Strefa wiedzy

Wytyczne KNF dotyczące IT – dotychczasowe doświadczenia

13.06.2016

Ze względu na uzależnienie się wszystkich sektorów gospodarki, a w szczególności rynku finansowego, od technologii informacyjnej, kluczowe jest zapewnienie poprawnego funkcjonowania IT. Wiele porażek przy wdrożeniu nowych systemów, ale też zdarzające się wykorzystanie luk w zabezpieczeniach systemów informatycznych, świadczy o konieczności przywiązania większej uwagi do tych zagadnień.

Potwierdzeniem istotności tych kwestii dla sektora finansowego było wydanie 16 grudnia 2014 roku przez Komisję Nadzoru Finansowego regulacji („Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego”) skierowanych do podmiotów rynku finansowego, a w szczególności do firm inwestycyjnych, towarzystw funduszy inwestycyjnych, zakładów ubezpieczeń i zakładów reasekuracji, podmiotów infrastruktury rynku kapitałowego oraz powszechnych towarzystw emerytalnych.

Intencją Wytycznych jest odpowiednie zarządzanie obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. Wytyczne wskazują jedynie cele, natomiast sposób ich osiągnięcia powinien być w założeniu dostosowany do konkretnego podmiotu.

Zasady przy wdrożeniu Wytycznych

Przy wdrożeniu Wytycznych należy stosować zasadę proporcjonalności – podejmowane działania muszą być uzależnione od specyfiki, profilu działalności i charakterystyki środowiska teleinformatycznego oraz od relacji kosztów wprowadzenia zabezpieczeń do korzyści z nich wynikających. Wymogi te wskazują, że proces zarządzania obszarami technologii informacyjnej i środowiska teleinformatycznego powinien być adekwatny do poziomu ryzyka. Co więcej, wskazanie w Wytycznych zasady „zastosuj lub wyjaśnij”, implikuje przeprowadzenie analizy adekwatności zastosowania konkretnego elementu Wytycznych, a w przypadku stwierdzenia, że jest on niedopasowany do specyfiki podmiotu należy udokumentować stosowną argumentację wyjaśniającą odstąpienie od danego elementu Wytycznych.

Doświadczenia Audytela z wdrożeń Wytycznych

W praktyce wdrożenie Wytycznych nastręcza podmiotom wielu trudności, w szczególności dla niewielkich podmiotów (kilkunasto- lub kilkudziesięcioosobowych). Jak pokazuje nasze doświadczenie, interpretacja Wytycznych nie jest jednoznaczna. Szczególne wątpliwości budzi stosowanie zasady proporcjonalności w praktyce i co za tym idzie podejścia KNF do oceny zgodności funkcjonowania podmiotu z Wytycznymi. Szczególnie istotne przy ocenie, które elementy Wytycznych wymagają implementacji i w jakim zakresie, jest przeprowadzenie kompleksowej, metodycznej analizy ryzyka w obszarach zarządzania technologią informacyjną i bezpieczeństwa informacji. Przeprowadzenie takiej analizy jest zadaniem niełatwym, w szczególności ze względu na trudności w inwentaryzacji aktywów informacyjnych, czyli wszystkich zasobów związanych z przetwarzaniem informacji i technologią informacyjną (takich jak: zbiory danych, nośniki danych, sprzęt służący przetwarzaniu informacji, procesy, usługi zewnętrzne, personel itd.). Dodatkowo proces określenia konsekwencji niedostępności danego aktywa dla działalności biznesowej powinien być także usystematyzowany.

Istotne problemy budzą również kwestie nadzoru nad jakością danych przetwarzanych przez podmiot, a także zarządzania oprogramowaniem użytkownika końcowego, w szczególności szeroko wykorzystywanych, na różnych szczeblach organizacji arkuszy kalkulacyjnych (chociażby do raportowania). Z jednej strony Wytyczne wprost wymagają nadzoru nad takim oprogramowaniem i jakością danych, a z drugiej strony, jak wynika z doświadczenia Audytela, wdrożenie takiego nadzoru wymaga dodatkowej pracy podmiotu, co przy ograniczonym personelu, bez wsparcia zewnętrznego doświadczonego doradcy, jest zadaniem trudnym.

Podmiotom rynku finansowego pozostało jeszcze pół roku (do 31 grudnia 2016 roku) na wykonanie właściwej analizy w obszarach zarządzania technologią informacyjną i bezpieczeństwa informacji, która pomoże uzyskać odpowiedź czy daną wytyczną należy wdrożyć, czy też można od niej odstąpić. W przypadku gdy pojawiają się problemy we wdrożeniu Wytycznych i oceną czy podjęte działania będą wystarczające, warto wykorzystać doświadczenie niezależnych podmiotów, które pomagały innym instytucjom w dostosowaniu się do wymogów KNF.

Autor: Marek Janiszewski

Opłacalność taryf no-limit

Coraz większa popularność taryf ryczałtowych typu „no-limit” na rynku detalicznym sprawia, że również firmy oraz instytucje sektora publicznego decydują się…

25.09.2017

Zobacz więcej

Spadki sprzedaży usług telekomunikacyjnych w sektorze administracji publicznej i samorządowej

W 2016 r. jednostki objęte ustawą Prawo zamówień publicznych[1] (dalej „Pzp”) zaraportowały w serwisach BZP[2] i TED[3] zawarcie umów o łącznej…

Zobacz więcej

Rynek data center – podsumowanie 2016 r. i prognozy na najbliższe 5 lat

Wydarzenia na polskim rynku datacenter w 2016 r. potwierdziły wiarę dostawców w dobre perspektywy rynkowe w nadchodzących latach. W infrastrukturę…

17.08.2017

Zobacz więcej

Zbieranie danych do audytu energetycznego

Rozpoczęcie prac audytowych wymaga umiejętnego zebrania danych, które będziemy poddawać analizie. Ustawa o efektywności energetycznej opisuje w sposób ogólny to,…

17.05.2017

Zobacz więcej

Formy poprawy efektywności energetycznej wspierane przez Państwo

Podjęcie działań na rzecz wzrostu efektywności energetycznej wymaga podjęcia wysiłku i często znaczących nakładów finansowych. Celem zwiększenia motywacji do realizacji…

13.04.2017

Zobacz więcej

Nowa ustawa o ochronie danych osobowych – przegląd opublikowanego projektu

Już niewiele ponad rok dzieli nas od rozpoczęcia stosowania przepisów Ogólnego Rozporządzenia UE o Ochronie Danych Osobowych, w skrócie zwanego…

Zobacz więcej

Jak spełnić wymogi Ustawy o efektywności energetycznej?

Najważniejszym założeniem Ustawy o efektywności energetycznej (nowelizacja przyjęta przez Sejm 20.05.2016) jest wprowadzenie obowiązkowych działań na rzecz poprawy efektywności energetycznej…

21.03.2017

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. III)

W drugiej części artykułu omówiono podstawowe warunki, jakie muszą zostać spełnione w firmie dla skutecznego zarządzania zapasami. Zwrócono uwagę na…

Zobacz więcej

Jak skutecznie wdrożyć panel menedżera?

W naszej praktyce biznesowej obserwujemy wzrost zapotrzebowania menedżerów na szybki dostęp do informacji ukierunkowanej na wsparcie konkretnej decyzji zarządczej. Rośnie…

22.02.2017

Zobacz więcej

Inspektor Ochrony Danych – czy będzie to nowa rola?

W grudniu 2016 roku Grupa Robocza art. 29, opublikowała swoje wytyczne do unijnego rozporządzenia GDPR (RODO). Jednym z tematów wytycznych…

Zobacz więcej

Wsparcie w zarządzaniu zamówieniami (cz. II)

W pierwszej części artykułu przedstawiono podstawowe funkcjonalności dostępnych na rynku aplikacji i programów wspomagających zarządzanie zamówieniami. Zwrócono również uwagę na…

12.12.2016

Zobacz więcej

GDPR – rozbudowany obowiązek informacyjny

Zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych administrator danych zobowiązany jest spełnić obowiązek informacyjny wobec osób,…

Zobacz więcej

Rola podmiotów w ujęciu Ustawy o efektywności energetycznej z 20 maja 2016 r.

ROLA ODBIORCY PRZEMYSŁOWEGO Odbiorcy przemysłowi zostali pośrednio zobligowani do działań na rzecz efektywności energetycznej – poprzez obowiązek oszczędności 1,5% energii…

Zobacz więcej

Dobór mocy umownej

Redukcja ponoszonych kosztów to coś, co zawsze brzmi atrakcyjnie i czym każdy będzie zainteresowany. Nie inaczej jest w przypadku oszczędzania…

15.11.2016

Zobacz więcej

GDPR – nowe wymagania dotyczące zgody na przetwarzanie danych

Nowe  Rozporządzenie unijne o ochronie danych osobowych (GDPR) wprowadza szereg zmian w zakresie wymagań prawnych dot. przetwarzania danych osób fizycznych…

Zobacz więcej

Najnowsze trendy na rynku usług transmisji danych

Najważniejszym trendem, który kształtował ofertę operatorów w ostatnich latach, była ewolucja w kierunku zarządzanych usług transmisji danych. Zjawisko to jest…

Zobacz więcej

Wsparcie informatyczne w zarządzaniu zamówieniami (cz.1/2)

Zarządzanie zamówieniami  jest procesem mającym istotny i bezpośredni wpływ na wynik finansowy przedsiębiorstwa. W obszarze zarządzania łańcuchem dostaw proces ten…

17.10.2016

Zobacz więcej

Testy penetracyjne – wymagania, potrzeby a rzeczywistość

Obserwowane zwiększone zapotrzebowanie na przeprowadzanie audytów bezpieczeństwa informacji to nie tylko chwilowa moda związana ze wzrastającą świadomością zagrożeń w obszarze…

Zobacz więcej

RODO – nowe zasady nakładania kar na administratorów danych osobowych

25. maja 2018 roku zaczną być stosowane przepisy rozporządzenia UE o ochronie danych osobowych, którego celem jest ujednolicenie przepisów prawa…

Zobacz więcej

Privacy Shield – pierwszy miesiąc funkcjonowania

1 sierpnia 2016 roku został uruchomiony program Tarcza Prywatności (eng. Privacy Shield) – umowa ramowa przyjęta pomiędzy Stanami Zjednoczonymi a…

16.09.2016

Zobacz więcej
icon

Newsletter

icon

Zapisz się do newslettera i otrzymuj bezpłatnie artykuły naszych ekspertów.