„Co oznacza Rekomendacja „D” Komisji Nadzoru Finansowego w praktyce?”

Wydana przez Komisję Nadzoru Finansowego w styczniu 2013r.,  na podstawie art. 137 pkt 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2012 r. poz. 1376 j.t. z późn. zm.) nowa „Rekomendacja „D” dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki” zastępuje „Rekomendację D” opracowaną i wydaną w 2002 r. Postęp technologiczny, w szczególności rozwój cloud computing także i w bankowości oraz pojawienie się nowych ryzyk operacyjnych związanych ze stosowaniem IT w bankach sprawiła, że dotychczasowe rozwiązania stały się niewystarczające i zaistniała konieczność nowego uregulowania ochrony przed ryzykami związanych z procesami IT w bankach. Zakres wykorzystania IT w bankowości, w szczególności informatyzacja back-office i front-office sprawił, iż na standardowy podział służb i ryzyk bankowych trzeba nałożyć podział na służby i ryzyka związane z nowymi technologiami. Jednocześnie znacząco zwiększyła się rola tych technologii w systemie funkcjonalnym i biznesowym banku. W konsekwencji ryzyko operacyjne banku, które jest związane z profilem banku i jego rozmiarami zostało odpowiednio zmienione przez wykorzystywane  systemy IT. Trzeba to było uwzględnić w Rekomendacji.

Niezależnie od ryzyk związanych w informatyzacją Back-Office i Front-Office do nowych ryzyk doszło w szczególności w skutek rozwoju świadczenia usług w internecie, wdrażania sieciowych systemów centralnych i sieci wiążących banki w skali kraju i świata. Pojawiły się ryzyka włamań do systemu, ryzyka luk systemu, ryzyka przekłamań informacji. Rekomendacja wydana w roku 2002, w oparciu o stan technologii tego okresu, nie mogła być oparciem dla działań minimalizujących ryzyko w  roku 2014.

Należy podkreślić, iż w systemie źródeł prawa pozytywnego Rekomendacja „D” nie stanowi źródła prawa, czyli można powiedzieć, że Rekomendacja „D” nie jest „prawem”, ale ze względu na funkcjonowanie organu nadzoru, który będzie badał banki pod kątem  zgodności ich systemu zarządzania ich ryzykiem operacyjnym z oczekiwaniami UKNF, wskazane jest dostosowanie systemów zarządzania ryzykiem informatycznym do zapisów Rekomendacji „D”. Komisja Nadzoru Finansowego zakłada, że banki wdrożą Rekomendację w terminie do 31 grudnia 2014 r. Po tym okresie kontrole banków będą obejmowały zgodność zarządzania ryzykiem operacyjnym IT z Rekomendacją „D”.

Rekomendacja „D” zawiera 22 rekomendacje szczegółowe, obejmujące cztery „obszary ryzyk”  środowiska teleinformatycznego, a mianowicie:

1)      Obszar „strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa”,

2)      Obszar „rozwój środowiska IT”,

3)      Obszar „utrzymanie i eksploatacja IT ”,

4)      Obszar „zarządzanie bezpieczeństwem IT”.

SC

Czy wiecie, że już prawie od roku jest dopuszczalne  korzystanie z chmury obliczeniowej  przez szpitale i inne podmioty lecznicze? Umożliwiło to rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania.

Zgodnie z jego zapisami jest dopuszczalne przetwarzanie w systemach teleinformatycznych danych dotyczących usługi zdrowotnej pod warunkiem zabezpieczenia prawnego i faktycznego bezpieczeństwa danych.

Ale i de facto i de iure zagadnienie bezpieczeństwa danych w przetwarzaniu cyfrowym jest kluczowym zagadnieniem organizacji procesu przetwarzania.

Niezależnie od sposobu przetwarzania – czy to na własnych serwerach administratora danych, czy to na serwerach przetwarzającego należy zachować normy bezpieczeństwa gwarantujące brak dostępu osób trzecich do danych, a także zabezpieczenie przed utratą czy też przekłamaniem danych. Wymóg ten dotyczy praktycznie każdego serwera, który jest połączony z zewnętrzną siecią informatyczną, bez względu na to  czy jest to serwer własny, dzierżawiony  czy też udostępniona powierzchnia dyskowa.

http://www.youtube.com/watch?v=VjfaCoA2sQk&feature=related

Tym razem lekko
Bezpieczeństwo w chmurze jest najważniejsze! :-)

Informatyka w działalności leczniczej

„:Informatyzacja w działalności leczniczej – cele i rozwiązania”.

Rok 2011 w szeroko rozumianym obszarze świadczenia usług zdrowotnych będzie uznany za rok przełomowy. Nie tylko ze względu na wprowadzenie nowych form prawnych świadczenia usług zdrowotnych. Także, a może nawet przede wszystkim, ze względu na podjęcie kompleksowych  działań zmierzających do wdrożenia informatyki w usługach zdrowotnych. Uchwalona przez Sejm ustawa z dnia 28 kwietnia 2011r. o systemie informacji w ochronie zdrowia wprowadza nową jakość w systemie przetwarzania informacji w obszarze określanym w nowej terminologii „działalnością leczniczą”. O ile do 2011r. podstawową formą dokumentowania zdarzeń związanych z leczeniem pacjentów była forma papierowej dokumentacji to wspomniana ustawa zakłada przeniesienie całości dokumentacji w sferę elektroniczną. Z czasem ma to doprowadzić między innymi, do dostępności „on line” informacji o stanie zdrowia pacjenta, dzięki czemu proces leczenia może być efektywniejszy i tańszy.

Jednakże tego rodzaju decyzja ustawodawcy od momentu uchwalenia pociąga za sobą  różnorakie skutki dla podmiotów leczniczych. Jednym z istotniejszym spośród nich jest konieczność podjęcia decyzji o wyborze oprogramowania, ponieważ musi ono zapewnić stabilne i bezpieczne przetwarzanie i przechowywanie informacji medycznej.

Konsekwencje społeczne Cloud

Żywiołowy rozwój usług "Cloud Computing", poza zmianami w technologiach, powoduje coraz częściej uświadamiany nowy model planowania "informatyzacji" przedsiębiorstwa.

Do niedawna zarząd firmy decydujący się na zastosowanie informatyki w pierwszej kolejności zastanawiał się jakie ma możliwości inwestycyjne a następnie mógł ogłosić o zamiarze kupna oprogramowania użytkowego. Pojawiali się przedstawiciele firm softwarowych, którzy roztaczali wspaniałe widoki efektywności ich rozwiązań. Często jednocześnie doradzali jakie zmiany w systemie funkcjonalnym firmy są niezbędne aby uzyskać optymalny wynik. Trwający często długie miesiące proces wdrożenia też wymagał ścisłej współpracy dostawcy i odbiorcy i tworzył możliwości modyfikacji modelu.
W "chmurze obliczeniowej" proces wyboru wygląda inaczej. Zarząd firmy otrzyma różnorakie oferty wykupienia stypizowanych usług. I sam zarząd będzie musiał dopasować zestaw usług do potrzeb przedsiębiorstwa.
Przypuszczam, że już niedługo pojawi się nowy zawód - "cloud consultant" czyli fachowiec, który po przeprowadzeniu audytu potrzeb przedsiębiorstwa będzie mógł zaproponować odpowiedni zestaw usług do nabycia "w chmurze".
I tak, nowa technologia, rodzi nowe korzyści, nowe ryzyka, ale i nowe profesje.  

Microsoft kupuje Skype

Microsoft ogłosił dzisiaj, że zamierza kupić Skype Inc. za ok. 7-8 miliardów dolarów. Transakcja jest o tyle ciekawa, iż będzie to jedno z niewielu tak dużych przejęć na koncie Microsoftu. Wg. Wall Street Journal Microsoft może wykorzystać Skype'a do wzmocnienia swojej oferty w ramach systemu Lync. Zobaczymy, czy tego rodzaju plan się powiedzie - jakiś czas temu eBay planował "zaprząc" popularny komunikator do swoich celów, co zakończyło się porażką.

Więcej tutaj.

Dodam na marginesie, iż do Skype'a mam sentyment, gdyż wyjątkowo dobrze pracowało mi się z działem prawnym tej firmy w trakcie wdrażania ich systemu u jednego z moich klientów.

Czy chmura obliczeniowa jest bezpieczna?

Jak zauważają menadżerowie i decydenci, chmura ma wiele zalet - jest łatwo skalowalna, nie wymaga utrzymywania rozbudowanych działów IT oraz jest przyjazna środowisku. Wielu ekspertów uważa jednak, że cloud computing nie jest środowiskiem bezpiecznym. Z taką opinią spotkałem się osobiście występując na konferencji Virtu GigaCon 2011, zaś podobne głosy słychać było wyraźnie na niedawnej konferencji zorganizowanej przez Pracodawców RP. Firmy nie ufają chmurze, gdyż korzystając z niej tracą bezpośrednią kontrolę nad swoim środowiskiem informatycznym.