SlideShare a Scribd company logo

Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie

IT Auditor Sp. z o.o.
IT Auditor Sp. z o.o.

Prezentacja z konferencji kierowanych dla Banków Spółdzielczych

Data & Analytics
1 of 31
Download to read offline
R1
R2
R3
R4 ZASADY WSPÓŁPRACY ZAKRESY ODPOWIEDZIALNOŚCI OB IT ITS 4.1. Tryb określony + sformalizowany OB  …..................  …..................  …................ IT  …..................  …..................  …................ ITS  …..................  …..................  …................ * Rozwój * Precyzyjne * Ograniczenia IT * Zagrożenia strategii * Raport PayPass * Login Hasło EFEKTYWNE BEZPIECZNE KORZYSTANIE Z POTENCJAŁU IT
OBOWIĄZKI  …...  …....  ….... UPRAWNIENIA  …...  …....  ….... OBOWIĄZKI  …...  …....  ….... UPRAWNIENIA  …...  …....  ….... R5
+ forma pisemna + separacja - tworzenia od testowania - administrowana od projektowania - administrowana od monitorowania działań Administratora - audytu od reszty funkcji R5
WŁAŚCICIEL SYSTEMU  zapewnienie prawidłowego działania  nadzór nad użytkownikami  rozwój 5.10  Identyfikacja procesów kluczowych pracowników  dokumentacja  zastępstwa R5
SEPARACJA ŚRODOWISK Cele biznesowe Poziom wsparcia i zaawansowania IT R7.9 10 mln 20 mln
CEL: DZIAŁALNOŚĆ BANKU + BEZPIECZEŃSTWO DANYCH PRZEZ: SFORMALIZOWANE ZASADY ZARZĄDZANIA INFRASTRUKTURĄ IT REKOMENDACJA 9 R9
STRUKTURA IT dokumentacja komponenty wydajność architektura pojemność R9
 Monitoring sieci + łącze zapasowe  Alternatywny dostawca łącza  Zapory sieciowe na styku sieci zewn. / wewn.  Stosowanie podsieci logicznych (VLan)  Analiza i monitorowanie zdarzeń sieciowych R9
 Odpowiednie warunki napraw gwarancyjnych  Analiza ataków wewnętrznych i zewnętrznych R9
 Analiza ryzyka  Nadzór zasobów (ścisły!) (procesory, RAM, HDD, SSD)  Podsieć dedykowana administratorom  Ograniczenie nadużywania zasobów!!!  Szczególne zabezpieczenie maszyny fizycznej!  Wirtualizacja (warunki) R9
 Zabezpieczone drukarki i skanery sieciowe R9
 Testy penetracyjne (90% banków przeprowadza testy po każdej zmianie infrastruktury)  Aktualizacja oprogramowania – sformalizowane zasady (ALO)  Testowanie aktualizacji w środowisku testowym  Tylko komponenty ze wsparciem R9
 Skalowalność  Nadmiarowość  Odpowiednie zarządzanie wydajnością  Określenie parametrów  Monitoring  Analiza trendów  Raportowanie R9
PO PIERWSZE - BEZPIECZEŃSTWO PROCEDURY DOBORU USŁUGODAWCÓW ZEWN. - JASNO SFORMALIZOWANE REKOMENDACJA 10 PROWADZIĆ PROCESY I MECHANIZMY KONTROLNE ZAPEWNIĆ RAPORTOWANIE INCYDENTÓW R10
KONTROLA DOSTĘPU LOGICZNEGO REKOMENDACJA 11 KONTROLA DOSTĘPU FIZYCZNEGO  Parametry haseł  Zasady blokowania kont  Zarządzanie uprawnieniami  Profile dostępu do grup pracowników R11
ZAWSZE AKTUALNA DOKUMENTACJA REKOMENDACJA 15 EFEKTYWNY SYSTEM DYSTRYBUCJI ZASADY TECHNICZNE I MOŻLIWOŚĆ ICH ODTWORZENIA  Poufność i odpowiednia dostępność R15
ROZLEGŁA AWARIA – LOKALIZACJA ZAPASOWA REKOMENDACJA 15.8 R15 ODPOWIEDNIO ODLEGŁA - „SZEROKOŚĆ SKRZYDEŁ” SFORMALIZOWANY PROCES ODTWORZENIA ŚRODOWISKA CZAS POTRZEBNY NA WZNOWIENIE PROCESÓW BIZNESOWYCH KOPIE AWARYJNE
ISO 27001 REKOMENDACJA 18.3 R18
System zarządzania bezpieczeństwe m środowiska IT REKOMENDACJA 18 R18 Identyfikacja ryzyka Szacowanie KontrolaPrzeciwdziałanie Monitorowanie Raportowanie Poprzez:  Systematyczne przeglądy  Audyt ciągły (oprogramowanie + usługa)
REKOMENDACJA 19 R19 JAK?  Audyt stanowiskowy wewnętrzny lub zewnętrzny KLASYFIKACJA SYSTEMÓW – KLASYFIKACJA INFORMACJI SZCZEGÓŁOWA LISTA STANOWISK SZCZEGÓŁOWA LISTA PROCESÓW SZCZEGÓŁOWA LISTA UPRAWNIEŃ
REKOMENDACJA 22 SYSTEMATYCZNIE i w NIEZALEŻNY SPOSÓB powinny być audytowane systemy technologii informacji oraz bezpieczeństwa środowiska teleinformatycznego. R22
KLIENCI Banki należące do Spółdzielczej Grupy Bankowej:  Bank Spółdzielczy w Tucholi  Bank Spółdzielczy w Golubiu-Dobrzyniu  Bank Spółdzielczy w Świeciu  Bank Spółdzielczy we Włoszakowicach  Bank Spółdzielczy w Lubrańcu  Bank Spółdzielczy we Mstowie  Bank Spółdzielczy w Osiu  Bank Spółdzielczy w Grójcu  Bank Spółdzielczy w Sośnicowicach  Bank Spółdzielczy w Bieżuniu  Bank Spółdzielczy w Radziejowie  Bank Spółdzielczy w Siedlcu  Bank Spółdzielczy w Pleszewie  Bank Spółdzielczy w Szubinie  Bank Spółdzielczy w Nowem nad Wisłą Banki należące do Grupy Banków Polskiej Spółdzielczości:  Bank Spółdzielczy w Bartoszycach  Bank Spółdzielczy w Wilamowicach  Bank Spółdzielczy w Siewierzu  Bank Spółdzielczy w Koniecpolu  Bank Spółdzielczy w Zatorze  Bank Spółdzielczy w Kalwarii Zebrzydowskiej  Bank Spółdzielczy w Łobżenicy  Bank Spółdzielczy w Wysokiej
Bank Spółdzielczy we Włoszakowicach „Z przyjemnością rekomendujemy firmę IT Auditor Sp. z o.o., która przeprowadziła dla nas kompleksowy Audyt Bezpieczeństwa Informacji, jako godnego zaufania partnera, świadczącego swoje usługi rzetelnie i profesjonalnie. Wysoka jakoś świadczonych usług w pełni zaspokoiła nasze wymagania. Polecamy firmę IT Auditor Sp. z o.o. i jej usługi jako wszystkim firmom i instytucjom, które chcą należycie chronić informacje i odpowiednio nimi zarządzać.” Informatyk - Karol Kielczewski REFERENCJE
Bank Spółdzielczy w Lubrańcu „Bank Spółdzielczy w Lubrańcu potwierdza, że IT Auditor Sp. z o.o. przeprowadziła dla nas kompleksowy Audyt Legalności Oprogramowania oraz Audyt Bezpieczeństwa Informacji oraz przeszkoliła w tym zakresie pracowników. Wszystkie zadania zostały wykonane fachowo, profesjonalnie i terminowo, a współpraca przebiegłą w miłej harmonijnej atmosferze. Dzięki IT Auditor Sp. z o.o. możemy zapewnić odpowiedni poziom bezpieczeństwa informacji, co przekłada się na wyższą jakość usług świadczonych na rzecz naszych klientów. Z całą odpowiedzialnością polecamy firmę IT Auditor Sp. z o.o. jako rzetelnego godnego zaufania partnera.” Zarząd REFERENCJE
Homag Polska „Z przyjemnością informujemy, że IT Auditor Sp. z o.o. wykonała dla pracowników HOMAG Polska Sp. z o.o. szkolenie z zakresu "Ochrona danych osobowych w przedsiębiorstwie". Audytor, prowadzący Pan Marcin Polit, przygotował oraz poprowadził szkolenie wykazując się przy tym wzorową starannością oraz profesjonalizmem. Praktyczne i trafne przykłady w łatwy sposób pomagały zrozumieć uczestnikom problematykę związaną z tematem przewodnim. Szkolenie oceniam bardzo pozytywnie pod względem formy jak i wartości merytorycznej. W związku z powyższym mogę z pełną odpowiedzialnością zarekomendować firmę IT Auditor Sp. z o.o. jako godną polecenia firmę.” Członek Zarządu - Michał Piłat REFERENCJE
OFERTA Audyt zgodności z Rekomendacją D Audyt bezpieczeństwa informacji oparty na wytycznych normy ISO 27001 Audyt danych osobowych (plus szkolenia) Pentesty sieci LAN/WiFi Usługi wykonywane są w oparciu o metodykę PRINCE2® Foundation, dedykowaną dla prowadzenia projektów informatycznych. Pentesty aplikacji internetowych Audyt konfiguracji urządzeń sieciowych Audyt legalności oprogramowania
Dziękuję za uwagę Marcin Polit 533 641 700 marcin.polit@itauditor.pl www.itauditor.pl

Recommended

PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
2017 05-31 wytyczne-mc_spotkanie_mf_v2
2017 05-31 wytyczne-mc_spotkanie_mf_v22017 05-31 wytyczne-mc_spotkanie_mf_v2
2017 05-31 wytyczne-mc_spotkanie_mf_v2Adam Mizerski
 
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...Adam Mizerski
 
Round table guide
Round table guideRound table guide
Round table guideOracleIDM
 
CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...
CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...
CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...oow123
 
Ioug webcast entitlements in check
Ioug webcast entitlements in checkIoug webcast entitlements in check
Ioug webcast entitlements in checkOracleIDM
 
SANS Institute Product Review: Oracle Entitlements Server
SANS Institute Product Review: Oracle Entitlements ServerSANS Institute Product Review: Oracle Entitlements Server
SANS Institute Product Review: Oracle Entitlements ServerOracleIDM
 
Con8837 leverage authorization to monetize content and media subscriptions ...
Con8837 leverage authorization to monetize content and media subscriptions ...Con8837 leverage authorization to monetize content and media subscriptions ...
Con8837 leverage authorization to monetize content and media subscriptions ...OracleIDM
 

Recommended

PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
2017 05-31 wytyczne-mc_spotkanie_mf_v2
2017 05-31 wytyczne-mc_spotkanie_mf_v22017 05-31 wytyczne-mc_spotkanie_mf_v2
2017 05-31 wytyczne-mc_spotkanie_mf_v2Adam Mizerski
 
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...Adam Mizerski
 
Round table guide
Round table guideRound table guide
Round table guideOracleIDM
 
CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...
CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...
CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...oow123
 
Ioug webcast entitlements in check
Ioug webcast entitlements in checkIoug webcast entitlements in check
Ioug webcast entitlements in checkOracleIDM
 
SANS Institute Product Review: Oracle Entitlements Server
SANS Institute Product Review: Oracle Entitlements ServerSANS Institute Product Review: Oracle Entitlements Server
SANS Institute Product Review: Oracle Entitlements ServerOracleIDM
 
Con8837 leverage authorization to monetize content and media subscriptions ...
Con8837 leverage authorization to monetize content and media subscriptions ...Con8837 leverage authorization to monetize content and media subscriptions ...
Con8837 leverage authorization to monetize content and media subscriptions ...OracleIDM
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaPawel Krawczyk
 
Bezpieczeństwo i optymalizacja kosztów - virtual Disaster Recovery
Bezpieczeństwo i optymalizacja kosztów - virtual Disaster RecoveryBezpieczeństwo i optymalizacja kosztów - virtual Disaster Recovery
Bezpieczeństwo i optymalizacja kosztów - virtual Disaster RecoveryBeyond.pl
 
