17 cze 2021

REKOMENDACJA D DOSTĘP UPRZYWILEJOWANY MONITOROWANIE UPRAWNIEŃ ICT

REKOMENDACJA D DOSTĘP UPRZYWILEJOWANY MONITOROWANIE UPRAWNIEŃ
REKOMENDACJA D DOSTĘP UPRZYWILEJOWANY MONITOROWANIE UPRAWNIEŃ

Jeden z ostatnich incydentów kradzieży pieniędzy, jaki miał miejsce w banku spółdzielczym, powinien być poważnym sygnałem ostrzegawczym nie tylko dla instytucji finansowych. O tego typu potencjalnych zagrożeniach mówimy podczas naszych audytów, zwracając m.in. szczególną uwagę na:

  • rozdzielenie funkcji
  • monitorowanie uprawnień
  • dostęp uprzywilejowany
  • sumy kontrolne
  • rozliczalność uprzywilejowanych dostępów
  • czy wręcz prosimy o przedstawienie pełnowartościowej analizy ryzyka środowiska ICT w infrastrukturze banku.

I co? I nic!

Na palcach jednej ręki możemy policzyć banki, w których nasze pytania spotykają się ze zrozumieniem !

A są one ściśle powiązane z wymogami stawianymi przed organy nadzorcze. UKNF bardzo przejrzyście opisał te wymagania w ELEMENTARZU, jakim jest niewątpliwie REKOMENDACJA D.

Czy nie potrafimy czytać ze zrozumieniem REKOMENDACJI D, która to bardzo jasno  i precyzyjne określa? Nie każdy bank stać na pełnowartościowego, wykształconego i przeszkolonego pracownika, który świadomie odpowiada za te zagadnienia. Czy możemy się tłumaczyć brakiem kompetencji pracowników? Odpowiedź brzmi – Nie możemy, gdyż prowadzimy instytucję pożytku publicznego, która zarządza powierzonymi przez klientów finansami i nazywa się BANK !!!

 

Gdzie należy się zwrócić, by zdobyć niezbędną wiedzę na ten temat
 i jak postępować, aby uniknąć podobnych incydentów?
Zapraszamy do kontaktu z naszymi Ekspertami, którzy wykorzystując narzędzia normatywne

  • przygotują Państwa infrastrukturę ICT do spełnienia obowiązujących wymagań i wskażą metody zabezpieczenia infrastruktury przed incydentami
  • przygotują Państwa pracowników do samodzielnego zarządzania bezpieczeństwem na bazie dedykowanych szkoleń

ANALIZA RYZYKA

Niestety gros banków nie posiada pełnowartościowej, ani jakiejkolwiek  ANALIZY RYZYKA ŚRODOWISKA ICT, a przecież  ANALIZA jest głównym narzędziem do zarządzania ryzykiem.

AUDYT BEZPIECZEŃSTWA INFORMACJI

PRZYKŁADOWE ZALECENIE Z AUDYTU

Zgodnie z Rekomendacją D Bank powinien ograniczać użytkownikom dostęp do funkcji pozwalających na samodzielne zwiększenie własnych uprawnień, a zasady zarządzania uprawnieniami powinny w szczególności uwzględniać zagrożenia związane z nieprawidłowym wykorzystaniem uprawnień użytkowników uprzywilejowanych. Bank powinien wprowadzić mechanizmy zapewniające każdorazową rejestrację oraz możliwość monitorowania dostępu z poziomu uprawnień uprzywilejowanych do najbardziej wrażliwych komponentów środowiska teleinformatycznego.

 

 

REKOMENDACJA D – FRAGMENT

REKOMENDACJA D – PODZIAŁ OBOWIĄZKÓW

5.2. Bank powinien precyzyjnie zdefiniować obowiązki i uprawnienia poszczególnych pracowników w zakresie technologii informacyjnej i bezpieczeństwa informacji. Określenie zakresów obowiązków i uprawnień powinno mieć formę pisemną, a podział obowiązków powinien minimalizować ryzyko błędów i nadużyć w procesach i systemach. W tym celu należy zwrócić uwagę na odpowiednią separację obowiązków pracowników, w szczególności oddzielenie: – funkcji tworzenia lub modyfikowania systemów informatycznych od ich testowania (poza testami realizowanymi przez programistów w ramach wytwarzania oprogramowania), administracji i użytkowania, – funkcji administrowania danym komponentem środowiska teleinformatycznego od projektowania związanych z nim mechanizmów kontrolnych w zakresie bezpieczeństwa, – funkcji administrowania danym systemem informatycznym od monitorowania działań jego administratorów, – funkcji audytu od pozostałych funkcji w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

 

REKOMENDACJA D – wypis

5.3. zapewnienie prawidłowości działania i bezpieczeństwa systemu pod względem biznesowym …

5.4. …  każdy pracownik banku powinien być świadomy, że jego obowiązkiem jest dbanie o bezpieczeństwo informacji przetwarzanych w środowisku teleinformatycznym.

5.5. … pracownicy obszaru bezpieczeństwa środowiska teleinformatycznego powinni w sposób niezależny aktywnie monitorować realizację czynności przypisanych w tym obszarze jednostkom biznesowym i odpowiedzialnym za obszar technologii informacyjnej…

5.6. W odniesieniu do systemów transakcyjnych, zaleca się wprowadzenie mechanizmu potwierdzenia ręcznie wprowadzanych transakcji dotyczących znacznych kwot przez drugą osobę (tzw. „autoryzacja na drugą rękę”). Ustalenie wysokości znacznej kwoty powinno zostać dokonane przez bank na podstawie analizy charakteru realizowanych transakcji.

Zapraszamy Państwa na szkolenia:
https://edu.servus-comp.pl/pl

Zapraszamy Państwa do zapoznania się na naszą ofertą audytu bezpieczeństwa informacji:
https://premiumbank.zadbajobezpieczenstwo.pl/audyty-v-premium/

Zapraszamy Państwa do zapoznania się z informacjami RODO na naszej www:
https://premiumbank.zadbajobezpieczenstwo.pl/rodo-w-banku-ogolne-rozporzadzenie-o-ochronie-danych/

 

Zapraszamy do kontaktu. Chętnie odpowiemy na każde pytanie.

Servus Comp Data Security, Świętokrzyska 12/403  30-015 Kraków  
tel.  +48 608 407 668, +48 12 631 91 22   biuro@servus-comp.pl
PODEJMIEMY DLA PAŃSTWA KAŻDE WYZWANIE!

JESTEŚ ZAINTERESOWANY? ZADZWOŃ, NAPISZ DO NAS

Dodaj komentarz