Wytyczne KNF dotyczące IT – dotychczasowe doświadczenia

Wyślij link znajomemu

Ze względu na uzależnienie się wszystkich sektorów gospodarki, a w szczególności rynku finansowego, od technologii informacyjnej, kluczowe jest zapewnienie poprawnego funkcjonowania IT. Wiele porażek przy wdrożeniu nowych systemów, ale też zdarzające się wykorzystanie luk w zabezpieczeniach systemów informatycznych, świadczy o konieczności przywiązania większej uwagi do tych zagadnień.

Potwierdzeniem istotności tych kwestii dla sektora finansowego było wydanie 16 grudnia 2014 roku przez Komisję Nadzoru Finansowego regulacji („Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego”) skierowanych do podmiotów rynku finansowego, a w szczególności do firm inwestycyjnych, towarzystw funduszy inwestycyjnych, zakładów ubezpieczeń i zakładów reasekuracji, podmiotów infrastruktury rynku kapitałowego oraz powszechnych towarzystw emerytalnych.

Intencją Wytycznych jest odpowiednie zarządzanie obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. Wytyczne wskazują jedynie cele, natomiast sposób ich osiągnięcia powinien być w założeniu dostosowany do konkretnego podmiotu.

Zasady przy wdrożeniu Wytycznych

Przy wdrożeniu Wytycznych należy stosować zasadę proporcjonalności – podejmowane działania muszą być uzależnione od specyfiki, profilu działalności i charakterystyki środowiska teleinformatycznego oraz od relacji kosztów wprowadzenia zabezpieczeń do korzyści z nich wynikających. Wymogi te wskazują, że proces zarządzania obszarami technologii informacyjnej i środowiska teleinformatycznego powinien być adekwatny do poziomu ryzyka. Co więcej, wskazanie w Wytycznych zasady „zastosuj lub wyjaśnij”, implikuje przeprowadzenie analizy adekwatności zastosowania konkretnego elementu Wytycznych, a w przypadku stwierdzenia, że jest on niedopasowany do specyfiki podmiotu należy udokumentować stosowną argumentację wyjaśniającą odstąpienie od danego elementu Wytycznych.

Doświadczenia Audytela z wdrożeń Wytycznych

W praktyce wdrożenie Wytycznych nastręcza podmiotom wielu trudności, w szczególności dla niewielkich podmiotów (kilkunasto- lub kilkudziesięcioosobowych). Jak pokazuje nasze doświadczenie, interpretacja Wytycznych nie jest jednoznaczna. Szczególne wątpliwości budzi stosowanie zasady proporcjonalności w praktyce i co za tym idzie podejścia KNF do oceny zgodności funkcjonowania podmiotu z Wytycznymi. Szczególnie istotne przy ocenie, które elementy Wytycznych wymagają implementacji i w jakim zakresie, jest przeprowadzenie kompleksowej, metodycznej analizy ryzyka w obszarach zarządzania technologią informacyjną i bezpieczeństwa informacji. Przeprowadzenie takiej analizy jest zadaniem niełatwym, w szczególności ze względu na trudności w inwentaryzacji aktywów informacyjnych, czyli wszystkich zasobów związanych z przetwarzaniem informacji i technologią informacyjną (takich jak: zbiory danych, nośniki danych, sprzęt służący przetwarzaniu informacji, procesy, usługi zewnętrzne, personel itd.). Dodatkowo proces określenia konsekwencji niedostępności danego aktywa dla działalności biznesowej powinien być także usystematyzowany.

Istotne problemy budzą również kwestie nadzoru nad jakością danych przetwarzanych przez podmiot, a także zarządzania oprogramowaniem użytkownika końcowego, w szczególności szeroko wykorzystywanych, na różnych szczeblach organizacji arkuszy kalkulacyjnych (chociażby do raportowania). Z jednej strony Wytyczne wprost wymagają nadzoru nad takim oprogramowaniem i jakością danych, a z drugiej strony, jak wynika z doświadczenia Audytela, wdrożenie takiego nadzoru wymaga dodatkowej pracy podmiotu, co przy ograniczonym personelu, bez wsparcia zewnętrznego doświadczonego doradcy, jest zadaniem trudnym.

Podmiotom rynku finansowego pozostało jeszcze pół roku (do 31 grudnia 2016 roku) na wykonanie właściwej analizy w obszarach zarządzania technologią informacyjną i bezpieczeństwa informacji, która pomoże uzyskać odpowiedź czy daną wytyczną należy wdrożyć, czy też można od niej odstąpić. W przypadku gdy pojawiają się problemy we wdrożeniu Wytycznych i oceną czy podjęte działania będą wystarczające, warto wykorzystać doświadczenie niezależnych podmiotów, które pomagały innym instytucjom w dostosowaniu się do wymogów KNF.

Autor: Marek Janiszewski