Od czego zacząć wdrażanie wytycznych IT KNF?

Od czego zacząć wdrażanie wytycznych IT KNF? Syda Productions - Fotolia

Proces wdrożenia wytycznych IT KNF najlepiej jest rozpocząć od audytu przedwdrożeniowego, który pozwoli zidentyfikować obszary wymagające podjęcia prac dostosowawczych do wymogów KNF.

Raport z audytu zawiera zidentyfikowane w trakcie prac audytowych niezgodności lub luki w obszarze formalno-prawnym, organizacyjnym oraz technicznym. Jeżeli raport zawiera rekomendacje poaudytowe, możemy wykorzystać je do opracowania harmonogramu wdrożenia.

Uniwersalny punkt wyjścia?

Za punkt wyjścia do procesu wdrożenia sugerujemy wybrać system ochrony danych osobowych. W pewnym stopniu pokrywa się on z wytycznymi KNF, dzięki czemu, zwyczajnie, łatwiej będzie nam zacząć. Ważne, aby mieć dobrze opracowaną dokumentację oraz odpowiednio wdrożone zabezpieczenia.

Dodatkowym atutem rozpoczęcia od systemu ODO jest zapewnienie zgodności z rekomendacją 21.1 w zakresie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.

Kolejność realizacji wytycznych

Wytyczne IT zostały spisane w sposób uniemożliwiający ich realizacje w kolejności określonej w dokumencie. Przy wdrożeniu wytycznych, należy pamiętać, że są one ze sobą powiązane i tworzą logiczną całość, np. przy wytycznej nr 2 (System informacji zarządczej) mamy wskazane obszary, które muszą być raportowane, ale w innych wytycznych również znajdziemy zapisy o koniczności raportowania w ramach SIZ.

Innym przykładem jest wytyczna 7.15, która zawiera odniesienie do wytycznej 19. Warto więc tak zaplanować realizacje wytycznych, aby zapewnić sobie niezbędne dane wejściowe do realizacji danej wytycznej. Takie podejście chroni projekt przed powstawaniem przestojów prac w wyniku braku niezbędnych do konturowania wdrożenia danych.

Od której wytycznej zacząć?

Najlepiej zacząć od wytycznej nr 1, czyli wsparcia zarządu w realizacji prac wdrożeniowych. Niestety, jak pokazuje praktyka, często na tym całe wdrożenie się kończy… Dzieje się tak dlatego, że zespół wdrożeniowy (lub osoba, wyznaczona do tego zadania) ma problem z uzyskaniem odpowiedniego wsparcia od pozostałych członków zespołu, sfinansowaniem właściwych zabezpieczeń czy nawet, w skrajnych przypadkach, przyjęciem stosownej uchwały dotyczących dokumentacji bezpieczeństwa informacji.

Jeżeli zespół wdrożeniowy posiada właściwe wsparcie kierownictwa, proponujemy rozpocząć prace od wytycznej nr 19, czyli klasyfikacji informacji i systemów informatycznych. Pozwoli to zidentyfikować przetwarzane w organizacji informacje i dane, które mają zostać objęte ochroną. Możemy się posłużyć np. wykazem zbiorów danych. Musimy również wskazać systemy wykorzystywane do przetwarzania danych, co da nam dobry punkt wyjścia do klasyfikacji systemów informatycznych. Zakończenie realizacji 19. wytycznej umożliwi rozpoczęcie procesu wdrożenia wytycznych nr 7, 8, 18, 15.

Innymi rekomendacjami, które mogą mieć swój początek wraz z wytyczną nr 19 są wytyczne nr 2, 4, 5, 6. Rekomendacje te nie wymagają danych wejściowych, a są niezbędne do powstania takich dokumentów jak Polityka bezpieczeństwa informacji czy Instrukcja zarządzania systemami informatycznymi.

Dlaczego nie zaczynać od wytycznej nr 3?

Dlaczego nie zaczynać od opracowania strategii w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego (wytyczna nr 3)?

Podobne artykuły:

Uzasadnienie jest dość proste. Opracowując strategię musimy wiedzieć, jakie zasoby informacyjne chcemy objąć ochroną, jakie zasoby techniczne wykorzystujemy do ochrony oraz jaki obszar wymaga doskonalenia lub jest objęty systemem zachowania ciągłości działania. Te informacje pozyskamy z realizacji wytycznych nr 15, 18 i 19.

Skąd wiadomo, że prawidłowo realizujemy wdrożenie?

Analizując treść wytycznych należy zdefiniować produkty, które będziemy przedstawiać w trakcie kontroli. Dla przykładu, produktami dla wytycznej nr 19 są:

  • sformalizowana procedura klasyfikacji informacji oraz systemów informatycznych,
  • wykaz sklasyfikowanych informacji i systemów wraz z poziomem ich ochrony,
  • upoważnienia, oświadczenia, itp.,
  • opisanie mechanizmów kryptograficznych, wykorzystywanych do ochrony zasobów.

Wytyczną, którą można zrealizować za pomocą danych z dokumentacji ODO jest np. wytyczna nr 10, tj. współpraca z zewnętrznymi dostawcami usług. Zgodnie z wymogami ustawy o ODO, należy mieć zidentyfikowanych procesorów danych. Dowodami na zrealizowanie wytycznej 10 są:

  • sformalizowana procedura współpracy z zewnętrznymi dostawcami usług,
  • lista zewnętrznych dostawców usług w obszarze IT,
  • raporty z oceny zdolności zewnętrznych dostawców usług do utrzymania ciągłości działania,
  • umowy z zewnętrznymi dostawcami usług w obszarze IT, weryfikowane również pod względem ewentualnego powierzenia przetwarzania danych osobowych,
  • raporty z monitorowania jakości usług.

Produktami dla omawianej powyżej wytycznej nr 1 będą:

  • agendy, raporty, protokoły z posiedzenia zarządu i rady nadzorczej, na których omawiany był obszar wytycznych lub bezpieczeństwa teleinformatycznego,
  • raporty składane w ramach Systemu Informacji Zarządczej (SIZ).

ODO 24 Sp. z o.o. Maciej Jurczyk