Grupa JT Weston
Grupa JT Weston:
JT WESTON ADVISORS
JT WESTON LEGAL
Projekty UE
Projekty UE
Formularz kontaktowy
Wyszukaj

Blog

HomeBankowość, ubezpieczenia i rynki kapitałoweWytyczne IT KNF – na co zwrócić szczególną uwagę?
img3524

Wytyczne IT KNF – na co zwrócić szczególną uwagę?

by on 17 grudnia 2015in Bankowość, ubezpieczenia i rynki kapitałowe, Doradztwo IT, Zgodność regulacyjna No comment

Przy wdrażaniu Wytycznych IT KNF należy pamiętać, że są one ściśle ze sobą powiązane i tworzą logiczną całość, a sama struktura oparta jest na tzw. cyklu Deminga (w wolnym tłumaczeniu: planuj, wykonuj, sprawdź, działaj). KNF tworząc Wytyczne wzorowała się na zapisach znanych standardów, dobrych praktyk i norm, m.in.: norm ISO z grupy 27000, ISO 20000, ISO 22301 (BS 25999) oraz ITIL (ang. Information Technology Infrastructure Library), stąd też w przypadku wątpliwości przy wdrożeniu wytycznych należy sięgnąć do „źródła”. Ma to szczególne znaczenie przy wytycznych, które sprawiają najwięcej trudności:

  • Wytyczna 8 – Zarządzanie danymi,
  • Wytyczna 15 – Ciągłość działania środowiska teleinformatycznego,
  • Wytyczna 18 – System zarządzania bezpieczeństwem środowiska teleinformatycznego,
  • Wytyczna 19 – Kontrola i przeciwdziałanie ryzyku w zakresie bezpieczeństwa środowiska teleinformatycznego.

Organ nadzorczy podkreśla, że wszystkie Wytyczne powinny zostać wdrożone, jednak daje przy tym możliwość stosowania zasady „zastosuj lub wyjaśnij” (ang. comply or explain) w odniesieniu  do  sposobu realizacji poszczególnych Wytycznych, z zachowaniem podejścia ostrożnościowego, akceptowalnego poziomu ryzyka i konieczności przestrzegania przepisów prawa. W praktyce oznacza to, że zarządzający instytucją nadzorowaną muszą określić sposób wdrożenia poszczególnych Wytycznych biorąc pod uwagę skalę działalności organizacji i istniejące ryzyko jej prowadzenia. Jedynie wybrane elementy poszczególnych Wytycznych mają charakter opcjonalny („należy rozważyć…”), co jednak nie oznacza, że można je pominąć podczas realizacji prac dostosowawczych. KNF oczekuje, że podmiot faktycznie rozważy zasadność wdrożenia lub zaniechania wdrożenia tych elementów. A jeśli w wyniku rozważań podmiot podejmie decyzję, że odstępuje od implementacji elementu opcjonalnego to powinien co najmniej zadbać, żeby samo rozważenie miało charakter merytorycznej analizy podsumowanej formalnym raportem, w oparciu o który Zarząd podmiotu świadomie podjął taką, a nie inną decyzję. Należy również pamiętać, że Wytyczne IT są z jednej strony odpowiednikiem Rekomendacji D, którą banki (nie tylko największe krajowe instytucje, ale również niewielkie banki spółdzielcze) miały obowiązek wdrożyć do końca 2014 roku, a z drugiej strony oparte są na uznanych międzynarodowych standardach i normach, stąd praktyki w zakresie sposobu ich wdrażania są na rynku bardzo dobrze znane i należy wziąć je pod uwagę planując własne prace oraz prowadząc wspomniane analizy zasadności. Z pewnością przy ocenie danej instytucji Regulator również będzie brał pod uwagę jej porównanie z innymi podmiotami o analogicznym zakresie działalności.

Sposobów na tzw. analizę porównawczą względem rynku (ang. benchmarking) jest kilka, ale najefektywniejsze z nich to z pewnością:

  • Wspólna praca podmiotów regulowanych w ramach izb gospodarczych oraz wymiana wiedzy i doświadczeń w poszczególnych obszarach merytorycznych Wytycznych IT KNF,
  • Skorzystanie z pomocy profesjonalnego doradcy. Kluczowym jest jednak, aby taki doradca posiadała doświadczenie w analogicznych projektach realizowanych zarówno dla małych – kilkuosobowych, średnich – kilkudziesięcioosobowych oraz dużych – kilkusetosobowych instytucji nadzorowanych. Takie doświadczenie sprzyja w dobraniu optymalnych rozwiązań, dedykowanych do konkretnej organizacji, przy jednoczesnym zapewnieniu zgodności z rynkowymi praktykami.

Biorąc pod uwagę doświadczenia z banków, instytucje objęte nowymi Wytycznymi IT powinny jak najszybciej rozpocząć proces ich wdrażania. Praktyka pokazuje, że realizacja prac wdrożeniowych zajmuje od kilku do nawet kilkunastu miesięcy. Czas ten zależy przede wszystkim od skali organizacji i posiadanej infrastruktury teleinformatycznej, przyjętego sposobu wdrożenia Wytycznych oraz możliwości zasobowych i kompetencyjnych danego podmiotu. Wbrew pozorom mniejsze organizacje mają tu trudniejsze zadanie – udział procentowy pracowników zaangażowanych w realizację prac wdrożeniowych będzie z pewnością większy w relacji do podmiotów o znacznie większej skali, a przy tym zakres posiadanych kompetencji w obszarze IT i bezpieczeństwa jest z reguły istotnie niższy.

Prawidłowe wdrożenie Wytycznych IT KNF wiąże się z koniecznością poniesienia wydatków, ale daje przy tym dużo wymiernych korzyści dla instytucji nadzorowanej (oczywiście poza samym zapewnieniem zgodności z wymogami Regulatora). Najistotniejsza z nich to odczuwalny wzrost poziomu bezpieczeństwa informacji i danych, co w przypadku podmiotów sektora finansowego jest szczególnie istotne w obecnych czasach. Uchronienie organizacji przed jednorazowym wyciekiem krytycznych danych może okazać się wielokrotnie cenniejsze od wartości wydatków poniesionych na zapewnienie ich bezpieczeństwa.

Ryzyko ma to do siebie, że płacimy za uniknięcie spotkania z nim twarzą w twarz, dlatego dobrze zabezpieczona organizacja nigdy nie przekona się, czy było warto…

Share this article
0
Tags: , , , , , ,

Written by

The author didnt add any Information to his profile yet

Leave a Comment

Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij
Formularz kontaktowy
Imię i nazwisko:
Firma / Instytucja:
 Stanowisko:
Adres email (wymagane):
 Numer telefonu:

Treść wiadomości (wymagane):

Informujemy, że podane przez Panią/Pana w formularzu kontaktowym dane osobowe będą przetwarzane przez JT Weston sp. z o.o. (JT Weston), jako administratora danych osobowych, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Informacje dotyczące przetwarzania przez JT Weston Pani/Pana danych osobowych:
Administrator danych Administratorem Pani/Pana danych osobowych jest JT Weston sp. z o.o. z siedzibą w Warszawie, przy al. Jana Pawła II 29 (00-867 Warszawa). Z JT Weston można skontaktować się poprzez e-mail: daneosobowe@jtweston.pl lub pisemnie wysyłając korespondencję na adres wskazany powyżej.
Cele przetwarzania oraz podstawa prawna przetwarzania Pani/Pana dane będą przetwarzane przez JT Weston w ramach realizacji uzasadnionego interesu administratora danych tj. w celu podjęcia czynności niezbędnych do udzielenia odpowiedzi na otrzymane zapytanie oraz archiwizacji wzajemnej korespondencji.
Okres, przez który dane będą przechowywane Pani/Pana dane osobowe będą przetwarzane przez okres niezbędny do udzielenia odpowiedzi i archiwizowane przez okres nie dłuższy niż 3 miesiące od dnia jej udzielenia.
Odbiorcy danych Pani/Pana dane osobowe mogą być udostępniane przez JT Weston dostawcom usług informatycznych oraz - w uzasadnionych przypadkach - w ramach współpracy organizacyjnej Kancelarii JT Weston Legal Bartosik i Wspólnicy sp.k.
Prawa osoby, której dane dotyczą Przysługuje Pani/Panu prawo do żądania od administratora dostępu danych, w tym uzyskania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania oraz prawo do przenoszenia danych osobowych. Przysługuje Pani/Panu prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych. Posiada Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Dobrowolność podania danych Podanie danych osobowych jest dobrowolne, lecz konieczne do przesłania formularza i udzielenia przez JT Weston odpowiedzi na otrzymaną korespondencję. Skutkiem ich niepodania będzie brak możliwości przesłania formularza.

Zamknij