Audyt bezpieczeństwa informacji stanowi niezależną ocenę aktualnie działającego systemu informatycznego Banku wraz z jego infrastrukturą sprzętową, systemową i sieciową.

Oferujemy współpracę, w ramach której nasi eksperci przeprowadzą ocenę aspektów prawnych, organizacyjnych, technicznych i informatycznych. Wykonanie audytu pozwala zweryfikować stan systemu informatycznego i prawidłowość procedur zarządzania systemami IT wraz z poziomem ich zgodności z obowiązującymi normami i standardami. Realizowane przez nas działania audytowe są zgodne z wytycznymi KNF oraz wskazaniami  normy ISO/IEC 27001 i przeprowadzane w odniesieniu do obiektywnych uwarunkowań i specyfiki placówki bankowej, obowiązujących przepisów prawa i aktualnego stanu technologii.

Zgodnie ze standardem Systemu Zarządzania Bezpieczeństwem Informacji w ramach obowiązującej normy ISO/IEC 27001 nasi eksperci zbadają 11 obszarów, które mają wpływ na bezpieczeństwo informacji. Są nimi:

• polityka bezpieczeństwa
• organizacja bezpieczeństwa informacji
• zarządzanie aktywami
• bezpieczeństwo zasobów ludzkich
• bezpieczeństwo fizyczne i środowiskowe
• zarządzanie systemami i sieciami
• kontrola dostępu
• zarządzanie ciągłością działania
• pozyskiwanie, rozwój i utrzymanie systemów informatycznych
• zarządzanie incydentami związanymi z bezpieczeństwem informacji
• zgodność z wymaganiami prawnymi i własnymi standardami.

W czasie audytu bardzo wnikliwie weryfikowane jest bezpieczeństwo proceduralne i informatyczne, przeprowadzane są również testy oprogramowania systemowego oraz infrastruktury informatycznej. Do testów penetracyjnych używamy profesjonalnego oprogramowania, które na bieżąco jest aktualizowane o najnowsze konfiguracje sprzętowe, dzięki czemu mamy jasny obraz stanu technicznego infrastruktury.

Po przeprowadzeniu audytu sporządzimy dla Państwa poufny RAPORT identyfikujący zagrożenia w dotychczas funkcjonującym systemie bezpieczeństwa. Raport będzie zawierał również nasze rekomendacje w zakresie rozwiązań mających zapewnić bezpieczeństwo IT oraz zalecenia do procedur i dokumentacji.

Szczegółowy zakres usługi Audyt IT

• Analiza procesów zarządzania IT i bezpieczeństwem
• Przegląd dokumentacji
• Weryfikacja ochrony danych osobowych zgodnie z nową ustawą RODO
• Zbadanie zgodności konfiguracji systemów z założeniami polityki bezpieczeństwa
• Przegląd zabezpieczeń systemu informatycznego funkcjonującego w Banku
• Przeprowadzenie testów oprogramowania systemowego
• Przeprowadzenie testów penetracyjnych infrastruktury informatycznej
• Identyfikacja słabych punktów infrastruktury IT (w tym w systemach i urządzeniach)
• Analiza potrzeb w zakresie zabezpieczenia systemu
• Dostarczenie informacji odnośnie przestrzegania norm i procedur bezpieczeństwa
• Analiza bezpieczeństwa fizycznego i środowiskowego
• Weryfikacja założeń dotyczących kontroli dostępu
• Szkolenie i transfer wiedzy do pracowników Banku
• Konsultacje poaudytowe

W ramach audytu proceduralnego audytorzy dokonują przeglądu i oceny funkcjonowania dokumentacji w następującym zakresie:

1. REGULACJE WEWNĘTRZNE BANKU

• Instrukcja Bezpieczeństwa Systemów Informatycznych
• Polityka bezpieczeństwa
• Instrukcja sporządzania informacji zarządczej
• Strategia działania Banku
• Strategia technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego
• Regulamin organizacyjny/ Schemat organizacyjny
• Instrukcja - Zasady zarzadzania zmianami
• Instrukcja zarządzania ryzykiem operacyjnym
• Instrukcja - Plany awaryjne zachowania ciągłości działania w sytuacjach kryzysowych (BCP - Business Continuity)
• Instrukcja zarządzania kadrami
• Regulamin kontroli wewnętrznej i audytu
• Plan audytu wewnętrznego
• Instrukcja zarządzania ryzykiem powierzania czynności podmiotom zewnętrznym

Oraz:

• Umowy z firmami zewnętrznymi w zakresie bezpieczeństwa systemów informatycznych
• Polisy ubezpieczeniowe

2. WERYFIKACJA DOKUMENTACJI W POSZCZEGÓLNYCH OBSZARACH ZARZĄDZANIA

Organizacja obszarów bezpieczeństwa informacji i środowiska teleinformatycznego:

• Identyfikacja zagadnień i planowanie w zakresie obszarów IT
• Podział zadań w zakresie bezpieczeństwa Informacji
• Lista osób stanowiących kadrę rezerwową; System doskonalenia kwalifikacji/Rejestr szkoleń
• Akta osobowe pracowników: Potwierdzenie kwalifikacji/odbycia szkoleń, Oświadczenia
• Zakres dostępu do informacji; Separacja obowiązków pracowników

Rozwój środowiska teleinformatycznego:

• Wymagania w zakresie rozwoju systemów informatycznych
• Zasady doboru komponentów infrastruktury
• Standardy konfiguracyjne
• Schemat dokonywania zmiany w systemach informatycznych

Zarządzanie infrastrukturą:

• Wykaz systemów informatycznych/komponentów infrastruktury
• Określenie krytycznych zasobów i dostawców IT
• Dziennik administratora systemu/Rejestr uprawnień/Rejestr kont serwisowych i administracyjnych
• Rejestr wejść do pomieszczeń szczególnie chronionych
• Dziennik sporządzania kopii/ Harmonogram testów
• Procedura ponownego rozpoczęcia działalności Banku w przypadku awarii systemu informatycznego
• Wykaz planów ciągłości działania i planów awaryjnych
• Protokoły z testów warunków skrajnych i testów ciągłości działania
• Lista kontaktowa osób i firm, które należy zawiadomić w przypadku wystąpienia sytuacji kryzysowych
• Rejestr incydentów związanych z bezpieczeństwem informacji

KNF zaleca wykonanie audytów bezpieczeństwa informacji co 2 – 3 lata,

a w przypadku przeprowadzenia znaczących zmian w infrastrukturze Banku – częściej.