הוראה בדבר ניהול טכנולוגיית המידע בבנק

14.09.03

הוראה בדבר ניהול טכנולוגיית המידע בבנק

המפקח על הבנקים בבנק ישראל הפיץ היום לתאגידים הבנקאיים הוראה בדבר ניהול טכנולוגיית המידע בתאגיד הבנקאי, המחליפה הוראות קיימות. ההוראה החדשה באה על רקע החשיבות הרבה שמייחס הפיקוח על הבנקים לטכנולוגיית המידע במתן השירות ללקוח, בניהול ובתפעול התקין של התאגיד הבנקאי ובשמירה על יציבותו, והצורך בקיום סטנדרטים גבוהים של ניהול טכנולוגיית המידע. חשיבות הנושא גבוהה במיוחד לנוכח ההתפתחות הטכנולוגית בשנים האחרונות והשלכותיה על פעילות התאגידים הבנקאיים.

ההוראה מטפלת במגוון נושאים הקשורים בעיקר להיבטי ניהול ובקרה, בנקאות בתקשורת, אבטחת מידע ושרידות מערך טכנולוגיית המידע בעיתות חירום. ההוראה מתאימה לעקרונות של הועדה הבינלאומית לפיקוח על הבנקים (ועדת באזל) בתחום הבנקאות האלקטרונית (e-banking).

ההוראה קובעת, בין היתר, כי:

¦

הדירקטוריון והנהלת התאגיד הבנקאי יקיימו דיון תקופתי ויקבעו את מדיניות ניהול טכנולוגיית המידע בתחומים הבאים: אבטחת מידע, מסירת עבודות לקבלנים חיצוניים (מיקור חוץ - Outsourcing) והתאוששות מאסון.

¦

על הבנק למנות מנהל בכיר שיישא באחריות למכלול נושאי טכנולוגיית המידע, וכן למנות מנהל אבטחת מידע שישמש גורם בקרה בכיר בתאגיד הבנקאי.

¦

התאגידים הבנקאיים נדרשים לבצע הערכת סיכונים (Risk Assessment) של מכלול מערך טכנולוגיית המידע, וכן לבצע סקרי בטיחות וניסיונות חדירה אחת לתקופה, בהתאם להערכת הסיכונים של מערכות המידע.

¦

לנוכח קצב ההתפתחויות הטכנולוגיות המהיר, מחויבים התאגידים הבנקאיים לנהל מעקב אחר התפתחויות מערכות המידע השונות ולהתאים את רמת האבטחה במערך טכנולוגיית המידע על פי השינויים ברמת סיכונים הנגזרים מהשינויים הטכנולוגיים. בהקשר זה ראוי לציין, שהבנקים יטמיעו עד סוף שנת 2005 שיפור טכנולוגי במכשירי משיכת הכספים (ATM) ועמדות השירות, אשר נועד למנוע, ככל שניתן, את האפשרות לשחזר נתונים הכלולים בכרטיסים המשמשים למשיכת כספים (למשל, כרטיס "חכם"). שינוי טכנולוגי זה מצריך היערכות נרחבת ביותר של שדרוג או החלפה של למעלה מ-3,400 מכשירי ATM ועמדות שירות. על רקע הונאות וזיופי כרטיסים בעולם, גם חברות כרטיסי האשראי הבינלאומיות מחמירות את הדרישות בתחום הזיהוי, שיש להניח שתחייבנה בין היתר שדרוג או החלפה של קוראי הכרטיסים בבתי העסק (P.O.S) שמספרם נאמד בכתשעים אלף.

¦

ההוראה מגדירה מחדש את מכלול השירותים הבנקאיים בתקשורת, וקובעת כללים לחתימה על הסכמי התקשרות בין הבנק לבין הלקוח (אם בסניף ואם באמצעות תקשורת). במסגרת זו הורחב המושג "בנקאות בתקשורת" והוא מכיל את כל ערוצי התקשורת המופעלים כיום, לרבות שירותי הטלפון הממוחשב. ככלל, חתימת הלקוח בסניף על הסכם ההתקשרות תאפשר לבנק לתת לו את כל השירותים בתקשורת, ואילו ללא חתימה בסניף (למשל באמצעות ערוצי התקשורת השונים), יתאפשר ללקוח לקבל שירותים מוגבלים יותר (בעיקר מידע).

¦

ההוראה מחייבת זיהוי אישי, חד-ערכי של משתמשי מערך טכנולוגיית המידע, לרבות לקוחות מערכות בנקאות בתקשורת. המשמעות הינה שתאגיד בנקאי אמור לזהות את לקוחות הבנקאות בתקשורת על ידי אמצעי זיהוי ייחודי למשתמש, ולא באמצעות מספר החשבון, כפי שבדרך כלל נעשה היום.

¦

מסירת עבודות לקבלנים חיצוניים (מיקור חוץ - Outsourcing) מתאפיינת בסיכונים תפעוליים ומשפטיים ייחודיים. לפיכך, במיקור חוץ מהותי קובעת ההוראה תנאים מינימליים הנדרשים בהסכם בין התאגיד הבנקאי לבין הקבלן החיצוני, נותן השרותים כמו הסכם רמת שירות – (SLA - Service Level Agreement), חובת סודיות ואבטחת מידע ע"י ספק השרותים והתייחסות למתן השירותים גם במצבי חירום.