Informacja o usłudze

Rozwój technologii w sektorze finansowym sprawił, że dotychczasowe rozwiązania w zakresie bezpieczeństwa środowiska teleinformatycznego stały się niewystarczające. W związku z tym Komisja Nadzoru Finansowego (KNF), mając na uwadze cele nadzoru nad rynkiem finansowym określone w Ustawie z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym, takie jak zapewnienie prawidłowego funkcjonowania rynku, jego stabilności, bezpieczeństwa i zaufania do rynku wydała szereg wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwem środowiska teleinformatycznego. W przypadku sektora bankowego jest to tzw. Rekomendacja D.

Wytyczne mają na celu wskazanie instytucjom finansowym oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. Wiąże się ono przede wszystkim z ryzykiem operacyjnym, ryzykiem prawnym i ryzykiem utraty reputacji.

 Dokument zawiera 22 rekomendacje, które podzielone zostały na obszary:

KNF

Implementacja wytycznych służyć ma przede wszystkim poprawie jakości zarządzania i poziomu bezpieczeństwa IT, a także usprawnieniu nadzoru w tych obszarach. Celem jest skuteczniejsze zarządzanie ryzykiem związanym z niepewnością w zakresie zrównoważonego, efektywnego i przede wszystkim bezpiecznego wspierania działalności banku przez jego teleinformatyczne środowisko.

Oferowane przez nas usługi umożliwią zweryfikowanie zgodności regulacji środowiska teleinformatycznego instytucji finansowej z wytycznymi KNF oraz wdrożenie rozwiązań organizacyjno-prawnych wskazanych w Rekomendacji.

Nasze usługi

Audyt

  • audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz opracowanie raportu zawierającego ocenę zabezpieczeń, wnioski i propozycje działań w celu spełnienia wymagań wskazanych w wytycznych

Analiza ryzyka

  • opracowanie i wdrożenie metodyki analizy ryzyka

  • identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, przeprowadzenie szacowania ryzyka oraz opracowanie planów minimalizacji ryzyka

Wdrożenie

  • opracowanie niezbędnych regulacji wewnętrznych (polityk, procedur, instrukcji), w tym określenie zasad:

    –  współpracy oraz zakresów odpowiedzialności w obrębie obszaru biznesowego, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego,

    –  prowadzenia projektów w zakresie środowiska teleinformatycznego,

    –  zarządzania danymi wykorzystywanymi w ramach prowadzonej działalności (inwentaryzacja i klasyfikacja informacji, zarządzanie jakością danych),

    –  zarządzania infrastrukturą teleinformatyczną,

    –  współpracy z zewnętrznymi dostawcami usług informatycznych,

    –  zapewniających właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej (zarządzanie uprawnieniami)

    –  zarządzania oprogramowaniem użytkownika końcowego,

    –  zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego.

  • szkolenia dla pracowników obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego