzenia po awarii oraz dopuszczalnej utraty danych,

* wymagania dotyczące środowiska działania systemu,

* wymagania dotyczące bezpieczeństwa systemu i przetwarzanych w nim danych, w tym w zakresie mechanizmów kryptograficznych, mechanizmów kontroli dostępu oraz rejestracji zdarzeń zachodzących w systemie,

* wymagania wynikające z przepisów prawa, regulacji wewnętrznych oraz standardów obowiązujących w podmiocie infrastruktury rynku kapitałowego 19 .

3. W ramach projektowania systemu informatycznego podmiot infrastruktury rynku kapitałowego powinien uwzględnić możliwość wprowadzania w przyszłości jego modyfikacji, wynikających w szczególności ze zmian w przepisach prawa, strategii działania podmiotu infrastruktury rynku kapitałowego lub obowiązujących standardów wewnętrznych. Oznacza to, że rozwijając systemy informatyczne podmiot infrastruktury rynku kapitałowego powinien zidentyfikować możliwe do przewidzenia zmiany w uwarunkowaniach wewnętrznych i zewnętrznych i rozważyć zasadność zapewnienia elastyczności danego systemu w odpowiednim zakresie, umożliwiające w przyszłości efektywne wprowadzanie niezbędnych zmian.

4. Wprowadzenie nowego systemu informatycznego, jak również znacznej zmiany do już istniejącego systemu, powinno być poprzedzone przeprowadzeniem analizy ryzyka wynikającego z zastosowanych technologii informatycznych oraz dokonaniem oceny wpływu wprowadzanych zmian na środowisko teleinformatyczne i procesy biznesowe podmiotu infrastruktury rynku kapitałowego, ze szczególnym uwzględnieniem aspektów bezpieczeństwa 20 .

5. W przypadku rozwoju oprogramowania realizowanego siłami własnymi, podmiot infrastruktury rynku kapitałowego powinien posiadać zdefiniowane podejście w tym zakresie. Dobrą praktyką jest określenie:

* stosowanej metodyki rozwoju oprogramowania, określającej m.in. przebieg tego procesu,

* stosowanych standardów w zakresie rozwoju oprogramowania, w tym:

- standardów architektonicznych, w tym wykorzystywanych platform, technologii, mechanizmów integracji itp.,

- wykorzystywanych narzędzi programistycznych oraz repozytoriów kodów,

- standardów w zakresie kodów źródłowych, w tym preferowanych języków programowania i zapytań, stosowanych notacji i sposobów komentowania,

- zasad wykonywania bieżących testów i przeglądów kodu, zapewniających odpowiedni stopień niezależności tych przeglądów,

- kryteriów jakości oprogramowania (np. w zakresie łatwości utrzymania, przenośności itp.),

- standardów w zakresie tworzonej dokumentacji technicznej,

- zasad wersjonowania oprogramowania.

6. W przypadku rozwoju oprogramowania realizowanego z udziałem podmiotów zewnętrznych, podmiot infrastruktury rynku kapitałowego powinien korzystać z usług wiarygodnych dostawców o odpowiednim doświadczeniu (udokumentowanym w zrealizowanych projektach) oraz reputacji na rynku, zapewniających odpowiedni poziom jakości świadczonych usług. Podmiot infrastruktury rynku kapitałowego powinien również przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą uwzględnienia w umowach zawieranych w zakresie rozwoju oprogramowania z dostawcami zewnętrznymi postanowień dotyczących stosowania przyjętych w podmiocie infrastruktury rynku kapitałowego standardów i metodyk rozwoju oprogramowania 21 . W szczególności podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby przed wdrożeniem testowym produktów prac były one testowane wewnętrznie przez dostawcę, przy czym fakt przeprowadzenia takich testów nie powinien w żadnym stopniu ograniczać zakresu testów przeprowadzanych w podmiocie infrastruktury rynku kapitałowego.

7. Zarówno nowe oprogramowanie, jak i zmiany wprowadzane do już funkcjonujących rozwiązań informatycznych, powinny być testowane adekwatnie do swojej złożoności oraz wpływu na pozostałe elementy środowiska teleinformatycznego podmiotu infrastruktury rynku kapitałowego. Podmiot infrastruktury rynku kapitałowego powinien posiadać metodologię testowania oprogramowania, uwzględniającą w szczególności następujące dobre praktyki:

* sposób organizacji testów powinien zapewniać możliwie wysoki stopień niezależności weryfikacji spełnienia przyjętych założeń,

* w testach powinni brać udział przedstawiciele możliwie szerokiego zakresu jednostek organizacyjnych podmiotu infrastruktury rynku kapitałowego wykorzystujących wdrażane rozwiązanie (lub - w przypadku wprowadzania zmian -jego modyfikowaną część), jak również obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego,

* scenariusze testowe oraz zakres i wolumen danych wykorzystywanych w testach powinny być możliwie zbliżone do procedur i danych przetwarzanych w ramach faktycznego korzystania z systemu, przy czym podmiot infrastruktury rynku kapitałowego powinien zapewnić zachowanie odpowiedniego stopnia poufności rzeczywistych danych wykorzystywanych na potrzeby testów,

* sposób zgłaszania i dokonywania korekt błędów oprogramowania powinien być precyzyjnie określony i zapewniać rejestrację wszystkich zgłaszanych błędów,

* testy powinny być przeprowadzane w dedykowanym środowisku testowym,

* zakres przeprowadzanych testów powinien obejmować weryfikację spełnienia wszystkich wymagań, w szczególności w następujących obszarach 22 :

- zgodność z ustalonymi wymaganiami funkcjonalnymi,

- wydajność i dostępność systemu, z uwzględnieniem warunków znacznego obciążenia,

- zgodność nowego rozwiązania z wymogami bezpieczeństwa, w tym w zakresie uprawnień,

- poprawność funkcjonowania mechanizmów zapewniających wymaganą dostępność i odtwarzanie po awarii, w tym odtwarzania systemu z kopii awaryjnych,

- zgodność z przyjętymi miarami jakości oprogramowania,

- poprawność integracji (wymiany danych) danego systemu z innymi systemami,

- poprawność funkcjonowania systemów zintegrowanych z danym systemem, jak również - w przypadku wprowadzania zmian - pozostałej (niemodyfikowanej) części funkcjonalności systemu.

8. Podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby procedury przenoszenia nowego systemu informatycznego lub zmiany już funkcjonującego systemu na środowisko produkcyjne minimalizowały ryzyko wystąpienia przestojów w działalności podmiotu infrastruktury rynku kapitałowego. W szczególności po przeniesieniu systemu na środowisko produkcyjne, podmiot infrastruktury rynku kapitałowego powinien zweryfikować poprawność jego działania i zgodność z wymaganiami, a następnie przez odpowiedni czas monitorować system pod tym kątem w celu identyfikacji ewentualnych problemów wymagających interwencji. W związku z tym, podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności możliwości techniczne oraz stosunek ryzyka do kosztów) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zapewnienia mechanizmów umożliwiających powrót do stanu sprzed wdrożenia w przypadku wystąpienia sytuacji krytycznej (takich jak tworzenie kopii awaryjnych odpowiedniego obszaru środowiska teleinformatycznego).

9. Funkcjonujące w podmiocie infrastruktury rynku kapitałowego środowiska rozwojowe, testowe i produkcyjne powinny być odpowiednio odseparowane. Wybrana metoda separacji (np. separacja logiczna z zastosowaniem wirtualizacji, separacja fizyczna itp.) powinna odpowiadać poziomowi ryzyka i uwarunkowaniom technicznym związanym z danym środowiskiem i funkcjonującymi w nim systemami.

10. Podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby wraz z rozwojem systemów informatycznych tworzona lub aktualizowana była odpowiednia dokumentacja funkcjonalna, techniczna, eksploatacyjna 23 i użytkowa (z zapewnieniem jej wersjonowania), zaś użytkownikom rozwijanych systemów zapewniane były odpowiednie szkolenia 24 .

11. W podmiocie infrastruktury rynku kapitałowego powinien funkcjonować sformalizowany proces zarządzania zmianą w systemach informatycznych, określający zasady i tryb postępowania w zakresie:

* zgłaszania propozycji zmian,

* akceptacji zmian,

* określania priorytetów zmian,

* realizacji zmian,

* monitorowania realizacji zmian,

* testowania realizacji zmian,

* zamykania zrealizowanych zmian,

* zarządzania zmianami pilnymi/awaryjnymi.

12. Podejmując decyzję w zakresie akceptacji zmiany, podmiot infrastruktury rynku kapitałowego powinien przeprowadzić analizę jej zgodności z wymaganiami uprzednio ustalonymi dla modyfikowanego systemu informatycznego, w szczególności związanych z jego bezpieczeństwem. W przypadku, gdy w powyższym zakresie występuje rozbieżność, decyzja o akceptacji zmiany powinna być podejmowana ze szczególną rozwagą.

13. Przebieg procesu wprowadzania zmian do systemów informatycznych powinien być odpowiednio udokumentowany, w szczególności podmiot infrastruktury rynku kapitałowego powinien prowadzić rejestr zmian wprowadzanych do poszczególnych systemów oraz dokonywać okresowej weryfikacji zgodności zapisów tego rejestru ze stanem faktycznym.

14. Szczególnej uwagi podmiotu infrastruktury rynku kapitałowego wymagają zmiany w zakresie środowiska teleinformatycznego wynikające z fuzji lub przejęć. W takich przypadkach podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby zasoby dedykowane projektowaniu docelowego, połączonego środowiska, integracji i zastępowaniu systemów informatycznych, planowaniu i realizacji migracji danych oraz weryfikacji wyników tych prac były adekwatne do skali i specyfiki przeprowadzanych zmian.

15. Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane regulacje w zakresie wycofywania z eksploatacji użytkowanych rozwiązań informatycznych. Regulacje te powinny w szczególności określać zasady:

* podejmowania decyzji w zakresie wycofywania systemów z eksploatacji, uwzględniające istotność systemu 25 ,

* informowania zainteresowanych stron (w tym użytkowników) o wycofaniu systemu,

* przeprowadzania migracji danych i kontroli jej poprawności,

* dokonywania archiwizacji wycofywanych rozwiązań, w szczególności z zapewnieniem wymaganego przepisami prawa i uwarunkowaniami dostępu do danych oraz ich prawidłowego zabezpieczenia,

* aktualizacji konfiguracji infrastruktury teleinformatycznej w związku z wycofaniem rozwiązania (np. w zakresie wyłączania kont systemowych, rekonfiguracji zapór sieciowych itp.),

* bezpiecznej eliminacji wycofywanych z użytku komponentów infrastruktury teleinformatycznej,

* aktualizacji dokumentacji środowiska teleinformatycznego podmiotu infrastruktury rynku kapitałowego.

Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady zarządzania danymi wykorzystywanymi w ramach prowadzonej działalności, obejmujące w szczególności zarządzanie architekturą oraz jakością danych i zapewniające właściwe wsparcie działalności podmiotu infrastruktury rynku kapitałowego 26 .

Zarządzanie architekturą danych

1. Podmiot infrastruktury rynku kapitałowego powinien dysponować wiedzą dotyczącą tego, jakie dane przetwarzane są w ramach prowadzonej przez niego działalności, jakie są ich źródła (w tym z określeniem, czy są to źródła wewnętrzne, czy zewnętrzne) oraz w jakich jednostkach, procesach i systemach realizowane jest to przetwarzanie. W tym celu podmiot infrastruktury rynku kapitałowego powinien przeprowadzić inwentaryzację przetwarzanych danych oraz systematycznie przeglądać rezultaty tej inwentaryzacji pod kątem zgodności ze stanem faktycznym. Podmiot infrastruktury rynku kapitałowego powinien również przeanalizować zasadność (uwzględniając w szczególności skalę i specyfikę prowadzonej działalności oraz poziom złożoności środowiska teleinformatycznego) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wykorzystania elektronicznego repozytorium w celu przeprowadzenia ww. inwentaryzacji i gromadzenia jej rezultatów.

2. Zakres i poziom szczegółowości powyższej inwentaryzacji powinny być uzależnione od skali działalności podmiotu infrastruktury rynku kapitałowego oraz określonej przez podmiot infrastruktury rynku kapitałowego istotności poszczególnych grup danych (tj. danych dotyczących pewnego, określonego przez podmiot infrastruktury rynku kapitałowego obszaru działalności). W przypadku istotnych grup danych, podmiot infrastruktury rynku kapitałowego powinien opracować ich szczegółową dokumentację, zawierającą modele tych danych, opisujące m.in. zależności pomiędzy ich poszczególnymi elementami oraz przepływy pomiędzy systemami informatycznymi, jak również posiadać odpowiednie zasady (polityki, standardy, procedury itp.) przetwarzania tych danych.

3. Do każdej zinwentaryzowanej grupy danych (lub jej podzbioru) powinien zostać przypisany podmiot (jednostka organizacyjna, rola, osoba itp.), który jest ostatecznie odpowiedzialny za jakość tych danych i nadzór nad nimi, w szczególności w zakresie zarządzania związanymi z nimi uprawnieniami i udziału w rozwoju systemów informatycznych, w których są one przetwarzane.

Zarządzanie jakością danych

1. W podmiocie infrastruktury rynku kapitałowego powinny obowiązywać sformalizowane zasady zarządzania jakością danych, których zakres i poziom szczegółowości powinny być uzależnione od skali i specyfiki działalności podmiotu infrastruktury rynku kapitałowego oraz określonej istotności poszczególnych grup danych. Niezależnie od przyjętej przez podmiot infrastruktury rynku kapitałowego metodologii i nomenklatury w tym zakresie, zasady te powinny obejmować:

* okresowe dokonywanie oceny jakości danych,

* dokonywanie czyszczenia danych,

* identyfikację przyczyn błędów występujących w danych,

* bieżące monitorowanie jakości danych.

2. Dokonując okresowej oceny jakości danych, podmiot infrastruktury rynku kapitałowego powinien w szczególności identyfikować błędy w danych oraz badać ich wpływ na swoją działalność. Podmiot infrastruktury rynku kapitałowego powinien także upewniać się, że przetwarzane dane są odpowiednie z perspektywy zarządzania (w tym pomiaru) poszczególnymi rodzajami ryzyka, jak również zaspokajania potrzeb raportowych i analitycznych ich kluczowych odbiorców - to znaczy, czy i w jakim stopniu ewentualne podjęcie błędnych decyzji wynikać może z niskiej jakości danych stanowiących ich podstawę. W tym celu podmiot infrastruktury rynku kapitałowego powinien w szczególności:

* określić atrybuty wykorzystywane do oceny jakości danych (np. dokładność, spójność, kompletność, aktualność itp.) oraz częstotliwość i sposoby dokonywania ich pomiaru (np. automatyczne porównanie danych dotyczących tych samych operacji przechowywanych w różnych źródłach, weryfikacja z dokumentacją źródłową na podstawie próby, badanie satysfakcji użytkowników danych); w stosunku do poszczególnych danych możliwe jest stosowanie różnych atrybutów lub sposobów ich pomiaru,

* określić wartości progowe dla powyższych atrybutów, które podmiot infrastruktury rynku kapitałowego uznaje za akceptowalne w odniesieniu do poszczególnych danych,

* regularnie dokonywać pomiaru jakości danych, zgodnie z zasadami określonymi w ramach powyższych działań.

3. Dokonując czyszczenia danych (tj. zmiany danych ocenionych jako błędne w dane odpowiednie do potrzeb i celów ich użycia) - o ile działania te realizowane są w sposób zautomatyzowany - podmiot infrastruktury rynku kapitałowego powinien przyłożyć szczególną uwagę do poprawnego skonstruowania algorytmów czyszczących. Niepoprawny algorytm poprawiając jedne dane może bowiem (poprzez efekty uboczne) spowodować pogorszenie jakości innych danych.

4. Dokonując identyfikacji przyczyn błędów występujących w danych, podmiot infrastruktury rynku kapitałowego powinien uwzględniać m.in. przyczyny związane z niewłaściwymi procedurami przetwarzania danych oraz z niską skutecznością mechanizmów kontrolnych funkcjonujących w zakresie zapewniania jakości danych, a następnie wdrażać nowe i usprawniać już funkcjonujące mechanizmy (zarówno na etapie wprowadzania danych do systemów, jak i ich późniejszego przetwarzania), w szczególności poprzez:

* modyfikację procesów zbierania i przetwarzania danych (w tym również sposobów wymiany danych pomiędzy systemami informatycznymi),

* wprowadzanie lub modyfikację mechanizmów kontroli bieżącej (takich jak automatyczne reguły walidacyjne, monitorowanie interfejsów wymiany danych, umieszczenie w procesach biznesowych punktów pomiaru jakości danych, uzgadnianie danych pomiędzy systemami itp.),

* wprowadzanie lub modyfikację mechanizmów kontroli okresowej oraz innych elementów procesu zarządzania jakością danych,

* wdrażanie zautomatyzowanych rozwiązań wspierających proces zarządzania jakością danych.

Powyższe mechanizmy kontrolne powinny być również przeglądane i dostosowywane w przypadku wprowadzania istotnych zmian w przebiegu procesów biznesowych, strukturze organizacyjnej, systemach informatycznych, itp.

Bieżące monitorowanie jakości danych powinno obejmować informacje pozyskane z wykorzystaniem wprowadzonych mechanizmów kontrolnych. Zagregowane informacje dotyczące wyników monitorowania, jak również wyniki okresowych ocen jakości danych, powinny być przekazywane odpowiednim szczeblom hierarchii organizacyjnej w ramach systemu informacji zarządczej 27 .

5. Projektując podejście do zarządzania jakością danych - w szczególności w przypadku braku wyodrębnionej jednostki organizacyjnej odpowiedzialnej za ten obszar - podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby zakresy odpowiedzialności i podział zadań w tym zakresie były jednoznacznie i precyzyjnie określone. Podmiot infrastruktury rynku kapitałowego powinien również zapewnić zachowanie odpowiedniego stopnia poufności danych wykorzystywanych w procesie zarządzania jakością danych. Projektując i realizując proces zarządzania jakością danych podmiot infrastruktury rynku kapitałowego powinien w szczególności uwzględniać typowe czynniki mogące prowadzić do niskiej jakości danych, do których zaliczyć można m.in.:

* ręczne wprowadzanie danych do systemów, które w przypadku braku dostatecznej walidacji danych wejściowych czyni je podatnymi na błędy ludzkie, zaś przy zbyt silnej kontroli - na wprowadzanie danych niezgodnych z rzeczywistością (np. wprowadzanie zer w wymaganych polach numerycznych, których faktyczna wartość nie jest znana),

* wymiana danych pomiędzy systemami, z którą wiążą się m.in.:

- zagrożenia wynikające z braku aktualizacji reguł wymiany danych przy dokonywaniu modyfikacji systemu źródłowego lub docelowego,

- zagrożenia wynikające z trudności w dokonywaniu korekt w danych zidentyfikowanych jako błędne w sytuacji, w której poprzez interfejsy wymiany danych zostały już one przekazane do innych systemów,

* migracje danych (w tym związane z konsolidacją systemów), w ramach, których struktury danych w systemach źródłowych i docelowych są często odmienne, zaś sama jakość danych w systemach źródłowych niekiedy nie jest wystarczająca.

6. Podmiot infrastruktury rynku kapitałowego powinien tworzyć kulturę organizacyjną, w której kładzie się nacisk na zapewnianie odpowiedniej jakości danych wprowadzanych przez pracowników do systemów informatycznych.

7. Podejście podmiotu infrastruktury rynku kapitałowego do zarządzania jakością danych powinno uwzględniać szczególne uwarunkowania związane z ograniczoną kontrolą podmiotu infrastruktury rynku kapitałowego nad jakością danych pochodzących ze źródeł zewnętrznych. Podmiot infrastruktury rynku kapitałowego powinien podejmować działania mające na celu umożliwienie dokonania oceny jakości tych danych oraz jej poprawę, w szczególności poprzez wymaganie od dostawców danych zewnętrznych przedstawiania potwierdzenia odpowiedniej jakości danych (popartego wynikami niezależnego audytu zewnętrznego). Podmiot infrastruktury rynku kapitałowego powinien również przykładać szczególną uwagę do jakości danych wprowadzanych do swoich baz zewnętrznych.

8. W związku z tym, że jakość danych przetwarzanych w środowisku teleinformatycznym w istotny sposób wpływa na jakość zarządzania podmiotem infrastruktury rynku kapitałowego, a jednocześnie często odbiorcy tych danych nie mają bezpośredniego wpływu na ich jakość (np. w przypadku danych wprowadzanych w ramach obszaru sprzedaży, a następnie wykorzystywanych przez obszar ryzyka), podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności specyfikę swojej struktury organizacyjnej oraz realizowanych procesów przetwarzania danych) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wyznaczenia osoby z kierownictwa lub zespołu właściwego do spraw zarządzania jakością danych.

Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności podmiotu infrastruktury rynku kapitałowego oraz bezpieczeństwo przetwarzanych danych.

Architektura infrastruktury teleinformatycznej

1. Rozległa sieć teleinformatyczna podmiotu infrastruktury rynku kapitałowego powinna zapewniać bezpieczeństwo przesyłanych danych. W szczególności sieć łącząca komponenty infrastruktury teleinformatycznej, których wyłączenie uniemożliwia prowadzenie działalności całego podmiotu infrastruktury rynku kapitałowego lub jego znaczącej części, powinna posiadać zapewnioną możliwość funkcjonowania w oparciu o łącza zapasowe.

2. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności stopień złożoności i rozproszenia środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania rozwiązań pozwalających na monitorowanie obciążenia sieci oraz na automatyczne uruchomienie łącza zapasowego.

3. Podmiot infrastruktury rynku kapitałowego świadczący usługi za pośrednictwem elektronicznych kanałów dostępu powinien posiadać alternatywny dostęp do łączy telekomunikacyjnych wykorzystywanych na potrzeby tych usług na wypadek awarii u dostawcy podstawowego.

4. Styk sieci wewnętrznej podmiotu infrastruktury rynku kapitałowego z sieciami zewnętrznymi (w szczególności Internetem) powinien być zabezpieczony systemem zapór sieciowych 28 .

5. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą dokonania podziału sieci teleinformatycznej na podsieci (logiczne lub fizyczne), oddzielone zaporami sieciowymi zapewniającymi odpowiedni poziom kontroli dostępu i wykorzystujące inne mechanizmy (np. szyfrowanie ruchu sieciowego) uwzględniające wymagany poziom bezpieczeństwa przetwarzanych w nich danych, np. poprzez:

* oddzielenie podsieci dla wewnętrznych systemów informatycznych podmiot infrastruktury rynku kapitałowego od podsieci dla systemów wymieniających dane z otoczeniem zewnętrznym,

* oddzielenie podsieci obsługujących back-office od front-office,

* wydzielenie podsieci na potrzeby administracji infrastrukturą,

* wydzielenie podsieci na potrzeby rozwoju systemów informatycznych.

6. Reguły zarządzania ruchem sieciowym powinny zostać sformalizowane, podobnie jak reguły rejestrowania zdarzeń przez narzędzia monitorujące bezpieczeństwo infrastruktury teleinformatycznej i informowania o tych zdarzeniach. Zdarzenia te powinny podlegać systematycznej analizie. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania rozwiązań klasy IDS/IPS (ang. Intrusion Detection System/Intrusion Prevention System), zwiększających bezpieczeństwo infrastruktury teleinformatycznej poprzez wykrywanie (IDS) lub wykrywanie i blokowanie (IPS) ataków w czasie rzeczywistym.

7. Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady podłączania urządzeń końcowych (komputerów, urządzeń mobilnych) do infrastruktury teleinformatycznej. Opracowanie tych zasad powinno być poprzedzone przeprowadzeniem analizy ryzyka w tym zakresie. Ponadto w przypadku, gdy podmiot infrastruktury rynku kapitałowego zezwala pracownikom na wykorzystywanie urządzeń prywatnych do celów służbowych, powinien on opracować sformalizowane zasady w tym zakresie, określające w szczególności:

* dopuszczalny zakres korzystania z takich urządzeń, wraz ze wskazaniem, jakiego rodzaju informacje mogą być na nich przetwarzane 29 ,

* dopuszczalne rodzaje urządzeń,

* dopuszczalne aplikacje, z których pracownicy mogą korzystać do celów służbowych,

jak również zapewnić wsparcie egzekwowania i kontroli tych zasad przez rozwiązania informatyczne oraz systematycznie edukować pracowników w zakresie bezpiecznego użytkowania urządzeń prywatnych do celów służbowych 30 ^.

Korzystanie przez podmiot infrastruktury rynku kapitałowego z sieci bezprzewodowych powinno wiązać się z analizą związanego z tym ryzyka. W szczególności podmiot infrastruktury rynku kapitałowego powinien określić, jakie dane mogą być dostępne z wykorzystaniem tych sieci oraz jakie mechanizmy uwierzytelniania i szyfrowania będą wykorzystywane.

Komponenty infrastruktury teleinformatycznej

1. Rodzaj i konfiguracja każdego z komponentów infrastruktury teleinformatycznej powinny wynikać z analizy funkcji, jaką dany element pełni w środowisku teleinformatycznym oraz poziomu bezpieczeństwa wymaganego przez wykorzystujące dany komponent systemy informatyczne lub dane przesyłane za jego pośrednictwem 31 . W szczególności:

* rodzaj komponentu powinien być wybierany z uwzględnieniem wad i zalet danego rozwiązania z perspektywy punktu infrastruktury, w którym ma on zostać ulokowany (np. wybór pomiędzy sprzętowymi a programowymi zaporami sieciowymi),

* ustalając sposób konfiguracji komponentu, podmiot infrastruktury rynku kapitałowego powinien kierować się zasadą minimalizacji udostępnianych przez dany komponent usług (w tym np. otwartych portów, obsługiwanych protokołów itp.), z jednoczesnym zapewnieniem planowanej funkcjonalności.

2. Podmiot infrastruktury rynku kapitałowego powinien weryfikować predefiniowane ustawienia wprowadzone przez producenta urządzenia lub systemu - pozostawienie konfiguracji domyślnej (a zatem powszechnie znanej, np. w zakresie standardowych kont i haseł) w znacznym stopniu zwiększa poziom ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego.

3. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednie decyzje dotyczące:

* opracowania standardów konfiguracyjnych,

* utrzymywania rejestru komponentów infrastruktury informatycznej wraz z podstawowymi informacjami na temat ich rodzaju i konfiguracji,

* utrzymywania elektronicznego repozytorium kopii zastosowanej konfiguracji.

4. Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady dokonywania zmian w konfiguracji komponentów infrastruktury teleinformatycznej, uwzględniające istotność poszczególnych komponentów i zapewniające:

* realizację zmian w sposób zaplanowany i kontrolowany, z uwzględnieniem wpływu danej zmiany na inne komponenty,

* zabezpieczenie komponentów przed wprowadzaniem nieuprawnionych zmian,

* możliwość wycofania zmian, w tym dostępność kopii awaryjnych konfiguracji komponentów,

* możliwość identyfikacji osób wprowadzających oraz zatwierdzających poszczególne zmiany w konfiguracji.

5. W przypadku przekazywania sprzętu do naprawy lub konserwacji do podmiotu zewnętrznego, podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby podmiot ten nie miał dostępu do zapisanych w tych urządzeniach danych o wysokim stopniu poufności 32 , lub aby odpowiedzialność za zachowanie tajemnicy tych informacji w okresie wykonywania usług oraz po zakończeniu współpracy uregulowana została w umowie z podmiotem zewnętrznym.

6. Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady wycofywania komponentów infrastruktury teleinformatycznej z eksploatacji, w szczególności zapewniające minimalizację ryzyka związanego z możliwością wycieku informacji przechowywanych na wycofywanych komponentach.

7. Konfiguracja systemu zapór sieciowych powinna zapewniać rejestrowanie niestandardowych aktywności w celu umożliwienia dokonywania ich analizy pod kątem wykrywania ataków zewnętrznych i wewnętrznych. System zapór sieciowych powinien także zapewniać kontrolę ruchu wychodzącego w celu blokowania prób nawiązania sesji z wewnątrz sieci przez szkodliwe oprogramowanie.

8. Podmiot infrastruktury rynku kapitałowego wykorzystujący technologię wirtualizacji serwerów 33 powinien przeprowadzać analizę ryzyka związanego z tą technologią w odniesieniu do własnych uwarunkowań. Na podstawie wyników powyższej analizy, podmiot infrastruktury rynku kapitałowego powinien zapewnić poprawne funkcjonowanie odpowiednich mechanizmów kontrolnych. Do dobrych praktyk w tym zakresie można zaliczyć m.in.:

* objęcie ścisłym nadzorem dostępności zasobów maszyny fizycznej (procesorów, pamięci operacyjnej, przestrzeni dyskowej itp.),

* lokowanie konsoli serwisowej i wszelkich narzędzi służących do zarządzania platformą wirtualizacji zasobów w podsieci dedykowanej administrowaniu tą platformą,

* ograniczenie możliwości nadużywania zasobów przez poszczególne maszyny wirtualne oraz współdzielenia schowka (ang. clipboard) pomiędzy maszyną fizyczną a wirtualną,

* szczególne zabezpieczenie maszyn fizycznych, na których ulokowane są maszyny wirtualne, przed nieuprawnionym dostępem do plików maszyn wirtualnych (ze względu na niewielką liczbę plików, które składają się na maszynę wirtualną, jest ona szczególnie podatna na wykradzenie) oraz innymi zagrożeniami, takimi jak ataki typu "Denial-of-Service" 34 (w przypadku wirtualizacji serwerów konsekwencje tego rodzaju ataków na maszynę fizyczną mogą być znacznie poważniejsze, dotykać bowiem będą wielu maszyn wirtualnych).

9. Podmiot infrastruktury rynku kapitałowego powinien monitorować sieci teleinformatyczne, komponenty infrastruktury teleinformatycznej, usługi sieciowe i systemy informatyczne pod kątem ich bezpieczeństwa i poprawności funkcjonowania adekwatnie do związanego z nimi poziomu ryzyka. Stopień automatyzacji ww. monitorowania powinien być adekwatny do złożoności środowiska teleinformatycznego podmiotu infrastruktury rynku kapitałowego.

10. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności stopień narażenia na ryzyko w zakresie bezpieczeństwa środowiska teleinformatycznego oraz liczbę jego użytkowników) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wprowadzenia dodatkowych zabezpieczeń w wykorzystywanym systemie poczty elektronicznej, ułatwiających sprawowanie kontroli nad informacjami o wysokim stopniu poufności 35 zawartymi w kierowanych na zewnątrz przesyłkach elektronicznych.

11. Eksploatowane w podmiocie infrastruktury rynku kapitałowego drukarki wykorzystywane do drukowania dokumentów zawierających informacje objęte tajemnicą zawodową lub poufne powinny być zabezpieczone przed możliwością wycieku informacji (w przypadku drukarek sieciowych - np. poprzez szyfrowanie przesyłanych do nich danych i przechowywanych przez nie zadań drukowania oraz odpowiednie mechanizmy weryfikacji tożsamości użytkowników).

12. Eksploatowane przez podmiot infrastruktury rynku kapitałowego skanery sieciowe wykorzystywane do skanowania dokumentów zawierających dane objęte tajemnicą zawodową lub poufne powinny być zabezpieczone przed możliwością wycieku informacji (np. poprzez przesyłanie danych w formie zaszyfrowanej). Rozwiązania podmiotu infrastruktury rynku kapitałowego w tym zakresie powinny również zapewniać, aby zeskanowane dokumenty były dostępne jedynie dla upoważnionych osób.

13. Konfiguracja komponentów infrastruktury teleinformatycznej powinna podlegać okresowej weryfikacji pod kątem pozostałych zmian zachodzących w tym środowisku, a także ujawnianych luk bezpieczeństwa. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zapewnienia wsparcia tego procesu przez narzędzia automatyzujące czynności kontrolne. Jednym z narzędzi, które powinno być systematycznie stosowane przy ocenie skuteczności mechanizmów kontrolnych w obszarach infrastruktury teleinformatycznej o wysokiej istotności, są testy penetracyjne.

Aktualizacja oprogramowania komponentów infrastruktury teleinformatycznej

1. Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady dotyczące dokonywania aktualizacji oprogramowania - zarówno komputerów, jak i urządzeń mobilnych oraz pozostałych elementów środowiska teleinformatycznego (w tym aktualizacji systemów operacyjnych, systemów zarządzania bazami danych, oprogramowania użytkowego, oprogramowania urządzeń sieciowych itp.), uwzględniające istotność tego oprogramowania oraz poziom krytyczności poszczególnych aktualizacji.

2. Zasady dotyczące aktualizacji oprogramowania komponentów infrastruktury teleinformatycznej powinny w szczególności wskazywać osoby odpowiedzialne za podejmowanie decyzji w zakresie zmian w środowisku produkcyjnym.

3. Przed dokonaniem aktualizacji oprogramowania komponentów środowiska produkcyjnego mających wpływ na systemy informatyczne o wysokiej istotności dla działalności 36 , podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą dokonania weryfikacji wpływu tej aktualizacji na środowisku testowym.

4. Terminowość i poprawność instalacji aktualizacji powinny być objęte okresową kontrolą. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania automatycznych mechanizmów instalacji aktualizacji oprogramowania komputerów osobistych i urządzeń mobilnych, jak również automatycznych narzędzi analizujących środowisko teleinformatyczne pod kątem aktualności oprogramowania.

5. Podmiot infrastruktury rynku kapitałowego powinien dążyć do ograniczenia liczby komponentów środowiska teleinformatycznego pozbawionych odpowiedniego zakresu wsparcia producentów, w szczególności w zakresie elementów istotnych z perspektywy działalności podmiotu infrastruktury rynku kapitałowego. W tym zakresie podmiot infrastruktury rynku kapitałowego powinien w szczególności:

* identyfikować i rejestrować przypadki występowania w środowisku teleinformatycznym komponentów pozbawionych wsparcia producentów oraz oceniać związane z tym ryzyko,

* przeprowadzać analizy dotyczące możliwości wymiany takich komponentów na komponenty objęte właściwym wsparciem lub podjęcia innych działań mających na celu kontrolę związanego z nimi ryzyka.

Powyższe działania powinny być dokonywane z odpowiednim wyprzedzeniem, tj. z uwzględnieniem okresu wymaganego do zrealizowania działań mających na celu zapewnienie kontroli ryzyka wynikającego z wykorzystywania komponentów nieobjętych wsparciem producentów.

Zarządzanie pojemnością i wydajnością komponentów infrastruktury teleinformatycznej

1. Infrastruktura teleinformatyczna podmiotu infrastruktury rynku kapitałowego powinna charakteryzować się:

* skalowalnością, rozumianą jako możliwość odpowiednio szybkiego podniesienia wydajności i pojemności,

* nadmiarowością, rozumianą jako możliwość bieżącej obsługi zwiększonej liczby operacji w oparciu o aktualnie wykorzystywane zasoby (chwilowe zwiększenia obciążenia wynikać mogą m.in. z obsługi większej liczby zleceń i realizowanych transakcji przez klientów). Podmiot infrastruktury rynku kapitałowego powinien posiadać udokumentowane zasady zarządzania wydajnością i pojemnością komponentów infrastruktury teleinformatycznej, uwzględniające istotność poszczególnych komponentów dla działalności podmiotu infrastruktury rynku kapitałowego oraz zależności pomiędzy tymi komponentami, obejmujące w szczególności:

* określenie parametrów wydajności (np. czas odpowiedzi systemu, czas przetwarzania)

* i pojemności (np. obciążenie sieci teleinformatycznej, stopień wykorzystania urządzeń pamięci masowych, stopień wykorzystania procesorów, liczba otwartych sesji połączeniowych), wraz ze wskazaniem wartości ostrzegawczych i granicznych w tym zakresie,

* monitorowanie powyższych parametrów,

* analizę trendów oraz prognozowanie zapotrzebowania na wydajność i pojemność, z uwzględnieniem celów strategicznych podmiotu infrastruktury rynku kapitałowego, w szczególności w zakresie planowanej liczby obsługiwanych klientów oraz zmian w profilu działalności i związanego z tym przewidywanego wolumenu przetwarzanych danych,

* podejmowanie działań w przypadku przekroczenia wartości ostrzegawczych i granicznych powyższych parametrów oraz w przypadku, gdy analizy w zakresie zapotrzebowania na wydajność i pojemność wykażą, że obecne zasoby nie są wystarczające do jego zaspokojenia,

* raportowanie w zakresie wydajności i pojemności komponentów infrastruktury teleinformatycznej, w szczególności do właścicieli systemów informatycznych.

2. W celu zwiększenia efektywności procesu zarządzania wydajnością i pojemnością, podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą:

* zastosowania narzędzi pozwalających na automatyzację monitorowania obciążenia zasobów,

* sformalizowania parametrów jakości usług świadczonych przez środowisko teleinformatyczne na rzecz użytkowników wewnętrznych i zewnętrznych oraz włączenie raportowania w tym zakresie do systemu informacji zarządczej 37 .

3. Podmiot infrastruktury rynku kapitałowego powinien dokonywać okresowej weryfikacji zdolności środowiska teleinformatycznego w ośrodku zapasowym do utrzymania wymaganych dla niego parametrów wydajności i pojemności.

Dokumentacja infrastruktury teleinformatycznej

1. Podmiot infrastruktury rynku kapitałowego powinien zapewnić, że dokumentacja poszczególnych komponentów środowiska teleinformatycznego (w tym ich konfiguracji) oraz zależności między nimi:

* jest aktualna,

* jest szczegółowa adekwatnie do poziomu istotności każdego z tych elementów,

* umożliwia przeprowadzanie wiarygodnych analiz środowiska pod kątem jego bezpieczeństwa i optymalizacji,

* pozwala na lokalizację i usuwanie przyczyn awarii,

* umożliwia odtworzenie działalności w przypadku wystąpienia takiej konieczności,

* pozwala na efektywną realizację zadań w zakresie kontroli wewnętrznej.

2. Dokumentacja infrastruktury teleinformatycznej powinna podlegać ochronie adekwatnej do stopnia jej wrażliwości. Zakres dokumentacji (w szczególności dokumentów opisujących szczegóły konfiguracji i funkcjonowania systemów zabezpieczeń) dostępnej dla poszczególnych pracowników nie powinien wykraczać poza minimum wynikające z powierzonego im zakresu obowiązków.

3. Kolejne wersje dokumentacji powinny posiadać oznaczenie oraz metrykę zmian dokumentu (data wprowadzenia, osoby opracowujące i zatwierdzające).

4. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, częstotliwość wprowadzania zmian technicznych oraz liczbę administratorów i serwisantów) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wdrożenia elektronicznego repozytorium dokumentacji infrastruktury teleinformatycznej.

5. Podmiot infrastruktury rynku kapitałowego powinien posiadać procedury eksploatacji i administracji poszczególnych elementów środowiska teleinformatycznego. Kompletność i aktualność tych procedur powinna podlegać okresowej weryfikacji, zwłaszcza w przypadku elementów środowiska teleinformatycznego, w których wprowadzane są częste zmiany.

Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania środowiska teleinformatycznego, uwzględniające również usługi świadczone przez podmioty należące do grupy kapitałowej podmiotu infrastruktury rynku kapitałowego.

1. Uwzględniając specyfikę działalności sektora rynku kapitałowego, spośród usług świadczonych przez podmioty zewnętrzne czynności realizowane w obszarze technologii informacyjnej mają szczególny charakter ze względu na ich bezpośredni wpływ, na jakość i bezpieczeństwo świadczonych usług oraz reputację podmiotu infrastruktury rynku kapitałowego. Jednocześnie, w zależności od specyficznych uwarunkowań podmiotu infrastruktury rynku kapitałowego, wpływ jakości współpracy z podmiotami zewnętrznymi na jakość usług świadczonych przez podmiot infrastruktury rynku kapitałowego na rzecz klientów wykazuje duże zróżnicowanie. W związku z tym, proces zarządzania relacjami z usługodawcami zewnętrznymi powinien być dostosowany do tych uwarunkowań. Podmiot infrastruktury rynku kapitałowego nie powinien traktować zlecania jakichkolwiek usług podmiotowi zewnętrznemu, jako zwolnienia z odpowiedzialności za jakość i bezpieczeństwo usług świadczonych na rzecz klientów oraz bezpieczeństwo ich danych.

2. Umowy zawierane przez podmiot infrastruktury rynku kapitałowego z zewnętrznymi dostawcami usług powinny zapewniać, że świadczenie usług odbywać się będzie zgodnie z wymaganiami prawnymi, regulacjami wewnętrznymi i zewnętrznymi 38 .

3. Wzorce umów lub umowy zawierane przez podmiot infrastruktury rynku kapitałowego z zewnętrznymi dostawcami usług powinny być weryfikowane w odpowiednim zakresie przez jednostki podmiotu infrastruktury rynku kapitałowego odpowiedzialne za obszar prawny oraz obszar bezpieczeństwa środowiska teleinformatycznego.

4. Podmiot infrastruktury rynku kapitałowego powinien posiadać regulacje dotyczące współpracy z pracownikami zewnętrznych dostawców usług, uwzględniające w szczególności:

* warunki udzielania dostępu do informacji objętych tajemnicą zawodową i poufnych 39 ,

* zasady sprawowania nadzoru nad działaniami pracowników zewnętrznych,

* konieczność zapewnienia, że każdy pracownik zewnętrzny posiadający dostęp do informacji objętych tajemnicą zawodową i poufnych, objęty jest co najmniej takimi restrykcjami w zakresie bezpieczeństwa, jak pracownicy podmiotu infrastruktury rynku kapitałowego posiadający dostęp do takich informacji.

5. Zasady współpracy pomiędzy podmiotem infrastruktury rynku kapitałowego a zewnętrznym dostawcą usług powinny uwzględniać reguły w zakresie komunikacji i koordynacji wykonywanych przez usługodawcę czynności (np. w zakresie przeprowadzania migracji danych, czynności konserwacyjnych, skanowania infrastruktury teleinformatycznej itp.), minimalizujące ich negatywny wpływ na jakość i bezpieczeństwo usług świadczonych na rzecz klientów podmiotu infrastruktury rynku kapitałowego.

6. Podmiot infrastruktury rynku kapitałowego powinien poświęcić szczególną uwagę ryzyku związanemu z przyznawaniem usługodawcom zewnętrznym (w szczególności spoza grupy kapitałowej) kompetencji w zakresie administrowania prawami dostępu do systemów informatycznych podmiotu infrastruktury rynku kapitałowego.

Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady oraz mechanizmy techniczne zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej.

Mechanizmy kontroli dostępu logicznego

1. Systemy informatyczne eksploatowane przez podmiot infrastruktury rynku kapitałowego powinny posiadać mechanizmy kontroli dostępu pozwalające na jednoznaczne określenie i uwierzytelnienie tożsamości oraz autoryzację użytkownika.

2. Parametry haseł dostępu (w tym długość i złożoność hasła, częstotliwość zmiany, możliwość powtórnego użycia historycznego hasła) oraz zasady blokowania kont użytkowników powinny zostać ustalone w regulacjach wewnętrznych, z uwzględnieniem klasyfikacji systemu 40 oraz innych uwarunkowań z nim związanych, w tym prawnych 41 . Funkcjonalność wykorzystywanych systemów informatycznych powinna w miarę możliwości wymuszać stosowanie obowiązujących w podmiocie infrastruktury rynku kapitałowego reguł dotyczących haseł dostępu oraz reguł blokowania konta użytkownika w przypadku użycia błędnego hasła.

3. Proces zarządzania uprawnieniami powinien zostać sformalizowany w procedurach wewnętrznych, określających zasady wnioskowania, przydzielania, modyfikacji i odbierania dostępu do systemów lub ich funkcjonalności, jak również monitorowania dostępów. Zakres nadawanego dostępu nie powinien wykraczać poza merytoryczny zakres obowiązków i uprawnień użytkownika (w tym również użytkowników zewnętrznych) oraz podlegać okresowej kontroli.

4. Podmiot infrastruktury rynku kapitałowego powinien przeprowadzać regularne przeglądy nadanych uprawnień, obejmujące zgodność uprawnień faktycznie nadanych w systemach informatycznych zarówno z uprawnieniami przypisanymi w rejestrach uprawnień, jak i z merytorycznym zakresem obowiązków i uprawnień poszczególnych użytkowników. Częstotliwość wykonywania tych przeglądów powinna wynikać z analizy poziomu ryzyka związanego z poszczególnymi pracownikami i systemami informatycznymi, przy czym nie powinna być ona niższa niż roczna. Przeglądy uprawnień powinny być dokonywane w odpowiednim zakresie również w przypadku zmian funkcjonalności systemów informatycznych oraz zmian zakresów obowiązków pracowników. Wykryte w ramach powyższych przeglądów istotne nieprawidłowości oraz podjęte w związku z nimi działania powinny być raportowane w ramach systemu informacji zarządczej 42 .

5. W celu zwiększenia efektywności zarządzania i nadzoru nad uprawnieniami oraz ograniczenia ryzyka nadania nieadekwatnych praw dostępu, podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz liczbę jego użytkowników) i na tej podstawie podjąć odpowiednią decyzję dotyczącą:

* opracowania standardowych profili dostępu dla określonych grup pracowników lub stanowisk pracy,

* zastosowania narzędzi automatyzujących proces zarządzania uprawnieniami użytkowników (w szczególności rejestrowania uprawnień historycznych).

6. Podmiot infrastruktury rynku kapitałowego w miarę możliwości powinien ograniczać użytkownikom dostęp do funkcji pozwalających na samodzielne zwiększenie własnych uprawnień. W sytuacjach, gdy powyższa zasada nie może być przestrzegana (np. w przypadku administratorów systemów informatycznych) należy zapewnić inne mechanizmy kontrolne w tym zakresie.

7. W przypadku systemów, których nieuprawnione użycie może skutkować szczególnie wysokimi stratami, podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą połączenia haseł dostępu z innymi mechanizmami weryfikacji tożsamości użytkownika (np. tokeny, elektroniczne karty identyfikacyjne, metody biometryczne itp.).

8. Wszyscy użytkownicy systemów informatycznych podmiotu infrastruktury rynku kapitałowego powinni być informowani o odpowiedzialności za zapewnienie poufności haseł oraz za skutki działań wykonanych z wykorzystaniem ich kont.

9. Obowiązujące w podmiocie infrastruktury rynku kapitałowego zasady zarządzania uprawnieniami powinny w szczególności uwzględniać zagrożenia związane z nieprawidłowym wykorzystaniem uprawnień użytkowników uprzywilejowanych. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wprowadzenia mechanizmów zapewniających każdorazową rejestrację oraz możliwość monitorowania dostępu z poziomu uprawnień uprzywilejowanych do najbardziej wrażliwych komponentów środowiska teleinformatycznego.

10. Systemy informatyczne przetwarzające dane o wysokiej istotności dla podmiotu infrastruktury rynku kapitałowego 43 powinny posiadać mechanizmy pozwalające na automatyczną rejestrację zachodzących w nich zdarzeń w taki sposób, aby zapisy tych rejestrów mogły - w przypadku wystąpienia takiej konieczności - stanowić wiarygodne dowody niewłaściwego lub niezgodnego z zakresem zadań użytkowników korzystania z tych systemów. Mechanizmy rejestracji zdarzeń powinny również uniemożliwiać nieuprawnione usuwanie lub modyfikowanie zapisów.

11. Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady zarządzania kluczami kryptograficznymi, obejmujące w szczególności ich tworzenie, przechowywanie, dystrybucję, niszczenie oraz archiwizację, zapewniające ochronę kluczy przed nieuprawnioną modyfikacją i ujawnieniem.

12. Istotnym elementem bezpieczeństwa środowiska teleinformatycznego jest kontrola fizycznego dostępu do pomieszczeń, w których ulokowane są serwery i inne kluczowe elementy infrastruktury teleinformatycznej oraz urządzenia wspierające jej działanie (w tym zasilacze awaryjne, generatory prądotwórcze, klimatyzatory i rozdzielnie elektryczne). Mechanizmy kontroli dostępu fizycznego powinny zapewniać dostęp jedynie uprawnionych osób (tj. takich, w przypadku, których konieczność posiadania dostępu wynika z zakresu obowiązków) oraz wszczęcie alarmu w przypadku prób dostępu podejmowanych przez osoby nieuprawnione. Mechanizmy te powinny również obejmować rejestrację ruchu osobowego. Stosowane rozwiązania powinny być adekwatne do poziomu ryzyka związanego z komponentami ulokowanymi w danym pomieszczeniu, specyficznych uwarunkowań (w tym lokalowych) podmiotu infrastruktury rynku kapitałowego oraz skali i charakteru prowadzonej działalności.

13. W pomieszczeniach, w których ulokowane są kluczowe elementy infrastruktury teleinformatycznej, poza sytuacjami wyjątkowymi nie powinno się zezwalać przebywającym tam osobom na fotografowanie, nagrywanie audio/video itp. Zezwolenia przewidujące wyjątki w tym zakresie powinny być udzielane przez odpowiednio upoważnione osoby oraz rejestrowane.

Podmiot infrastruktury rynku kapitałowego powinien zapewnić odpowiednią ochronę środowiska teleinformatycznego przed szkodliwym oprogramowaniem.

1. Podmiot infrastruktury rynku kapitałowego powinien zapewnić automatyczną ochronę przed szkodliwym oprogramowaniem (takim jak wirusy, konie trojańskie, robaki, oprogramowanie rootkit 44 itp.), zarówno w przypadku wymagających takiej ochrony centralnych elementów infrastruktury teleinformatycznej (serwerów, kontrolerów domeny itp.), jak i komputerów osobistych i urządzeń mobilnych. Ochrona ta powinna być realizowana w sposób ciągły, zaś użytkownicy nie powinni mieć możliwości jej wyłączenia. Zakres ochrony powinien wynikać ze stopnia narażenia każdego komponentu infrastruktury na wystąpienie zagrożenia, jak również potencjalnej dotkliwości skutków jego wystąpienia dla podmiotu infrastruktury rynku kapitałowego.

2. Aplikacje chroniące przed szkodliwym oprogramowaniem oraz sygnatury szkodliwego oprogramowania powinny być systematycznie aktualizowane. O ile to możliwe, podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby powyższa aktualność weryfikowana była każdorazowo przy próbie podłączenia urządzenia do sieci wewnętrznej.

3. Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady w zakresie ochrony przed szkodliwym oprogramowaniem, obejmujące w szczególności:

* sposób postępowania z poszczególnymi rodzajami wykrytego szkodliwego oprogramowania,

* tryb podejmowania decyzji o zaprzestaniu użytkowania zagrożonych komponentów środowiska teleinformatycznego lub ich izolowaniu od pozostałej części tego środowiska,

* tryb informowania odpowiednich jednostek podmiotu infrastruktury rynku kapitałowego o zagrożeniu 45 .

4. Niezależnie od poziomu stosowanej automatycznej ochrony przed szkodliwym oprogramowaniem, kluczowa z tej perspektywy jest również świadomość użytkowników końcowych w zakresie zasad bezpieczeństwa. W związku z tym, podmiot infrastruktury rynku kapitałowego powinien zapewnić odpowiedni poziom edukacji użytkowników w tym zakresie 46 .

Podmiot infrastruktury rynku kapitałowego powinien zapewniać wewnętrznym użytkownikom systemów informatycznych wsparcie w zakresie rozwiązywania problemów związanych z ich eksploatacją, w tym wynikających z wystąpienia awarii i innych niestandardowych zdarzeń zakłócających ich użytkowanie.

1. Sposób działania obszaru zapewniania wsparcia dla wewnętrznych użytkowników systemów informatycznych powinien być dostosowany do skali prowadzonej działalności, złożoności środowiska teleinformatycznego i liczby jego użytkowników wewnętrznych oraz uwzględniać ewentualną zależność od zewnętrznych dostawców usług.

2. Funkcjonowanie procesu wsparcia wewnętrznych użytkowników systemów informatycznych powinno być sformalizowane adekwatnie do złożoności środowiska teleinformatycznego podmiotu infrastruktury rynku kapitałowego oraz liczby wewnętrznych użytkowników systemów informatycznych. Zgłoszenia powinny być rejestrowane oraz analizowane w celu umożliwienia podejmowania działań zapobiegawczych w odniesieniu do identyfikowanych problemów. Osoby odpowiedzialne za zapewnienie wsparcia dla użytkowników powinny również być przeszkolone w zakresie identyfikacji i eskalacji incydentów naruszenia bezpieczeństwa środowiska teleinformatycznego 47 .

3. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego oraz liczbę i charakterystykę jego użytkowników) i na tej podstawie podjąć odpowiednią decyzję dotyczącą zapewnienia wsparcia obsługi zgłoszeń użytkowników przez system informatyczny, pozwalający w szczególności na gromadzenie i raportowanie danych o występujących problemach oraz monitorowanie jakości zapewnianego wsparcia.

Podmiot infrastruktury rynku kapitałowego powinien podejmować skuteczne działania mające na celu osiągnięcie i utrzymanie odpowiedniego poziomu kwalifikacji pracowników w zakresie środowiska teleinformatycznego i bezpieczeństwa informacji przetwarzanych w tym środowisku.

1. Podmiot infrastruktury rynku kapitałowego powinny utrzymywać kwalifikacje wszystkich pracowników na poziomie odpowiednim dla zapewnienia bezpieczeństwa informacji przetwarzanych w środowisku teleinformatycznym i umożliwienia właściwego korzystania ze sprzętu i systemów informatycznych. Poziom ten powinien być zróżnicowany w zależności m.in. od ryzyka związanego z poziomem uprawnień i kompetencji poszczególnych pracowników oraz pełnionej przez nich roli w systemie zarządzania bezpieczeństwem środowiska teleinformatycznego.

2. W celu zapewnienia odpowiedniego poziomu kwalifikacji pracowników w powyższym zakresie, podmiot infrastruktury rynku kapitałowego powinien stosować adekwatne formy szkoleń, zapewniać właściwe materiały, jak również prowadzić różnorodne akcje edukacyjne mające na celu podniesienie kultury bezpieczeństwa informacji (np. z wykorzystaniem plakatów czy wygaszaczy ekranu). Podmiot infrastruktury rynku kapitałowego powinien również przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą premiowania zachowań wspierających tworzenie kultury bezpieczeństwa informacji.

3. W ramach prowadzenia edukacji pracowników podmiot infrastruktury rynku kapitałowego powinien uwzględniać m.in. zagrożenia związane z korzystaniem z urządzeń mobilnych, korzystaniem z własnego sprzętu informatycznego w celach zawodowych oraz korzystaniem ze sprzętu służbowego w celach prywatnych, publikowaniem przez pracowników informacji dotyczących podmiotu infrastruktury rynku kapitałowego w Internecie (w szczególności na portalach społecznościowych) oraz z atakami socjotechnicznymi, jak również informować pracowników o procesie postępowania dyscyplinarnego wobec osób nieprzestrzegających procedur bezpieczeństwa.

System zarządzania ciągłością działania podmiotu infrastruktury rynku kapitałowego powinien uwzględniać szczególne uwarunkowania związane z jego środowiskiem teleinformatycznym oraz przetwarzanymi w nim danymi.

Plany utrzymania ciągłości działania i plany awaryjne

1. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności stopień narażenia na ryzyko w zakresie bezpieczeństwa środowiska teleinformatycznego oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wyznaczenia osoby lub zespołu właściwego do spraw ciągłości działania, którego zadaniem powinien być w szczególności nadzór nad zapewnieniem dostępności niezbędnych zasobów pozwalających na kontynuowanie lub odtworzenie działalności.

2. Ponieważ odtworzenie działania środowiska teleinformatycznego jest zwykle niezbędne dla wznowienia funkcjonowania procesów biznesowych, podmiot infrastruktury rynku kapitałowego powinien poświęcić szczególną uwagę zarządzaniu ciągłością działania w zakresie jednostek odpowiedzialnych za funkcjonowanie tego środowiska.

3. Dokumentacja systemu zarządzania ciągłością działania podmiotu infrastruktury rynku kapitałowego w zakresie środowiska teleinformatycznego (w szczególności procedur replikacji danych, tworzenia kopii zapasowych i procedur odtworzeniowych) powinna uwzględniać klasyfikację systemów informatycznych oraz przetwarzanych w nich informacji 48 , jak również zależności pomiędzy tymi systemami. Aktualność tej dokumentacji powinna być regularnie weryfikowana.

4. Podmiot infrastruktury rynku kapitałowego powinien posiadać efektywny system dystrybucji dokumentacji systemu zarządzania ciągłością działania w zakresie środowiska teleinformatycznego, zapewniający zarówno jej poufność, jak i dostępność dla odpowiednich osób.

5. W ramach podejścia do zarządzania ciągłością działania podmiot infrastruktury rynku kapitałowego powinien uwzględniać zależności od zewnętrznych dostawców usług, których znaczenie jest kluczowe z perspektywy ciągłości działania podmiotu infrastruktury rynku kapitałowego. W szczególności podmiot infrastruktury rynku kapitałowego powinien:

* określić tryb komunikacji i współpracy z usługodawcą w przypadku wystąpienia sytuacji awaryjnej,

* uwzględnić udział usługodawców zewnętrznych w procesie testowania systemu zarządzania ciągłością działania 49 ,

* opracować zasady związane z wystąpieniem konieczności zmiany usługodawcy w trakcie sytuacji awaryjnej.

Zasoby techniczne oraz warunki fizyczne i środowiskowe

1. Podmiot infrastruktury rynku kapitałowego powinien posiadać adekwatne do skali i specyfiki prowadzonej działalności zasoby techniczne, pozwalające na bieżące funkcjonowanie kluczowych procesów oraz ich odtworzenie w przypadku wystąpienia sytuacji awaryjnej, w szczególności z uwzględnieniem zdefiniowanych dla tych procesów:

* parametrów określających maksymalny czas trwania odtwarzania funkcjonowania tych procesów 50 ,

* parametrów określających, jak wiele (tj. za jaki okres) maksymalnie danych przechowywanych w systemach informatycznych może zostać utraconych 51 .

2. W przypadku wystąpienia sytuacji rozległej awarii lub niedostępności podstawowego ośrodka przetwarzania danych, podmiot infrastruktury rynku kapitałowego powinien posiadać możliwość odtworzenia środowiska teleinformatycznego (adekwatnego do założeń planów awaryjnych) w lokalizacji zapasowej. Lokalizacja ta powinna być odpowiednio odległa od ośrodka podstawowego, w celu minimalizacji ryzyka związanego z niedostępnością obu ośrodków w wyniku zajścia pojedynczej przyczyny (np. powodzi). Proces odtwarzania środowiska powinien zostać sformalizowany w szczegółowych regulacjach wewnętrznych, określających zakresy kompetencji, niezbędne zasoby oraz kolejność i sposób odtwarzania komponentów środowiska teleinformatycznego.

3. Charakter funkcjonowania ośrodka zapasowego powinien być dostosowany do skali i specyfiki prowadzonej działalności operacyjnej oraz uwzględniać maksymalny akceptowany przez podmiot infrastruktury rynku kapitałowego czas niedostępności usług.

4. Warunkiem nieprzerwanego i bezpiecznego funkcjonowania środowiska teleinformatycznego jest zapewnienie bezpieczeństwa fizycznego i środowiskowego w lokalizacjach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, w szczególności w zakresie warunków związanych z ciągłością zasilania elektrycznego oraz stabilnością jego parametrów, temperaturą, wilgotnością i poziomem zapylenia, jak również kluczowe elementy instalacji zabezpieczających przed zalaniem, pożarem, włamaniem i kradzieżą lub celowym uszkodzeniem. W związku z tym, podmiot infrastruktury rynku kapitałowego powinien identyfikować zagrożenia w powyższym zakresie oraz analizować ich potencjalny wpływ na bezpieczeństwo środowiska teleinformatycznego i ciągłość działania (w szczególności w przypadku, gdy zasoby ośrodka zapasowego nie pozwalają na szybkie wznowienie działalności). Analiza ta powinna umożliwić określenie, czy lokalizacja pomieszczeń, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej jest odpowiednia oraz czy są one adekwatnie zabezpieczone.

5. Przeprowadzając powyższą analizę podmiot infrastruktury rynku kapitałowego powinien w szczególności uwzględnić zagrożenia związane z:

* lokalizacją i sąsiedztwem budynku (w tym znajdującymi się w jego okolicy lotniskami, obiektami wojskowymi itp.),

* lokalizacją i sąsiedztwem pomieszczeń, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej (w szczególności zagrożenia związane z ulokowaniem tych pomieszczeń w piwnicach lub na poddaszach),

* uwarunkowaniami konstrukcyjnymi (np. wytrzymałością stropów, szczelnością pomieszczeń, jakością instalacji odgromowej).

6. W celu zapewnienia właściwych warunków fizycznych i środowiskowych w lokalizacjach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, podmiot infrastruktury rynku kapitałowego powinien w szczególności przestrzegać następujących zasad:

* drzwi, okna, ściany i stropy w pomieszczeniach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, powinny zapewniać właściwą odporność mechaniczną, przeciwpożarową i przeciwwłamaniową.

* w pomieszczeniach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, nie powinno się umieszczać materiałów łatwopalnych lub - w przypadku takiej konieczności - odpowiednio je zabezpieczać (np. w szafach gwarantujących ochronę przeciwpożarową).

* stosowane czynniki gaszące powinny minimalizować ryzyko uszkodzenia urządzeń elektronicznych i zapisanych w nich danych.

* systemy zabezpieczeń antywłamaniowych i przeciwpożarowych powinny zapewniać niezwłoczne powiadomienie osób odpowiedzialnych za ochronę oraz wszczęcie akcji gaśniczej i ratunkowej. Podmiot infrastruktury rynku kapitałowego powinien również przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą uzupełnienia systemu ochrony przeciwpożarowej o urządzenia automatycznego gaszenia.

* w pomieszczeniach, w których ulokowane są komponenty infrastruktury teleinformatycznej, należy zapewnić utrzymywanie parametrów środowiskowych (np. temperatury, wilgotności, zapylenia itp.) na poziomie określonym przez producentów tych komponentów. Stosowane przez podmiot infrastruktury rynku kapitałowego urządzenia kontrolujące te parametry powinny charakteryzować się właściwą wydajnością oraz redundancją (na wypadek awarii). Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania rozwiązań zapewniających automatyczne monitorowanie i regulację parametrów środowiskowych.

* dobór mechanizmów zapewniających ciągłość zasilania elektrycznego powinien uwzględniać skalę i specyfikę działalności podmiotu infrastruktury rynku kapitałowego. Zasilanie awaryjne w oparciu jedynie o zasilacze bateryjne (UPS) pozwala na podtrzymywanie pracy zasobów przez ograniczony czas i z reguły w ograniczonym zakresie, dlatego podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą zapewnienia niezależnego zasilania elektrycznego w oparciu o generator prądotwórczy, w miarę możliwości uruchamiany automatycznie w przypadku zaniku zasilania podstawowego, jak również stosowanie zwielokrotnionych linii elektrycznych.

7. W przypadku czasowego przeniesienia sprzętu teleinformatycznego do innego pomieszczenia (np. w związku z remontem) podmiot infrastruktury rynku kapitałowego powinien zapewnić w tym pomieszczeniu odpowiednie warunki fizyczne i środowiskowe oraz właściwy poziom kontroli dostępu 52 .

8. Skuteczność funkcjonowania mechanizmów mających na celu zapewnienie właściwych warunków fizycznych i środowiskowych w lokalizacjach, w których znajdują się kluczowe elementy infrastruktury teleinformatycznej, powinna podlegać okresowej weryfikacji.

Kopie awaryjne

1. Jednym ze środków mających na celu zapewnienie ciągłości działania w przypadku awarii lub katastrofy są awaryjne kopie danych, instancji systemów informatycznych oraz konfiguracji kluczowych komponentów infrastruktury teleinformatycznej. Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady zarządzania nośnikami danych przechowującymi kopie awaryjne. Zasady te powinny w szczególności obejmować:

* zakres, sposób i częstotliwość kopiowania danych,

* sposoby identyfikacji nośników,

* miejsce, okres i sposób bezpiecznego przechowywania nośników,

* sposób i formę autoryzacji zmian na nośnikach i usuwania danych,

* role i odpowiedzialności w zakresie zarządzania nośnikami,

* sposoby właściwej i trwałej likwidacji niepotrzebnych danych (w zakresie zarówno likwidacji danych zapisanych na nadal eksploatowanych nośnikach, jak i likwidacji nośników wycofywanych z eksploatacji).

2. Poprawność wykonywania kopii awaryjnych oraz możliwość odtworzenia z nich danych powinny podlegać okresowej kontroli. Kontrola taka może być wykonywana automatycznie, przy czym w takim przypadku należy zapewnić, aby odpowiednie osoby były informowane o jej wynikach.

3. Podmiot infrastruktury rynku kapitałowego powinien posiadać szczegółowe regulacje i instrukcje odtwarzania komponentów środowiska teleinformatycznego na podstawie kopii awaryjnych. Dokumenty te powinny być napisane w taki sposób, aby możliwe było przeprowadzenie tego procesu przez posiadające odpowiednie kwalifikacje i uprawnienia osoby trzecie (tj. takie, które na bieżąco nie zajmują się administracją danym komponentem środowiska). Proces odtwarzania komponentów środowiska teleinformatycznego powinien być systematycznie testowany.

4. Podmiot infrastruktury rynku kapitałowego powinien zapewnić integralność kopii awaryjnych od momentu ich utworzenia aż do likwidacji. Oznacza to, że przez cały ten okres powinny one odzwierciedlać faktyczny stan zasobów na moment utworzenia kopii, co wyklucza możliwość usuwania z nich jakichkolwiek danych. Regulacje i instrukcje w zakresie odtwarzania danych z kopii awaryjnych powinny uwzględniać zasady dotyczące wprowadzania w odtworzonych danych zmian powstałych pomiędzy utworzeniem danej kopii awaryjnej (lub ich sekwencji) a użyciem jej do odtworzenia stanu środowiska teleinformatycznego sprzed awarii.

5. Kopie, zwłaszcza transportowane lub transmitowane poza podmiotem infrastruktury rynku kapitałowego, powinny podlegać zabezpieczeniu (np. kryptograficznemu) przed nieuprawnionym dostępem, na poziomie adekwatnym do klasyfikacji przechowywanych na nich danych 53 . Nośniki zawierające kopie powinny być przechowywane w sposób minimalizujący ryzyko ich uszkodzenia (np. w wyniku pożaru, zalania, wpływu pola magnetycznego) lub nieuprawnionej modyfikacji. Powinny być one również składowane oddzielnie od komponentów środowiska, których dotyczą.

6. Nośniki uszkodzone lub wycofane z użycia powinny podlegać zniszczeniu w sposób uniemożliwiający odtworzenie danych.

Weryfikacja efektywności podejścia do zarządzania ciągłością działania

Podmiot infrastruktury rynku kapitałowego powinien regularnie weryfikować efektywność przyjętego podejścia do zarządzania ciągłością działania w zakresie środowiska teleinformatycznego, w tym w zakresie zdolności do odtworzenia działalności w oparciu o środowisko zapasowe. Częstotliwość, zakres oraz sposób przeprowadzania testów (taki jak np. symulacje, całościowe testy operacyjne itp.) powinny uwzględniać skalę i specyfikę działalności podmiotu infrastruktury rynku kapitałowego oraz zagrożenia związane z poszczególnymi komponentami środowiska teleinformatycznego. Plany testów, zwłaszcza w przypadku, kiedy mogą mieć one wpływ na bieżącą działalność podmiotu infrastruktury rynku kapitałowego, powinny być konsultowane w organizacji i zatwierdzane przez zarząd podmiotu infrastruktury rynku kapitałowego. Wyniki testów oraz plany działań naprawczych, które należy podjąć w celu usunięcia zidentyfikowanych nieprawidłowości, powinny być dokumentowane. Rada nadzorcza i kierownictwo podmiotu infrastruktury rynku kapitałowego powinno być informowane o wynikach testów oraz terminowości i skuteczności podejmowanych działań naprawczych.

Podmiot infrastruktury rynku kapitałowego świadczący usługi z wykorzystaniem elektronicznych kanałów dostępu powinien posiadać skuteczne rozwiązania techniczne i organizacyjne zapewniające weryfikację tożsamości i bezpieczeństwo danych oraz środków klientów, jak również edukować klientów w zakresie zasad bezpiecznego korzystania z tych kanałów.

Weryfikacja tożsamości klientów

1. Kluczowe znaczenie w usługach podmiotu infrastruktury rynku kapitałowego świadczonych za pośrednictwem elektronicznych kanałów dostępu ma potwierdzenie, czy dana próba kontaktu lub dostępu jest uprawniona.

W związku z tym, podmiot infrastruktury rynku kapitałowego powinien określić i stosować możliwie niezawodne metody i środki:

* weryfikacji tożsamości klienta przy otwieraniu rachunku, również w przypadku zawierania takich umów na odległość 54 ,

* potwierdzania tożsamości i uprawnień klientów korzystających z elektronicznych kanałów dostępu, minimalizujące ryzyko udzielenia dostępu nieupoważnionym osobom.

2. Wybór stosowanych przez podmiot infrastruktury rynku kapitałowego metod potwierdzania tożsamości klientów korzystających z elektronicznych kanałów dostępu powinien być dokonywany w oparciu o analizę ryzyka związanego z tymi kanałami. Analiza ta powinna być przeprowadzana systematycznie i uwzględniać możliwości transakcyjne oferowane przez dany kanał dostępu, przetwarzane w nim dane, rozpoznane techniki ataków, a jednocześnie łatwość korzystania przez klienta z poszczególnych metod potwierdzania tożsamości. Typowe środki wykorzystywane w zakresie potwierdzania tożsamości w elektronicznych kanałach dostępu obejmują m.in. osobisty numer identyfikacyjny, hasła, podpis elektroniczny, karty smart, kody jednorazowe, tokeny, dane biometryczne czy certyfikaty cyfrowe, przy czym metody weryfikacji tożsamości mogą opierać się na jednym lub wielu czynnikach (np. stosowanie zarówno hasła, jak i kodów jednorazowych). Podmiot infrastruktury rynku kapitałowego powinien także przeanalizować, czy i w jakim stopniu zastosowanie wieloczynnikowej weryfikacji tożsamości przyczyni się do zwiększenia poziomu bezpieczeństwa klientów.

3. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastosowania innych mechanizmów zabezpieczających, takich jak np. weryfikacja miejsca i czasu logowania do elektronicznego kanału dostępu.

Bezpieczeństwo danych i środków klientów

1. Poza powyższymi środkami, w celu uniemożliwienia uzyskania nieupoważnionego dostępu do rachunku klienta z wykorzystaniem elektronicznych kanałów dostępu, systemy informatyczne wykorzystywane w obszarze tych kanałów powinny być zaprojektowane i skonfigurowane w sposób zapewniający odpowiednio wysoki poziom integralności, poufności i dostępności danych przetwarzanych z wykorzystaniem tych kanałów, w całym procesie ich przetwarzania (zarówno w ramach podmiotu infrastruktury rynku kapitałowego, jak i przez zewnętrznych dostawców usług). Dodatkowo, podmiot infrastruktury rynku kapitałowego powinien zapewnić, że:

* posiada zasady nadawania uprawnień do elektronicznych kanałów dostępu minimalizujące ryzyko wystąpienia przypadków oszustw wewnętrznych,

* sesje połączeniowe są szyfrowane oraz wprowadzone są dodatkowe mechanizmy, które w możliwie największym stopniu uodparniają te sesje na manipulacje (np. poprzez zamykanie sesji w przypadku braku aktywności użytkownika przez określony czas lub po zamknięciu aplikacji klienckiej bez wylogowania),

* systemy informatyczne wykorzystywane w zakresie elektronicznych kanałów dostępu umożliwiają zidentyfikowanie i zabezpieczenie dowodów, które mogą zostać wykorzystane w ewentualnym postępowaniu sądowym (w szczególności zminimalizowane jest ryzyko utraty takich dowodów lub ich odrzucenia ze względu na niewłaściwe zabezpieczenie danych),

* systemy informatyczne wykorzystywane w zakresie elektronicznych kanałów dostępu są zaprojektowane w sposób minimalizujący prawdopodobieństwo przypadkowego dostępu przez nieupoważnionych użytkowników,

* rozwiązania wykorzystywane w zakresie elektronicznych kanałów dostępu zapewniają podmiotowi infrastruktury rynku kapitałowego dostęp do ścieżek kontroli i weryfikacji, w szczególności obejmujących:

- otwieranie i zamykanie rachunku klienta,

- zmianę danych klienta,

- wszelkie udzielone klientowi limity i upoważnienia do ich przekroczenia,

- udane i nieudane próby zalogowania do systemów,

- wszelkie przypadki udzielenia, modyfikacji lub cofnięcia uprawnień dostępu do systemów.

2. W przypadku, gdy w procesie świadczenia usług za pośrednictwem elektronicznych kanałów dostępu uczestniczą usługodawcy zewnętrzni, podmiot infrastruktury rynku kapitałowego powinien upewnić się, że posiadają oni właściwe programy zarządzania bezpieczeństwem informacji przetwarzanych na rzecz podmiotu infrastruktury rynku kapitałowego 55 .

3. O ile obowiązujące przepisy prawa nie dopuszczają w danym przypadku braku zawarcia umowy z klientem elektronicznych kanałów dostępu, umowa taka powinna określać zasady ochrony informacji i szczegółowe warunki dostępu (zwłaszcza metody weryfikacji tożsamości).

4. Podmiot infrastruktury rynku kapitałowego powinien udostępniać klientom kanał komunikacji (np. skrzynkę e-mail, numer telefonu) umożliwiający informowanie podmiotu infrastruktury rynku kapitałowego o zidentyfikowanych przez klientów zdarzeniach dotyczących bezpieczeństwa elektronicznych kanałów dostępu (np. o atakach opartych o technikę phishing).

Edukacja klientów

1. W związku z tym, że znaczna część kanału świadczenia usług znajduje się poza bezpośrednią kontrolą, podmiot infrastruktury rynku kapitałowego powinien dążyć do zapewnienia klientom korzystającym z elektronicznych kanałów dostępu odpowiedniego poziomu wiedzy pozwalającej na zrozumienie zagrożeń związanych z wykorzystaniem tych kanałów i stosowanie skutecznych sposobów zabezpieczania się przed tymi zagrożeniami. Może być to realizowane np. w formie wyraźnie widocznych informacji zamieszczonych na stronach podmiotu infrastruktury rynku kapitałowego, poprzez ulotki informacyjne, przesyłane do klientów wiadomości e-mail itp.

2. Podmiot infrastruktury rynku kapitałowego powinien informować klientów o zagrożeniach związanych w szczególności z:

* nieodpowiednim zabezpieczeniem danych wykorzystywanych do logowania do elektronicznych kanałów dostępu,

* nieodpowiednim zabezpieczeniem urządzeń wykorzystywanych do realizacji usług świadczonych za pośrednictwem elektronicznych kanałów dostępu (telefonów komórkowych, komputerów), w tym o istotności stosowania oprogramowania antywirusowego i zapór sieciowych, kontroli fizycznego dostępu, regularnej aktualizacji oprogramowania itp.,

* innymi technikami mającymi na celu przechwycenie informacji umożliwiających dostęp do rachunku (np. poprzez ataki oparte o technikę phishing), wraz ze wskazaniem sposobów zabezpieczania się przed takimi technikami.

Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady zarządzania tzw. oprogramowaniem użytkownika końcowego, skutecznie ograniczające ryzyko związane z eksploatacją tego oprogramowania.

1. Ze względu na zagrożenia związane z wykorzystywaniem oprogramowania użytkownika końcowego (takie jak wysoka podatność na błędy programistyczne, prawdopodobieństwo utraty danych zwykle wyższe niż w przypadku typowych systemów informatycznych, wysoka podatność na ingerencję w zawarte w tych narzędziach algorytmy przetwarzania danych itp.), w zakresie zarządzania tego typu oprogramowaniem podmiot infrastruktury rynku kapitałowego powinien w szczególności:

* identyfikować istotne oprogramowanie użytkownika końcowego, tj. takie, w którym przetwarzane są dane o wysokiej istotności dla podmiotu infrastruktury rynku kapitałowego lub które ma istotne znaczenie z perspektywy realizowanych w podmiocie infrastruktury rynku kapitałowego procesów,

* dokumentować istotne oprogramowanie użytkownika końcowego, w tym jego rolę w procesach biznesowych, zakresy przetwarzanych danych, algorytmy przetwarzania danych itp.,

* prowadzić rejestr funkcjonującego w obrębie podmiotu infrastruktury rynku kapitałowego istotnego oprogramowania użytkownika końcowego,

* zapewnić odpowiedni poziom bezpieczeństwa istotnego oprogramowania użytkownika końcowego (np. poprzez ochronę folderów, w których jest ono zapisane, czy też zablokowanie możliwości edycji formularzy) w celu zapobieżenia nieautoryzowanym zmianom, zarówno w samym narzędziu, jak i w przechowywanych w nim danych,

* posiadać sformalizowane zasady tworzenia, testowania i dokonywania zmian w istotnym oprogramowaniu użytkownika końcowego,

* analizować zagrożenia i problemy związane z wykorzystywaniem oprogramowania użytkownika końcowego w poszczególnych obszarach działalności i - w przypadku stwierdzenia istotnych zagrożeń lub problemów w tym zakresie - przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą zastępowania go przez funkcjonalności istniejących lub nowych systemów informatycznych.

W podmiocie infrastruktury rynku kapitałowego powinien funkcjonować sformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w podmiocie infrastruktury rynku kapitałowego.

1. System zarządzania bezpieczeństwem środowiska teleinformatycznego powinien wynikać ze strategii podmiotu infrastruktury rynku kapitałowego w obszarze bezpieczeństwa środowiska teleinformatycznego i być oparty o sformalizowane regulacje wewnętrzne. Podstawowym dokumentem w tym zakresie powinna być polityka bezpieczeństwa informacji.

2. System zarządzania bezpieczeństwem środowiska teleinformatycznego powinien być przedmiotem systematycznych przeglądów, mających na celu wprowadzenie ewentualnych usprawnień oraz uwzględnienie w nim zmian zachodzących zarówno w otoczeniu podmiotu infrastruktury rynku kapitałowego, jak i w ich środowisku wewnętrznym.

3. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować korzyści wynikające ze stosowania międzynarodowych standardów (lub ich polskich odpowiedników) w zakresie bezpieczeństwa informacji (takich jak np. normy z serii ISO/IEC 27000) oraz podjąć decyzję w zakresie ewentualnego dostosowania funkcjonującego w podmiocie infrastruktury rynku kapitałowego systemu zarządzania bezpieczeństwem środowiska teleinformatycznego do ich wymagań.

4. Podmiot infrastruktury rynku kapitałowego powinien zapewnić możliwie ścisłą integrację systemu zarządzania bezpieczeństwem środowiska teleinformatycznego z systemem zarządzania ryzykiem operacyjnym. W tym celu podmiot infrastruktury rynku kapitałowego powinien m.in. wykorzystywać w systemie zarządzania bezpieczeństwem środowiska teleinformatycznego stosowane narzędzia zarządzania ryzykiem operacyjnym, takie jak narzędzia oparte o czynniki otoczenia gospodarczego i kontroli wewnętrznej 57 , samoocena ryzyka operacyjnego, analizy scenariuszowe czy mapy ryzyka.

Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego

1. Celem identyfikacji ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego jest określenie związanych z nim zagrożeń mogących spowodować stratę (w tym finansową) w danej instytucji oraz określenie gdzie, w jaki sposób i dlaczego te zagrożenia mogą się zmaterializować.

2. Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego powinna być dokonywana systematycznie i opierać się na:

* identyfikacji ryzyka związanego z potencjalnym naruszeniem bezpieczeństwa środowiska teleinformatycznego przed zmaterializowaniem się danych zagrożeń,

* identyfikacji ryzyka związanego z naruszeniami bezpieczeństwa środowiska teleinformatycznego po zmaterializowaniu się zagrożeń.

3. Identyfikując ryzyko związane z potencjalnym naruszeniem bezpieczeństwa środowiska teleinformatycznego przed zmaterializowaniem się danych zagrożeń, szczególną uwagę podmiot infrastruktury rynku kapitałowego powinien poświęcić identyfikacji istniejących podatności środowiska teleinformatycznego (w tym komponentów infrastruktury teleinformatycznej) oraz zagrożeń, które mogą je wykorzystać. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego i stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wykorzystania automatycznych narzędzi pozwalających na identyfikację istniejących podatności. Niezależnie od okresowej oceny, identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego powinna być przeprowadzana każdorazowo w przypadku planowania istotnych zmian, zarówno w samych systemach informatycznych 58 , jak i w ich wykorzystaniu, a także w przypadku planów wdrożenia nowych technologii.

4. Identyfikując ryzyko związane z naruszeniami bezpieczeństwa środowiska teleinformatycznego po zmaterializowaniu się zagrożeń, podmiot infrastruktury rynku kapitałowego powinien gromadzić informacje o zaistniałych w prowadzonej działalności zdarzeniach mających wpływ na bezpieczeństwo przetwarzanych w podmiocie infrastruktury rynku kapitałowego informacji oraz - w przypadku zgodności z przyjętą w podmiocie infrastruktury rynku kapitałowego definicją zdarzenia operacyjnego - uwzględniać je w bazie zdarzeń operacyjnych.

Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego

1. Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego ma na celu określenie prawdopodobieństwa i potencjalnego wpływu zmaterializowania się zagrożeń związanych z tym ryzykiem na instytucję oraz - na tej podstawie - dokonanie oceny tego ryzyka.

2. Działania w zakresie szacowania ryzyka powinny być realizowane z uwzględnieniem klasyfikacji informacji i systemów informatycznych 59 . Badanie wpływu zidentyfikowanych zagrożeń powinno obejmować również elementy powiązane z komponentem, dla którego zidentyfikowano dane zagrożenie. W wyniku przeprowadzenia szacowania ryzyka podmiot infrastruktury rynku kapitałowego powinien uzyskać wiedzę na temat występujących w jego działalności zagrożeń związanych z bezpieczeństwem środowiska uzyskać wiedzę na temat występujących w ich działalności zagrożeń związanych z bezpieczeństwem środowiska teleinformatycznego, prawdopodobieństwa wystąpienia zidentyfikowanych zagrożeń oraz możliwych skutków zmaterializowania się tych zagrożeń, z uwzględnieniem potencjalnej utraty reputacji, która może prowadzić do spadku zaufania klientów i zakończenia przez nich współpracy z podmiotem infrastruktury rynku kapitaowego, co w szczególności może mieć wpływ na sytuację płynnościową podmiotu infrastruktury rynku kapitałowego. Wiedza ta powinna pozwolić na podjęcie właściwych decyzji w zakresie kontroli i przeciwdziałania ryzyku.

Kontrola i przeciwdziałanie ryzyku w zakresie bezpieczeństwa środowiska teleinformatycznego

1. Uwzględniając wyniki dokonanego oszacowania ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, podmiot infrastruktury rynku kapitałowego powinien podejmować stosowne decyzje dotyczące podejścia do poszczególnych zagrożeń, polegające na:

* ograniczaniu ryzyka, tj. wprowadzaniu i modyfikacji istniejących organizacyjnych i technicznych mechanizmów kontrolnych w zakresie bezpieczeństwa środowiska teleinformatycznego,

* transferze ryzyka, tj. przeniesieniu części lub całości ryzyka związanego z danych zagrożeniem na podmiot zewnętrzny 60 , w szczególności poprzez zlecanie wykonywania czynności zewnętrznym dostawcom usług 61 lub stosowanie ubezpieczeń,

* unikaniu ryzyka, tj. niepodejmowaniu działań, z którymi wiąże się dane zagrożenie,

* akceptacji ryzyka, tj. świadomym niepodejmowaniu działań mających na celu ograniczenie prawdopodobieństwa lub skutków zmaterializowania się danego zagrożenia, wraz z ewentualnym zapewnieniem środków na pokrycie potencjalnie związanych z nim strat.

2. Stosowane mechanizmy kontrolne powinny być adekwatne w szczególności do: zidentyfikowanych zagrożeń, oszacowanego ryzyka wynikającego z tych zagrożeń oraz istotności związanych z nimi komponentów środowiska teleinformatycznego, w szczególności systemów informatycznych 62 , skali i specyfiki działalności podmiotu infrastruktury rynku kapitałowego, złożoności środowiska teleinformatycznego podmiotu infrastruktury rynku kapitałowego.

3. Podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby wszystkie wyjątki od obowiązujących regulacji wewnętrznych oraz stosowanych mechanizmów kontrolnych były ewidencjonowane i kontrolowane zgodnie ze sformalizowaną procedurą, określającą m.in. sytuacje, w jakich dopuszcza się udzielenie zgody na odstępstwo, zasady składania i akceptacji wniosku o udzielenie takiej zgody (z zapewnieniem, że wniosek zawiera uzasadnienie potrzeby zastosowania wyjątku), osoby upoważnione do udzielenia zgody, akceptowalny czas obowiązywania odstępstw oraz zasady raportowania w tym zakresie. Podmiot infrastruktury rynku kapitałowego powinien również systematycznie analizować ryzyko związane z ww. odstępstwami.

4. Podmiot infrastruktury rynku kapitałowego powinien regularnie weryfikować, czy przyjęte mechanizmy kontrolne są adekwatne do jego profilu ryzyka, a sposób ich funkcjonowania jest prawidłowy. W przypadku zaistnienia takiej konieczności (np. w przypadku stwierdzenia, że zasoby wewnętrzne podmiotu infrastruktury rynku kapitałowego nie są wystarczające w danym zakresie), podmiot infrastruktury rynku kapitałowego powinien wykorzystać w tym celu zewnętrznych specjalistów, mając jednak na uwadze konieczność przestrzegania przepisów w zakresie umowy powierzenia (outsourcingu) oraz obowiązku ochrony informacji objętych tajemnicą zawodową i informacji poufnych. Kontrola ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego powinna być sprawowana adekwatnie do poziomu tego ryzyka niezależnie od tego, czy związane jest ono z przetwarzaniem danych klientów podmiotu infrastruktury rynku kapitałowego (lub prowadzeniem innych operacji w ramach działalności podmiotu infrastruktury rynku kapitałowego), czy też z przetwarzaniem danych dla zewnętrznych podmiotów).

Monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego

1. Wyniki identyfikacji i szacowania ryzyka w zakresie środowiska teleinformatycznego oraz rezultaty badania efektywności wprowadzonych mechanizmów kontrolnych powinny być monitorowane (w tym pod kątem występujących trendów), jak również prezentowane kierownictwu podmiotu infrastruktury rynku kapitałowego i radzie nadzorczej w ramach funkcjonującego systemu organizacji informacji zarządczej 63 . Informacje te powinny być przekazywane regularnie, zaś ich częstotliwość i zakres powinny uwzględniać profil ryzyka podmiotu infrastruktury rynku kapitałowego oraz dawać możliwość podjęcia odpowiedniej reakcji.

Podmiot infrastruktury rynku kapitałowego powinien klasyfikować systemy informatyczne i przetwarzane w nich informacje zgodnie z zasadami uwzględniającymi w szczególności wymagany dla tych systemów i informacji poziom bezpieczeństwa.

Klasyfikacja informacji

1. Podmiot infrastruktury rynku kapitałowego powinien opracować zasady klasyfikacji informacji zapewniające, że każda informacja przetwarzana w środowisku teleinformatycznym zostanie objęta odpowiednim dla niej poziomem ochrony. W tym celu niezbędne jest ustanowienie takiego systemu klasyfikacji informacji, który będzie obejmował wszystkie dane przetwarzane w systemach informatycznych podmiotu infrastruktury rynku kapitałowego, jak również zapewnienie, że klasyfikacja każdej informacji jest adekwatna do aktualnych uwarunkowań wewnętrznych i zewnętrznych podmiotu infrastruktury rynku kapitałowego.

2. Informacje powinny być klasyfikowane pod kątem wymaganego poziomu bezpieczeństwa z uwzględnieniem w szczególności:

* znaczenia tych informacji dla podmiotu infrastruktury rynku kapitałowego i realizowanych w nim procesów,

* znaczenia tych informacji z perspektywy zarządzania rodzajami ryzyka, które zostały zidentyfikowane jako istotne w prowadzonej przez podmiot infrastruktury rynku kapitałowego działalności,

* skutków utraty lub nieuprawnionej zmiany danej informacji,

* skutków nieuprawnionego ujawnienia danej informacji,

* szczególnych wymagań regulacyjnych i prawnych dotyczących danego rodzaju informacji 64 .

