Abstract image of a woman sitting on books and studying on a laptop

Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie

IT Auditor Sp. z o.o., profile picture
IT Auditor Sp. z o.o.

Prezentacja z konferencji kierowanych dla Banków Spółdzielczych

Data & Analytics
Related topics:
IT Security
1 of 31
Downloaded 11 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie
R1
R2
R3
R4 ZASADY WSPÓŁPRACY ZAKRESY ODPOWIEDZIALNOŚCI OB IT ITS 4.1. Tryb określony + sformalizowany OB  …..................  …..................  …................ IT  …..................  …..................  …................ ITS  …..................  …..................  …................ * Rozwój * Precyzyjne * Ograniczenia IT * Zagrożenia strategii * Raport PayPass * Login Hasło EFEKTYWNE BEZPIECZNE KORZYSTANIE Z POTENCJAŁU IT
OBOWIĄZKI  …...  …....  ….... UPRAWNIENIA  …...  …....  ….... OBOWIĄZKI  …...  …....  ….... UPRAWNIENIA  …...  …....  ….... R5
+ forma pisemna + separacja - tworzenia od testowania - administrowana od projektowania - administrowana od monitorowania działań Administratora - audytu od reszty funkcji R5
WŁAŚCICIEL SYSTEMU  zapewnienie prawidłowego działania  nadzór nad użytkownikami  rozwój 5.10  Identyfikacja procesów kluczowych pracowników  dokumentacja  zastępstwa R5
SEPARACJA ŚRODOWISK Cele biznesowe Poziom wsparcia i zaawansowania IT R7.9 10 mln 20 mln
CEL: DZIAŁALNOŚĆ BANKU + BEZPIECZEŃSTWO DANYCH PRZEZ: SFORMALIZOWANE ZASADY ZARZĄDZANIA INFRASTRUKTURĄ IT REKOMENDACJA 9 R9
STRUKTURA IT dokumentacja komponenty wydajność architektura pojemność R9
 Monitoring sieci + łącze zapasowe  Alternatywny dostawca łącza  Zapory sieciowe na styku sieci zewn. / wewn.  Stosowanie podsieci logicznych (VLan)  Analiza i monitorowanie zdarzeń sieciowych R9
 Odpowiednie warunki napraw gwarancyjnych  Analiza ataków wewnętrznych i zewnętrznych R9
 Analiza ryzyka  Nadzór zasobów (ścisły!) (procesory, RAM, HDD, SSD)  Podsieć dedykowana administratorom  Ograniczenie nadużywania zasobów!!!  Szczególne zabezpieczenie maszyny fizycznej!  Wirtualizacja (warunki) R9
 Zabezpieczone drukarki i skanery sieciowe R9
 Testy penetracyjne (90% banków przeprowadza testy po każdej zmianie infrastruktury)  Aktualizacja oprogramowania – sformalizowane zasady (ALO)  Testowanie aktualizacji w środowisku testowym  Tylko komponenty ze wsparciem R9
 Skalowalność  Nadmiarowość  Odpowiednie zarządzanie wydajnością  Określenie parametrów  Monitoring  Analiza trendów  Raportowanie R9
PO PIERWSZE - BEZPIECZEŃSTWO PROCEDURY DOBORU USŁUGODAWCÓW ZEWN. - JASNO SFORMALIZOWANE REKOMENDACJA 10 PROWADZIĆ PROCESY I MECHANIZMY KONTROLNE ZAPEWNIĆ RAPORTOWANIE INCYDENTÓW R10
KONTROLA DOSTĘPU LOGICZNEGO REKOMENDACJA 11 KONTROLA DOSTĘPU FIZYCZNEGO  Parametry haseł  Zasady blokowania kont  Zarządzanie uprawnieniami  Profile dostępu do grup pracowników R11
ZAWSZE AKTUALNA DOKUMENTACJA REKOMENDACJA 15 EFEKTYWNY SYSTEM DYSTRYBUCJI ZASADY TECHNICZNE I MOŻLIWOŚĆ ICH ODTWORZENIA  Poufność i odpowiednia dostępność R15
ROZLEGŁA AWARIA – LOKALIZACJA ZAPASOWA REKOMENDACJA 15.8 R15 ODPOWIEDNIO ODLEGŁA - „SZEROKOŚĆ SKRZYDEŁ” SFORMALIZOWANY PROCES ODTWORZENIA ŚRODOWISKA CZAS POTRZEBNY NA WZNOWIENIE PROCESÓW BIZNESOWYCH KOPIE AWARYJNE
ISO 27001 REKOMENDACJA 18.3 R18
System zarządzania bezpieczeństwe m środowiska IT REKOMENDACJA 18 R18 Identyfikacja ryzyka Szacowanie KontrolaPrzeciwdziałanie Monitorowanie Raportowanie Poprzez:  Systematyczne przeglądy  Audyt ciągły (oprogramowanie + usługa)
REKOMENDACJA 19 R19 JAK?  Audyt stanowiskowy wewnętrzny lub zewnętrzny KLASYFIKACJA SYSTEMÓW – KLASYFIKACJA INFORMACJI SZCZEGÓŁOWA LISTA STANOWISK SZCZEGÓŁOWA LISTA PROCESÓW SZCZEGÓŁOWA LISTA UPRAWNIEŃ
REKOMENDACJA 22 SYSTEMATYCZNIE i w NIEZALEŻNY SPOSÓB powinny być audytowane systemy technologii informacji oraz bezpieczeństwa środowiska teleinformatycznego. R22
KLIENCI Banki należące do Spółdzielczej Grupy Bankowej:  Bank Spółdzielczy w Tucholi  Bank Spółdzielczy w Golubiu-Dobrzyniu  Bank Spółdzielczy w Świeciu  Bank Spółdzielczy we Włoszakowicach  Bank Spółdzielczy w Lubrańcu  Bank Spółdzielczy we Mstowie  Bank Spółdzielczy w Osiu  Bank Spółdzielczy w Grójcu  Bank Spółdzielczy w Sośnicowicach  Bank Spółdzielczy w Bieżuniu  Bank Spółdzielczy w Radziejowie  Bank Spółdzielczy w Siedlcu  Bank Spółdzielczy w Pleszewie  Bank Spółdzielczy w Szubinie  Bank Spółdzielczy w Nowem nad Wisłą Banki należące do Grupy Banków Polskiej Spółdzielczości:  Bank Spółdzielczy w Bartoszycach  Bank Spółdzielczy w Wilamowicach  Bank Spółdzielczy w Siewierzu  Bank Spółdzielczy w Koniecpolu  Bank Spółdzielczy w Zatorze  Bank Spółdzielczy w Kalwarii Zebrzydowskiej  Bank Spółdzielczy w Łobżenicy  Bank Spółdzielczy w Wysokiej
Bank Spółdzielczy we Włoszakowicach „Z przyjemnością rekomendujemy firmę IT Auditor Sp. z o.o., która przeprowadziła dla nas kompleksowy Audyt Bezpieczeństwa Informacji, jako godnego zaufania partnera, świadczącego swoje usługi rzetelnie i profesjonalnie. Wysoka jakoś świadczonych usług w pełni zaspokoiła nasze wymagania. Polecamy firmę IT Auditor Sp. z o.o. i jej usługi jako wszystkim firmom i instytucjom, które chcą należycie chronić informacje i odpowiednio nimi zarządzać.” Informatyk - Karol Kielczewski REFERENCJE
Bank Spółdzielczy w Lubrańcu „Bank Spółdzielczy w Lubrańcu potwierdza, że IT Auditor Sp. z o.o. przeprowadziła dla nas kompleksowy Audyt Legalności Oprogramowania oraz Audyt Bezpieczeństwa Informacji oraz przeszkoliła w tym zakresie pracowników. Wszystkie zadania zostały wykonane fachowo, profesjonalnie i terminowo, a współpraca przebiegłą w miłej harmonijnej atmosferze. Dzięki IT Auditor Sp. z o.o. możemy zapewnić odpowiedni poziom bezpieczeństwa informacji, co przekłada się na wyższą jakość usług świadczonych na rzecz naszych klientów. Z całą odpowiedzialnością polecamy firmę IT Auditor Sp. z o.o. jako rzetelnego godnego zaufania partnera.” Zarząd REFERENCJE
Homag Polska „Z przyjemnością informujemy, że IT Auditor Sp. z o.o. wykonała dla pracowników HOMAG Polska Sp. z o.o. szkolenie z zakresu "Ochrona danych osobowych w przedsiębiorstwie". Audytor, prowadzący Pan Marcin Polit, przygotował oraz poprowadził szkolenie wykazując się przy tym wzorową starannością oraz profesjonalizmem. Praktyczne i trafne przykłady w łatwy sposób pomagały zrozumieć uczestnikom problematykę związaną z tematem przewodnim. Szkolenie oceniam bardzo pozytywnie pod względem formy jak i wartości merytorycznej. W związku z powyższym mogę z pełną odpowiedzialnością zarekomendować firmę IT Auditor Sp. z o.o. jako godną polecenia firmę.” Członek Zarządu - Michał Piłat REFERENCJE
OFERTA Audyt zgodności z Rekomendacją D Audyt bezpieczeństwa informacji oparty na wytycznych normy ISO 27001 Audyt danych osobowych (plus szkolenia) Pentesty sieci LAN/WiFi Usługi wykonywane są w oparciu o metodykę PRINCE2® Foundation, dedykowaną dla prowadzenia projektów informatycznych. Pentesty aplikacji internetowych Audyt konfiguracji urządzeń sieciowych Audyt legalności oprogramowania
Dziękuję za uwagę Marcin Polit 533 641 700 marcin.polit@itauditor.pl www.itauditor.pl

