Grupa JT Weston
Grupa JT Weston:
JT WESTON ADVISORS
JT WESTON LEGAL
Projekty UE
Projekty UE
Formularz kontaktowy
Wyszukaj

Blog

HomeBankowość, ubezpieczenia i rynki kapitałoweWytyczne IT Komisji Nadzoru Finansowego (1/3)
picjumbo.com_IMG_3363

Wytyczne IT Komisji Nadzoru Finansowego (1/3)

by on 8 stycznia 2015in Bankowość, ubezpieczenia i rynki kapitałowe, Doradztwo IT, Zgodność regulacyjna

W styczniu 2013 r. Komisja Nadzoru Finansowego opublikowała „Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego skierowaną dla Banków”. Po konsultacjach z rynkiem Regulator opublikował 16 grudnia 2014 r. bardzo zbliżony dokument pt. „Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego” (dalej „Wytyczne IT KNF”) skierowany do prawie 200 podmiotów sektora finansowego, w tym:

  • Towarzystwa ubezpieczeń i reasekuracji,
  • Powszechne towarzystwa emerytalne,
  • Towarzystwa funduszy inwestycyjnych,
  • Firmy inwestycyjne (m.in. biura maklerskie),
  • Podmioty infrastruktury rynku kapitałowego (m.in. giełdy towarowe, izby rozliczeniowe i rozrachunkowe).

Zakres dokumentu jest bardzo szeroki i obejmuje większość obszarów szeroko rozumianego zarządzania IT i bezpieczeństwa środowiska teleinformatycznego. Dokument został podzielony przez Regulatora na 4 części i składa się z 22 wytycznych.

Rys. 1. Podział Wytycznych IT KNF na grupy

wytyczne_1

Nasz zespół podzielił w sposób syntetyczny wymagania wynikające z Wytycznych IT na trzy grupy: „Ludzie”, „Procesy i organizacja” oraz „Narzędzia”.

Rys. 2. Synteza obowiązkowych wymagań wynikających z Wytycznych IT KNF w podziale na obszary ludzi, procesów i organizacji oraz narzędzi

wytyczne_2

Analiza Wytycznych IT KNF wskazuje, że zdecydowana większość produktów z nich wynikających koncentruje się na zapewnieniu odpowiednich narzędzi zarządczych pod postacią strategii, procesów, procedur i instrukcji. Tylko niewielka części wskazuje na możliwość wsparcia procesów zarządzania oraz bezpieczeństwa poprzez wdrożenie odpowiednich aplikacji i systemów, czy też rozwoju i odpowiedniego dostosowania infrastruktury informatycznej w organizacji.

Należy zdać sobie sprawę, że celem Wytycznych IT KNF nie jest uzyskanie predefiniowanego poziomu bezpieczeństwa środowiska teleinformatycznego, lecz doprowadzenie do punktu, w którym wszystkie decyzje i działania w tym zakresie są realizowane w świadomy i kontrolowany sposób. Taki stan rzeczy ma miejsce w przypadku, gdy wszystkie elementy środowiska teleinformatycznego są zarządzane, monitorowane i systematycznie usprawniane zgodnie z rzeczywistymi wymaganiami organizacji.

Preambuła dokumentu określa w sposób jednoznaczny, że wszystkie wytyczne powinny być zastosowane. Należy jednak zwrócić uwagę, że dokument nie tłumaczy, w jaki sposób należy dokonać implementacji wytycznych i decyzja w tym zakresie należy do podmiotu wdrażającego. Jednakże z lektury preambuły dokumentu wynika również, że przy decyzji co do sposobu implementacji mogą zostać wzięte pod uwagę następujące czynniki:

  • Skala działalności (podejście proporcjonalności),
  • Profil ryzyka oraz poziom ryzyka,
  • Specyfika działalności,
  • Charakterystyka środowiska teleinformatycznego,
  • Relacja kosztów wprowadzenia wytycznych do korzyści (również w zakresie bezpieczeństwa klientów),
  • Przyjęta strategia wsparcia oferowanego przez obszar IT,
  • Konieczność przestrzegania przepisów prawa.

Zgodnie z treścią preambuły, sposób realizacji wytycznych powinien zostać poprzedzony pogłębioną analizą i poparty stosowną argumentacją. W związku z tym, dla celów przygotowania argumentacji istnieje możliwość wzięcia pod uwagę wskazanych powyżej czynników. Ponadto część podpunktów w ramach Wytycznych została oznaczona jako „do rozważenia”, co oznacza, że decyzja o ich zastosowaniu należy do podmiotu biorąc pod uwagę powyżej wymienione czynniki.

Inaczej niż w przypadku banków, adresaci omawianych Wytycznych IT KNF charakteryzują się olbrzymią rozpiętością skali działania – od kilku tysięcy zatrudnionych osób i kilkuset osobowych służb IT w przypadku największych firm ubezpieczeniowych do kilku zatrudnionych osób i praktycznie pełnego ousourcingu IT w przypadku wielu Towarzystw Funduszy Inwestycyjnych czy niewielkich Domów Maklerskich. W związku z tym prawdziwym wyzwaniem jest dostosowanie sposobu implementacji wytycznych, projektowanych pierwotnie dla największych podmiotów z sektora bankowego, do rzeczywistych potrzeb średnich i małych przedsiębiorstw. Dobrym przykładem prezentującym różnicę jest produkt Strategii IT, której raport podsumowujący, w zależności od skali działalności organizacji, może liczyć od kilkuset stron dla wielooddziałowego ubezpieczyciela do kilku stron dla najmniejszych podmiotów. W przypadku niewielkich uczestników rynku finansowego Wytyczne IT KNF to z jednej strony poważne obciążenie finansowo-organizacyjne, z drugiej zaś strony doskonała okazja do uporządkowania i profesjonalizacji obszaru IT.

Share this article
0
Tags: , , , , , ,

Written by

The author didnt add any Information to his profile yet

Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij
Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij