Rekomendacja D

Complexity made simple.
Rekomendacja D
Rekomendacja D w Bankowości
Kancelaria Radcy Prawnego
Agnieszki Rabenda-Ozimek
Nowelizacja Rekomendacji D, zatwierdzona 8 stycznia 2013 r. przez Komisję Nadzoru
Finansowego nakłada na banki obowiązek wykonania działań zmierzających do poprawy
jakości zarządzania i bezpieczeństwa IT. Nowa regulacja wskazuje jednoznacznie obszary,
które należy poddać analizie, zdiagnozować luki, opracować i wdrożyć rozwiązania.
Należą do nich między innymi:
Zarządzanie danymi
Zasady współpracy pomiędzy obszarami biznesowymi i technicznymi
Oczekiwania nadzorcze dotyczące:
– planowania strategicznego w obszarze technologii informacyjnej i bezpieczeństwa
środowiska teleinformatycznego
– wdrażania nowych i modyfikacji istniejących rozwiązań informatycznych
– zarządzanie ryzykiem związanym z bezpieczeństwem środowiska teleinformatycznego
Impaq
Kancelaria Radcy Prawnego
Agnieszki Rabenda-Ozimek
Rekomendacja D
Strategia i organizacja
I
Analiza luk
I
Rozwój Utrzymanie Eksploatacja
Zarządzanie bezpieczeństwem
Wdrożenie rozwiązań
Najważniejsze zmiany:
Należy przyjrzeć się praktycznym aspektom i konsekwencjom wprowadzenia nowej
Rekomendacji D będącej zbiorem zasad dotyczących zarządzania obszarem technologii
informacyjnej. Wyraźnie daje się w niej wyróżnić dwie sfery:
sfera zewnętrzna
(relacje banku
z klientami, dostawcami
systemów IT)
sfera wewnętrzna
(funkcjonowanie banku
jako instytucji, konieczność
tworzenia określonych
procedur, itp.)
Szczególną rolę odgrywa sfera wewnętrzna
wprowadzająca szereg nowych rozwiązań.
Najistotniejsza zmiana polega na określeniu roli środowiska teleinformatycznego wobec
pozostałych obszarów banku. Dział IT w założeniu pełni rolę wspomagającą dla biznesu,
co wyraźnie zostało podkreślone w Rekomendacji.
Strategia działania banku
Znajduje to swój wyraz w postanowieniach
rekomendacji nr 3, która mówi, że strategia
działania banku ma stanowić wyznacznik i podstawę
do opracowania i wdrożenia strategii w zakresie
obszarów technologii informacyjnej
oraz bezpieczeństwa środowiska teleinformatycznego.
IMPAQ, firma posiadająca
ponad 20 letnie doświadczenie
w sektorze bankowym, jest
doskonałym partnerem dla banków,
które poszukują wsparcia
w dostosowaniu swoich systemów
i procesów do nowych regulacji.
Doskonale rozumiemy
jak ważne jest bezpieczeństwo
przetwarzania infomacji.
Jakość danych, nadzór nad nimi,
a w szczególności zarządzanie
zmianami to obszar doskonale
nam znany.
Ciągłość działania środowiska
teleinformatycznego, potrzeba
posiadania planów awaryjnych,
zaplecza technicznego, czy też samo
podejście do zarządzania ciągłością
działania są zagadnieniami, którymi
zajmą się dla Państwa nasi eksperci.
Dla zapewnienia kompleksowości naszej
oferty, nawiązaliśmy ścisłą współpracę
z Kancelarią Radcy Prawnego
Agnieszki Rabenda-Ozimek, której
Eksperci wyspecjalizowani są w zakresie
analizy i audytu formalno-prawnego
instytucji finansowych. Członkowie
Zespołu Kancelarii zajmowali się
obsługą prawną, w tym obsługą spraw
regulacyjnych największych banków
w Polsce, brali udział w pracach m.in.
nad nowelizacją Prawa Bankowego,
Ordynacją podatkową, ustawą
o rekapitalizacji niektórych instytucji
finansowych.
Kancelaria Radcy Prawnego
Agnieszki Rabenda-Ozimek
Innymi słowy bank powinien tak planować rozwój obszaru teleinformatycznego,
aby był on dostosowywany do wybranego modelu biznesowego. Ogrom wyzwania
stojącego przed bankami od strony praktycznej, jest związany ze stałością strategii
działania, a jednocześnie koniecznością jej bieżącej modyfikacji ze względu
na zmieniającą się sytuację rynków finansowych.
