Jak podejść do wdrożenia Wytycznych IT – został już tylko rok…

Wyślij link znajomemu

Wzrost znaczenia technologii informacyjnej dla działalności przedsiębiorstw i instytucji, jak również duża liczba przykładów spektakularnych porażek w dziedzinie bezpieczeństwa, sprawia, że coraz więcej firm przykłada szczególną uwagę do sprawnego funkcjonowania systemów informatycznych.

Zagadnienia te są szczególnie istotne dla sektora finansowego, co zostało potwierdzone poprzez wydanie w 2013 roku przez Komisję Nadzoru Finansowego Rekomendacji D dla banków.

16 grudnia 2014 roku Komisja Nadzoru Finansowego wydała analogiczne regulacje („Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego”) skierowane do innych podmiotów rynku finansowego, a w szczególności do firm inwestycyjnych, towarzystw funduszy inwestycyjnych, zakładów ubezpieczeń i zakładów reasekuracji, podmiotów infrastruktury rynku kapitałowego oraz powszechnych towarzystw emerytalnych.

Celem Wytycznych jest odpowiednie zarządzanie obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. Ryzyko to jest określone w Wytycznych jako niepewność związana z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności przez środowisko teleinformatyczne. Wytyczne wskazują jedynie cele, natomiast sposób ich osiągnięcia powinien być w założeniu dostosowany do konkretnego podmiotu.

ZASADA PROPORCJONALNOŚCI

Przy wdrożeniu Wytycznych należy stosować zasadę proporcjonalności – podejmowane działania muszą być uzależnione od specyfiki, profilu działalności i charakterystyki środowiska teleinformatycznego oraz od relacji kosztów wprowadzenia zabezpieczeń do korzyści z nich wynikających. Wymogi te wskazują, że proces zarządzania obszarami technologii informacyjnej i środowiska teleinformatycznego powinien być adekwatny do poziomu ryzyka. Co więcej, wskazanie w Wytycznych zasady „zastosuj lub wyjaśnij”, implikuje przeprowadzenie analizy adekwatności zastosowania konkretnego elementu Wytycznych, a w przypadku stwierdzenia, że jest on niedopasowany do specyfiki podmiotu należy udokumentować stosowną argumentację wyjaśniającą odstąpienie od danego elementu Wytycznych.

ANALIZA RYZYKA

W praktyce wdrożenie Wytycznych nastręcza wielu trudności, w szczególności dla niewielkich podmiotów (kilkunasto- lub kilkudziesięcioosobowych). Jak pokazuje nasze doświadczenie, interpretacja Wytycznych nie jest jednoznaczna. Szczególne wątpliwości budzi stosowanie zasady proporcjonalności w praktyce i co za tym idzie podejścia KNF do oceny zgodności funkcjonowania podmiotu z Wytycznymi. Szczególnie istotne przy ocenie, które elementy Wytycznych wymagają implementacji i w jakim zakresie, jest przeprowadzenie kompleksowej, metodycznej analizy ryzyka w obszarach zarządzania technologią informacyjną i bezpieczeństwa informacji. Przeprowadzenie takiej analizy jest zadaniem niełatwym, w szczególności ze względu na trudności w inwentaryzacji aktywów informacyjnych, czyli wszystkich zasobów związanych z przetwarzaniem informacji i technologią informacyjną (takich jak: zbiory danych, nośniki danych, sprzęt służący przetwarzaniu informacji, procesy, usługi zewnętrzne, personel itd.). Dodatkowo proces określenia konsekwencji niedostępności danego aktywa dla działalności biznesowej powinien być także usystematyzowany.

Istotne problemy budzą również kwestie nadzoru nad jakością danych przetwarzanych przez podmiot, a także zarządzania oprogramowaniem użytkownika końcowego, w szczególności szeroko wykorzystywanych, na różnych szczeblach organizacji arkuszy kalkulacyjnych (chociażby do raportowania). Z jednej strony Wytyczne wprost wymagają nadzoru nad takim oprogramowaniem i jakością danych, a z drugiej strony, jak wynika z doświadczenia Audytela, wdrożenie takiego nadzoru wymaga dodatkowej pracy podmiotu, co przy ograniczonym personelu, bez wsparcia zewnętrznego doświadczonego doradcy, jest zadaniem trudnym.

Podmiotom rynku finansowego pozostał jeszcze niewiele ponad rok (do 31 grudnia 2016 roku) na wykonanie właściwej analizy ryzyka w obszarach zarządzania technologią informacyjną i bezpieczeństwa informacji, która pomoże uzyskać odpowiedź czy daną wytyczną należy wdrożyć, czy też można od niej odstąpić. Brak potraktowania Wytycznych z należytą uwagą może skutkować dotkliwymi konsekwencjami ze strony Urzędu Komisji Nadzoru Finansowego, jak chociażby negatywnym wpływem na ocenę nadzorczą dokonywaną w ramach procesu BION.

Marek Janiszewski