Rekomendacja D jest dokumentem opracowanym przez Komisję Nadzoru Finansowego w roku 2013 roku. Dotyczy funkcjonowania banków, w szczególności zarządzania obszarami technologii informatycznych oraz bezpieczeństwa struktury teleinformatycznej.

Instytucje bankowe powinny zapewniać bezpieczeństwo, istnieje bowiem realne zagrożenie ataków na wszelkie zgromadzone w nich aktywa. Rekomendacja D określa zatem minimalne zabezpieczenia, zalecane do wdrażania, zapewniające bezpieczeństwo zasobów, stąd też Audyt Zgodności z Rekomendacją D ma tak duże znaczenie, odpowiednie dla instytucji zaufania publicznego.

Obszary Audytu Zgodności z Rekomendacją D

Dokument rekomendacji D składa się z 22 rekomendacji, podzielonych na cztery główne obszary:

strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska,
rozwój środowiska teleinformatycznego,
eksploatacja i utrzymanie środowiska teleinformatycznego,
bezpieczeństwo środowiska teleinformatycznego i zarządzanie nim.

Audyt Zgodności z Rekomendacją D jest czynnością obligatoryjną dla instytucji bankowych.

Podział obszarów

Rekomendacje 1-5

Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego:

rola zarządu i rady nadzorczej,
system informacji zarządczej,
planowane strategiczne,
zasady współpracy obszarów biznesowych i technicznych,

Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego:

struktura organizacyjna,
podział obowiązków,
zasoby ludzkie.

Rekomendacje 6-7

Rozwój środowiska teleinformatycznego.
Projekty w zakresie środowiska teleinformatycznego: rozwój systemów informatycznych.

Rekomendacje 8-17

Utrzymanie i eksploatacja środowiska teleinformatycznego:

– zarządzanie danymi:

zarządzanie architekturą danych,
zarządzanie jakością danych.

– zarządzanie infrastrukturą teleinformatyczną:

architektura infrastruktury teleinformatycznej,
komponenty infrastruktury teleinformatycznej,
aktualizacja oprogramowania komponentów infrastruktury teleinformatycznej,
zarządzanie pojemnością i wydajnością komponentów infrastruktury teleinformatycznej,
dokumentacja infrastruktury teleinformatycznej.

– współpraca z zewnętrznymi dostawcami usług,

– kontrola dostępu,

mechanizmy kontroli dostępu logicznego,
mechanizmy kontroli dostępu fizycznego.

– ochrona przed szkodliwym oprogramowaniem.

– wsparcie dla użytkowników.

– edukacja pracowników.

– ciągłość działania środowiska teleinformatycznego:

plany utrzymania nieprzerwanego działania oraz plany awaryjne,
warunki środowiskowe i fizyczne oraz zasoby fizyczne,
kopie awaryjne,
weryfikacja efektywności podejścia do zarządzania ciągłością działania.

– zarządzanie elektronicznymi kanałami dostępu:

weryfikacja tożsamości klientów,
bezpieczeństwo danych i środków klientów,
edukacja klientów.

– zarządzanie oprogramowaniem użytkownika końcowego.

Rekomendacje 18-22

Zarządzanie bezpieczeństwem środowiska teleinformatycznego.

System zarządzania bezpieczeństwem środowiska teleinformatycznego:

identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego,
szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego,
kontrola i przeciwdziałanie ryzyku w zakresie bezpieczeństwa środowiska teleinformatycznego,
monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego.

Klasyfikacja informacji i systemów informatycznych:

klasyfikacja informacji,
klasyfikacja systemów informatycznych.

Zarządzanie incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego.

Bezpieczeństwo formalno-prawne.

Rola audytu wewnętrznego i zewnętrznego.

Przebieg Audytu Zgodności z Rekomendacją D

1. Zbiór informacji:

wywiady, ankiety z pracownikami,
analiza dokumentacji: polityka, plany, procedury, instrukcje, licencje, specyfikacje i wyniki analiz ryzyka,
testy penetracyjne.

2. Analiza informacji

3. Raport z audytu na zgodność z Rekomendacją D: