Wymagania DORA w BCMLogic
ROZDZIAŁ II
ZARZĄDZANIE RYZYKIEM ZWIĄZANYM Z ICT
Artykuł 5
Zarządzanie i organizacja
Rozporządzenie:
Ust. 2. Organ zarządzający podmiotu finansowego określa, zatwierdza i nadzoruje wdrażanie wszystkich ustaleń dotyczących ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, oraz ponosi odpowiedzialność za ich wdrażanie.
BCMLogic:
Poza środkami technologicznymi, do nadzoru i kontroli tak zaawansowanego procesu niezbędny jest rozwiązanie systemowe, pozwalające gromadzić informacje, wykonywać analizy i raportu zarządcze oraz umożliwiać działanie kontrolne. Narzędzie powinno oferować wsparcie dla wszystkich aspektów wymaganych przez rozporządzenie.
Przykładowo: szacowanie ryzyka na podstawie obiektywnie ocenionych skutków incydentów ICT oraz testów odporności.
Zawarcie umowy złożone z takich kroków, jak: wstępna klasyfikacja dostawcy usług, weryfikacja kompletności kluczowych ustaleń umownych, ocena ryzyka koncentracji, ocena innych ryzyk związanych z umową.
Testy odporności powinny być zaplanowane, ich wyniki zarejestrowane i ocenione pod kątem wpływu badanego scenariusza na ryzyko ICT.
Dostawcy usług ICT powinni być regularnie audytowaniu, zgodnie z przyjętym harmonogramem oraz doraźnie, a przebieg i wyniki tych działań powinny być zapisane w rejestrze.
Platforma BCMLogic jest system wspierającym realizację działań wynikających z procesów bezpieczeństwa i zarządzania ryzykiem. Obejmuje moduły umożliwiające zarządzanie: Ryzykiem (w tym ICT), Dostawcami i umowami, Ciągłością działania
Rozporządzenie:
Ust. 3. Podmioty finansowe inne niż mikroprzedsiębiorstwa ustanawiają funkcję w celu monitorowania ustaleń zawartych z zewnętrznymi dostawcami usług ICT w sprawie korzystania z usług ICT lub wyznaczają członka kadry kierowniczej wyższego szczebla jako odpowiedzialnego za nadzorowanie związanej z tym ekspozycji na ryzyko i odpowiedniej dokumentacji.
BCMLogic:
Artykuł 6
Ramy zarządzania ryzykiem związanym z ICT
Rozporządzenie:
Ust. 1. Podmioty finansowe dysponują – jako częścią swojego ogólnego systemu zarządzania ryzykiem – solidnymi, kompleksowymi i dobrze udokumentowanymi ramami zarządzania ryzykiem związanym z ICT, które umożliwiają im szybkie, skuteczne i kompleksowe reagowanie na ryzyko związane z ICT oraz zapewnienie wysokiego poziomu operacyjnej odporności cyfrowej.
Ust. 4. Podmioty finansowe inne niż mikroprzedsiębiorstwa powierzają obowiązek zarządzania ryzykiem związanym z ICT i nadzór nad nim funkcji kontroli oraz zapewniają odpowiedni poziom niezależności takiej funkcji kontroli w celu uniknięcia konfliktów interesów. Podmioty finansowe zapewniają odpowiednie rozdzielenie i niezależność funkcji zarządzania ryzykiem związanym z ICT, funkcji kontroli oraz funkcji audytu wewnętrznego, zgodnie z modelem trzech linii obrony lub wewnętrznym modelem zarządzania ryzykiem i kontroli ryzyka.
BCMLogic:
BCMLogic umożliwia zbudowanie sprawnego i bezpiecznego systemu zarządzania bezpieczeństwem informacji, pozwalającemu na współdzielenie informacji przez poszczególne obszary odpowiedzialności.
