15 lut 2021

ANALIZA RYZYKA BEZPIECZEŃSTWA FIZYCZNEGO ŚRODOWISKA INFORMATYCZNEGO ICT REKOMENDACJA D

ANALIZA RYZYKA BEZPIECZEŃSTWA FIZYCZNEGO ŚRODOWISKA INFORMATYCZNEGO ITC REKOMENDACJA D
ANALIZA RYZYKA BEZPIECZEŃSTWA FIZYCZNEGO ŚRODOWISKA INFORMATYCZNEGO ICT REKOMENDACJA D

Polecamy Państwa uwadze wpis, który ukazał się wczoraj na naszym blogu. Traktuje on o niezrozumiałych i różnorodnych interpretacjach zasad bezpieczeństwa oraz o naginaniu analizy ryzyka bezpieczeństwa informacji  do wymyślonych lub zasłyszanych rozwiązań dotyczących zachowania zgodności z rekomendacjami UKNF w bankach.

Zwracamy Państwa uwagę, że w dzisiaj ogłoszonym komunikacje organ nadzoru UKNF zdecydowanie ustosunkował się do nadinterpretacji i niezrozumiałego naginania do własnych potrzeb wydanych rekomendacji oraz ogólnie przyjętych dobrych praktyk.

https://www.knf.gov.pl/komunikacja/komunikaty?articleId=72585&p_id=18

W nawiązaniu do tego komunikatu zapraszamy do zapoznania się z poniższym wpisem i do zapoznania się z tematami szkoleń dotyczących szeroko pojętego bezpieczeństwa, w czasie których wyjaśniamy jak być zgodnym z rekomendacjami KNF i dobrymi praktykami.

 

Dostawcy usług bankowych powinni mieć świadomość, że podejmowane przez nich
indywidualne inicjatywy, które w ich ocenie nie wpływają negatywnie na poziom ryzyka
w obszarze prowadzonej działalności biznesowej, w tym także na bezpieczeństwo środków
finansowych klientów, w kontekście całego rynku finansowego i w konsekwencji wszystkich
klientów tego rynku, mogą już takie ryzyko generować i stanowić czynnik ryzyka systemowego
w obszarze cyberbezpieczeństwa. W kontekście powyższego, zaniepokojenie Komisji budzą
obserwowane w ostatnim czasie działania dostawców mogące negatywnie wpływać na profil
i poziom ryzyka związanego z bezpieczeństwem danych oraz środków finansowych klientów.

Źródło: UKNF (Cyberbezpieczeństwo elektronicznych kanałów dostępu do usług bankowych –
list Przewodniczącego KNF do sektora bankowego)

Bezpieczeństwo fizyczne infrastruktury informatycznej w placówkach banków niejednokrotnie wymaga sporych korekt, co zauważamy niestety bardzo często w czasie audytów bezpieczeństwa informacji wykonywanych w bankach spółdzielczych.

Szkolenia prowadzone przez ekspertów Servus Comp dotyczące bezpieczeństwa fizycznego mają na celu wskazanie i uświadomienie jakich standardów należy przestrzegać, aby być zgodnym z wytycznymi nadzoru, dobrymi praktykami i Rekomendacją D.

W trakcie jednego z audytów w banku spółdzielczym audytowaliśmy serwerownię zapasową w pomieszczeniu po byłej toalecie. Co ciekawe – nasze zalecenie wymiany drzwi, które były oryginalnymi drzwiami do toalety, a tylko zostały wzmocnione arkuszem blachy, wywołało duże zaskoczenie. No jak to ?! – przecież kolega z sąsiedniego banku powiedział, że tak może być !!!

Czy mamy prawo tłumaczyć się niewiedzą w razie incydentu bezpieczeństwa? Nie! Pamiętajmy, że są rekomendacje normatywne, których musimy przestrzegać i wdrażać je w życie tak, aby chronić infrastrukturę teleinformatyczną.

W kwestii ochrony dokumentów spotkaliśmy się również z wieloma przypadkami przewożenia dokumentów bankowych w workach foliowych przeznaczonych do koszy na śmieci. Brak normatywnego zabezpieczenia dokumentów w razie kradzieży czy incydentu bezpieczeństwa może skutkować wypływem danych poza bank i utratą wiarygodności w oczach Klientów.

Do powyższych przykładów należy dodać nagminny brak zabezpieczenia infrastruktury sieciowej służącej do zapewnienia komunikacji z bankomatami. Pamiętajmy, że wysadzenie bankomatów wychodzi z mody na rzecz bezpośredniego wpinania urządzeń hakerskich do infrastruktury sieciowej bankomatu. Dzięki specjalistycznemu oprogramowaniu złodzieje odblokowują limit wypłat, powodując ogromne straty dla banku.
WYSADZANIE BANKOMATÓW JEST PASSE NOWA TECHNIKA ATAKU NA BANKOMAT
WYSADZANIE BANKOMATÓW JEST PASSE NOWA TECHNIKA ATAKU NA BANKOMAT

Dla nadzorcy UKNF najważniejszym dokumentem potwierdzającym kompleksowe podejście do bezpieczeństwa jest analiza ryzyka bezpieczeństwa informacji, która w dużej mierze wykonywana jest w bankach na zasadach kopiuj / wklej. Jeżeli już uda nam się zdobyć taki dokument, spróbujmy przynajmniej dostosować go do realiów panujących w naszym banku. Infrastruktury teleinformatyczne, których również dotyczy analiza ryzyka nie są tożsame z bankiem, od którego mamy ten „wzorcowy” dokument. Minimum czynności jakie wypada wykonać, to zmiana nazwy banku. Analizując dokumenty w czasie audytów, często w analizie ryzyka znajdujemy informacje dotyczące innych systemów finansowych, niż te, które funkcjonują w audytowanym właśnie banku.

W razie problemów zapraszamy Państwa do kontaktu! Chętnie wskażemy kierunek prac jakie należy wykonać i jak najprościej, a  w zgodzie z regulacjami i dobrymi praktykami zabezpieczyć infrastrukturę teleinformatyczną.

Składowe infrastruktury ICT, które powinny podlegać szczególnej analizie dotyczącej ich bezpieczeństwa:

  1. Stanowisko ABI = BI / SBI o co tak naprawdę chodzi
  2. Bezpieczeństwo bankomatów / wpłatomatów
  3. Bezpieczeństwo danych biometrycznych
  4. Bezpieczeństwo infokiosków
  5. Bezpieczeństwo środowiskowe w serwerowni i pomieszczeniach węzłów sieciowych
  6. Jak nadzorować warunki skrajne w serwerowni
  7. Prawidłowa budowa pomieszczenia serwerowni – na co koniecznie należy zwrócić uwagę
  8. Właściwe  drzwi oraz ich instalacja w serwerowni, aby pomieszczenie było bezpieczne i odporne na podatności
  9. Infrastruktura sieciowa
  10. Polityka ochrony DLP  Data Loss Prevention – Ochrona przed utratą danych
    m.in. wdrożenie protokołu bezpieczeństwo 802.1x
  11. Bezpieczeństwo transakcji w modułach bankowości elektronicznej
  12. Uprzywilejowany dostęp do stref i jego nadzorowanie
  13. Strefy uprzywilejowanego dostępu
  14. Ochrona przeciwpożarowa
  15. Ochrona agregatów prądotwórczych modułów SZR oraz bezpieczeństwo środowiskowe
  16. Ochrona dokumentów / niszczarki / szafy metalowe na dokumenty
  17. Monitoring CCTV
  18. Ochrona fizyczna placówek banku
  19. Ochrona środowiska TV BANKOWEJ
  20. Zabezpieczenie i bezpieczeństwo stron internetowych Banku
  21. Bezpieczeństwo modułów bankowości internetowej
  22. Szkolenia dla pracowników dot. nowych technik ataku na infrastrukturę teleinformatyczną
  23. Incydenty oraz ich raportowanie

 

Zapraszamy Państwa na nasze szkolenia PREMIUM, które odbędzie się w formie zdalnej na naszej platformie szkoleniowej edu.servus-comp.pl a odnoszące się do bieżącego komunikatu UKNF:

02.03.2021 r.
Analiza ryzyka  bezpieczeństwa fizycznego i operacyjnego IT ICT Rekomendacja D, bezpieczeństwo stron www i modułów bankowości internetowej

https://edu.servus-comp.pl/pl/oferta/52-27-analiza-ryzyka-bezpieczenstwa-fizycznego-i-operacyjnego-it-ict-rek-d-stron-www-i-bankowosci-internetowej-.html#

Szkolenie prowadzi Audytor Wiodący, Audytor Systemu Zarządzania Bezpieczeństwem Informacji, Specjalista do analizy bezpieczeństwa fizycznego i środowiskowego w bankach, ekspert w zakresie podatności środowiska infrastruktury IT.

05.03.2021 r.
Rekomendacja D  –  Praktyczne wskazówki zarządzania bezpieczeństwem środowiska IT w Banku?

https://edu.servus-comp.pl/pl/szkolenia-on-line/34-22-rekomendacja-d-praktyczne-wskazowki-zarzadzania-bezpieczenstwem-srodowiska-it-w-banku-.html#

Szkolenie prowadzi Audytor Systemu Zarządzania Bezpieczeństwem Informacji, systemowy Inżynier IT, ekspert w zakresie podatności środowiska infrastruktury IT, testów penetracyjnych w bankach.

19.03.2021 r.
Wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnie z KNF, normą ISO 27001, dobrymi praktykami  

https://edu.servus-comp.pl/pl/szkolenia-on-line/22-21-wdrozenie-systemu-zarzadzania-bezpieczenstwem-informacji-zgodnie-z-knf-norma-iso-27001.html#

Szkolenie prowadzi Audytor Systemu Zarządzania Bezpieczeństwem Informacji, systemowy Inżynier IT, ekspert w zakresie podatności środowiska infrastruktury IT, testów penetracyjnych w bankach.

 29.03.2021 r.
Zasady przestrzegania cyberbezpieczeństwa w Banku Spółdzielczym  

https://edu.servus-comp.pl/pl/szkolenia-on-line/21-19-zasady-przestrzegania-cyberbezpieczenstwa-w-banku-spoldzielczym.html#

Szkolenie prowadzi Audytor Systemu Zarządzania Bezpieczeństwem Informacji, systemowy Inżynier IT, ekspert w zakresie podatności środowiska infrastruktury IT, testów penetracyjnych w bankach.

 16.04.2021 r.
Chmura – Centrum przetwarzania danych w Banku, wytyczne KNF 

https://edu.servus-comp.pl/pl/szkolenia-on-line/20-18-zastosowanie-chmury-obliczeniowej-w-bankowosci-spoldzielczej.html#

Szkolenie prowadzi Audytor Systemu Zarządzania Bezpieczeństwem Informacji, systemowy Inżynier IT, ekspert w zakresie podatności środowiska infrastruktury IT, testów penetracyjnych w bankach.

19.04.2021 r.
Analiza ryzyka  bezpieczeństwa fizycznego i operacyjnego IT ICT Rekomendacja D, bezpieczeństwo stron www i modułów bankowości internetowej

https://edu.servus-comp.pl/pl/oferta/52-27-analiza-ryzyka-bezpieczenstwa-fizycznego-i-operacyjnego-it-ict-rek-d-stron-www-i-bankowosci-internetowej-.html#

 

Szczególnie polecamy lekturę ciekawego wpisu traktującą o analizie ryzyka bezpieczeństwa informacji
https://premiumbank.zadbajobezpieczenstwo.pl/wp-admin/post.php?post=8269&action=edit

 

Zapraszamy do odwiedzenia naszej platformy szkoleniowej

https://edu.servus-comp.pl/pl/oferta/52-27-analiza-ryzyka-bezpieczenstwa-fizycznego-i-operacyjnego-it-ict-rek-d-stron-www-i-bankowosci-internetowej-.html#/1-rozpoczecie_szkolenia-09_00/87-data_szkolenia-02032021
https://edu.servus-comp.pl/pl/858-szkolenia-on-line

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.

Servus Comp Data Security, Świętokrzyska 12/403  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS

Dodaj komentarz