Informacja o usłudze
Rozwój technologii w sektorze finansowym sprawił, że dotychczasowe rozwiązania w zakresie bezpieczeństwa środowiska teleinformatycznego stały się niewystarczające. W związku z tym Komisja Nadzoru Finansowego (KNF), mając na uwadze cele nadzoru nad rynkiem finansowym określone w Ustawie z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym, takie jak zapewnienie prawidłowego funkcjonowania rynku, jego stabilności, bezpieczeństwa i zaufania do rynku wydała szereg wytycznych dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwem środowiska teleinformatycznego. W przypadku sektora bankowego jest to tzw. Rekomendacja D.
Wytyczne mają na celu wskazanie instytucjom finansowym oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. Wiąże się ono przede wszystkim z ryzykiem operacyjnym, ryzykiem prawnym i ryzykiem utraty reputacji.
Dokument zawiera 22 rekomendacje, które podzielone zostały na obszary:
Implementacja wytycznych służyć ma przede wszystkim poprawie jakości zarządzania i poziomu bezpieczeństwa IT, a także usprawnieniu nadzoru w tych obszarach. Celem jest skuteczniejsze zarządzanie ryzykiem związanym z niepewnością w zakresie zrównoważonego, efektywnego i przede wszystkim bezpiecznego wspierania działalności banku przez jego teleinformatyczne środowisko.
Oferowane przez nas usługi umożliwią zweryfikowanie zgodności regulacji środowiska teleinformatycznego instytucji finansowej z wytycznymi KNF oraz wdrożenie rozwiązań organizacyjno-prawnych wskazanych w Rekomendacji.
Nasze usługi
Audyt
-
audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego oraz opracowanie raportu zawierającego ocenę zabezpieczeń, wnioski i propozycje działań w celu spełnienia wymagań wskazanych w wytycznych
Analiza ryzyka
-
opracowanie i wdrożenie metodyki analizy ryzyka
-
identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego, przeprowadzenie szacowania ryzyka oraz opracowanie planów minimalizacji ryzyka
Wdrożenie
-
opracowanie niezbędnych regulacji wewnętrznych (polityk, procedur, instrukcji), w tym określenie zasad:
– współpracy oraz zakresów odpowiedzialności w obrębie obszaru biznesowego, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego,
– prowadzenia projektów w zakresie środowiska teleinformatycznego,
– zarządzania danymi wykorzystywanymi w ramach prowadzonej działalności (inwentaryzacja i klasyfikacja informacji, zarządzanie jakością danych),
– zarządzania infrastrukturą teleinformatyczną,
– współpracy z zewnętrznymi dostawcami usług informatycznych,
– zapewniających właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej (zarządzanie uprawnieniami)
– zarządzania oprogramowaniem użytkownika końcowego,
– zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego.
-
szkolenia dla pracowników obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego