Rekomendacje dla bankowej informatyki

Komisja Nadzoru Finansowego aktualizuje zalecenia dotyczące systemów informatycznych i telekomunikacyjnych stosowanych przez polskie banki.

Słownik pojęć rekomendacji D

Rok 2002 (obowiązująca)

Aplikacja, audyt bezpieczeństwa systemu, audyt systemu informatycznego, bankowość elektroniczna, dostępność, elektroniczne kanały dystrybucji, firewall, haker, integralność danych, integralność systemu, internet, karta smart, władze banku, kryptografia, nośnik danych, oprogramowanie, plan awaryjny, poufność, sieć, sniffer, spoof - spoofing, system informatyczny, system telekomunikacyjny, szyfrowanie.

Rok 2012 (projekt)

Bezpieczeństwo informacji, cloud computing, dostępność danych, incydent bezpieczeństwa środowiska teleinformatycznego, infrastruktura teleinformatyczna, integralność danych, kierownictwo banku, obszar bezpieczeństwa środowiska teleinformatycznego, obszar biznesowy, obszar technologii informacyjnej, podatność, poufność danych, profil ryzyka, przetwarzanie danych, system informatyczny, środowisko teleinformatyczne, zagrożenie, zapora sieciowa.

Nowe wytyczne Komisji Nadzoru Finansowego (KNF) zostały zebrane w tzw. Rekomendacji D. Dokument, którego projekt został niedawno opublikowany, zastąpi "Rekomendację D dotyczącą zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki", która weszła w życie w 2002 r., zastępując wytyczne z roku 1997. "Konieczność dokonania aktualizacji Rekomendacji wynika ze znacznego rozwoju technologicznego oraz systematycznego wzrostu znaczenia obszaru technologii ICT dla działalności banków, jak również z pojawienia się nowych zagrożeń w tym zakresie. Aktualizacja ta uwzględnia także wnioski z działalności nadzorczej prowadzonej przez Komisję Nadzoru Finansowego" - napisano we wstępie do projektu Rekomendacji D.

Ostrożne i stabilne zarządzanie IT

KNF ujmuje w rekomendacji oczekiwania nadzorcze dotyczące "ostrożnego i stabilnego zarządzania obszarem technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tym obszarem". Ryzyko to KNF definiuje jako "niepewność związaną z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności banku przez jego środowisko teleinformatyczne". Jest ono powiązane z ryzykiem utraty reputacji, ryzykiem strategicznym i ryzykiem operacyjnym. Z tego względu nowa Rekomendacja D powinna być traktowana jako uzupełnienie "Rekomendacji M dotyczącej zarządzania ryzykiem operacyjnym w bankach" w obszarze technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

Dokument zawiera 22 rekomendacje podzielone na obszary: strategia i organizacja obszaru technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego; rozwój środowiska teleinformatycznego; utrzymanie i eksploatacja środowiska teleinformatycznego; zarządzanie bezpieczeństwem środowiska teleinformatycznego. W stosunku do obowiązującej Rekomendacji D wprowadzono zapisy dotyczące: zasad współpracy pomiędzy obszarami biznesowymi i technicznymi; zarządzania danymi; systemu informacji zarządczej IT i bezpieczeństwa. Zaktualizowano i doprecyzowano oczekiwania nadzorcze, m.in.: planowania strategicznego w obszarze IT i bezpieczeństwa; wdrażania nowych i modyfikacji istniejących rozwiązań IT; współpracy z zewnętrznymi dostawcami usług; zarządzania ryzykiem związanym z bezpieczeństwem środowiska teleinformatycznego.

Rok na dostosowanie się banków

KNF przypomina, że banki i instytucje kredytowe powinny stosować się do zawartych w dokumencie rekomendacji. We wstępie do projektu KNF zastrzega jednak, że zdaje sobie sprawę z odmiennego sposobu realizacji rekomendacji w każdym z banków ze względu na uwarunkowania, skalę działalności oraz profile ryzyka banków. "W związku z tym, opisy i komentarze zawarte wraz z poszczególnymi rekomendacjami powinny być traktowane jako zbiór dobrych praktyk, które powinny jednak być stosowane z zachowaniem zasady proporcjonalności. Oznacza to, że stosowanie tych praktyk powinno zależeć m.in. od tego, na ile przystają one do specyfiki i profilu ryzyka banku oraz charakterystyki jego środowiska teleinformatycznego, jak również od stosunku kosztów ich wprowadzenia do wynikających z tego korzyści, również z perspektywy bezpieczeństwa klientów banku" - piszą autorzy projektu. Z drugiej strony KNF oczekuje od banków, że zakres i sposób wprowadzenia zapisów rekomendacji zostanie poprzedzony "pogłębioną analizą i poparty stosowną argumentacją".

Projekt nowej Rekomendacji D został opublikowany na stronie KNF oraz przesłany do Związku Banków Polskich, rozpoczynając w ten sposób okres publicznych konsultacji zakończonych 3 października. Komisja Nadzoru Finansowego oczekuje, że Rekomendacja D zostanie wprowadzona w bankach nie później niż do 31 grudnia 2013 r.


TOP 200