Rekomendacja D

Rekomendacja D
Regulacja
Nadzór IT
Logo KNF
WłaścicielKomisja Nadzoru Finansowego
RozpowszechnianieKomisja Nadzoru Finansowego
Powstanie20 października 1997 r.
Aktualna wersja2002 r.
Kolejna wersja301 grudnia 2014 r.
Zakresbanki w Polsce
Oficjalna wersja Rekomendacji


Rekomendacja D - rekomendacja Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Została wydana na podstawie art. 137 pkt 5 ustawy z dnia 29 sierpnia 1997 r.Prawo bankowe (Dz. U. z 2012 r. poz. 1376 j.t. z późn. zm.). Rekomendacja ma na celu wskazanie bankom oczekiwań nadzorczych dotyczącychostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególnościryzykiem związanym z tym i obszarami.

Spis treści

Wersje

  1. Rekomendacja D z 1997 r. dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki
  2. Rekomendacja D z 2002 r. dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki
  3. Rekomendacja D z 2013 r. dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach


Uwaga! Najnowsza wersja ze stycznia 2013 r. wejdzie w życie z dniem 31 grudnia 2014 r.

Zakres

Rekomendacja ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tym i obszarami. Ryzyko to można określić jako niepewność związaną z prawidłowym, efektywnym i bezpiecznym wspieraniem działalności banku przez jego środowisko teleinformatyczne. Wiąże się ono przede wszystkim z ryzykiem operacyjnym (dlatego też Rekomendacja D powinna być traktowana jako uzupełnienie "Rekomendacji M dotyczącej zarządzania ryzykiem operacyjnym w bankach" w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego), ale również m.in. z ryzykiem utraty reputacji i ryzykiem strategicznym. Rekomendację D stosuje się również odpowiedniowobec oddziałów instytucji kredytowych.

Zawartość

Dokument zawiera 22 rekomendacje, które podzielone zostały na następujące obszary:
  • strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego,
  • rozwój środowiska teleinformatycznego,
  • utrzymanie i eksploatacja środowiska teleinformatycznego,
  • zarządzanie bezpieczeństwem środowiska teleinformatycznego.


Stosowanie

Wszystkie banki powinny stosować się do zawartych w niniejszym dokumencie rekomendacji. Biorąc jednak pod uwagę specyfikę zagadnień związanych z technologią i bezpieczeństwem środowiska teleinformatycznego oraz różnice w zakresie uwarunkowań, skali działalności oraz profil i ryzyka banków, sposób realizacji tych rekomendacji i wskazanych w nich celów może być odmienny. W związku z tym, opisy i komentarze zawartewraz z poszczególnymi rekomendacjami należy traktować jako zbiór dobrych praktyk, które jednak powinny być stosowane z zachowaniem zasady proporcjonalności. Oznacza to, że stosowanie tych praktyk powinno zależeć m.in. od tego, na ile przystają one do specyfiki i profilu ryzyka banku, szczególnych uwarunkowań prawnych, w jakich bank się znajduje oraz charakterystyki jego środowiska teleinformatycznego, jak również od stosunku kosztów ich wprowadzenia do wynikających z tego korzyści (także z perspektywy bezpieczeństwa klientów banku). Jednocześnie nadzór oczekuje, że decyzje dotyczące zakresu i sposobu wprowadzenia wskazanych w Rekomendacji rozwiązań poprzedzone zostaną pogłębioną analizą i poparte będą stosowną argumentacją.

Ponadto, w przypadku banków spółdzielczych oczekiwaniem nadzoru jest, by banki zrzeszające wspierały proces wdrażania Rekomendacji z uwzględnieniem skali i specyfiki działalności danego banku spółdzielczego, stosując zasadę proporcjonalności. Skala działalności i wykorzystywane technologie informatyczne powinny decydować o zakresie i stopniu przyjmowanych rozwiązań. Proces wdrażania tych rozwiązańw bankach spółdzielczych, pomimo aktywnej roli banku zrzeszającego, nie może jednak stać w sprzeczności ze zdefiniowanym w poszczególnychrekomendacjach zakresem obowiązków i odpowiedzialnością statutowych organów zrzeszonych banków spółdzielczych.

Zobacz też

Linki zewnętrzne

Bibliografia

ostatnia modyfikacja 20 sierpnia 2016 r.