More Related Content

PDF
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PROIDEA
 
PPTX
2017 05-31 wytyczne-mc_spotkanie_mf_v2
Adam Mizerski
 
PPTX
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
Adam Mizerski
 
PPTX
Round table guide
OracleIDM
 
PDF
CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...
oow123
 
PPTX
Ioug webcast entitlements in check
OracleIDM
 
PPTX
SANS Institute Product Review: Oracle Entitlements Server
OracleIDM
 
PPTX
Con8837 leverage authorization to monetize content and media subscriptions ...
OracleIDM
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PROIDEA
 
2017 05-31 wytyczne-mc_spotkanie_mf_v2
Adam Mizerski
 
COBIT - jako narzędzie wspomagające pracę nie tylko audytora, ale również rze...
Adam Mizerski
 
Round table guide
OracleIDM
 
CON8040 Identity as a Service - Extend Enterprise Controls and Identity to th...
oow123
 
Ioug webcast entitlements in check
OracleIDM
 
SANS Institute Product Review: Oracle Entitlements Server
OracleIDM
 
Con8837 leverage authorization to monetize content and media subscriptions ...
OracleIDM
 

Similar to Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie (20)

PDF
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Michał Olczak
 
PDF
Cyberbezpieczeństwo w chmurze obliczeniowej
Microsoft Polska
 
PPTX
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł Korzec
PROIDEA
 
PPTX
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Pawel Wawrzyniak
 
PPTX
Jak uzyskać zgodność ISO27001 z Krajowymi Ramami Interoperacyjności
Konwent2015
 
PPT
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
PPT
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
PPTX
Audyty informatyczne
GoTechnologies sp. z o.o.
 
PPTX
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PROIDEA
 
PDF
Dokumentacja techniczna stanowiska komputerowego
Szymon Konkol - Publikacje Cyfrowe
 
PDF
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
EYPoland
 
PDF
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Pawel Krawczyk
 
PDF
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?
A+C Systems
 
PDF
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Leszek Mi?
 
PPTX
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
KS KS
 
PPT
Modul 1
Jacek
 
PPTX
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PROIDEA
 
PDF
IT Infrastructure
Piotr Stopa
 
PDF
It breakfast fin_28.08.2014_knf
Foundation IT Leader Club Poland
 
PDF
Projekt systemu ewidencji zasobów informatycznych z wykorzystanie oprogramowa...
morii3
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Michał Olczak
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Microsoft Polska
 
PLNOG15 :Contagious SDN - consequences of dealing with it, Paweł Korzec
PROIDEA
 
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Pawel Wawrzyniak
 
Jak uzyskać zgodność ISO27001 z Krajowymi Ramami Interoperacyjności
Konwent2015
 
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 
Audyty informatyczne
GoTechnologies sp. z o.o.
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PROIDEA
 
Dokumentacja techniczna stanowiska komputerowego
Szymon Konkol - Publikacje Cyfrowe
 
Bezpieczeństwo infrastruktury krytycznej. Wymiar teleinformatyczny
EYPoland
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Pawel Krawczyk
 
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?
A+C Systems
 
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Leszek Mi?
 
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
KS KS
 
Modul 1
Jacek
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PROIDEA
 
IT Infrastructure
Piotr Stopa
 
It breakfast fin_28.08.2014_knf
Foundation IT Leader Club Poland
 
Projekt systemu ewidencji zasobów informatycznych z wykorzystanie oprogramowa...
morii3
 
