Reklama

Wytyczne KNF – konieczność czy szansa?
wtorek, 08 marca 2016 09:41

Istotą wydania przez Komisję Nadzoru Finansowego wytycznych IT jest wdrożenie w organizacjach finansowych – towarzystwach ubezpieczeniowych i emerytalnych, funduszach inwestycyjnych, itp. – najlepszych rynkowych praktyk w zakresie bezpieczeństwa teleinformatycznego. Mają one również na celu wskazanie nadzorowanym jednostkom oczekiwań KNF wobec zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

Jednym z najistotniejszych elementów zarządzania bezpieczeństwem informacji oraz IT w organizacji są cykliczne, sprofilowane szkolenia pracowników. Obejmują one wszystkie szczeble zarządzania – od kierownictwa po pracowników szeregowych.

Każda osoba zatrudniona w firmie codziennie styka się z potencjalnie niebezpiecznymi sytuacjami, przez co, mniej lub bardziej świadomie, bierze udział w zarządzaniu bezpieczeństwem. By skuteczniej chronić organizację, warto tę świadomość sukcesywnie zwiększać.

Dzięki szkoleniom z bezpieczeństwa informacji można dostrzec, że zarządzanie bezpieczeństwem to nie tylko konieczność wynikająca z wytycznych organu nadzorczego, ale również znaczące korzyści. Ponieważ odpowiedzialne podejście do zagrożeń bezpieczeństwa informacji skutkuje znacznym ograniczeniem potencjalnych strat (finansowych czy wizerunkowych), jak również buduje pożądany wizerunek organizacji jako rzetelnej i bezpiecznej.

Czy należy wdrażać wszystkie wytyczne?

Implementacja wytycznych IT wymaga często istotnych zmian w organizacji, warto je wprowadzić, gdy mamy przekonanie, że przyniosą wymierne korzyści. Aby owego przekonania nabrać, wdrożenie należy poprzedzić pogłębioną analizą.

Część wytycznych komisja oznaczyła jako wytyczne „do rozważenia”. Oznacza to, że decyzja o ich implementacji należy do organizacji i powinna wynikać ze wspomnianej analizy. Dobrym przykładem jest tu wytyczna nr 3, dotycząca strategii IT. W zależności od skali działalności i wielkości organizacji, strategia może zawierać się na kilku lub kilkuset stronach. Należy przy tym pamiętać, że każda decyzja o nieuzyskaniu pełnej zgodności z wytycznymi musi być poparta racjonalnym uzasadnieniem.

Co zmieniają wytyczne KNF?

Zdecydowana większość wytycznych wiąże się z koniecznością opracowania i wdrożenia odpowiednich strategii, procesów, procedur i instrukcji. Tylko części z nich nakłada na organizację obowiązek implementacji zabezpieczeń technicznych i organizacyjnych, tj. wdrożenia mechanizmów bezpieczeństwa w postaci aplikacji lub systemów czy też dostosowania infrastruktury teleinformatycznej.

Stopień zmian zależy od punktu, w jakim znajduje się firma, rozpoczynając implementację wytycznych. Tam, gdzie dotychczas nie było stosownych procedur i zabezpieczeń związanych z bezpieczeństwem informacyjnym organizacji, zmiany mogą okazać się systemowe.

Dowodami na wdrożenie wytycznych IT są:


  • raporty oraz analizy przedstawiane zarządowi oraz radzie nadzorczej w ramach Systemu informacji zarządczej,
  • strategia rozwoju obszaru bezpieczeństwa technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zwana Strategią IT, 
  • wyznaczenie osób odpowiedzialnych za bezpieczeństwo technologii informacyjnej oraz bezpieczeństwo środowiska teleinformatycznego, 
  • aktualna dokumentacja systemów teleinformatycznych, 
  • procedura zarządzania jakością danych, 
  • przeprowadzanie testów penetracyjnych systemów oraz infrastruktury teleinformatycznej,
  • raporty współpracy z zewnętrznymi dostawcami usług informatycznych, 
  • okresowa zmiana haseł, zgodnie z polityką haseł i uprawnień, 
  • szkolenia z zakresu bezpieczeństwa informacji i bezpieczeństwa środowiska teleinformatycznego,  
  • powstanie aplikacji do wsparcia użytkownika, tzw. help desk, 
  • raporty z testów ciągłości działania, 
  • wyniki analizy ryzyka bezpieczeństwa środowiska teleinformatycznego wraz z planem postępowania, 
  • raport z klasyfikacji informacji wraz z opisem mechanizmów zabezpieczających, 
  • raport z naruszenia bezpieczeństwa środowiska teleinformatycznego, 
  • raporty z audytów wewnętrznych.

Listę tę można wykorzystać sprawdzając jakość wdrożenia w swojej organizacji.

Podniesienie poziomu ochrony danych

Wdrożenie wytycznych IT to w przypadku wielu przedsiębiorstw znaczące obciążenie finansowo-organizacyjne. Jest to również doskonała okazja do uporządkowania i profesjonalizacji procesów związanych z bezpieczeństwem informacji. Konieczność implementacji wytycznych warto więc potraktować nie jako kosztowny obowiązek, lecz szansę na podniesienie poziomu ochrony przetwarzanych informacji do standardów międzynarodowych.

Maciej Kaczmarski
prezes zarządu ODO 24 sp. z o.o.


 

Z PZU do zarządu Alior Banku

17 października Katarzyna Sułkowska złożyła rezygnację z funkcji prezesa zarządu Alior Banku. Rada nadzorcza spółki przyjęła rezygnację i z tym...


czytaj dalej

MAK Ubezpieczenia: Robert Grabowski nowym członkiem zarządu

Robert Grabowski, dotychczasowy dyrektor Biura Ubezpieczeń na Życie i Osobowych MAK Ubezpieczenia, został członkiem zarządu firmy brokerskiej....


czytaj dalej

Unia Berneńska: Beatriz Reguero nową przewodniczącą

17 października w Paryżu odbyło się doroczne walne zgromadzenie Unii Berneńskiej. Gospodarzem spotkania, które zgromadziło ponad 300 dyrektorów...


czytaj dalej

Aon: Wrześniowe katastrofy najkosztowniejsze

Szkody spowodowane przez huragany, powodzie i trzęsienia ziemi sprawiły, że wrzesień był pod względem katastrof naturalnych najkosztowniejszym jak...


czytaj dalej

PIU: Wynik bancassurance najsłabszy od lat

17 października podczas pierwszego dnia X Kongresu Bancassurance Polska Izba Ubezpieczeń (PIU) zaprezentowała podsumowanie wyników bankowego...


czytaj dalej

Consultia: Korekta rocznej prognozy

Przez 9 miesięcy tego roku Consultia zebrała 155,1 mln zł, o 15,1% więcej niż w analogicznym okresie 2017 r. (134,8 mln zł). Przychody...


czytaj dalej

 

Adres redakcji

ul. Bracka 3 lok. 4
00-501 Warszawa
tel. (22) 628 26 31

email redakcja@gu.com.pl

Gazeta

Prenumerata
E-wydanie

Firma

Redakcja
Reklama

Ogłoszenia

Podcast

Kursy on-line
Zamów newsletter
Facebook