AUDYTY BEZPIECZEŃSTWA INFORMACJI W BANKU
(WRAZ Z INFRASTRUKTURĄ).
AUDYT BEZPIECZEŃSTWA INFORMACJI W BANKACH SPÓŁDZIELCZYCH
!!! KAŻDY BANK JEST ZOBLIGOWANY PRZEZ KNF DO WYKONANIA AUDYTU
CO 2 -3 LATA LUB PO PRZEPROWADZENIU WIĘKSZYCH ZMIAN W INFRASTRUKTURZE !!!
Audyt bezpieczeństwa informacji stanowi niezależną ocenę aktualnie działającego systemu informatycznego Banku wraz z jego infrastrukturą sprzętową, systemową i sieciową.
Oferujemy współpracę, w ramach której nasi eksperci przeprowadzą ocenę aspektów prawnych, organizacyjnych, technicznych i informatycznych. Wykonanie audytu pozwala zweryfikować stan systemu informatycznego i prawidłowość procedur zarządzania systemami IT wraz z poziomem ich zgodności z obowiązującymi normami i standardami. Realizowane przez nas działania audytowe są zgodne z wytycznymi KNF oraz wskazaniami normy ISO/IEC 27001 i przeprowadzane w odniesieniu do obiektywnych uwarunkowań i specyfiki placówki bankowej, obowiązujących przepisów prawa i aktualnego stanu technologii.
BEZPIECZEŃSTWO INFORMACJI WG NORMY ISO/IEC 27001
Zgodnie ze standardem Systemu Zarządzania Bezpieczeństwem Informacji w ramach obowiązującej normy ISO/IEC 27001 nasi eksperci zbadają 11 obszarów, które mają wpływ na bezpieczeństwo informacji. Są nimi:
- polityka bezpieczeństwa
- organizacja bezpieczeństwa informacji
- zarządzanie aktywami
- bezpieczeństwo zasobów ludzkich
- bezpieczeństwo fizyczne i środowiskowe
- zarządzanie systemami i sieciami
- kontrola dostępu
- zarządzanie ciągłością działania
- pozyskiwanie, rozwój i utrzymanie systemów informatycznych
- zarządzanie incydentami związanymi z bezpieczeństwem informacji
- zgodność z wymaganiami prawnymi i własnymi standardami.
W czasie audytu bardzo wnikliwie weryfikowane jest bezpieczeństwo proceduralne i informatyczne, przeprowadzane są również testy oprogramowania systemowego oraz infrastruktury informatycznej. Do testów penetracyjnych używamy profesjonalnego oprogramowania, które na bieżąco jest aktualizowane o najnowsze konfiguracje sprzętowe, dzięki czemu mamy jasny obraz stanu technicznego infrastruktury.
Po przeprowadzeniu audytu sporządzimy dla Państwa poufny RAPORT identyfikujący zagrożenia w dotychczas funkcjonującym systemie bezpieczeństwa. Raport będzie zawierał również nasze rekomendacje w zakresie rozwiązań mających zapewnić bezpieczeństwo IT oraz zalecenia do procedur i dokumentacji.
Bank otrzymuje dokładny opis problemu i sugerowane rozwiązanie, jakie należy przedsięwziąć,
aby zniwelować występujący problem.
WIEDZA I DOŚWIADCZENIE
Nasz zespół to wysokiej klasy specjaliści z poszczególnych obszarów technologii IT, posiadający wiedzę nt. systemów bezpieczeństwa popartą 25-letnim doświadczeniem w branży IT.
W skład zespołu wchodzą doświadczeni audytorzy posiadający m.in. Certyfikat Audytora Wiodącego Systemu Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001, będący członkami Stowarzyszenia Audytorów Wewnętrznych IIA Polska (The Institute of Internal Auditors).