Ad

Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie

  • 2. R1
  • 3. R2
  • 4. R3
  • 5. R4 ZASADY WSPÓŁPRACY ZAKRESY ODPOWIEDZIALNOŚCI OB IT ITS 4.1. Tryb określony + sformalizowany OB  …..................  …..................  …................ IT  …..................  …..................  …................ ITS  …..................  …..................  …................ * Rozwój * Precyzyjne * Ograniczenia IT * Zagrożenia strategii * Raport PayPass * Login Hasło EFEKTYWNE BEZPIECZNE KORZYSTANIE Z POTENCJAŁU IT
  • 6. OBOWIĄZKI  …...  …....  ….... UPRAWNIENIA  …...  …....  ….... OBOWIĄZKI  …...  …....  ….... UPRAWNIENIA  …...  …....  ….... R5
  • 7. + forma pisemna + separacja - tworzenia od testowania - administrowana od projektowania - administrowana od monitorowania działań Administratora - audytu od reszty funkcji R5
  • 8. WŁAŚCICIEL SYSTEMU  zapewnienie prawidłowego działania  nadzór nad użytkownikami  rozwój 5.10  Identyfikacja procesów kluczowych pracowników  dokumentacja  zastępstwa R5
  • 9. SEPARACJA ŚRODOWISK Cele biznesowe Poziom wsparcia i zaawansowania IT R7.9 10 mln 20 mln
  • 10. CEL: DZIAŁALNOŚĆ BANKU + BEZPIECZEŃSTWO DANYCH PRZEZ: SFORMALIZOWANE ZASADY ZARZĄDZANIA INFRASTRUKTURĄ IT REKOMENDACJA 9 R9
  • 12.  Monitoring sieci + łącze zapasowe  Alternatywny dostawca łącza  Zapory sieciowe na styku sieci zewn. / wewn.  Stosowanie podsieci logicznych (VLan)  Analiza i monitorowanie zdarzeń sieciowych R9
  • 13.  Odpowiednie warunki napraw gwarancyjnych  Analiza ataków wewnętrznych i zewnętrznych R9
  • 14.  Analiza ryzyka  Nadzór zasobów (ścisły!) (procesory, RAM, HDD, SSD)  Podsieć dedykowana administratorom  Ograniczenie nadużywania zasobów!!!  Szczególne zabezpieczenie maszyny fizycznej!  Wirtualizacja (warunki) R9
  • 15.  Zabezpieczone drukarki i skanery sieciowe R9
  • 16.  Testy penetracyjne (90% banków przeprowadza testy po każdej zmianie infrastruktury)  Aktualizacja oprogramowania – sformalizowane zasady (ALO)  Testowanie aktualizacji w środowisku testowym  Tylko komponenty ze wsparciem R9
  • 17.  Skalowalność  Nadmiarowość  Odpowiednie zarządzanie wydajnością  Określenie parametrów  Monitoring  Analiza trendów  Raportowanie R9
  • 18. PO PIERWSZE - BEZPIECZEŃSTWO PROCEDURY DOBORU USŁUGODAWCÓW ZEWN. - JASNO SFORMALIZOWANE REKOMENDACJA 10 PROWADZIĆ PROCESY I MECHANIZMY KONTROLNE ZAPEWNIĆ RAPORTOWANIE INCYDENTÓW R10
  • 19. KONTROLA DOSTĘPU LOGICZNEGO REKOMENDACJA 11 KONTROLA DOSTĘPU FIZYCZNEGO  Parametry haseł  Zasady blokowania kont  Zarządzanie uprawnieniami  Profile dostępu do grup pracowników R11
  • 20. ZAWSZE AKTUALNA DOKUMENTACJA REKOMENDACJA 15 EFEKTYWNY SYSTEM DYSTRYBUCJI ZASADY TECHNICZNE I MOŻLIWOŚĆ ICH ODTWORZENIA  Poufność i odpowiednia dostępność R15
  • 21. ROZLEGŁA AWARIA – LOKALIZACJA ZAPASOWA REKOMENDACJA 15.8 R15 ODPOWIEDNIO ODLEGŁA - „SZEROKOŚĆ SKRZYDEŁ” SFORMALIZOWANY PROCES ODTWORZENIA ŚRODOWISKA CZAS POTRZEBNY NA WZNOWIENIE PROCESÓW BIZNESOWYCH KOPIE AWARYJNE
  • 23. System zarządzania bezpieczeństwe m środowiska IT REKOMENDACJA 18 R18 Identyfikacja ryzyka Szacowanie KontrolaPrzeciwdziałanie Monitorowanie Raportowanie Poprzez:  Systematyczne przeglądy  Audyt ciągły (oprogramowanie + usługa)
  • 24. REKOMENDACJA 19 R19 JAK?  Audyt stanowiskowy wewnętrzny lub zewnętrzny KLASYFIKACJA SYSTEMÓW – KLASYFIKACJA INFORMACJI SZCZEGÓŁOWA LISTA STANOWISK SZCZEGÓŁOWA LISTA PROCESÓW SZCZEGÓŁOWA LISTA UPRAWNIEŃ
