Cnet Sp. z o.o. - Dla banków

Od dnia 31 grudnia 2014 wchodzi w życie nowa rekomendacja D. Niniejsza strona ma zawierać przydatne informacje pozwalające bankom komercyjnym i spółdzielczym efektywniej przygotować się do zmian i osiągnąć zgodność z nowymi wymogami KNF w zakresie bezpieczeństwa IT.

Cnet Sp. z o.o. oferuje kompleksowe rozwiązania i usługi dla banków komercyjnych i spółdzielczych w ramach zapewnienia zgodności z nowymi wymaganiami rekomendacji D.

Poniższa strona będzie aktualizowana wraz z pojawianiem się nowych ciekawych materiałów.
Zapraszamy także do kontaktu z nami.

Typowe błędy

Poniżej przedstawiamy listę typowych błędów podczas przygotowania do zapewnienia zgodności z rekomendacją D. Lista ta została opracowana na podstawie naszych spotkań z bankami, oraz już zrealizowanych, jak również będących w trakcie realizacji projektów.

Błąd #1 Aktualizujmy tylko obszary wynikające ze zmian w rekomendacji D

Uzasadnienie: wiele banków nadal posiada obszary wymagające poprawy w ramach dotychczasowych wymagań rekomendacji D i M. Aktualizacja w obrębie tylko nowych wymagań powoduje brak zaadresowania już zidentyfikowanych obszarów wymagających doskonalenia oraz może spowodować niepotrzebny wzrost kosztów w obszarze zarządzania ryzykiem dla IT.

Błąd #2 System Zarządzania Bezpieczeństwem Informacji na bazie ISO 27001 zapewnia nam zgodność z rekomendacją D

Uzasadnienie: Po pierwsze standard ISO 27001 i jego odpowiedniki to zbiór dobrych praktyk które każda organizacja może dobrowolnie przyjąć i korzystać. Rekomendacja D dotyczy wszystkich banków. Drugą różnicą jest poziom szczegółowości wymagań odnośnie zabezpieczeń. Choć ISO 27001 pokrywa się częściowo z wymaganymi zabezpieczeniami w nowej rekomendacji D, to jednak występują pomiędzy nimi istotne różnice. Po trzecie ISO 27001 nie dostarcza gotowego przepisu na zarządzanie ryzykiem, a w szczególności na zarządzanie ryzykiem operacyjnym. Dlatego dobrze przygotowany System Zarządzania Bezpieczeństwem Informacji jest pomocny we wdrażaniu rekomendacji D, ale nie zapewnia 100% zgodności z nowymi wymogami.

Błąd #3 Aktualizacja dokumentacji „załatwi” problem zgodności

Procesy zarządzania ryzykiem operacyjnym oraz zarządzania bezpieczeństwem w obszarze IT nie są tylko i wyłącznie zbiorem dokumentów takich jak polityki, instrukcje, regulaminy czy procedury. Razem z podejściem procesowym do tych zagadnień wymagany jest także szereg zabezpieczeń i dowody na ich istnienie, funkcjonowanie oraz zrozumienie przez pracowników.

Błąd #4 Nie możemy korzystać z chmury

Nowa rekomendacja D odnosi się do pojęcia „cloud computing” i zawiera jego definicję. Co więcej dopuszcza stosowanie chmury pod warunkiem zastosowania odpowiednich zabezpieczeń i spełniania określonych warunków przez jej dostawcę. Należy zwrócić uwagę, że ograniczenia te dotyczą chmur publicznych, chmury prywatne mogą być stosowane bez dodatkowych środków ochrony.

Dokumenty KNF