Szczegółowy zakres usługi Audyt IT
- Analiza procesów zarządzania IT i bezpieczeństwem
- Przegląd dokumentacji
- Weryfikacja ochrony danych osobowych zgodnie z nową ustawą RODO
- Zbadanie zgodności konfiguracji systemów z założeniami polityki bezpieczeństwa
- Przegląd zabezpieczeń systemu informatycznego funkcjonującego w Banku
- Przeprowadzenie testów oprogramowania systemowego
- Przeprowadzenie testów penetracyjnych infrastruktury informatycznej
- Identyfikacja słabych punktów infrastruktury IT (w tym w systemach i urządzeniach)
- Analiza potrzeb w zakresie zabezpieczenia systemu
- Dostarczenie informacji odnośnie przestrzegania norm i procedur bezpieczeństwa
- Analiza bezpieczeństwa fizycznego i środowiskowego
- Weryfikacja założeń dotyczących kontroli dostępu
- Szkolenie i transfer wiedzy do pracowników Banku
- Konsultacje poaudytowe
W ramach audytu proceduralnego audytorzy dokonują przeglądu i oceny funkcjonowania dokumentacji w następującym zakresie:
- REGULACJE WEWNĘTRZNE BANKU
- Instrukcja Bezpieczeństwa Systemów Informatycznych
- Polityka bezpieczeństwa
- Instrukcja sporządzania informacji zarządczej
- Strategia działania Banku
- Strategia technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego
- Regulamin organizacyjny/ Schemat organizacyjny
- Instrukcja - Zasady zarzadzania zmianami
- Instrukcja zarządzania ryzykiem operacyjnym
- Instrukcja - Plany awaryjne zachowania ciągłości działania w sytuacjach kryzysowych (BCP - Business Continuity)
- Instrukcja zarządzania kadrami
- Regulamin kontroli wewnętrznej i audytu
- Plan audytu wewnętrznego
- Instrukcja zarządzania ryzykiem powierzania czynności podmiotom zewnętrznym
Oraz:
- Umowy z firmami zewnętrznymi w zakresie bezpieczeństwa systemów informatycznych
- Polisy ubezpieczeniowe
2. WERYFIKACJA DOKUMENTACJI W POSZCZEGÓLNYCH OBSZARACH ZARZĄDZANIA
Organizacja obszarów bezpieczeństwa informacji i środowiska teleinformatycznego:
- Identyfikacja zagadnień i planowanie w zakresie obszarów IT
- Podział zadań w zakresie bezpieczeństwa Informacji
- Lista osób stanowiących kadrę rezerwową; System doskonalenia kwalifikacji/Rejestr szkoleń
- Akta osobowe pracowników: Potwierdzenie kwalifikacji/odbycia szkoleń, Oświadczenia
- Zakres dostępu do informacji; Separacja obowiązków pracowników
Rozwój środowiska teleinformatycznego:
- Wymagania w zakresie rozwoju systemów informatycznych
- Zasady doboru komponentów infrastruktury
- Standardy konfiguracyjne
- Schemat dokonywania zmiany w systemach informatycznych
Zarządzanie infrastrukturą:
- Wykaz systemów informatycznych/komponentów infrastruktury
- Określenie krytycznych zasobów i dostawców IT
- Dziennik administratora systemu/Rejestr uprawnień/Rejestr kont serwisowych i administracyjnych
- Rejestr wejść do pomieszczeń szczególnie chronionych
- Dziennik sporządzania kopii/ Harmonogram testów
- Procedura ponownego rozpoczęcia działalności Banku w przypadku awarii systemu informatycznego
- Wykaz planów ciągłości działania i planów awaryjnych
- Protokoły z testów warunków skrajnych i testów ciągłości działania
- Lista kontaktowa osób i firm, które należy zawiadomić w przypadku wystąpienia sytuacji kryzysowych
- Rejestr incydentów związanych z bezpieczeństwem informacji
PROFESJONALNY AUDYT
Wdrożenie w firmie Systemu Zarządzania Bezpieczeństwem Informacji w oparciu o normę ISO 27001 pozwala na zachowanie poufności, integralności i dostępności informacji, które stanowią dla organizacji wymierną wartość lub ich ochrona wynika z odpowiednich przepisów prawa.
W ramach audytu dokonamy pełnej weryfikacji wszystkich obszarów bezpieczeństwa informacji środowiska teleinformatycznego w Państwa Banku.
!!! UWAGA !!!
KNF zaleca wykonanie audytów bezpieczeństwa informacji co 2 – 3 lata,
a w przypadku przeprowadzenia znaczących zmian w infrastrukturze Banku – częściej.
W celu uzyskania pełnej informacji w omawianych zakresach zapraszamy do kontaktu:
Andrzej Popiołek
Audytor Wiodący SZBI, Członek IIA Polska
+48 602 220 749 andrzej.popiolek@servus-comp.pl
Anna Stręk
Audytor Wiodący SZBI, Członek IIA Polska
+48 781 555 025 anna.strek@servus-comp.pl
Anna Kramarczyk
Kierownik ds. projektów IT
+48 794 671 787 anna.kramarczyk@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!
Nota prawna
1. Zaprezentowany materiał jest autorskim opracowaniem i jest objęty prawem autorskim.
2. Niniejszy materiał, ani żaden jego fragment nie może być reprodukowany, przetwarzany i rozpowszechniany w jakikolwiek sposób za pomocą urządzeń elektronicznych, mechanicznych, kopiujących, nagrywających i in. do celów innych niż realizacja przedmiotowej umowy u Klienta.