Wytyczne KNF – konieczność czy szansa?
wtorek, 08 marca 2016 09:41

Istotą wydania przez Komisję Nadzoru Finansowego wytycznych IT jest wdrożenie w organizacjach finansowych – towarzystwach ubezpieczeniowych i emerytalnych, funduszach inwestycyjnych, itp. – najlepszych rynkowych praktyk w zakresie bezpieczeństwa teleinformatycznego. Mają one również na celu wskazanie nadzorowanym jednostkom oczekiwań KNF wobec zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

Jednym z najistotniejszych elementów zarządzania bezpieczeństwem informacji oraz IT w organizacji są cykliczne, sprofilowane szkolenia pracowników. Obejmują one wszystkie szczeble zarządzania – od kierownictwa po pracowników szeregowych.

Każda osoba zatrudniona w firmie codziennie styka się z potencjalnie niebezpiecznymi sytuacjami, przez co, mniej lub bardziej świadomie, bierze udział w zarządzaniu bezpieczeństwem. By skuteczniej chronić organizację, warto tę świadomość sukcesywnie zwiększać.

Dzięki szkoleniom z bezpieczeństwa informacji można dostrzec, że zarządzanie bezpieczeństwem to nie tylko konieczność wynikająca z wytycznych organu nadzorczego, ale również znaczące korzyści. Ponieważ odpowiedzialne podejście do zagrożeń bezpieczeństwa informacji skutkuje znacznym ograniczeniem potencjalnych strat (finansowych czy wizerunkowych), jak również buduje pożądany wizerunek organizacji jako rzetelnej i bezpiecznej.

Czy należy wdrażać wszystkie wytyczne?

Implementacja wytycznych IT wymaga często istotnych zmian w organizacji, warto je wprowadzić, gdy mamy przekonanie, że przyniosą wymierne korzyści. Aby owego przekonania nabrać, wdrożenie należy poprzedzić pogłębioną analizą.

Część wytycznych komisja oznaczyła jako wytyczne „do rozważenia”. Oznacza to, że decyzja o ich implementacji należy do organizacji i powinna wynikać ze wspomnianej analizy. Dobrym przykładem jest tu wytyczna nr 3, dotycząca strategii IT. W zależności od skali działalności i wielkości organizacji, strategia może zawierać się na kilku lub kilkuset stronach. Należy przy tym pamiętać, że każda decyzja o nieuzyskaniu pełnej zgodności z wytycznymi musi być poparta racjonalnym uzasadnieniem.

Co zmieniają wytyczne KNF?

Zdecydowana większość wytycznych wiąże się z koniecznością opracowania i wdrożenia odpowiednich strategii, procesów, procedur i instrukcji. Tylko części z nich nakłada na organizację obowiązek implementacji zabezpieczeń technicznych i organizacyjnych, tj. wdrożenia mechanizmów bezpieczeństwa w postaci aplikacji lub systemów czy też dostosowania infrastruktury teleinformatycznej.

Stopień zmian zależy od punktu, w jakim znajduje się firma, rozpoczynając implementację wytycznych. Tam, gdzie dotychczas nie było stosownych procedur i zabezpieczeń związanych z bezpieczeństwem informacyjnym organizacji, zmiany mogą okazać się systemowe.

Dowodami na wdrożenie wytycznych IT są:


  • raporty oraz analizy przedstawiane zarządowi oraz radzie nadzorczej w ramach Systemu informacji zarządczej,
  • strategia rozwoju obszaru bezpieczeństwa technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zwana Strategią IT, 
  • wyznaczenie osób odpowiedzialnych za bezpieczeństwo technologii informacyjnej oraz bezpieczeństwo środowiska teleinformatycznego, 
  • aktualna dokumentacja systemów teleinformatycznych, 
  • procedura zarządzania jakością danych, 
  • przeprowadzanie testów penetracyjnych systemów oraz infrastruktury teleinformatycznej,
  • raporty współpracy z zewnętrznymi dostawcami usług informatycznych, 
  • okresowa zmiana haseł, zgodnie z polityką haseł i uprawnień, 
  • szkolenia z zakresu bezpieczeństwa informacji i bezpieczeństwa środowiska teleinformatycznego,  
  • powstanie aplikacji do wsparcia użytkownika, tzw. help desk, 
  • raporty z testów ciągłości działania, 
  • wyniki analizy ryzyka bezpieczeństwa środowiska teleinformatycznego wraz z planem postępowania, 
  • raport z klasyfikacji informacji wraz z opisem mechanizmów zabezpieczających, 
  • raport z naruszenia bezpieczeństwa środowiska teleinformatycznego, 
  • raporty z audytów wewnętrznych.

Listę tę można wykorzystać sprawdzając jakość wdrożenia w swojej organizacji.

Podniesienie poziomu ochrony danych

Wdrożenie wytycznych IT to w przypadku wielu przedsiębiorstw znaczące obciążenie finansowo-organizacyjne. Jest to również doskonała okazja do uporządkowania i profesjonalizacji procesów związanych z bezpieczeństwem informacji. Konieczność implementacji wytycznych warto więc potraktować nie jako kosztowny obowiązek, lecz szansę na podniesienie poziomu ochrony przetwarzanych informacji do standardów międzynarodowych.

Maciej Kaczmarski
prezes zarządu ODO 24 sp. z o.o.


 

InterRisk: Piotr Karda opuszcza zarząd spółki

W wyniku obustronnego porozumienia w grudniu Piotr Karda przestanie pełnić funkcję członka zarządu InterRisk. Od  16 listopada do czasu...
czytaj dalej

PTR: Jacek Kugacz nowym prezesem

3 listopada rada nadzorcza Polskiego Towarzystwa Reasekuracji powołała Jacka Kugacza na stanowisko prezesa zarządu.

Jacek Kugacz jest...


czytaj dalej

Amazon: Gotowość, by zatrząść ubezpieczeniami

Amazon rekrutuje w Londynie profesjonalistów ubezpieczeniowych do nowego zespołu mającego przebojem wejść na rynek ubezpieczeniowy w Wlk....
czytaj dalej

Europa: Bez innowacji ani rusz

Z badania przeprowadzonego wśród ubezpieczycieli ze Starego Kontynentu przez Pierre Audoin Consultants (PAC) wynika, że tylko jedna trzecia...
czytaj dalej

Rynek ubezpieczeń: Silny wpływ branży na polską gospodarkę

W trakcie Kongresu 590 Polska Izba Ubezpieczeń (PIU) zaprezentowała pierwsze w Polsce opracowanie opisujące wpływ branży ubezpieczeniowej na...


czytaj dalej

UFG: Stan wiedzy na temat ochrony ofiar wypadków drogowych

Na stronie internetowej Ubezpieczeniowego Funduszu Gwarancyjnego (UFG) został opublikowany pełny raport z badania, w którym firma badawcza GfK...
czytaj dalej

Sprzedaż



 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Partnerzy