  • 25. REKOMENDACJA 22 SYSTEMATYCZNIE i w NIEZALEŻNY SPOSÓB powinny być audytowane systemy technologii informacji oraz bezpieczeństwa środowiska teleinformatycznego. R22
  • 26. KLIENCI Banki należące do Spółdzielczej Grupy Bankowej:  Bank Spółdzielczy w Tucholi  Bank Spółdzielczy w Golubiu-Dobrzyniu  Bank Spółdzielczy w Świeciu  Bank Spółdzielczy we Włoszakowicach  Bank Spółdzielczy w Lubrańcu  Bank Spółdzielczy we Mstowie  Bank Spółdzielczy w Osiu  Bank Spółdzielczy w Grójcu  Bank Spółdzielczy w Sośnicowicach  Bank Spółdzielczy w Bieżuniu  Bank Spółdzielczy w Radziejowie  Bank Spółdzielczy w Siedlcu  Bank Spółdzielczy w Pleszewie  Bank Spółdzielczy w Szubinie  Bank Spółdzielczy w Nowem nad Wisłą Banki należące do Grupy Banków Polskiej Spółdzielczości:  Bank Spółdzielczy w Bartoszycach  Bank Spółdzielczy w Wilamowicach  Bank Spółdzielczy w Siewierzu  Bank Spółdzielczy w Koniecpolu  Bank Spółdzielczy w Zatorze  Bank Spółdzielczy w Kalwarii Zebrzydowskiej  Bank Spółdzielczy w Łobżenicy  Bank Spółdzielczy w Wysokiej
  • 27. Bank Spółdzielczy we Włoszakowicach „Z przyjemnością rekomendujemy firmę IT Auditor Sp. z o.o., która przeprowadziła dla nas kompleksowy Audyt Bezpieczeństwa Informacji, jako godnego zaufania partnera, świadczącego swoje usługi rzetelnie i profesjonalnie. Wysoka jakoś świadczonych usług w pełni zaspokoiła nasze wymagania. Polecamy firmę IT Auditor Sp. z o.o. i jej usługi jako wszystkim firmom i instytucjom, które chcą należycie chronić informacje i odpowiednio nimi zarządzać.” Informatyk - Karol Kielczewski REFERENCJE
  • 28. Bank Spółdzielczy w Lubrańcu „Bank Spółdzielczy w Lubrańcu potwierdza, że IT Auditor Sp. z o.o. przeprowadziła dla nas kompleksowy Audyt Legalności Oprogramowania oraz Audyt Bezpieczeństwa Informacji oraz przeszkoliła w tym zakresie pracowników. Wszystkie zadania zostały wykonane fachowo, profesjonalnie i terminowo, a współpraca przebiegłą w miłej harmonijnej atmosferze. Dzięki IT Auditor Sp. z o.o. możemy zapewnić odpowiedni poziom bezpieczeństwa informacji, co przekłada się na wyższą jakość usług świadczonych na rzecz naszych klientów. Z całą odpowiedzialnością polecamy firmę IT Auditor Sp. z o.o. jako rzetelnego godnego zaufania partnera.” Zarząd REFERENCJE
  • 29. Homag Polska „Z przyjemnością informujemy, że IT Auditor Sp. z o.o. wykonała dla pracowników HOMAG Polska Sp. z o.o. szkolenie z zakresu "Ochrona danych osobowych w przedsiębiorstwie". Audytor, prowadzący Pan Marcin Polit, przygotował oraz poprowadził szkolenie wykazując się przy tym wzorową starannością oraz profesjonalizmem. Praktyczne i trafne przykłady w łatwy sposób pomagały zrozumieć uczestnikom problematykę związaną z tematem przewodnim. Szkolenie oceniam bardzo pozytywnie pod względem formy jak i wartości merytorycznej. W związku z powyższym mogę z pełną odpowiedzialnością zarekomendować firmę IT Auditor Sp. z o.o. jako godną polecenia firmę.” Członek Zarządu - Michał Piłat REFERENCJE
  • 30. OFERTA Audyt zgodności z Rekomendacją D Audyt bezpieczeństwa informacji oparty na wytycznych normy ISO 27001 Audyt danych osobowych (plus szkolenia) Pentesty sieci LAN/WiFi Usługi wykonywane są w oparciu o metodykę PRINCE2® Foundation, dedykowaną dla prowadzenia projektów informatycznych. Pentesty aplikacji internetowych Audyt konfiguracji urządzeń sieciowych Audyt legalności oprogramowania
  • 31. Dziękuję za uwagę Marcin Polit 533 641 700 [email protected] www.itauditor.pl