Audyt bezpieczeństwa it
Audyt bezpieczeństwa itAudyt bezpieczeństwa it
Audyt bezpieczeństwa itTremark Sp. z. o.o
 
Aleksandra Porębska: 'Ciągłość systemów IT"
Aleksandra Porębska: 'Ciągłość systemów IT"Aleksandra Porębska: 'Ciągłość systemów IT"
Aleksandra Porębska: 'Ciągłość systemów IT"Geek Girls Carrots Poznan
 
2021 07-14 -Spotkanie biznesowe o digitalizacji danych
2021 07-14 -Spotkanie biznesowe o digitalizacji danych2021 07-14 -Spotkanie biznesowe o digitalizacji danych
2021 07-14 -Spotkanie biznesowe o digitalizacji danychMindbox
 
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Deloitte Polska
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
Bezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaBezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaWydawnictwo Helion
 
Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...
Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...
Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...Transition Technologies PSC
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+LipskiPrezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+Lipskidareklipski
 
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 WarszawaArtur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawaecommerce poland expo
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaPwC Polska
 
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)Wydawnictwo Helion
 
Przegląd zastosowań Sztucznej inteligencjI
Przegląd zastosowań Sztucznej inteligencjIPrzegląd zastosowań Sztucznej inteligencjI
Przegląd zastosowań Sztucznej inteligencjIbyteLAKE
 
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł Korzec
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł KorzecPLNOG15 :Contagious SDN - consequences of dealing with it, Paweł Korzec
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł KorzecPROIDEA
 
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Pawel Wawrzyniak
 
Michał Sobiegraj - Analiza ryzyka aplikacji webowych
Michał Sobiegraj - Analiza ryzyka aplikacji webowychMichał Sobiegraj - Analiza ryzyka aplikacji webowych
Michał Sobiegraj - Analiza ryzyka aplikacji webowychSebastian Kwiecien
 
TIBCO BPM - Slawomir Zak
TIBCO BPM - Slawomir ZakTIBCO BPM - Slawomir Zak
TIBCO BPM - Slawomir ZakSlawomir Zak
 

More Related Content

Similar to Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie

PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaPawel Krawczyk
 
Bezpieczeństwo i optymalizacja kosztów - virtual Disaster Recovery
Bezpieczeństwo i optymalizacja kosztów - virtual Disaster RecoveryBezpieczeństwo i optymalizacja kosztów - virtual Disaster Recovery
Bezpieczeństwo i optymalizacja kosztów - virtual Disaster RecoveryBeyond.pl
 
Aleksandra Porębska: 'Ciągłość systemów IT"
Aleksandra Porębska: 'Ciągłość systemów IT"Aleksandra Porębska: 'Ciągłość systemów IT"
Aleksandra Porębska: 'Ciągłość systemów IT"Geek Girls Carrots Poznan
 
2021 07-14 -Spotkanie biznesowe o digitalizacji danych
2021 07-14 -Spotkanie biznesowe o digitalizacji danych2021 07-14 -Spotkanie biznesowe o digitalizacji danych
2021 07-14 -Spotkanie biznesowe o digitalizacji danychMindbox
 
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Deloitte Polska
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...
Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...
Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...Transition Technologies PSC
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+LipskiPrezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+Lipskidareklipski
 
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 WarszawaArtur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawaecommerce poland expo
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaPwC Polska
 
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)Wydawnictwo Helion
 
Przegląd zastosowań Sztucznej inteligencjI
Przegląd zastosowań Sztucznej inteligencjIPrzegląd zastosowań Sztucznej inteligencjI
Przegląd zastosowań Sztucznej inteligencjIbyteLAKE
 
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł Korzec
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł KorzecPLNOG15 :Contagious SDN - consequences of dealing with it, Paweł Korzec
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł KorzecPROIDEA
 
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Pawel Wawrzyniak
 
Michał Sobiegraj - Analiza ryzyka aplikacji webowych
Michał Sobiegraj - Analiza ryzyka aplikacji webowychMichał Sobiegraj - Analiza ryzyka aplikacji webowych
Michał Sobiegraj - Analiza ryzyka aplikacji webowychSebastian Kwiecien
 
