Rekomendacja D
Transkrypt
Rekomendacja D
Complexity made simple. Rekomendacja D Rekomendacja D w Bankowości Kancelaria Radcy Prawnego Agnieszki Rabenda-Ozimek Nowelizacja Rekomendacji D, zatwierdzona 8 stycznia 2013 r. przez Komisję Nadzoru Finansowego nakłada na banki obowiązek wykonania działań zmierzających do poprawy jakości zarządzania i bezpieczeństwa IT. Nowa regulacja wskazuje jednoznacznie obszary, które należy poddać analizie, zdiagnozować luki, opracować i wdrożyć rozwiązania. Należą do nich między innymi: Zarządzanie danymi Zasady współpracy pomiędzy obszarami biznesowymi i technicznymi Oczekiwania nadzorcze dotyczące: – planowania strategicznego w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego – wdrażania nowych i modyfikacji istniejących rozwiązań informatycznych – zarządzanie ryzykiem związanym z bezpieczeństwem środowiska teleinformatycznego Impaq Kancelaria Radcy Prawnego Agnieszki Rabenda-Ozimek Rekomendacja D Strategia i organizacja I Analiza luk I Rozwój Utrzymanie Eksploatacja Zarządzanie bezpieczeństwem Wdrożenie rozwiązań Najważniejsze zmiany: Należy przyjrzeć się praktycznym aspektom i konsekwencjom wprowadzenia nowej Rekomendacji D będącej zbiorem zasad dotyczących zarządzania obszarem technologii informacyjnej. Wyraźnie daje się w niej wyróżnić dwie sfery: sfera zewnętrzna (relacje banku z klientami, dostawcami systemów IT) sfera wewnętrzna (funkcjonowanie banku jako instytucji, konieczność tworzenia określonych procedur, itp.) Szczególną rolę odgrywa sfera wewnętrzna wprowadzająca szereg nowych rozwiązań. Najistotniejsza zmiana polega na określeniu roli środowiska teleinformatycznego wobec pozostałych obszarów banku. Dział IT w założeniu pełni rolę wspomagającą dla biznesu, co wyraźnie zostało podkreślone w Rekomendacji. Strategia działania banku Znajduje to swój wyraz w postanowieniach rekomendacji nr 3, która mówi, że strategia działania banku ma stanowić wyznacznik i podstawę do opracowania i wdrożenia strategii w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego. IMPAQ, firma posiadająca ponad 20 letnie doświadczenie w sektorze bankowym, jest doskonałym partnerem dla banków, które poszukują wsparcia w dostosowaniu swoich systemów i procesów do nowych regulacji. Doskonale rozumiemy jak ważne jest bezpieczeństwo przetwarzania infomacji. Jakość danych, nadzór nad nimi, a w szczególności zarządzanie zmianami to obszar doskonale nam znany. Ciągłość działania środowiska teleinformatycznego, potrzeba posiadania planów awaryjnych, zaplecza technicznego, czy też samo podejście do zarządzania ciągłością działania są zagadnieniami, którymi zajmą się dla Państwa nasi eksperci. Dla zapewnienia kompleksowości naszej oferty, nawiązaliśmy ścisłą współpracę z Kancelarią Radcy Prawnego Agnieszki Rabenda-Ozimek, której Eksperci wyspecjalizowani są w zakresie analizy i audytu formalno-prawnego instytucji finansowych. Członkowie Zespołu Kancelarii zajmowali się obsługą prawną, w tym obsługą spraw regulacyjnych największych banków w Polsce, brali udział w pracach m.in. nad nowelizacją Prawa Bankowego, Ordynacją podatkową, ustawą o rekapitalizacji niektórych instytucji finansowych. Kancelaria Radcy Prawnego Agnieszki Rabenda-Ozimek Innymi słowy bank powinien tak planować rozwój obszaru teleinformatycznego, aby był on dostosowywany do wybranego modelu biznesowego. Ogrom wyzwania stojącego przed bankami od strony praktycznej, jest związany ze stałością strategii działania, a jednocześnie koniecznością jej bieżącej modyfikacji ze względu na zmieniającą się sytuację rynków finansowych. System Informacji Zarządczej, ma za zadanie zapewnić kierownictwu banku odpowiedni poziom wiedzy na temat obszaru technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego. System ten musi zapewniać szereg informacji, do których zaliczamy: wyniki przeglądów uprawnień nadanych w systemach informatycznych w tym nieprawidłowości stwierdzonych w ramach takich przeglądów informacje na temat spełnienia wymagań zgodności z przepisami prawa zagregowane informacje dotyczące wyników monitorowania, jak również wyniki okresowych ocen, jakości danych ykonanie analizy luk i przedstawieW nie harmonogramu działań do końca czerwca 2013 roku. ostosowanie do Rekomendacji D D do końca 2014 roku. Proponowane rozwiązanie: informacje na temat jakości usług świadczonych przez dział IT na rzecz pozostałych informacje, które musi zapewniać system wyniki identyfikacji i szacowania ryzyka w zakresie środowiska teleinformatycznego oraz rezultaty badania efektywności wprowadzonych mechanizmów kontrolnych Głównym wyzwaniem stojącym przed bankami jest czas: Firma IMPAQ proponuje kompleksową usługę polegającą na przeprowadzeniu naszych klientów przez proces dostosowania się do nowych wytycznych. Nasza oferta składa się z następujących elementów: Etap I naliza zgodności z wytycznymi A Rekomendacji D informacje o jakości usług świadczonych przez zewnętrznych dostawców Tryb współpracy określony w rekomendacji nr 4 – zasady określające tryb współpracy obszarów biznesowych, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz sformalizowanie sposobu komunikacji tych obszarów w sposób adekwatny do skali i profilu działalności banku (zasada proporcjonalności). Identyfikacja luk zgodności pracowanie harmonogramu działań O prowadzącego do wyeliminowania wskazanych luk Etap II Opracowanie rozwiązań Wdrożenie Nasze dotychczasowe doświadczenia: Sformalizowane zasady prowadzenia projektów w zakresie środowiska teleinformatycznego, adekwatne do ich skali i specyfiki realizacji. owstanie rozwiązań spełniających P wymogi KNF – Rekomendacje: „J”, „S”, „M” Sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych. ferowane rozwiązania z zakresu O archiwizacji i wycofania z użycia – dostęp do danych archiwalnych a część Rekomendacji obejmuje szereg zagadnień tj.: T – architekturę infrastruktury informatycznej (r.9) – komponenty infrastruktury informatycznej rekomendacja 9 (ust 9.9- 9.21) – aktualizację oprogramowania infrastruktury – dokumentację infrastruktury informatycznej bsługa prawna: Banku Pekao SA, O Banku Millennium SA, Banku BPH SA Powyższe zmiany zawierają istotne regulacje mające zapewnić niezakłócone funkcjonowanie systemów informatycznych. Istotnym novum jest regulacja komponentów infrastruktury informatycznej tj. np. zasada, że informacje przekazywane do drukarek winny być szyfrowane. Sformalizowane zasady oraz mechanizmy techniczne zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej. W porównaniu do wcześniejszej Rekomendacji nowa jest bardzo rozbudowana, zawiera m.in. sprecyzowane zasady zarządzania uprawnieniami, w tym kluczami kryptograficznymi oraz doprecyzowuje zasady tzw. kontroli fizycznego dostępu. Rozwiązania w obszarze Cloud Computing Obsługa prawna Ministerstwa Finansów bsługa prawna i udział w projektach O Rządowego Centrum Legislacji – Departament Prawa Gospodarczego Dodatkowe informacje na temat IMPAQ www.impaqgroup.com System zarządzania ciągłością działania banku powinien uwzględniać szczególne uwarunkowania związane z jego środowiskiem teleinformatycznym oraz przetwarzanymi w nim danymi. W rekomendacji nr 15 znajduje się odwołanie do wytycznych określonych w Rekomendacji M, mówiącej o zarządzaniu ryzykiem operacyjnym w bankach. KNF nakłada na banki obowiązek przeanalizowania posiadanych planów awaryjnych, procesów dotyczących odtworzenia środowiska teleinformatycznego, dokumentacji systemu zarządzania ciągłością działania w świetle nowych wytycznych Rekomendacji D. IMPAQ Sp. z o.o. Mokotów Nova ul. Wołoska 22, 02-675 Warszawa Tel. +48 22 31 46 000 Fax +48 22 31 46 001 [email protected]