Rekomendacja D KNF

Podsumowanie

anki oraz ich oddziały były zobowiązane przedstawić do 30 czerwca 2013 roku analizę luk pomiędzy zaleceniami Nowej Rekomendacji D i rzeczywistym stanem zarządzania obszarem IT i bezpieczeństwa systemów teleinformatycznych. Druga połowa roku 2013 i rok 2014 to czas, w którym banki i ich oddziały powinny usunąć stwierdzone luki.  

Podstawowym problemem na etapie analizy luk było ustalenie, w jakim zakresie poszczególne zalecenia Nowej Rekomendacji D mają zastosowanie do konkretnego banku lub oddziału. Punktem wyjścia do odpowiedzi na to pytanie jest ustalenie rodzaju i zakresu działalności banku (oddziału), a w przypadku oddziałów banków zagranicznych – jak daleko sięgają kompetencje nadzorcze KNF.

O ile na etapie analizy luk były to zagadnienia hipotetyczne, implementacja będzie wymagała podjęcia konkretnych działań i decyzji o zmianach na poziomie organizacyjnym, regulacji wewnętrznych czy relacji z kontrahentami (outsourcing). W przypadku oddziałów banków oraz banków działających w międzynarodowej sieci i współdzielących systemy i usługi IT, przekłada się to także na relacje z bankiem macierzystym czy centralą.

Efektem wdrożenia zaleceń Nowej Rekomendacji D, poza ewentualnymi zmianami organizacyjnymi oraz na poziomie systemów i IT Governance, powinna być stosowna dokumentacja. Nowa Rekomendacja D kładzie nacisk na to, aby strategie, procesy, klasyfikacje danych, kompetencje, zasady dostępu do danych i systemów oraz odpowiedzialności znalazły odzwierciedlenie w stosownej dokumentacji, która powinna być na bieżąco aktualizowana.

Rekomendacja D – MiniLista Dokumentacji

Rekomendacja D KNF - Ogólna lista obszarów wymagających formalizacji:

L.p.

Sformalizowanie

1

System informacji zarządczej w zakresie IT i Bezpieczeństwa ICT - konkretne obszary do ujęcia (R.2)

2

Strategia IT i Bezpieczeństwa ICT, zgodna ze strategią działania banku (R.3)

3

Zasady współpracy, odpowiedzialności i komunikacji pomiędzy Biznesem, IT i Bezpieczeństwem, decyzja co do powołania Komitetu (R.4)

4

Struktura organizacyjna oraz zakresy obowiązków pracowników IT i Bezpieczeństwa ICT (R.5)

5

Zasady prowadzenia projektów (R.6)

6

Metodyka cyklu życia oprogramowania i infrastruktury (R.7)

7

Zasady zarządzania danymi, architekturą i jakością danych (R.8)

8

Zasady zarządzania infrastrukturą teleinformatyczną (R.9)

9

Zasady współpracy z dostawcami ICT, w tym z wewnątrzgrupowymi (R.10)

10

Zasady dostępu logicznego do danych i fizycznego do infrastruktury krytycznej (R.11)

11

Zasady postępowania z malware (R.12)

12

Podstawowe procedury wsparcia użytkowników systemów informatycznych, np. Instrukcja Helpdesku (R.13)

13

Dokumentacja ciągłości działania, polityka backupów (R.15)

14

Zasady zarządzania oprogramowaniem użytkownika końcowego,
rejestr kluczowego End User Software (R.17)

15

Polityka bezpieczeństwa informacji i pozostałe dokumenty systemu zarządzania bezpieczeństwem środowiska ICT (R.18)

16

Zasady klasyfikacji informacji i systemów informatycznych (R.19)

17

Zasady postępowania w przypadkach wystąpień incydentów naruszenia bezpieczeństwa środowiska teleinformatycznego (R.20)

 

Powyższa lista jest listą tzw. „najwyższego poziomu”.  Szczegółowa lista zagadnień wymagających udokumentowania zgodnie z Rekomendacją D KNF jest znacznie bardziej obszerna.

Kontakt w sprawach transakcji i regulacji sektora finansowego:
Slawomir.Szepietowski@twobirds.com


Skontaktuj się z nami
Znajdź odpowiedni kontakt


Nie jesteś pewien z kim się skontaktować?

OR

Email