TIBCO BPM - Slawomir Zak
TIBCO BPM - Slawomir ZakTIBCO BPM - Slawomir Zak
TIBCO BPM - Slawomir ZakSlawomir Zak
 

Similar to Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie (20)

PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
 
Bezpieczeństwo i optymalizacja kosztów - virtual Disaster Recovery
Bezpieczeństwo i optymalizacja kosztów - virtual Disaster RecoveryBezpieczeństwo i optymalizacja kosztów - virtual Disaster Recovery
Bezpieczeństwo i optymalizacja kosztów - virtual Disaster Recovery
 
Audyt bezpieczeństwa it
Audyt bezpieczeństwa itAudyt bezpieczeństwa it
Audyt bezpieczeństwa it
 
Aleksandra Porębska: 'Ciągłość systemów IT"
Aleksandra Porębska: 'Ciągłość systemów IT"Aleksandra Porębska: 'Ciągłość systemów IT"
Aleksandra Porębska: 'Ciągłość systemów IT"
 
2021 07-14 -Spotkanie biznesowe o digitalizacji danych
2021 07-14 -Spotkanie biznesowe o digitalizacji danych2021 07-14 -Spotkanie biznesowe o digitalizacji danych
2021 07-14 -Spotkanie biznesowe o digitalizacji danych
 
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
Zarządzanie ryzykiem AML/CFT | Broszura Deloitte
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
Bezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. BibliaBezpieczeństwo sieci. Biblia
Bezpieczeństwo sieci. Biblia
 
Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...
Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...
Przemysłowe platformy integracyjne dużych producentów - Software Integrator P...
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
 
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+LipskiPrezentacja+Ryzyko+2009+ +Dariusz+Lipski
Prezentacja+Ryzyko+2009+ +Dariusz+Lipski
 
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 WarszawaArtur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwa
 
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)Windows Server 2008. Infrastruktura klucza publicznego (PKI)
Windows Server 2008. Infrastruktura klucza publicznego (PKI)
 
Przegląd zastosowań Sztucznej inteligencjI
Przegląd zastosowań Sztucznej inteligencjIPrzegląd zastosowań Sztucznej inteligencjI
Przegląd zastosowań Sztucznej inteligencjI
 
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł Korzec
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł KorzecPLNOG15 :Contagious SDN - consequences of dealing with it, Paweł Korzec
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł Korzec
 
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
 
Michał Sobiegraj - Analiza ryzyka aplikacji webowych
Michał Sobiegraj - Analiza ryzyka aplikacji webowychMichał Sobiegraj - Analiza ryzyka aplikacji webowych
Michał Sobiegraj - Analiza ryzyka aplikacji webowych
 
TIBCO BPM - Slawomir Zak
TIBCO BPM - Slawomir ZakTIBCO BPM - Slawomir Zak
TIBCO BPM - Slawomir Zak
 

Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie

  • 1.
  • 2. R1
  • 3. R2
  • 4. R3
  • 5. R4 ZASADY WSPÓŁPRACY ZAKRESY ODPOWIEDZIALNOŚCI OB IT ITS 4.1. Tryb określony + sformalizowany OB  …..................  …..................  …................ IT  …..................  …..................  …................ ITS  …..................  …..................  …................ * Rozwój * Precyzyjne * Ograniczenia IT * Zagrożenia strategii * Raport PayPass * Login Hasło EFEKTYWNE BEZPIECZNE KORZYSTANIE Z POTENCJAŁU IT
  • 6. OBOWIĄZKI  …...  …....  ….... UPRAWNIENIA  …...  …....  ….... OBOWIĄZKI  …...  …....  ….... UPRAWNIENIA  …...  …....  ….... R5
  • 7. + forma pisemna + separacja - tworzenia od testowania - administrowana od projektowania - administrowana od monitorowania działań Administratora - audytu od reszty funkcji R5
  • 8. WŁAŚCICIEL SYSTEMU  zapewnienie prawidłowego działania  nadzór nad użytkownikami  rozwój 5.10  Identyfikacja procesów kluczowych pracowników  dokumentacja  zastępstwa R5
  • 9. SEPARACJA ŚRODOWISK Cele biznesowe Poziom wsparcia i zaawansowania IT R7.9 10 mln 20 mln
  • 10. CEL: DZIAŁALNOŚĆ BANKU + BEZPIECZEŃSTWO DANYCH PRZEZ: SFORMALIZOWANE ZASADY ZARZĄDZANIA INFRASTRUKTURĄ IT REKOMENDACJA 9 R9
  • 12.  Monitoring sieci + łącze zapasowe  Alternatywny dostawca łącza  Zapory sieciowe na styku sieci zewn. / wewn.  Stosowanie podsieci logicznych (VLan)  Analiza i monitorowanie zdarzeń sieciowych R9
  • 13.  Odpowiednie warunki napraw gwarancyjnych  Analiza ataków wewnętrznych i zewnętrznych R9
  • 14.  Analiza ryzyka  Nadzór zasobów (ścisły!) (procesory, RAM, HDD, SSD)  Podsieć dedykowana administratorom  Ograniczenie nadużywania zasobów!!!  Szczególne zabezpieczenie maszyny fizycznej!  Wirtualizacja (warunki) R9
  • 15.  Zabezpieczone drukarki i skanery sieciowe R9
  • 16.  Testy penetracyjne (90% banków przeprowadza testy po każdej zmianie infrastruktury)  Aktualizacja oprogramowania – sformalizowane zasady (ALO)  Testowanie aktualizacji w środowisku testowym  Tylko komponenty ze wsparciem R9
  • 17.  Skalowalność  Nadmiarowość  Odpowiednie zarządzanie wydajnością  Określenie parametrów  Monitoring  Analiza trendów  Raportowanie R9
  • 18. PO PIERWSZE - BEZPIECZEŃSTWO PROCEDURY DOBORU USŁUGODAWCÓW ZEWN. - JASNO SFORMALIZOWANE REKOMENDACJA 10 PROWADZIĆ PROCESY I MECHANIZMY KONTROLNE ZAPEWNIĆ RAPORTOWANIE INCYDENTÓW R10
  • 19. KONTROLA DOSTĘPU LOGICZNEGO REKOMENDACJA 11 KONTROLA DOSTĘPU FIZYCZNEGO  Parametry haseł  Zasady blokowania kont  Zarządzanie uprawnieniami  Profile dostępu do grup pracowników R11
  • 20. ZAWSZE AKTUALNA DOKUMENTACJA REKOMENDACJA 15 EFEKTYWNY SYSTEM DYSTRYBUCJI ZASADY TECHNICZNE I MOŻLIWOŚĆ ICH ODTWORZENIA  Poufność i odpowiednia dostępność R15
  • 21. ROZLEGŁA AWARIA – LOKALIZACJA ZAPASOWA REKOMENDACJA 15.8 R15 ODPOWIEDNIO ODLEGŁA - „SZEROKOŚĆ SKRZYDEŁ” SFORMALIZOWANY PROCES ODTWORZENIA ŚRODOWISKA CZAS POTRZEBNY NA WZNOWIENIE PROCESÓW BIZNESOWYCH KOPIE AWARYJNE
  • 23. System zarządzania bezpieczeństwe m środowiska IT REKOMENDACJA 18 R18 Identyfikacja ryzyka Szacowanie KontrolaPrzeciwdziałanie Monitorowanie Raportowanie Poprzez:  Systematyczne przeglądy  Audyt ciągły (oprogramowanie + usługa)
  • 24. REKOMENDACJA 19 R19 JAK?  Audyt stanowiskowy wewnętrzny lub zewnętrzny KLASYFIKACJA SYSTEMÓW – KLASYFIKACJA INFORMACJI SZCZEGÓŁOWA LISTA STANOWISK SZCZEGÓŁOWA LISTA PROCESÓW SZCZEGÓŁOWA LISTA UPRAWNIEŃ
  • 25. REKOMENDACJA 22 SYSTEMATYCZNIE i w NIEZALEŻNY SPOSÓB powinny być audytowane systemy technologii informacji oraz bezpieczeństwa środowiska teleinformatycznego. R22
  • 26. KLIENCI Banki należące do Spółdzielczej Grupy Bankowej:  Bank Spółdzielczy w Tucholi  Bank Spółdzielczy w Golubiu-Dobrzyniu  Bank Spółdzielczy w Świeciu  Bank Spółdzielczy we Włoszakowicach  Bank Spółdzielczy w Lubrańcu  Bank Spółdzielczy we Mstowie  Bank Spółdzielczy w Osiu  Bank Spółdzielczy w Grójcu  Bank Spółdzielczy w Sośnicowicach  Bank Spółdzielczy w Bieżuniu  Bank Spółdzielczy w Radziejowie  Bank Spółdzielczy w Siedlcu  Bank Spółdzielczy w Pleszewie  Bank Spółdzielczy w Szubinie  Bank Spółdzielczy w Nowem nad Wisłą Banki należące do Grupy Banków Polskiej Spółdzielczości:  Bank Spółdzielczy w Bartoszycach  Bank Spółdzielczy w Wilamowicach  Bank Spółdzielczy w Siewierzu  Bank Spółdzielczy w Koniecpolu  Bank Spółdzielczy w Zatorze  Bank Spółdzielczy w Kalwarii Zebrzydowskiej  Bank Spółdzielczy w Łobżenicy  Bank Spółdzielczy w Wysokiej
  • 27. Bank Spółdzielczy we Włoszakowicach „Z przyjemnością rekomendujemy firmę IT Auditor Sp. z o.o., która przeprowadziła dla nas kompleksowy Audyt Bezpieczeństwa Informacji, jako godnego zaufania partnera, świadczącego swoje usługi rzetelnie i profesjonalnie. Wysoka jakoś świadczonych usług w pełni zaspokoiła nasze wymagania. Polecamy firmę IT Auditor Sp. z o.o. i jej usługi jako wszystkim firmom i instytucjom, które chcą należycie chronić informacje i odpowiednio nimi zarządzać.” Informatyk - Karol Kielczewski REFERENCJE
  • 28. Bank Spółdzielczy w Lubrańcu „Bank Spółdzielczy w Lubrańcu potwierdza, że IT Auditor Sp. z o.o. przeprowadziła dla nas kompleksowy Audyt Legalności Oprogramowania oraz Audyt Bezpieczeństwa Informacji oraz przeszkoliła w tym zakresie pracowników. Wszystkie zadania zostały wykonane fachowo, profesjonalnie i terminowo, a współpraca przebiegłą w miłej harmonijnej atmosferze. Dzięki IT Auditor Sp. z o.o. możemy zapewnić odpowiedni poziom bezpieczeństwa informacji, co przekłada się na wyższą jakość usług świadczonych na rzecz naszych klientów. Z całą odpowiedzialnością polecamy firmę IT Auditor Sp. z o.o. jako rzetelnego godnego zaufania partnera.” Zarząd REFERENCJE
  • 29. Homag Polska „Z przyjemnością informujemy, że IT Auditor Sp. z o.o. wykonała dla pracowników HOMAG Polska Sp. z o.o. szkolenie z zakresu "Ochrona danych osobowych w przedsiębiorstwie". Audytor, prowadzący Pan Marcin Polit, przygotował oraz poprowadził szkolenie wykazując się przy tym wzorową starannością oraz profesjonalizmem. Praktyczne i trafne przykłady w łatwy sposób pomagały zrozumieć uczestnikom problematykę związaną z tematem przewodnim. Szkolenie oceniam bardzo pozytywnie pod względem formy jak i wartości merytorycznej. W związku z powyższym mogę z pełną odpowiedzialnością zarekomendować firmę IT Auditor Sp. z o.o. jako godną polecenia firmę.” Członek Zarządu - Michał Piłat REFERENCJE
  • 30. OFERTA Audyt zgodności z Rekomendacją D Audyt bezpieczeństwa informacji oparty na wytycznych normy ISO 27001 Audyt danych osobowych (plus szkolenia) Pentesty sieci LAN/WiFi Usługi wykonywane są w oparciu o metodykę PRINCE2® Foundation, dedykowaną dla prowadzenia projektów informatycznych. Pentesty aplikacji internetowych Audyt konfiguracji urządzeń sieciowych Audyt legalności oprogramowania
  • 31. Dziękuję za uwagę Marcin Polit 533 641 700 marcin.polit@itauditor.pl www.itauditor.pl