Bezpiecznie jak w banku
- 24.03.2009
W instytucjach finansowych szczególnego znaczenia nabierają uprawnienia pracowników. Pokazujemy, jak z tym problemem poradziły sobie Fortis Bank i Alior Bank.
Banki ściśle chronią tajemnice dotyczące tego, co się dzieje w serwerowniach oraz jak działają departamenty zapewniające bezpieczeństwo informacji, ale niektóre wspólne zasady obowiązują niemal wszędzie. W tak skomplikowanej strukturze, która wymaga bardzo precyzyjnie opisanych uprawnień, sprawdzić się może jedynie zarządzanie oparte na rolach. W przypadku Fortis Banku ustalono zestawy ról, dla każdej z nich opracowano standard uprawnień. Przypisanie użytkownikowi roli wiąże się z uruchomieniem odpowiedniego procesu, związanego z procedurą nadawania uprawnień.
W przypadku niektórych ról dodatkowym kryterium nadania dostępu jest sprawdzenie, czy osoba ukończyła odpowiednie szkolenie. "Dla wskazanych krytycznych systemów transakcyjnych wymagane jest zaliczenie szkolenia przed nadaniem dostępu. Dopiero po jego ukończeniu, pracownik uzyskuje pełne uprawnienia, zgodne z rolą, którą ma pełnić w związku z wykonywanymi obowiązkami. Proces jest rozdzielony, a więc akceptacja roli odbywa się przez inny departament, a uprawnienia zakładane są przez administratorów systemów IT" - mówi Beata Neumann, dyrektor Departamentu Transferu Ryzyka i Bezpieczeństwa Informacji w Fortis Banku.
Po zakończeniu całego procesu nadawania uprawnień, użytkownik posiada dostęp do wymaganych systemów na ściśle określonym poziomie, przy czym w systemach transakcyjnych określane są także limity i zasady wykonywania operacji.
Oddzielenie obowiązków
Henryk Baniowski, dyrektor obszaru IT w Alior Bank
Jedną z procedur związanych z określaniem uprawnień użytkownika jest sprawdzenie powiązań konfliktowych. "Analiza powiązań uprawnień umożliwia sprawdzenie, czy dany poziom dostępu nie prowadzi do powiązań konfliktowych, które mogłyby spowodować, że pracownik - z wykorzystaniem różnych opcji - mógłby dokonać nieuprawnionej transakcji albo zrealizować od początku do końca transakcję bez autoryzacji. Każda z ról, stanowiących standard, została pod tym kątem drobiazgowo sprawdzona" - mówi Beata Neumann.