Rozporządzenie:
Ust. 6. Ramy zarządzania ryzykiem związanym z ICT podmiotów finansowych innych niż mikroprzedsiębiorstwa są regularnie poddawane audytowi wewnętrznemu przeprowadzanemu przez audytorów zgodnie z planami tych podmiotów finansowych dotyczącymi audytów. Audytorzy ci posiadają wystarczającą wiedzę, umiejętności i wiedzę fachową w zakresie ryzyka związanego z ICT oraz mają odpowiednią niezależność. Częstotliwość i przedmiot audytów ICT są współmierne do ryzyka związanego z ICT danego podmiotu finansowego.
BCMLogic:
Moduł Zarządzania Audytem pozwala na planowanie audytu w całej organizacji i w wybranym okresie. Wsparciem dla audytu są ankiety samooceny, wysyłane i wypełniane przez osoby odpowiedzialne za badane obszary. Moduł pozwala na korzystanie ze standardowych list działań z możliwością ich dostosowywania. Audytor rejestruje przebieg audytu, gromadzi spostrzeżenia, generuje wersję roboczą wraz z propozycją działań naprawczych.
Rozporządzenie:
Ust. 7. W oparciu o wnioski z przeglądu audytowego, podmioty finansowe ustanawiają formalny proces działań następczych, w tym zasady terminowej weryfikacji oraz wdrażania środków zaradczych w następstwie krytycznych ustaleń audytu ICT.
BCMLogic:
Uzgodnione zalecenia/działania zastępcze są wprowadzone do systemu i podlegają monitorowaniu pod kątem ich realizacji. Ich realizacja przebiega zgodnie z uzgodnionym przepływem sterowania, wspartym powiadomieniami i przypomnieniami. Raportowanie analityczne i syntetyczne poprzez moduł raportowy.
Rozporządzenie:
Ust. 8. Ramy zarządzania ryzykiem związanym z ICT obejmują strategię operacyjnej odporności cyfrowej, w której określono sposób wdrażania tych ram. W tym celu strategia operacyjnej odporności cyfrowej zawiera metody przeciwdziałania ryzyku związanemu z ICT i osiągania szczególnych celów w dziedzinie ICT poprzez:
a) wyjaśnienie, w jaki sposób ramy zarządzania ryzykiem związanym z ICT wspierają strategię biznesową i cele biznesowe podmiotu finansowego;
BCMLogic:
BCMLogic jest platformą, która bazuje na własnych zbiorach danych oraz informacjach pochodzących z innych źródeł. Przede wszystkim aplikacja „zna” usługi, procesy biznesowe i aktywa informacyjne – a więc to co stanowi przedmiot działania organizacji o to co powinno być chronione prze brakiem dostępu i utratą poufności. Te kluczowe elementy są zamapowane na zasoby ( sprzęt, systemy, dostawcy, lokalizacje itd.), które są wykorzystywane podczas realizacji procesów i przetwarzania danych. Gwarantuje to, że ramy zarządzania ryzykiem są zbieżne ze strategią biznesową i celami podmiotu finansowego.
Rozporządzenie:
Ust. 8.
b) ustalenie limitu tolerancji ryzyka w odniesieniu do ryzyka związanego z ICT, zgodnie z gotowością podmiotu finansowego do podejmowania ryzyka, oraz analizę tolerancji wpływu zakłóceń w funkcjonowaniu ICT;
c) określenie jasnych celów w zakresie bezpieczeństwa informacji, w tym najważniejszych wskaźników efektywności i kluczowych wskaźników ryzyka;
d) objaśnienie referencyjnej architektury ICT oraz wszelkich zmian niezbędnych do osiągnięcia konkretnych celów biznesowych;
e) przedstawienie poszczególnych mechanizmów wprowadzonych w celu wykrywania incydentów związanych z ICT, zapobiegania ich skutkom i ochrony przed nimi;
f) dokumentowanie obecnej sytuacji w zakresie operacyjnej odporności cyfrowej na podstawie liczby zgłoszonych poważnych incydentów związanych z ICT oraz skuteczności środków zapobiegawczych;
g) wdrożenie testowania operacyjnej odporności cyfrowej, zgodnie z rozdziałem IV niniejszego rozporządzenia;
h) przedstawienie strategii komunikacji w przypadku incydentów związanych z ICT, których ujawnienie jest wymagane zgodnie z art. 14.
BCMLogic:
Obsługa w ramach poszczególnych modułów: Moduł Zarządzania Ryzykiem , Moduły Zarządzania Bezpieczeństwem Informacji. Moduł Testów, Moduł Dostawców, Moduł Core.
Artykuł 8
Identyfikacja
Rozporządzenie:
Ust. 1. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe identyfikują, klasyfikują i odpowiednio dokumentują wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne i zasoby ICT wspierające te funkcje oraz ich zadania i zależności w odniesieniu do ryzyka związanego z ICT. Podmioty finansowe dokonują w miarę potrzeb, a co najmniej raz w roku, przeglądu adekwatności tej klasyfikacji i wszelkiej stosownej dokumentacji.
BCMLogic:
Moduł BCM, w szczególności funkcja „Analiza dla IT” oraz Moduł Bezpieczeństwa Informacji zapewniają rejestry oraz mechanizmy aktualizacji w zakresie realizowanych funkcji i procesów biznesowych, zasobów informacyjnych, pozostałych zasobów oraz ich wzajemne powiązania w tym zakres i poziom powiązania z ICT.
Rozporządzenie:
Ust. 2. Podmioty finansowe na bieżąco identyfikują wszystkie źródła ryzyka związanego z ICT, w szczególności ekspozycję na ryzyko w odniesieniu do innych podmiotów finansowych i pochodzące od tych podmiotów, oraz oceniają cyberzagrożenia i podatności w obszarze ICT istotne dla ich funkcji biznesowych wspieranych przez ICT, zasobów informacyjnych i zasobów ICT. Podmioty finansowe dokonują regularnie, a co najmniej raz w roku, przeglądu scenariuszy ryzyka, które mają na nie wpływ.
BCMLogic:
BCMLogic dostarcza Moduł Zarządzania Ryzykiem, który pozwala identyfikować, oceniać, ograniczać i monitorować ryzyka związane z różnymi obszarami i wektorami zagrożenia. Poza tym ryzyka mogą być konsolidowane i raportowane na poziom zarządczy organizacji.
Rozporządzenie:
Ust. 3. Podmioty finansowe inne niż mikroprzedsiębiorstwa przeprowadzają ocenę ryzyka przy każdej większej zmianie w infrastrukturze sieci i systemów informatycznych, w procesach lub procedurach mających wpływ na ich funkcje biznesowe wspierane przez ICT, zasoby informacyjne lub zasoby ICT.
BCMLogic:
Standardowa funkcja Modułu Zarządzania Ryzykiem, korzystającego z rejestrów procesów, procedur i zasobów informacyjnych.
Rozporządzenie:
Ust. 4. Podmioty finansowe wskazują wszystkie zasoby informacyjne i zasoby ICT, w tym zasoby zdalne, zasoby sieciowe i sprzęt komputerowy, oraz ewidencjonują te z nich, które są uznawane za krytyczne. Podmioty finansowe ewidencjonują konfigurację zasobów informacyjnych i zasobów ICT oraz powiązania i współzależności między poszczególnymi zasobami informacyjnymi i zasobami ICT.
BCMLogic:
Funkcja „Analiza dla IT” będąca elementem Modułu BCM, współpracuje z systemami typu „CMDB” i pozwala zamapować krytyczne funkcje biznesowe na procesy wewnętrzne ICT oraz zasoby technologiczne. Wynikiem przeprowadzonej analizy jest faktyczne wskazanie, które zasoby i procesy ICT są krytyczne ze względu na wspierane funkcje biznesowe.
Rozporządzenie:
Ust. 5. Podmioty finansowe wskazują i dokumentują wszystkie procesy, które zależą od zewnętrznych dostawców usług ICT, oraz wskazują wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy świadczą usługi wspierające krytyczne lub istotne funkcje.
BCMLogic:
Standardowe działanie Modułu BCM, funkcje „Analiza BIA” oraz „Rejestr dostawców”.
Artykuł 9
Ochrona i zapobieganie
Rozporządzenie:
Ust. 1. Na potrzeby odpowiedniej ochrony systemów ICT oraz w celu organizacji środków reagowania podmioty finansowe stale monitorują i kontrolują bezpieczeństwo i funkcjonowanie systemów i narzędzi ICT oraz minimalizują wpływ ryzyka związanego z ICT na systemy ICT, wdrażając odpowiednie narzędzia, polityki i procedury w zakresie bezpieczeństwa ICT.
Ust. 2. Podmioty finansowe opracowują, pozyskują i wdrażają polityki, procedury, protokoły i narzędzia w zakresie bezpieczeństwa ICT, których celem jest zapewnienie odporności, ciągłości działania i dostępności systemów ICT, w szczególności tych, które wspierają krytyczne lub istotne funkcje, oraz utrzymanie wysokich standardów dostępności, autentyczności, integralności i poufności danych, zarówno gdy są przechowywane, jak i wykorzystywane lub przesyłane.
BCMLogic:
W Platformie BCMLogic, dostawcy są jednym z rodzajów zasobów pomocniczych. Dostawcy podlegają analizie ryzyka, w tym także w formie samooceny ryzyka, w której poziom ryzyka Wcześniejsze powiązanie danego dostawcy z procesami biznesowymi i aktywami informacyjnymi, ułatwia określenie rodzaju i poziomu wpływu poszczególnych ryzyk i zagrożeń.BCMLogic oferuje również możliwość kompleksowej oceny początkowej/okresowej umów dotyczących usług świadczonych na rzecz realizacji funkcji biznesowych.Monitorowanie dostawców i umów odbywa się w ramach Modułu Zarządzania Audytem.Wymiana informacji organizacja-dostawca może być realizowana przez VendorHUB, który umożliwia bezpieczną współpracę z dostawcami w zakresie analizy ryzyka, wymiany informacji czy monitorowanie sytuacji finansowej, zmian właścicielskich i w reprezentacji i inne tego typu elementy.
Artykuł 10
Wykrywanie
Rozporządzenie:
Ust. 1. Podmioty finansowe dysponują mechanizmami pozwalającymi na szybkie wykrywanie nietypowych działań, zgodnie z art. 17, w tym problemów związanych z wydajnością sieci ICT i incydentów związanych z ICT, oraz na identyfikację potencjalnych istotnych pojedynczych punktów awarii.
Wszystkie mechanizmy wykrywania, o których mowa w akapicie pierwszym, są regularnie testowane zgodnie z art. 25.
Ust. 2. Mechanizmy wykrywania, o których mowa w ust. 1, umożliwiają wielopoziomową kontrolę, określają progi alarmowe i kryteria uruchamiania i inicjowania procesów reagowania na incydenty związane z ICT, łącznie z automatycznymi mechanizmami ostrzegawczymi dla odpowiednich pracowników odpowiedzialnych za reagowanie na incydenty związane z ICT.
BCMLogic:
BCMLogic umożliwia integrację informacji pochodzących z systemów wykrywających nieprawidłowe działanie, korelację tych danych i wzbogacenie ich o określenie wpływu danej nieprawidłowości na funkcje i cele biznesowe organizacje. W zależności od charakteru zdarzenia i oceny jego wpływu, może być przekazane do obsługi w Module Zarządzania Incydentami Bezpieczeństwa w tym do Centrum Zarządzania Sytuacją.
Patrząc w drugą stronę, informacje o zdarzeniach dają możliwość sprzężenia zwrotnego z Modułem Zarządzania Ryzyka, zarówno na etapie oceny ryzyka jak i podczas późniejszej aktualizacji analizy.
Moduł testów pozwala na planowanie, rejestrowanie oraz raportowanie wyników testów. Co istotne, umożliwia prowadzenie i monitorowanie rekomendacji po testach.
Artykuł 11
Reagowanie i przywracanie gotowości do pracy
Rozporządzenie:
Ust. 1. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, oraz w oparciu o wymogi dotyczące identyfikacji określone w art. 8, podmioty finansowe wprowadzają kompleksową strategię na rzecz ciągłości działania w zakresie ICT, która może zostać przyjęta jako specjalna odrębna strategia stanowiąca integralną część ogólnej strategii na rzecz operacyjnej ciągłości działania podmiotu finansowego.
Ust. 2. Podmioty finansowe realizują strategię na rzecz ciągłości działania w zakresie ICT poprzez specjalne, odpowiednie i udokumentowane ustalenia, plany, procedury i mechanizmy, których celem jest:
a) zapewnienie ciągłości pełnienia przez podmiot finansowy jego krytycznych lub istotnych funkcji;
b) szybkie, właściwe i skuteczne reagowanie na wszystkie incydenty związane z ICT i ich rozwiązywanie w sposób ograniczający szkody i nadający priorytet wznowieniu działań i działaniom mającym na celu przywrócenie systemów;
c) bezzwłoczne uruchamianie specjalnych planów umożliwiających zastosowanie środków, procesów i technologii ograniczających rozprzestrzenianie się, dostosowanych do każdego rodzaju incydentu związanego z ICT i zapobiegających dalszym szkodom, jak również dostosowanych do potrzeb procedur reagowania i przywracania sprawności, które to procedury zostały ustanowione zgodnie z art. 12;
d) szacowanie wstępnych skutków, szkód i strat;
e) określanie działań w zakresie komunikacji i zarządzania kryzysowego, które zapewniają przekazywanie aktualnych informacji wszystkim odpowiednim pracownikom wewnętrznym i zewnętrznym interesariuszom zgodnie z art. 14 i zgłaszanie ich właściwym organom zgodnie z art. 19.
BCMLogic:
Moduł Zarządzania Ciągłością Działania (BCM) wspiera i organizuje pełny cykl działań. Inwentaryzacja procesów i zasobów, analiza wpływu na biznes, identyfikacja ryzyk i ocena skutków ich materializacji. W zakresie przygotowania umożliwia opracowanie i zarządzania planami i procedurami postępowania w sytuacji awaryjnej. Natomiast moduł testów pozwala zaplanować i nadzorować testy.
Rozporządzenie:
Ust. 3. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe wdrażają powiązane z ich działalnością plany reagowania i przywracania sprawności ICT, które w przypadku podmiotów finansowych innych niż mikroprzedsiębiorstwa podlegają niezależnym wewnętrznym przeglądom audytowym.
BCMLogic:
Połączenie danych Modułu BCM z Modułem Audytu skutkuje dodatkowymi możliwościami w zakresie planowania czynności kontrolnych, proponowania, akceptacji i monitorowania rekomendacji i zaleceń pokontrolnych.
Rozporządzenie:
Ust. 4. Podmioty finansowe wprowadzają, utrzymują i okresowo testują odpowiednie plany ciągłości działania w zakresie ICT, w szczególności w odniesieniu do krytycznych lub istotnych funkcji zlecanych w drodze outsourcingu zewnętrznym dostawcom usług ICT lub będących przedmiotem ustaleń z tymi dostawcami.
BCMLogic:
Moduł BCM, funkcja „Testy: harmonogramowanie, plany testów, gotowe kroki testu wygenerowane na podstawie zdefiniowanych procedur, rejestracja/dokumentacja przebiegu testów, zalecenia i rekomendacje, raportowanie.
Rozporządzenie:
Ust. 7. Podmioty finansowe inne niż mikroprzedsiębiorstwa posiadają funkcję zarządzania w sytuacji kryzysowej, w której – w przypadku uruchomienia ich planów ciągłości działania w zakresie ICT lub planów reagowania i przywracania sprawności ICT – określono między innymi. jasne procedury zarządzania wewnętrznymi i zewnętrznymi działaniami informacyjnymi na wypadek wystąpienia sytuacji kryzysowej zgodnie z art. 14.
BCMLogic:
W tym zakresie Platforma BCMLogic oferuje Moduł Zarządzania Incydentami Bezpieczeństwa wraz z Centrum Zarządzania Sytuacją.
