Rolę i funkcję ABI w towarzystwach funduszy inwestycyjnych warto postrzegać również w związku z nowymi Wytycznymi KNF obejmującymi zarządzanie obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, a nie tylko w kontekście znowelizowanej w ubiegłym roku ustawy o ochronie danych osobowych.
Komisja Nadzoru Finansowego opracowała w grudniu 2014 r. Wytyczne IT dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w towarzystwach funduszy inwestycyjnych, analogicznie do Rekomendacji D obowiązującej w bankach od początku 2015 r. TFI mają czas na wdrożenie standardów wskazanych w Wytycznych KNF nie później niż do 31 grudnia 2016 r. Wbrew pozorom, towarzystwom pozostało niewiele czasu, bo Wytyczne obejmują bardzo specjalistyczne obszary technologii informacyjnej i środowiska teleinformatycznego funkcjonujące w całej organizacji. Trudno sobie dzisiaj wyobrazić pracowników czy współpracowników TFI, którzy nie mają dostępu do informacji i nie korzystają z zasobów teleinformatycznych.
Jednocześnie wdrożenieWytycznych KNF może mieć wpływ na zmianę dotychczasowych rozwiązań organizacyjno-proceduralnych, zapewnienie dodatkowych zasobów ludzkich oraz wprowadzenie dodatkowych zabezpieczeń fizycznych, systemowych i technologicznych.
Dokument opracowany przez KNF bazuje w rzeczywistości na normach z grupy ISO w zakresie zarządzania bezpieczeństwem informacji (ISO/IEC 27000:2009, ISO/IEC 27001:2013), zarządzania ryzykiem (ISO/IEC 27005, ISO/IEC 31000:2009) oraz zarządzania ciągłością działania (ISO/IEC22301) i zawiera 22 Wytyczne, które podzielone zostały na obszary:
- strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego,
- rozwój środowiska teleinformatycznego,
- utrzymanie i eksploatacja środowiska teleinformatycznego,
- zarządzanie bezpieczeństwem środowiska teleinformatycznego.
Warto już teraz zastanowić się kto będzie nadzorował w TFI powyższe obszary oraz przygotować się do wdrożenia Wytycznych KNF. Można również powołać Komitet lub Zespół właściwy ds. obszaru bezpieczeństwa środowiska teleinformatycznego, którego celem będzie przygotowanie towarzystwa do spełnienia Wytycznych KNF. Sposób realizacji Wytycznych możemy uzależnić od wyników audytu przedwdrożeniowego, uwarunkowań indywidualnych, skali działalności oraz profilu ryzyka w naszym towarzystwie.
W sytuacji zlecania podmiotom trzecim wykonywania czynnościz zakresu działalności towarzystwa funduszy inwestycyjnych, wdrożenie Wytycznych KNF należy rozpocząć od zmian zapisów w umowach z zewnętrznymi dostawcami usług, gwarantującymi wykonywanie Wytycznych przez te podmioty. Warto pamiętać, że znowelizowana ustawa o ochronie danych osobowych umożliwia również outsourcing funkcji ABI do zewnętrznego podmiotu. Realizacja funkcji ABI przez zewnętrznego eksperta może ograniczyć ryzyko odpowiedzialności karnej członków zarządu towarzystwa oraz zapewnić zgodność z obowiązującymi przepisami i dobrymi praktykami.
W kontekście powyższego, na rolę i funkcję Administratora Bezpieczeństwa Informacji (ABI) należy spojrzeć w nieco szerszym zakresie niż tylko zapewnienie przestrzegania przepisów o ochronie danych osobowych, chociaż te w kontekście znowelizowanej ustawy o ochronie danych osobowych są dla ABI nadrzędne. Jednakże, szczególnie w mniejszych i średnich organizacjach, funkcja ABI może być utożsamiana z szeroko rozumianym bezpieczeństwem informacji, a ochrona danych osobowych będzie stanowić jedynie część informacji prawnie chronionych nadzorowanych przez ABI. Na jednym z warsztatów, które prowadziłam, na pytanie: „Kim jest ABI dla organizacji?” usłyszałam odpowiedź: „ABI, to taki anioł stróż od bezpieczeństwa informacji” - i bardzo mi się ta odpowiedź spodobała.
