audyty

AUDYTY BEZPIECZEŃSTWA INFORMACJI W BANKU

NIEZALEŻNA OCENA SYSTEMU INFORMATYCZNEGO
(WRAZ Z INFRASTRUKTURĄ).

AUDYT BEZPIECZEŃSTWA INFORMACJI W BANKACH SPÓŁDZIELCZYCH

!!!  KAŻDY BANK JEST ZOBLIGOWANY PRZEZ KNF DO WYKONANIA AUDYTU
CO 2 -3 LATA LUB PO PRZEPROWADZENIU WIĘKSZYCH ZMIAN W INFRASTRUKTURZE
!!!

Audyt bezpieczeństwa informacji stanowi niezależną ocenę aktualnie działającego systemu informatycznego Banku wraz z jego infrastrukturą sprzętową, systemową i sieciową.

Oferujemy współpracę, w ramach której nasi eksperci przeprowadzą ocenę aspektów prawnych, organizacyjnych, technicznych i informatycznych. Wykonanie audytu pozwala zweryfikować stan systemu informatycznego i prawidłowość procedur zarządzania systemami IT wraz z poziomem ich zgodności z obowiązującymi normami i standardami. Realizowane przez nas działania audytowe są zgodne z wytycznymi KNF oraz wskazaniami  normy ISO/IEC 27001 i przeprowadzane w odniesieniu do obiektywnych uwarunkowań i specyfiki placówki bankowej, obowiązujących przepisów prawa i aktualnego stanu technologii.

BEZPIECZEŃSTWO INFORMACJI WG NORMY ISO/IEC 27001

Pomagamy zapewnić bezpieczeństwo ważnych dla Banku informacji, wprowadzając procedury i polityki bezpieczeństwa w oparciu o przyjęte normy dotyczące tego zakresu. Najczęściej stosowaną normą jest norma ISO/IEC 27001 - Technologia Informacji - Techniki Bezpieczeństwa - System Zarządzania Bezpieczeństwem Informacji - Wymagania. ISO/IEC 27001 jest międzynarodowym standardem systemu zarządzania bezpieczeństwem informacji.

Zgodnie ze standardem Systemu Zarządzania Bezpieczeństwem Informacji w ramach obowiązującej normy ISO/IEC 27001 nasi eksperci zbadają 11 obszarów, które mają wpływ na bezpieczeństwo informacji. Są nimi:

  • polityka bezpieczeństwa
  • organizacja bezpieczeństwa informacji
  • zarządzanie aktywami
  • bezpieczeństwo zasobów ludzkich
  • bezpieczeństwo fizyczne i środowiskowe
  • zarządzanie systemami i sieciami
  • kontrola dostępu
  • zarządzanie ciągłością działania
  • pozyskiwanie, rozwój i utrzymanie systemów informatycznych
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji
  • zgodność z wymaganiami prawnymi i własnymi standardami.

W czasie audytu bardzo wnikliwie weryfikowane jest bezpieczeństwo proceduralne i informatyczne, przeprowadzane są również testy oprogramowania systemowego oraz infrastruktury informatycznej. Do testów penetracyjnych używamy profesjonalnego oprogramowania, które na bieżąco jest aktualizowane o najnowsze konfiguracje sprzętowe, dzięki czemu mamy jasny obraz stanu technicznego infrastruktury.

Po przeprowadzeniu audytu sporządzimy dla Państwa poufny RAPORT identyfikujący zagrożenia w dotychczas funkcjonującym systemie bezpieczeństwa. Raport będzie zawierał również nasze rekomendacje w zakresie rozwiązań mających zapewnić bezpieczeństwo IT oraz zalecenia do procedur i dokumentacji.

Bank otrzymuje dokładny opis problemu i sugerowane rozwiązanie, jakie należy przedsięwziąć,
aby zniwelować występujący problem.

WIEDZA I DOŚWIADCZENIE

Nasz zespół to wysokiej klasy specjaliści z poszczególnych obszarów technologii IT, posiadający wiedzę nt. systemów bezpieczeństwa popartą 25-letnim doświadczeniem w branży IT.
W skład zespołu wchodzą doświadczeni audytorzy posiadający m.in. Certyfikat Audytora Wiodącego Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001, będący członkami Stowarzyszenia Audytorów Wewnętrznych IIA Polska (The Institute of Internal Auditors).

Szczegółowy zakres usługi Audyt IT

  • Analiza procesów zarządzania IT i bezpieczeństwem
  • Przegląd dokumentacji
  • Weryfikacja ochrony danych osobowych zgodnie z nową ustawą RODO
  • Zbadanie zgodności konfiguracji systemów z założeniami polityki bezpieczeństwa
  • Przegląd zabezpieczeń systemu informatycznego funkcjonującego w Banku
  • Przeprowadzenie testów oprogramowania systemowego
  • Przeprowadzenie testów penetracyjnych infrastruktury informatycznej
  • Identyfikacja słabych punktów infrastruktury IT (w tym w systemach i urządzeniach)
  • Analiza potrzeb w zakresie zabezpieczenia systemu
  • Dostarczenie informacji odnośnie przestrzegania norm i procedur bezpieczeństwa
  • Analiza bezpieczeństwa fizycznego i środowiskowego
  • Weryfikacja założeń dotyczących kontroli dostępu
  • Szkolenie i transfer wiedzy do pracowników Banku
  • Konsultacje poaudytowe

W ramach audytu proceduralnego audytorzy dokonują przeglądu i oceny funkcjonowania dokumentacji w następującym zakresie:

  1. REGULACJE WEWNĘTRZNE BANKU
  • Instrukcja Bezpieczeństwa Systemów Informatycznych
  • Polityka bezpieczeństwa
  • Instrukcja sporządzania informacji zarządczej
  • Strategia działania Banku
  • Strategia technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego
  • Regulamin organizacyjny/ Schemat organizacyjny
  • Instrukcja - Zasady zarzadzania zmianami
  • Instrukcja zarządzania ryzykiem operacyjnym
  • Instrukcja - Plany awaryjne zachowania ciągłości działania w sytuacjach kryzysowych (BCP - Business Continuity)
  • Instrukcja zarządzania kadrami
  • Regulamin kontroli wewnętrznej i audytu
  • Plan audytu wewnętrznego
  • Instrukcja zarządzania ryzykiem powierzania czynności podmiotom zewnętrznym

Oraz:

  • Umowy z firmami zewnętrznymi w zakresie bezpieczeństwa systemów informatycznych
  • Polisy ubezpieczeniowe

2. WERYFIKACJA DOKUMENTACJI W POSZCZEGÓLNYCH OBSZARACH ZARZĄDZANIA

Organizacja obszarów bezpieczeństwa informacji i środowiska teleinformatycznego:

  • Identyfikacja zagadnień i planowanie w zakresie obszarów IT
  • Podział zadań w zakresie bezpieczeństwa Informacji
  • Lista osób stanowiących kadrę rezerwową; System doskonalenia kwalifikacji/Rejestr szkoleń
  • Akta osobowe pracowników: Potwierdzenie kwalifikacji/odbycia szkoleń, Oświadczenia
  • Zakres dostępu do informacji; Separacja obowiązków pracowników

Rozwój środowiska teleinformatycznego:

  • Wymagania w zakresie rozwoju systemów informatycznych
  • Zasady doboru komponentów infrastruktury
  • Standardy konfiguracyjne
  • Schemat dokonywania zmiany w systemach informatycznych

Zarządzanie infrastrukturą:

  • Wykaz systemów informatycznych/komponentów infrastruktury
  • Określenie krytycznych zasobów i dostawców IT
  • Dziennik administratora systemu/Rejestr uprawnień/Rejestr kont serwisowych i administracyjnych
  • Rejestr wejść do pomieszczeń szczególnie chronionych
  • Dziennik sporządzania kopii/ Harmonogram testów
  • Procedura ponownego rozpoczęcia działalności Banku w przypadku awarii systemu informatycznego
  • Wykaz planów ciągłości działania i planów awaryjnych
  • Protokoły z testów warunków skrajnych i testów ciągłości działania
  • Lista kontaktowa osób i firm, które należy zawiadomić w przypadku wystąpienia sytuacji kryzysowych
  • Rejestr incydentów związanych z bezpieczeństwem informacji

PROFESJONALNY AUDYT

Wdrożenie w firmie Systemu Zarządzania Bezpieczeństwem Informacji w oparciu o normę ISO 27001 pozwala na zachowanie poufności, integralności i dostępności informacji, które stanowią dla organizacji wymierną wartość lub ich ochrona wynika z odpowiednich przepisów prawa.
W ramach audytu dokonamy pełnej weryfikacji wszystkich obszarów bezpieczeństwa informacji środowiska teleinformatycznego w Państwa Banku.

!!!  UWAGA  !!!

KNF zaleca wykonanie audytów bezpieczeństwa informacji co 2 – 3 lata,

a w przypadku przeprowadzenia znaczących zmian w infrastrukturze Banku – częściej.

W celu uzyskania pełnej informacji w omawianych zakresach zapraszamy do kontaktu:

Andrzej Popiołek
Audytor Wiodący SZBI, Członek IIA Polska
+48 602 220 749 andrzej.popiolek@servus-comp.pl

Anna Stręk
Audytor Wiodący SZBI, Członek IIA Polska
+48 781 555 025 anna.strek@servus-comp.pl

Anna Kramarczyk
Kierownik ds. projektów IT
+48 794 671 787 anna.kramarczyk@servus-comp.pl

 

Servus Comp Data Security , Świętokrzyska 12/403 30-015 Kraków  
tel.  +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

 

POBIERZ PDF

POBIERZ OPRACOWANIE W PLIKU PDF

Nota prawna

1. Zaprezentowany materiał jest autorskim opracowaniem i jest objęty prawem autorskim.

2. Niniejszy materiał, ani żaden jego fragment nie może być reprodukowany, przetwarzany i rozpowszechniany w jakikolwiek sposób za pomocą urządzeń elektronicznych, mechanicznych, kopiujących, nagrywających i in. do celów innych niż realizacja przedmiotowej umowy u Klienta.