![Page 1: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/1.jpg)
![Page 2: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/2.jpg)
R1
![Page 3: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/3.jpg)
R2
![Page 4: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/4.jpg)
R3
![Page 5: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/5.jpg)
R4
ZASADY WSPÓŁPRACY ZAKRESY ODPOWIEDZIALNOŚCI
OB
IT
ITS
4.1. Tryb określony + sformalizowany
OB
…..................
…..................
…................
IT
…..................
…..................
…................
ITS
…..................
…..................
…................
* Rozwój
* Precyzyjne* Ograniczenia IT* Zagrożenia strategii
* Raport
PayPass *LoginHasło
EFEKTYWNEBEZPIECZNE
KORZYSTANIE Z POTENCJAŁU IT
![Page 6: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/6.jpg)
OBOWIĄZKI
…...
…....
…....
UPRAWNIENIA
…...
…....
…....
OBOWIĄZKI
…...
…....
…....
UPRAWNIENIA
…...
…....
…....
R5
![Page 7: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/7.jpg)
+ forma pisemna
+ separacja
- tworzenia od testowania
- administrowana od projektowania
- administrowana od monitorowania działań Administratora
- audytu od reszty funkcji
R5
![Page 8: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/8.jpg)
WŁAŚCICIEL SYSTEMU zapewnienie prawidłowego działania
nadzór nad użytkownikami
rozwój
5.10 Identyfikacja procesów kluczowych pracowników
dokumentacja
zastępstwa
R5
![Page 9: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/9.jpg)
SEPARACJA ŚRODOWISK
Cele biznesowe
Poziom wsparcia i zaawansowania IT
R7.9
10 mln
20 mln
![Page 10: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/10.jpg)
CEL: DZIAŁALNOŚĆ BANKU + BEZPIECZEŃSTWO DANYCH
PRZEZ: SFORMALIZOWANE ZASADY ZARZĄDZANIA INFRASTRUKTURĄ IT
REKOMENDACJA 9
R9
![Page 11: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/11.jpg)
STRUKTURA
IT
dokumentacja
komponenty
wydajność
architektura
pojemność
R9
![Page 12: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/12.jpg)
Monitoring sieci + łącze zapasowe
Alternatywny dostawca łącza
Zapory sieciowe na styku sieci zewn. / wewn.
Stosowanie podsieci logicznych (VLan)
Analiza i monitorowanie zdarzeń sieciowych
R9
![Page 13: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/13.jpg)
Odpowiednie warunki napraw gwarancyjnych
Analiza ataków wewnętrznych i zewnętrznych
R9
![Page 14: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/14.jpg)
Analiza ryzyka
Nadzór zasobów (ścisły!)
(procesory, RAM, HDD, SSD)
Podsieć dedykowana administratorom
Ograniczenie nadużywania zasobów!!!
Szczególne zabezpieczenie maszyny fizycznej!
Wirtualizacja (warunki)
R9
![Page 15: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/15.jpg)
Zabezpieczone drukarki i skanery sieciowe
R9
![Page 16: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/16.jpg)
Testy penetracyjne
(90% banków przeprowadza testy po każdej zmianie infrastruktury)
Aktualizacja oprogramowania – sformalizowane zasady (ALO)
Testowanie aktualizacji w środowisku testowym
Tylko komponenty ze wsparciem
R9
![Page 17: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/17.jpg)
Skalowalność
Nadmiarowość
Odpowiednie zarządzanie wydajnością
Określenie parametrów
Monitoring
Analiza trendów
Raportowanie
R9
![Page 18: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/18.jpg)
PO PIERWSZE - BEZPIECZEŃSTWO
PROCEDURY DOBORU USŁUGODAWCÓW ZEWN. - JASNO SFORMALIZOWANE
REKOMENDACJA 10
PROWADZIĆ PROCESY I MECHANIZMY KONTROLNE
ZAPEWNIĆ RAPORTOWANIE INCYDENTÓW
R10
![Page 19: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/19.jpg)
KONTROLA DOSTĘPU LOGICZNEGO
REKOMENDACJA 11
KONTROLA DOSTĘPU FIZYCZNEGO
Parametry haseł
Zasady blokowania kont
Zarządzanie uprawnieniami
Profile dostępu do grup pracowników
R11
![Page 20: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/20.jpg)
ZAWSZE AKTUALNA DOKUMENTACJA
REKOMENDACJA 15
EFEKTYWNY SYSTEM DYSTRYBUCJI
ZASADY TECHNICZNE I MOŻLIWOŚĆ ICH ODTWORZENIA
Poufność i odpowiednia dostępność
R15
![Page 21: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/21.jpg)
ROZLEGŁA AWARIA – LOKALIZACJA ZAPASOWA
REKOMENDACJA 15.8
R15
ODPOWIEDNIO ODLEGŁA - „SZEROKOŚĆ SKRZYDEŁ”
SFORMALIZOWANY PROCES ODTWORZENIA ŚRODOWISKA
CZAS POTRZEBNY NA WZNOWIENIE PROCESÓW BIZNESOWYCH
KOPIE AWARYJNE
![Page 22: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/22.jpg)
ISO 27001
REKOMENDACJA 18.3
R18
![Page 23: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/23.jpg)
System zarządzania bezpieczeństwem środowiska IT
REKOMENDACJA 18
R18
Identyfikacja ryzyka
Szacowanie
KontrolaPrzeciwdziałanie
Monitorowanie
Raportowanie
Poprzez:
Systematyczne przeglądy
Audyt ciągły (oprogramowanie + usługa)
![Page 24: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/24.jpg)
REKOMENDACJA 19
R19
JAK?
Audyt stanowiskowy wewnętrzny lub zewnętrzny
KLASYFIKACJA SYSTEMÓW – KLASYFIKACJA INFORMACJI
SZCZEGÓŁOWA LISTA STANOWISK
SZCZEGÓŁOWA LISTA PROCESÓW
SZCZEGÓŁOWA LISTA UPRAWNIEŃ
![Page 25: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/25.jpg)
REKOMENDACJA 22
SYSTEMATYCZNIEi w NIEZALEŻNYSPOSÓB powinny być
audytowane systemy technologii informacji oraz bezpieczeństwa środowiska teleinformatycznego.
R22
![Page 26: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/26.jpg)
KLIENCI
Banki należące do Spółdzielczej Grupy Bankowej:
Bank Spółdzielczy w Tucholi
Bank Spółdzielczy w Golubiu-Dobrzyniu
Bank Spółdzielczy w Świeciu
Bank Spółdzielczy we Włoszakowicach
Bank Spółdzielczy w Lubrańcu
Bank Spółdzielczy we Mstowie
Bank Spółdzielczy w Osiu
Bank Spółdzielczy w Grójcu
Bank Spółdzielczy w Sośnicowicach
Bank Spółdzielczy w Bieżuniu
Bank Spółdzielczy w Radziejowie
Bank Spółdzielczy w Siedlcu
Bank Spółdzielczy w Pleszewie
Bank Spółdzielczy w Szubinie
Bank Spółdzielczy w Nowem nad Wisłą
Banki należące do Grupy Banków Polskiej Spółdzielczości:
Bank Spółdzielczy w Bartoszycach
Bank Spółdzielczy w Wilamowicach
Bank Spółdzielczy w Siewierzu
Bank Spółdzielczy w Koniecpolu
Bank Spółdzielczy w Zatorze
Bank Spółdzielczy w Kalwarii Zebrzydowskiej
Bank Spółdzielczy w Łobżenicy
Bank Spółdzielczy w Wysokiej
![Page 27: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/27.jpg)
Bank Spółdzielczy we Włoszakowicach
„Z przyjemnością rekomendujemy firmę IT Auditor Sp. z o.o., która przeprowadziła dla nas kompleksowyAudyt Bezpieczeństwa Informacji, jako godnego zaufania partnera, świadczącego swoje usługi rzetelniei profesjonalnie.
Wysoka jakoś świadczonych usług w pełni zaspokoiła nasze wymagania.
Polecamy firmę IT Auditor Sp. z o.o. i jej usługi jako wszystkim firmom i instytucjom, które chcą należyciechronić informacje i odpowiednio nimi zarządzać.”
Informatyk - Karol Kielczewski
REFERENCJE
![Page 28: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/28.jpg)
Bank Spółdzielczy w Lubrańcu
„Bank Spółdzielczy w Lubrańcu potwierdza, że IT Auditor Sp. z o.o. przeprowadziła dla nas kompleksowyAudyt Legalności Oprogramowania oraz Audyt Bezpieczeństwa Informacji oraz przeszkoliła w tym zakresiepracowników.
Wszystkie zadania zostały wykonane fachowo, profesjonalnie i terminowo, a współpraca przebiegłą w miłejharmonijnej atmosferze. Dzięki IT Auditor Sp. z o.o. możemy zapewnić odpowiedni poziom bezpieczeństwainformacji, co przekłada się na wyższą jakość usług świadczonych na rzecz naszych klientów.
Z całą odpowiedzialnością polecamy firmę IT Auditor Sp. z o.o. jako rzetelnego godnego zaufaniapartnera.”
Zarząd
REFERENCJE
![Page 29: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/29.jpg)
Homag Polska
„Z przyjemnością informujemy, że IT Auditor Sp. z o.o. wykonała dla pracowników HOMAG Polska Sp. z o.o.szkolenie z zakresu "Ochrona danych osobowych w przedsiębiorstwie".
Audytor, prowadzący Pan Marcin Polit, przygotował oraz poprowadził szkolenie wykazując się przy tymwzorową starannością oraz profesjonalizmem. Praktyczne i trafne przykłady w łatwy sposób pomagałyzrozumieć uczestnikom problematykę związaną z tematem przewodnim.
Szkolenie oceniam bardzo pozytywnie pod względem formy jak i wartości merytorycznej.
W związku z powyższym mogę z pełną odpowiedzialnością zarekomendować firmę IT Auditor Sp. z o.o. jakogodną polecenia firmę.”
Członek Zarządu - Michał Piłat
REFERENCJE
![Page 30: Rekomendacja D w Bankach - Procedury, Audyt, Wdrożenie](https://reader033.vdocuments.pub/reader033/viewer/2022042716/55acf0611a28ab5a798b4620/html5/thumbnails/30.jpg)
OFERTA
Audyt zgodności z Rekomendacją D
Audyt bezpieczeństwa informacji oparty na wytycznych normy ISO 27001
Audyt danych osobowych (plus szkolenia)
Pentesty sieci LAN/WiFi
Usługi wykonywane są w oparciu o metodykę PRINCE2® Foundation, dedykowaną dla prowadzenia projektów informatycznych.
Pentesty aplikacji internetowych
Audyt konfiguracji urządzeń sieciowych
Audyt legalności oprogramowania