FFIEC Cybersecurity Assessment Tool

Ivan Anić

--Ivan Anić 20:54, 12. studenog 2015. (CET)

Sadržaj 1 Uvod 2 Uloge direktora i uprave 3 Profil rizika 4 Zrelost informacijske sigurnosti 5 Implementacija procjene 6 Literatura

Uvod

FFIEC (Federal Financial Institutions Examination Council) je formalno međuagencijsko tijelo koje ima za cilj propisivanje jedinstvenih principa, standarda te formi za izvješća za financijske institucije. Osnovano je 10. ožujka 1979. godine.

Cybersecurity Assessment Tool je skup preporuka i očekivanja za financijske ustanove koji uzima u obzir njihovu veličinu i složenost. Veliki je naglasak stavljen na uloge direktora i uprave. Ovaj alat za procjenu ne omogućava financijskim institucijama samo način za evaluaciju zrelosti njihovog sustava informacijske sigurnosti, već daje ispitivačima način da na temelju profila rizika provedu svoje ispitivanje [2].

Uloge direktora i uprave

Uloge direktora s potporom menadžmenta mogu sadržavati sljedeće [1]:

• razvijanje plana kako bi se izvela procjena
• voditi rad zaposlenika tijekom procjene kako bi se osigurale pravovremene reakcije koje se odnose na cijelu instituciju
• postaviti cilj za određeno stanje pripreme informacijske sigurnosti koje najviše odgovara želji uprave
• ocijeniti, prihvatiti i podržavati planove za rješavanje kontrole rizika i kontrolu slabosti
• analizirati i izložiti rezultate za nadgledanje od strane uprave i dionika
• nadgledati učinak kontinuiranog praćenja kako bi se održala agilnost u rješavanju rastućih područja rizika za informacijsku sigurnost
• nadgledati promjene kako bi se održavala ili povećala željena razina spremnosti informacijske sigurnosti

Uloge uprave ili odgovarajućeg komiteta mogu uključivati sljedeće [1]:

• uključiti menadžment u ostvarivanje vizije institucije, apetiti za rizik te cjelokupni strateški smjer
• prihvatiti planove za korištenje procjene
• ocijeniti menadžmentovu analizu rezultata procjene, uključujući sve ocjene i mišljenja o rezultatima koji su dani od strane neovisnih funkcija upravljanja rizikom ili unutarnje provjere koje se tiču tih rezultata
• ocijeniti odlučnost menadžmenta po pitanju povezanosti spremnosti institucijine informacijske sigurnosti s rizicima
• ocijeniti i prihvatiti planove za upravljanje rizikom ili kontroliranjem slabosti
• ocijeniti rezultate menadžmentovog kontinuiranog praćenja institucijine izloženosti i pripremljenosti po pitanju prijetnji informacijske sigurnosti

Procjena se sastoji od dva dijela: profil stalnog (inherentnog) rizika i zrelost informacijske sigurnosti. Nakon što se napravi procjena, vodstvo institucije može odrediti je li pripremljenost iste prikladna za stalni rizik koji je vezan za instituciju.

Profil rizika

Stalni rizik informacijske sigurnosti je razina rizika koja se sastoji od sljedećeg [1][3]:

• tehnologije i vrste povezanosti
• kanali dostave
• online/mobilni proizvodi i tehnološke usluge
• organizacijske karakteristike
• vanjske prijetnje

Stalni rizik podrazumijeva tip, obujam i složenost institucijinih operacija i prijetnji koje su usmjerene prema instituciji. Profil stalnog rizika uključuje opise aktivnosti koje obuhvaćaju različite razine rizika. Takav profil pomaže menadžmentu odrediti kolika je razina izloženosti riziku koju institucijine aktivnosti, usluge i proizvodi predstavljaju.

Kao primjer procjene razina stalnog rizika može poslužiti tablica ispod. U pravoj procjeni postoji ogroman broj aktivnosti kojima se određuje razina rizika.

Zrelost informacijske sigurnosti

Zrelost informacijske sigurnosti uključuje izjave pomoću kojih se može saznati mogu li institucijina ponašanja i procesi podržavati pripremljenost informacijske sigurnosti u sljedećih pet domena [1][3]:

• upravljanje i nadgledanje informacijskog rizika
• znanje o prijetnjama i kolaboracija
• kontrole informacijske sigurnosti
• upravljanje vanjskim ovisnostima
• upravljanje informacijskim incidentima i otpornost

Razine zrelosti obuhvaćaju raspon od osnovne do inovativne.

Tablica koja pojašnjava razine zrelosti je prikazana ispod [1].

Domene uključuju faktore procjene i doprinosne komponente. Unutar svake komponente postoje izjave koje opisuju aktivnosti koje potpomažu faktor procjene na svakoj razini zrelosti. Menadžment odlučuje koje izjave najbolje opisuju trenutnu praksu institucije. Vrlo je važno napomenuti kako sve izjave u svakoj razini zrelosti, kao i prethodnim razinama moraju biti postignute kako bi se ostvario stupanj zrelosti za tu domenu. [1]

Na dijagramu ispod se mogu vidjeti pet domena i njihovi faktori procjene.

Primjer moguće procjene razine zrelosti od strane menadžmenta za faktor procjene upravljanje rizikom je prikazan u tablici ispod [1].

Moguće je kombinirati profil stalnog rizika s rezultatima zrelosti informacijske sigurnosti za svaku domenu te se taj odnos može prikazati kao što se vidi iz donje tablice. Može se vidjeti da kako raste razina stalnog rizika raste i potreba za razinom zrelosti informacijske sigurnosti. To znači da je nužno da menadžment institucije tijekom godina prilagođava razinu zrelosti informacijske sigurnosti svoje institucije kako se mijenja razina stalnog rizika. Obično bi bilo dobro evaluirati razinu stalnog rizika prilikom uvođenja novih promjena u poslovanju ili nove opreme.

Implementacija procjene

Nakon što je procjena završena potrebno ju je implementirati. Pri implementaciji je važno validirati sam proces institucije pomoću kojega je izvela procjenu, zaključke i kvalitetu planova pomoću kojih planira poboljšati svoje slabosti.

Pomoćna pitanja koja mogu pomoći vodstvu institucije pri korištenju procjene u području nadzora i upravljanja informacijskom sigurnosti su [1]:

• Koje su potencijalne prijetnje informacijske sigurnosti za instituciju?
• Je li institucija meta izravnih napada?
• Je li pripremljenost informacijske sigurnosti institucije dobiva prikladnu razinu vremena i pažnje od strane menadžmenta?
• Je li institucijine odredbe i procedure demonstriraju zauzetost menadžmenta za održavanjem prikladnih razina zrelosti informacijske sigurnosti?
• Koji je kontinuirani proces skupljanja, praćenja, analiziranja i prijavljivanja rizika?
• Tko je odgovoran za procjenu i upravljanje rizicima koji se javljaju kao posljedica promjena u poslovnoj strategiji ili tehnologiji?
• Jesu li odgovornim pojedincima dana ovlast da izvršavaju navedene dužnosti?
• Je li profil stalnog rizika i razina zrelosti informacijske sigurnosti zadovoljavaju očekivanja menadžmenta? Ako postoji neusklađenost, koji su predloženi planovi da ih se uskladi?
• Kako može vodstvo institucije ili odgovarajući komitet učiniti ovaj proces dijelom okvira upravljanja institucijom na najširoj razini?

Literatura

[1] FFIEC Federal Financial Institutions Examination Council, Overview for Chief Executive Officers and Boards of Directors preuzeto 12. studenog 2015. s https://www.ffiec.gov/cyberassessmenttool.htm#tool

[2] Secure Banking Solutions, What do you need to know about the FFIEC Cybersecurity Assessment Tool? preuzeto 14. siječnja 2016. s https://www.protectmybank.com/ffieccybersecurityassessmenttool/

[3] Kaufman Rossin, What Banks Need to Know About FFIEC’s New Cybersecurity Assessment Tool preuzeto 14. siječnja 2016. s https://kaufmanrossin.com/news/what-banks-need-to-know-about-ffiecs-new-cybersecurity-assessment-tool/