System
Informacji Zarządczej, ma za zadanie zapewnić kierownictwu banku
odpowiedni poziom wiedzy na temat obszaru technologii informacyjnej
oraz bezpieczeństwa środowiska teleinformatycznego. System ten musi zapewniać
szereg informacji, do których zaliczamy:
wyniki przeglądów
uprawnień nadanych
w systemach informatycznych
w tym nieprawidłowości
stwierdzonych w ramach
takich przeglądów
informacje
na temat spełnienia
wymagań zgodności
z przepisami prawa
zagregowane informacje
dotyczące wyników
monitorowania, jak również
wyniki okresowych ocen,
jakości danych
ykonanie analizy luk i przedstawieW
nie harmonogramu działań do końca
czerwca 2013 roku.
ostosowanie do Rekomendacji D
D
do końca 2014 roku.
Proponowane rozwiązanie:
informacje
na temat jakości usług
świadczonych przez dział IT
na rzecz pozostałych
informacje, które musi
zapewniać system
wyniki identyfikacji i szacowania
ryzyka w zakresie środowiska
teleinformatycznego oraz
rezultaty badania efektywności
wprowadzonych mechanizmów
kontrolnych
Głównym wyzwaniem stojącym
przed bankami jest czas:
Firma IMPAQ proponuje kompleksową
usługę polegającą na przeprowadzeniu
naszych klientów przez proces dostosowania
się do nowych wytycznych. Nasza oferta
składa się z następujących elementów:
Etap I
naliza zgodności z wytycznymi
A
Rekomendacji D
informacje
o jakości usług
świadczonych
przez zewnętrznych
dostawców
Tryb
współpracy określony w rekomendacji nr 4 – zasady określające tryb współpracy
obszarów biznesowych, technologii informacyjnej i bezpieczeństwa środowiska
teleinformatycznego oraz sformalizowanie sposobu komunikacji tych obszarów w sposób
adekwatny do skali i profilu działalności banku (zasada proporcjonalności).
Identyfikacja luk zgodności
pracowanie harmonogramu działań
O
prowadzącego do wyeliminowania
wskazanych luk
Etap II
Opracowanie rozwiązań
Wdrożenie
Nasze dotychczasowe doświadczenia:
Sformalizowane
zasady prowadzenia projektów w zakresie środowiska
teleinformatycznego, adekwatne do ich skali i specyfiki realizacji.
owstanie rozwiązań spełniających
P
wymogi KNF – Rekomendacje: „J”, „S”, „M”
Sformalizowane
zasady dotyczące zarządzania infrastrukturą teleinformatyczną,
w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością
oraz dokumentacją, zapewniające właściwe wsparcie działalności banku
oraz bezpieczeństwo przetwarzanych danych.
ferowane rozwiązania z zakresu
O
archiwizacji i wycofania z użycia – dostęp
do danych archiwalnych
a część Rekomendacji obejmuje szereg zagadnień tj.:
T
– architekturę infrastruktury informatycznej (r.9)
– komponenty infrastruktury informatycznej rekomendacja 9 (ust 9.9- 9.21)
– aktualizację oprogramowania infrastruktury
– dokumentację infrastruktury informatycznej
bsługa prawna: Banku Pekao SA,
O
Banku Millennium SA, Banku BPH SA
Powyższe zmiany zawierają istotne regulacje mające zapewnić niezakłócone
funkcjonowanie systemów informatycznych. Istotnym novum jest regulacja komponentów
infrastruktury informatycznej tj. np. zasada, że informacje przekazywane do drukarek
winny być szyfrowane.
Sformalizowane
zasady oraz mechanizmy techniczne zapewniające właściwy
poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego
do kluczowych elementów infrastruktury teleinformatycznej.
W porównaniu do wcześniejszej Rekomendacji nowa jest bardzo rozbudowana,
zawiera m.in. sprecyzowane zasady zarządzania uprawnieniami, w tym kluczami
kryptograficznymi oraz doprecyzowuje zasady tzw. kontroli fizycznego dostępu.
Rozwiązania w obszarze Cloud Computing
Obsługa prawna Ministerstwa Finansów
bsługa prawna i udział w projektach
O
Rządowego Centrum Legislacji
– Departament Prawa Gospodarczego
Dodatkowe informacje na temat IMPAQ
www.impaqgroup.com
System
zarządzania ciągłością działania banku powinien uwzględniać szczególne
uwarunkowania związane z jego środowiskiem teleinformatycznym oraz przetwarzanymi
w nim danymi.
W rekomendacji nr 15 znajduje się odwołanie do wytycznych określonych
w Rekomendacji M, mówiącej o zarządzaniu ryzykiem operacyjnym w bankach.
KNF nakłada na banki obowiązek przeanalizowania posiadanych planów awaryjnych,
procesów dotyczących odtworzenia środowiska teleinformatycznego, dokumentacji
systemu zarządzania ciągłością działania w świetle nowych wytycznych Rekomendacji D.
IMPAQ Sp. z o.o.
Mokotów Nova
ul. Wołoska 22, 02-675 Warszawa
Tel.
+48 22 31 46 000
Fax
+48 22 31 46 001
[email protected]