Jak przygotować bank do wdrożenia wytycznych DORA i RTS? Wdrożenie wytycznych prowadzone wg opracowanego planu da wymierne korzyści.
Na podstawie HARMONIZACJI NARZĘDZI, METOD, PROCESÓW I POLITYK ZARZĄDZANIA RYZYKIEM ZWIĄZANYM Z ICT ZGODNIE Z ART. 15 ROZPORZĄDZENIA (UE) 2022/2554, do najważniejszych zadań banków spółdzielczych w zakresie zarządzania ryzykiem związanym z ICT (technologie informacyjno-komunikacyjne) należy m.in. opracowanie Polityki Zarządzania Zasobami.(Artykuły 4-5):
Zarządzanie Zasobami ICT, zgodnie z Artykułami 4-5, wymaga od banków spółdzielczych wdrożenia następujących działań:
- Polityka Zarządzania Zasobami ICT:
- Banki muszą opracować i wdrożyć politykę zarządzania zasobami ICT, która obejmuje monitorowanie cyklu życia tych zasobów, od momentu ich identyfikacji aż do wycofania z eksploatacji.
- Polityka powinna regulować kwestie związane z identyfikacją, klasyfikacją oraz dokumentowaniem zasobów ICT, które wspierają funkcje biznesowe banku.
- Rejestr Zasobów ICT:
- Banki muszą prowadzić rejestr wszystkich zasobów ICT, zawierający takie informacje jak m.in.:
- Unikalny identyfikator zasobu ICT.
- Lokalizacja (fizyczna lub logiczna) zasobu.
- Klasyfikacja zasobu zgodnie z jego krytycznością.
- Dane właściciela zasobu.
- Funkcje biznesowe, które są wspierane przez dany zasób.
- Wymogi dotyczące ciągłości działania (np. zakładany czas przywrócenia sprawności, akceptowalny poziom utraty danych).
- Informacje o narażeniu zasobów na działanie sieci zewnętrznych, takich jak internet.
- Banki muszą prowadzić rejestr wszystkich zasobów ICT, zawierający takie informacje jak m.in.:
- Procedura Zarządzania Zasobami ICT:
- Należy opracować procedury zarządzania zasobami ICT, które określają kryteria oceny krytyczności zasobów, w tym:
- Analizę ryzyka ICT dotyczącego funkcji biznesowych zależnych od tych zasobów.
- Wpływ utraty poufności, integralności i dostępności tych zasobów na działalność banku.
- Należy opracować procedury zarządzania zasobami ICT, które określają kryteria oceny krytyczności zasobów, w tym:
- Monitorowanie Wykorzystania Zasobów:
- Banki muszą regularnie monitorować wykorzystanie zasobów ICT, aby zapewnić ich efektywne i bezpieczne funkcjonowanie. To obejmuje śledzenie zależności między zasobami a funkcjami biznesowymi oraz aktualizowanie rejestru zasobów.
- Zarządzanie Cyklami Życia Zasobów ICT:
- Proces zarządzania zasobami powinien obejmować wszystkie etapy cyklu życia zasobu ICT, od pozyskania, przez operacje i konserwację, aż po jego wycofanie.
- W szczególnych przypadkach, takich jak dotychczasowe systemy ICT, należy prowadzić ewidencję niezbędną do przeprowadzenia szczegółowej oceny ryzyka związanego z tymi systemami.
Warto rozważyć włączenie innych wymaganych polityk, regulacji i instrukcji z wytycznych RTS (Regulacyjnych Standardów Technicznych) do głównej polityki zarządzania zasobami ICT m.in.:
- Zarządzanie ryzykiem ICT (Artykuł 3): Zawierające procedury identyfikacji, oceny i monitorowania ryzyk związanych z ICT.
- Mechanizmy szyfrowania i kryptografii (Artykuły 6-7): W tym zarządzanie kluczami kryptograficznymi i szyfrowaniem danych.
- Bezpieczeństwo operacji ICT (Artykuły 8-10): Polityki dotyczące operacji ICT, zarządzania podatnościami, pojemnością i wydajnością systemów.
- Zarządzanie incydentami ICT (Artykuł 18): Procedury wykrywania, reagowania i raportowania incydentów związanych z ICT.
- Zarządzanie zmianą w systemach ICT (Artykuł 17): Polityki dotyczące zarządzania zmianami i projektami ICT.
- Strategie ciągłości działania (Artykuł 22): Polityki dotyczące strategii reagowania i przywracania sprawności w zakresie ICT.
Włączenie wszystkich wymaganych polityk i regulacji do jednej, zintegrowanej polityki zarządzania zasobami ICT może przynieść liczne korzyści, takie jak spójność, efektywność zarządzania, lepsza zgodność regulacyjna i większa przejrzystość dla pracowników. Jest to podejście, które warto rozważyć, aby zapewnić kompleksowe i skuteczne zarządzanie ryzykiem ICT w banku.
Zapraszamy Państwa do kontaktu z naszymi specjalistami.
Zapraszamy Państwa do zapoznania się z naszą ofertą:
https://premiumbank.zadbajobezpieczenstwo.pl
Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.