3. Klasyfikacja każdej informacji powinna być uwzględniana w ramach określania mechanizmów zabezpieczających te informacje w całym cyklu ich przetwarzania - od pozyskania, poprzez wykorzystanie, ewentualne przekazywanie poza podmiot infrastruktury rynku kapitałowego, aż do momentu archiwizacji oraz usunięcia.

4. Dostęp do informacji objętych tajemnicą zawodową i poufnych powinien być udzielany jedynie osobom, w stosunku, do których podmiot infrastruktury rynku kapitałowego stwierdzi w świetle obowiązujących przepisów prawa dopuszczalność udzielenia dostępu do takich informacji. Ponadto, każda osoba, której podmiot infrastruktury rynku kapitałowego udziela dostępu do informacji objętych tajemnicą zawodową i poufnych powinna zostać zobligowana do podpisania zobowiązania w zakresie zachowania ich poufności (również przez odpowiedni czas po ustaniu tego dostępu), przy czym zasada ta nie znajduje zastosowania w przypadkach, gdy powszechnie obowiązujące przepisy prawa nakładają obowiązek udzielenia takiego dostępu.

5. Przechowywanie informacji o istotnym znaczeniu dla podmiotu infrastruktury rynku kapitałowego na komputerach stacjonarnych, komputerach przenośnych lub urządzeniach mobilnych powinno być ograniczone do niezbędnego minimum i chronione adekwatnie do klasyfikacji tych informacji (np. poprzez szyfrowanie, mechanizmy kontroli dostępu, mechanizmy zapewniające możliwość odzyskiwania danych).

6. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wykorzystania rozwiązań automatyzujących działania w zakresie kontroli ryzyka związanego z bezpieczeństwem informacji przetwarzanych w środowisku teleinformatycznym, takich jak np. rozwiązania ograniczające użytkownikom systemów informatycznych możliwość zapisu informacji na przenośnych nośnikach danych, umożliwiające sprawowanie kontroli nad informacjami przesyłanymi za pośrednictwem poczty elektronicznej oraz ograniczające dostęp do innych niż przyjęte w podmiocie infrastruktury rynku kapitałowego systemów poczty elektronicznej. Należy jednak pamiętać, że wykorzystanie tego rodzaju automatycznych rozwiązań nie zwalnia podmiotu infrastruktury rynku kapitałowego z konieczności sprawowania przez pracowników nadzoru nad tym obszarem.

Klasyfikacja systemów informatycznych

1. Podmiot infrastruktury rynku kapitałowego powinien opracować zasady klasyfikacji systemów informatycznych, uwzględniające w szczególności:

* klasyfikację informacji przetwarzanych w obrębie danego systemu,

* znaczenie danego systemu dla działalności podmiotu infrastruktury rynku kapitałowego,

* istotność innych systemów informatycznych, których funkcjonowanie zależy od danego systemu.

Podmiot infrastruktury rynku kapitałowego powinien posiadać sformalizowane zasady zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowanie działań naprawczych oraz usuwanie przyczyn.

1. Podmiot infrastruktury rynku kapitałowego powinien posiadać regulacje wewnętrzne opisujące zasady postępowania w przypadkach wystąpień incydentów naruszenia bezpieczeństwa środowiska teleinformatycznego, czyli m.in. awarii i przeciążeń systemów informatycznych, utraty urządzeń lub danych, błędów ludzkich skutkujących zagrożeniem dla bezpieczeństwa środowiska teleinformatycznego, naruszeń lub prób naruszeń zabezpieczeń, niekontrolowanych zmian w systemach itp. Zakres i poziom szczegółowości powyższych regulacji powinny być adekwatne do skali i specyfiki działalności podmiotu infrastruktury rynku kapitałowego oraz poziomu złożoności jego środowiska teleinformatycznego.

2. Zasady postępowania z incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego powinny w szczególności określać:

* metody i zakres zbierania informacji o incydentach,

* zakresy odpowiedzialności w obszarze zarządzania incydentami,

* sposób przeprowadzania analiz wpływu incydentów na środowisko teleinformatyczne, w tym jego bezpieczeństwo,

* zasady kategoryzacji i priorytetyzacji incydentów, uwzględniające klasyfikację informacji i systemów informatycznych związanych z danym incydentem 65 ,

* zasady wykrywania zależności pomiędzy incydentami (przykładem tego rodzaju zależności jest atak typu "Denial-of-Service" uniemożliwiający szybką identyfikację innego incydentu lub usunięcie jego przyczyn),

* zasady komunikacji, obejmujące zarówno pracowników podmiotu infrastruktury rynku kapitałowego, jak i zewnętrznych dostawców usług oraz - w przypadku istotnego narażenia na skutki danego incydentu - również innych stron trzecich (klientów, kontrahentów itp.), zapewniające odpowiednio szybkie powiadamianie zainteresowanych stron i podejmowanie działań, adekwatnie do poziomu istotności incydentu,

* zasady gromadzenia i zabezpieczania dowodów związanych z incydentami, które będą mogły zostać wykorzystane w ewentualnych postępowaniach sądowych (w szczególności minimalizujące ryzyko utraty takich dowodów lub ich odrzucenia ze względu na niewłaściwe zabezpieczenie danych),

* zasady dotyczące podejmowania działań naprawczych i zapobiegawczych, obejmujące w szczególności przypisanie osób odpowiedzialnych za realizację tych działań oraz monitorowanie stanu ich realizacji.

3. W celu m.in. umożliwienia podejmowania działań zapobiegawczych w odniesieniu do identyfikowanych problemów, podmiot infrastruktury rynku kapitałowego powinien prowadzić rejestr incydentów naruszenia bezpieczeństwa środowiska teleinformatycznego, w którym przechowywane powinny być w szczególności informacje dotyczące:

* daty wystąpienia i identyfikacji incydentu,

* przyczyn zajścia incydentu,

* przebiegu incydentu,

* skutków incydentu,

* podjętych działań naprawczych.

4. Podmiot infrastruktury rynku kapitałowego powinien zapewnić, aby wszyscy pracownicy oraz inne osoby świadczące usługi na rzecz podmiotu infrastruktury rynku kapitałowego, które mają dostęp do ich środowiska teleinformatycznego, były poinformowane o zasadach dotyczących zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego w zakresie odpowiednim do wykonywanych czynności i posiadanych uprawnień. W szczególności osoby te powinny być zobowiązane do zgłaszania incydentów naruszenia bezpieczeństwa środowiska teleinformatycznego (w tym podejrzeń wystąpienia takich incydentów) możliwie najszybciej. W tym celu podmiot infrastruktury rynku kapitałowego powinien ustanowić odpowiedni punkt kontaktowy (np. w ramach jednostek odpowiedzialnych za wsparcie użytkowników systemów informatycznych) dedykowany obsłudze zgłoszeń w powyższym zakresie, który będzie powszechnie znany w organizacji, stale dostępny oraz pozwoli na zapewnienie odpowiedniego czasu reakcji. Osoby odpowiedzialne za obsługę zgłoszeń powinny posiadać kwalifikacje i wiedzę zapewniające właściwą klasyfikację każdego zgłoszenia i podjęcie odpowiednich działań związanych z ich obsługą lub eskalacją, tj. przekazaniem do obsługi przez osoby o wyższym poziomie kompetencji w danym zakresie (w szczególności na podstawie klasyfikacji informacji lub systemów informatycznych, z którymi związany jest dany incydent 66 ).

5. Zaleca się, aby w stosunku do incydentów mających istotny wpływ na bezpieczeństwo przetwarzanych danych, w tym w szczególności na bezpieczeństwo środków klientów (również w przypadkach incydentów, o których podmiot infrastruktury rynku kapitałowego jest informowany przez zewnętrznego dostawcę usług 67 ), podmiot infrastruktury rynku kapitałowego posiadały szybką ścieżkę raportowania ich wystąpienia (wraz z określeniem prawdopodobnych przyczyn oraz skutków) wysokiemu szczeblowi kierownictwa podmiotu infrastruktury rynku kapitałowego. Szybki przepływ informacji w zakresie zaistniałego istotnego naruszenia bezpieczeństwa, powinien pozwalać na odpowiednie zaangażowanie kierownictwa podmiotu infrastruktury rynku kapitałowego w proces podejmowania działań naprawczych. Kierownictwo powinno być również systematycznie informowane o stanie realizacji tych działań.

6. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą określenia składu osobowego zespołów, które odpowiedzialne będą za podjęcie odpowiedniej reakcji w przypadkach wystąpienia incydentów mających istotny wpływ na bezpieczeństwo przetwarzanych danych (w szczególności na bezpieczeństwo środków klientów), posiadających odpowiednie kwalifikacje i wiedzę w tym zakresie oraz dysponujących uprawnieniami umożliwiającymi podejmowanie skutecznych działań w nagłych okolicznościach.

7. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego, stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska oraz skalę i specyfikę prowadzonej działalności) i na tej podstawie podjąć odpowiednią decyzję dotyczącą wykorzystania rozwiązań klasy SIEM (ang. Security Information and Event Management), ułatwiających zarządzanie incydentami naruszenia bezpieczeństwa m.in. poprzez centralizację zbierania, analizowania i przechowywania dzienników zdarzeń generowanych przez systemy informatyczne i inne komponenty środowiska teleinformatycznego.

Podmiot infrastruktury rynku kapitałowego powinien zapewnić zgodność funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego z wymaganiami prawnymi, regulacjami wewnętrznymi i zewnętrznymi, zawartymi umowami i przyjętymi w podmiocie infrastruktury rynku kapitałowego standardami.

1. Podmiot infrastruktury rynku kapitałowego powinien systematycznie identyfikować i dokumentować oraz monitorować zgodność z wymaganiami dotyczącymi obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (również w zakresie działalności zleconej zewnętrznym dostawcom usług 68 ) wynikającymi z obowiązujących przepisów prawa, regulacji wewnętrznych i zewnętrznych, zawartych umów i przyjętych w podmiocie infrastruktury rynku kapitałowego u standardów, w tym m.in.:

* ustawy z dnia 21 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2014 r. poz. 94, z późn. zm.),

* ustawy z dnia 26 października 2000 r. o giełdach towarowych (Dz. U. z 2014 r. poz. 197),

* ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2014 r. poz. 455),

* ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182),

* ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r. Nr 182, poz. 1228, z późn. zm.),

* ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (Dz. U. z 2006 r. Nr 90, poz. 631, z późn. zm.),

* aktów wykonawczych w zakresie powyższych ustaw,

oraz umów i licencji w zakresie eksploatowanego oprogramowania.

2. Spełnienie powyższych wymagań powinno być przedmiotem raportowania w ramach systemu informacji zarządczej 69 .

Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego podmiotu infrastruktury rynku kapitałowego powinny być przedmiotem systematycznych, niezależnych audytów.

1. Podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność (uwzględniając w szczególności poziom złożoności środowiska teleinformatycznego i stopień narażenia na ryzyko w zakresie bezpieczeństwa tego środowiska) i na tej podstawie podjąć odpowiednią decyzję dotyczącą powołania w ramach audytu wewnętrznego jednostki odpowiedzialnej za audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

2. Osoby odpowiedzialne za przeprowadzanie audytów obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinny posiadać odpowiednie kwalifikacje. Audyty powinny być przeprowadzane z wykorzystaniem uznanych standardów międzynarodowych i dobrych praktyk w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, jak np.:

* standardy dotyczące audytowania systemów informatycznych ISACA (Information Systems Audit and Control Association),

* COBIT (Control Objectives for Information and related Technology),

* GTAG (Global Technology Audit Guide) oraz GAIT (Guide to the Assessment for IT Risk),

* normy ISO (International Organization for Standardization).

3. Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinien być przeprowadzany regularnie oraz każdorazowo po wprowadzeniu zmian mogących znacząco wpłynąć na poziom bezpieczeństwa środowiska teleinformatycznego. Częstotliwość i zakres audytów powinny wynikać z poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz wyników ich wcześniejszych przeglądów.

4. Zlecanie dodatkowych audytów profesjonalnym instytucjom zewnętrznym specjalizującym się w badaniu obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego jest czynnikiem, który może wzmocnić w istotny sposób kontrolę nad ryzykiem związanym z tym obszarem. W związku z tym, podmiot infrastruktury rynku kapitałowego powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą uzupełnienia działań audytu wewnętrznego przez audyty zewnętrzne przeprowadzane przez tego rodzaju podmioty, w szczególności w zakresie obszarów o wysokim poziomie ryzyka.

5. Informacja o zleceniach audytu oraz sposób i termin usunięcia ewentualnych zagrożeń powinna być przekazywana do zarządu spółek infrastruktury rynku kapitałowego.