ROZDZIAŁ III
ZARZĄDZANIE INCYDENTAMI ZWIĄZANYMI Z ICT, ICH KLASYFIKACJA I ZGŁASZANIE
Artykuł 17
Proces zarządzania incydentami związanymi z ICT
Rozporządzenie:
Ust. 1. Podmioty finansowe określają, ustanawiają i wdrażają proces zarządzania incydentami związanymi z ICT w celu wykrywania incydentów związanych z ICT, zarządzania nimi i ich zgłaszania. Ust. 2. Podmioty finansowe rejestrują wszystkie incydenty związane z ICT i znaczące cyberzagrożenia. Podmioty finansowe ustanawiają odpowiednie procedury i procesy mające zapewnić spójne i zintegrowane monitorowanie incydentów związanych z ICT i obsługa takich incydentów oraz działania następcze w związku z takimi incydentami, aby zapewnić zidentyfikowanie, udokumentowanie i wyeliminowanie podstawowych przyczyn, co ma zapobiec występowaniu takich incydentów.
BCMLogic:
Moduł Zarządzania Incydentami Bezpieczeństwa oprócz standardowych elementów, wymienionych w dalszej części, umożliwia integrację informacji o zdarzeniach i incydentach z różnych źródeł, ich wzbogacenie o wpływ na funkcje biznesowe organizacji. Funkcja Wskaźników umożliwiaj definiowanie, zasilanie i śledzenie (w tym powiadomienia online) poziomu kluczowych wskaźników.
Rozporządzenie:
Ust. 3. Proces zarządzania incydentami związanymi z ICT, o którym mowa w ust. 1, obejmuje:
a) wprowadzenie wskaźników wczesnego ostrzegania;
b) ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ, zgodnie z kryteriami określonymi w art. 18 ust. 1;
BCMLogic:
BCMLogic posiada informację o procesach biznesowych, zasobach informacyjnych, zasobach technologicznych i ich powiazaniach. Klasyfikacja i kategoryzacja incydentów na podstawie icj potencjalnego wpływu na funkcje biznesowe.
Rozporządzenie:
Ust. 3.
c) przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnośnych scenariuszy;
BCMLogic:
Moduł Core zapewnia określenie odpowiednich ról oraz dostęp do funkcji i danych w zależności od realizowanych obowiązków oraz procedur i scenariuszy, w których dana osoba bierze udział.
Rozporządzenie:
Ust. 3.
e) zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych kontroli, które należy ustanowić w wyniku takich incydentów związanych z ICT;
BCMLogic:
Ważną częścią Modułu Zarządzania Incydentami Bezpieczeństwa jest ocena zdarzenia po jego zakończeniu oraz kompleksowe raportowanie zarządcze.
Rozporządzenie:
Ust. 3.
f) ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.
BCMLogic:
W zależności od rodzaju czy typu incydentu, Moduł Zarządzania Incydentami pozwala na uruchomienie wcześniej zdefiniowanych planów postępowanie (Akcje Incydentów), dostosowanych do danej sytuacji.
Artykuł 18
Klasyfikacja incydentów związanych z ICT i cyberzagrożeń
Rozporządzenie:
Ust. 1. Podmioty finansowe dokonują klasyfikacji incydentów związanych z ICT i określają ich wpływ na podstawie następujących kryteriów:
a) liczba lub znaczenie klientów lub kontrahentów finansowych oraz, w stosownych przypadkach, kwota lub liczba transakcji, których dotyczy incydent związany z ICT, oraz to, czy taki incydent spowodował skutki reputacyjne;
b) czas trwania incydentu związanego z ICT, w tym przerwa w świadczeniu usług;
c) zasięg geograficzny incydentu związanego z ICT, w szczególności jeżeli dotyczy on więcej niż dwóch państw członkowskich;
d) utrata danych w wyniku incydentu związanego z ICT w kontekście dostępności, autentyczności, integralności lub poufności danych;
e) krytyczność usług, których dotyczy incydent związany z ICT, w tym transakcji i operacji podmiotu finansowego;
f) skutki gospodarcze incydentu związanego z ICT, w szczególności bezpośrednie i pośrednie koszty i straty, zarówno w kategoriach bezwzględnych, jak i względnych.
BCMLogic:
Wymienione wyżej elementy mogą być standardowo obsługiwane w Module Zarządzania Incydentami Bezpieczeństwa.
Artykuł 19
Zgłaszanie poważnych incydentów związanych z ICT i dobrowolne powiadamianie o znaczących cyberzagrożeniach
Rozporządzenie:
Ust. 1. Podmioty finansowe zgłaszają poważne incydenty związane z ICT odpowiedniemu właściwemu organowi, o którym mowa w art. 46, zgodnie z ust. 4 niniejszego artykułu. (...)Wstępne powiadomienie i sprawozdania, o których mowa w ust. 4, zawierają wszystkie informacje niezbędne właściwemu organowi do określenia znaczenia poważnego incydentu związanego z ICT oraz do oceny ewentualnych skutków transgranicznych.
BCMLogic:
Dzięki temu, że wszystkie dane dotyczące wystapienia, przebiegu incydentu oraz ewentualne działania naprawcze, zrejestrowane są w aplikacji, Platforma BCMLogic daje możliwość wygenerowania gotowego zgłoszenia w formie dokumenty lub w uzgodnionym formacie elektronicznymi.
ROZDZIAŁ IV
TESTOWANIE OPERACYJNEJ ODPORNOŚCI CYFROWEJ
Artykuł 25
Testowanie narzędzi i systemów ICT
Rozporządzenie:
Ust. 1. Program testowania operacyjnej odporności cyfrowej, o którym mowa w art. 24, przewiduje, zgodnie z kryteriami określonymi w art. 4 ust. 2, przeprowadzenie odpowiednich testów, takich jak oceny podatności i skanowanie pod tym kątem, analizy otwartego oprogramowania, oceny bezpieczeństwa sieci, analizy braków, fizycznych kontroli bezpieczeństwa, kwestionariusze i rozwiązania w zakresie oprogramowania skanującego, przeglądy kodu źródłowego, gdy jest to wykonalne, testy scenariuszowe, testy kompatybilności, testy wydajności, testy kompleksowe i testy penetracyjne.
BCMLogic:
Platforma BCMLogic pozwala na konfigurację różnego typu testów. Możliwość uzgodnienia centralnego harmonogramu testów, na podstawie testów cząstkowych z różnych działów, pozwala na równomierne rozłożenie obciążenia organizacji testami, a szczebel zarządzający ma pewność, że wszystkie obszary w założonym okresie zostaną przetestowane. Centralny rejestr testów zapewnia takie standardowe funkcje jak: powiadomienie o terminie rozpoczęcia, przypomnienia czy akceptacja wykonania testu.
Artykuł 26
Zaawansowane testowanie narzędzi, systemów i procesów ICT z wykorzystaniem TLPT
Rozporządzenie:
Ust. 1. Podmioty finansowe inne niż podmioty, o których mowa w art. 16 ust. 1 akapit pierwszy, i inne niż mikroprzedsiębiorstwa, które określono zgodnie z ust. 8 akapit trzeci niniejszego artykułu, przeprowadzają nie rzadziej niż co trzy lata zaawansowane testy za pomocą TLPT. W oparciu o profil ryzyka danego podmiotu finansowego i z uwzględnieniem okoliczności operacyjnych właściwy organ może, w razie potrzeby, zwrócić się do tego podmiotu finansowego o zmniejszenie lub zwiększenie częstotliwości przeprowadzania tych testów.
BCMLogic:
Zaawansowane narzędzia i usługi testowe, dają bardzo dobre dane wejściowe o zagrożeniach i ryzykach. Po imporcie tych danych do BCMLogic i nałożeniu ich na dane o procesach biznesowych, aktywach informacyjnych, zasobach oraz połączeniu z rejestrem ryzyk - otrzymujemy informację o faktycznej wadze i istotności poszczególnych znalezisk i zagrożeń. Pozwala to na działania naprawcze, które są bardziej obiektywne, uporządkowane i zoptymalizowane pod kątem czasu i kosztu realizacji.
Rozporządzenie:
Ust. 2. Każdy test penetracyjny pod kątem wyszukiwania zagrożeń obejmuje kilka krytycznych lub istotnych funkcji podmiotu finansowego lub wszystkie te funkcje i jest przeprowadzany na działających systemach produkcyjnych wspierających takie funkcje.