Z czego zatem może wynikać zakres obowiązków ABI?
Po pierwsze, w związku ze znowelizowaną ustawą o ochronie danych osobowych obowiązującą od 1 stycznia 2015 r., do zadań ABI może należeć:
- nadzór nad zapewnieniem przestrzegania przepisów o ochronie danych osobowych,
- wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami, w tym na wniosek GIODO,
- opracowywanie sprawozdań dla administratora danych oraz GIODO,
- nadzorowanie opracowania i aktualizowania dokumentacji z obszaru ochrony danych osobowych oraz jej przestrzegania, w tym m.in. prowadzenie ewidencji, nadawanie/odwoływanie upoważnień,
- zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami, a w praktyce często opracowywanie i prowadzenie szkoleń,
- prowadzenie rejestru zbiorów danych osobowych, z wyjątkiem zbiorów danych wrażliwych, bo te muszą być nadal zgłaszane do rejestracji i aktualizacji przez GIODO,
- wyjaśnianie naruszeń ochrony danych osobowych,
- prowadzenie korespondencji i wyjaśnień na zapytania od użytkowników oraz GIODO.
Po drugie, w związku z nowymi Wytycznymi KNF, zakresie obowiązków wykonywanych przez ABI możemy uwzględnić nadzór nad obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego obejmujący m.in.:
- nadzór nad zarządzaniem uprawnieniami do systemów informatycznych, w tym nad nadawaniem/blokowaniem uprawnień w systemach,
- ścisłą współpracę z zespołami odpowiedzialnymi za bezpieczeństwo środowiska teleinformatycznego, np. z Administratorem Systemów Informatycznych (ASI), Dyrektorem IT,
- nadzór nad zarządzaniem ciągłością działania,
- nadzór nad zarządzaniem architekturą i jakością danych,
- nadzór nad współpracą z zewnętrznymi dostawcami usług,
- obsługę incydentów (bezpieczeństwa informacji, danych osobowych, ciągłości działania),
- bezpieczeństwo informacji oraz tajemnic prawnie chronionych, w tym bezpieczeństwo organizacyjne, fizyczne, techniczne, osobowe,
- bezpieczeństwo usług wykorzystujących elektroniczne kanały dostępu,
- klasyfikację informacji i systemów informatycznych,
- analizę ryzyka bezpieczeństwa środowiska teleinformatycznego,
- podnoszenie świadomości i kultury bezpieczeństwa informacji w organizacji,
- kontrole wewnętrzne i funkcjonalne,
- raportowanie do Zarządu i Rady Nadzorczej w ramach systemu informacji zarządczej.
Oczywiście w większych TFI do nadzoru i realizacji wskazanych powyżej obszarów mogą być dedykowani różni pracownicy, zespoły bądź firmy zewnętrzne, ale kontrolę i nadzór nad tymi obszarami dobrze jest powierzyć Administratorowi Bezpieczeństwa Informacji bądź innej osobie nadzorującej bezpieczeństwo informacji w towarzystwie.
Jednocześnie musimy pamiętać, iż zarówno ABI, jak i osoby dedykowane do wdrożenia Wytycznych KNF w TFI, powinni posiadać odpowiednią wiedzę z zakresu ochrony danych osobowych oraz kwalifikacje w obszarze technologii informacyjnej, bezpieczeństwa środowiska teleinformatycznego i bezpieczeństwa informacji przetwarzanych w tym środowisku. Dlatego warto z wyprzedzeniem zadbać o zapewnienie regularnych szkoleń dla zespołów realizujących wdrożenie Wytycznych KNF i uwzględnienie ich w planie szkoleń na 2016 rok.
Nadrzędnym celem szkoleń oraz akcji edukacyjnych powinno być jednak stałe podnoszenie świadomości i kultury bezpieczeństwa w organizacji. Musimy pamiętać, że najsłabszym ogniwem w systemie bezpieczeństwa informacji jest człowiek, a zatem najskuteczniejszym zabezpieczeniem będą przeszkoleni, świadomi i czujni pracownicy.
Jolanta Gasiewicz- Inspektor ds. Bezpieczeństwa Informacji PKO BP FINAT