Podmioty finansowe określają wszystkie istotne bazowe systemy, procesy i technologie ICT wspierające krytyczne lub istotne funkcje oraz wszystkie usługi ICT, w tym systemy, procesy i technologie ICT wspierające krytyczne lub istotne funkcje i usługi zlecone w drodze outsourcingu zewnętrznym dostawcom usług ICT lub będące przedmiotem umowy z takimi dostawcami.
BCMLogic:
Jak wspomniano wielokrotnie wcześniej, funkcja „Analiza dla IT” będąca elementem modułu BCM, współpracuje z systemami typu „CMDB” i pozwala zamapować krytyczne funkcje biznesowe na procesy wewnętrzne ICT oraz zasoby technologiczne. Wynikiem przeprowadzonej analizy jest faktyczne wskazanie, które zasoby i procesy ICT są krytyczne ze względu na wspierane funkcje biznesowe.
ROZDZIAŁ V
ZARZĄDZANIE RYZYKIEM ZE STRONY ZEWNĘTRZNYCH DOSTAWCÓW USŁUG ICT
Artykuł 28
Zasady ogólne
Rozporządzenie:
Ust. 2. Jako część swoich ram zarządzania ryzykiem związanym z ICT podmioty finansowe inne niż podmioty, o których mowa w art. 16 ust. 1 akapit pierwszy, i inne niż mikroprzedsiębiorstwa przyjmują strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT i regularnie dokonują jej przeglądu, uwzględniając, stosownie do przypadku, strategię obejmującą wielu dostawców, o której mowa w art. 6 ust. 9. Strategia dotycząca ryzyka ze strony zewnętrznych dostawców usług ICT obejmuje politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT i ma zastosowanie na zasadzie indywidualnej oraz, w stosownych przypadkach, na zasadzie subskonsolidowanej i skonsolidowanej. Na podstawie oceny ogólnego profilu ryzyka danego podmiotu finansowego oraz skali i stopnia złożoności usług biznesowych organ zarządzający regularnie dokonuje przeglądu ryzyk zidentyfikowanych w odniesieniu do ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje.
Ust. 3. W kontekście swoich ram zarządzania ryzykiem związanym z ICT podmioty finansowe utrzymują i aktualizują na poziomie podmiotu oraz na poziomie subskonsolidowanym i skonsolidowanym rejestr informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT.
Ustalenia umowne, o których mowa w akapicie pierwszym, są odpowiednio udokumentowane, z rozróżnieniem na ustalenia, które obejmują usługi ICT wspierające krytyczne lub istotne funkcje, oraz ustalenia, które takich funkcji nie wspierają. (…)
BCMLogic:
Wymagania realizowane w ramach modułu BCM, funkcja Rejestr Umów.
Rozporządzenie:
Ust. 4. Przed zawarciem ustalenia umownego dotyczącego korzystania z usług ICT podmioty finansowe:
a) oceniają, czy dane ustalenie umowne dotyczy korzystania z usług ICT wspierających krytyczną lub istotną funkcję;
b) oceniają, czy spełniono warunki nadzorcze dotyczące zawierania umów;
c) określają i oceniają wszystkie rodzaje istotnego ryzyka związane z ustaleniem umownym, w tym możliwość, że takie ustalenie umowne może przyczynić się do zwiększenia ryzyka koncentracji w obszarze ICT, o czym mowa w art. 29;
d) dokładają należytej staranności w stosunku do potencjalnych zewnętrznych dostawców usług ICT i zapewniają, aby w trakcie całego procesu wyboru i oceny zewnętrzny dostawca usług ICT był odpowiedni;
e) identyfikują i oceniają konflikty interesów, które mogą wynikać z ustalenia umownego.
BCMLogic:
Czynności weryfikacyjne określone w powyższym ustępie, realizowane są w ramach Modułu Zarządzania Ryzykiem, w powiązaniu z Rejestrem Umów oraz z opcjonalnym wykorzystaniem VendorHUB.