Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Transkrypt

1 Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

2 Rekomendacja nr 22 Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów. Komisja Nadzoru Finansowego Rekomendacja D, styczeń 2013 r.

3 Audyt w Banku Spółdzielczym Czym NIE JEST audyt? Audyt NIE jest kontrolą, która ma na celu znaleźć i ukarać winnych. Audyt NIE jest działaniem zmierzającym do spowodowania strat.

4 Audyt w Banku Spółdzielczym Czym więc JEST audyt? Audyt to weryfikacja obecnego stanu infrastruktury teleinformatycznej ze stanem pożądanym. Audyt teleinformatyczny jest działaniem zmierzającym do wsparcia audytowanego.

5 Kiedy należy wykonać audyt? Analiza Opracowanie ramowego harmonogramu Analiza luki poprzez samoocenę Decyzje Wybór projektów do opracowania Prace projektowo-marketingowe (wybór kontrahentów / szacowanie cen) Decyzje o wyborze projektów do realizacji Wdrożenie Kontraktacje / postępowania ofertowe Uszczegółowienie operacyjne projektów (specyfikacja techniczna) Realizacja projektów Audyt zewnętrzny Eksploatacja Eksploatacja z utrzymaniem zaprojektowanego i wdrożonego monitoringu Okresowe powtarzanie procesu samooceny Okresowe audyty wybranych obszarów

6 Kiedy należy wykonać audyt? Analiza Opracowanie ramowego harmonogramu Analiza luki poprzez samoocenę Audyt wstepny weryfikacja i uzupełnienie wniosków z analizy Decyzje Wybór projektów do opracowania Prace projektowo-marketingowe (wybór kontrahentów / szacowanie cen) Decyzje o wyborze projektów do realizacji Wdrożenie Kontraktacje / postępowania ofertowe Uszczegółowienie operacyjne projektów (specyfikacja techniczna) Realizacja projektów Audyt zamykający sprawdzenie wyłącznie obszarów modyfikowanych Eksploatacja Eksploatacja z utrzymaniem zaprojektowanego i wdrożonego monitoringu Okresowe powtarzanie procesu samooceny Okresowe audyty wybranych obszarów

7 Zakres audytu I Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (Rekomendacje 1-5) II Rozwój środowiska teleinformatycznego (Rekomendacje 6-7) Rekomendacja D III Utrzymanie i eksploatacja środowiska teleinformatycznego (Rekomendacje 8-17) IV Zarządzanie bezpieczeństwem środowiska teleinformatycznego (Rekomendacje 18-22)

8 Etapy audytu Etap I Przygotowania ze strony Banku Ustalanie terminów Etap II Ankiety, testy, wywiady Prace na miejscu u klienta Etap III Opracowanie protokołów i materiałów Prace audytorów w firmie Etap IV Spotkanie z Zarządem Omówienie audytu i przekazanie protokołów

9 ETAP I - Przygotowania 1. Ustalamy harmonogram audytu. 2. Przekazujemy Bankowi listę dokumentów, które będą weryfikowane podczas audytu.

10 ETAP II Weryfikacja dokumentacji Podczas wizyty w Banku weryfikujemy wszystkie udostępnione nam dokumenty odnośnie regulacji zawartych w rekomendacji D pod kątem ich: Aktualności, Kompletności, Zgodności z rekomendacją D.

11 ETAP II - Wywiady Przeprowadzamy rozmowy z osobami odpowiedzialnymi za badane obszary oraz z pozostałymi pracownikami Banku w zakresie regulacji zawartych w Rekomendacji D.

12 ETAP II Testy penetracyjne Przeprowadzamy testy penetracyjne (wewnętrzne i zewnętrzne) przy wykorzystaniu specjalistycznych narzędzi i oprogramowania.

13 ETAP II Audyt oprogramowania Sprawdzamy zgodność oprogramowania na komputerach.

14 ETAP II Ankiety i badania socjotechniczne Przeprowadzamy anonimowe ankiety wśród pracowników sprawdzające ich poziom wiedzy związany z odpowiednimi obszarami Rekomendacji D.

15 ETAP III Protokół kontroli

16

17

18

19

20

21

22

23

24

25 ETAP III Podsumowanie audytu dokument dla Zarządu Banku Zgodny z Rekomendacją 2.1 dot. Systemu Informacji Zarządczej

26 ETAP III Harmonogram Dołączamy harmonogram w formacie.xls, w którym umieszczone są wszystkie wskazania w podziale na obszary, dla których Bank definiuje: Priorytet zalecenia; Termin jego realizacji; Podmiot odpowiedzialny za wdrożenie; Osobę odpowiedzialną za realizację po stronie Banku; Koszty realizacji; Status realizacji zalecenia.

27 ETAP III Materiały dodatkowe Do dokumentacji dołączamy: Protokoły kontroli w formacie elektronicznym.pdf, Podsumowanie audytu w formacie elektronicznym.pdf, Szczegółowe wyniki testów penetracyjnych, Harmonogram w pliku.xls, Upoważnienia.

28 ETAP IV Podsumowanie Spotkanie z Zarządem Omówienie wyników audytu Podpisanie protokołów przeprowadzonej kontroli

29 I co dalej???

30 Procedury, Dojście do zgodności z Rekomendacją D Łączność zapasowa, Centra zapasowe, Szyfrowane sieci LAN/WAN (IDS/IPS), Bezpieczny dostęp do internetu, Bezpieczna poczta, Active Directory,

31 Szkolenia Tematyczne szkolenia dotyczące infrastruktury i środowiska teleinformatycznego, Zarządzanie bezpieczeństwem informacji, Zarządzanie projektami, Zarządzanie strategiczne.

32 Zespół audytorów Nasi audytorzy: Są członkami stowarzyszenia ISACA, Są Audytorami Systemu Zarządzania Bezpieczeństwem Informacji wg PN-ISO/IEC 27001:2007, Posiadają bogatą wiedzę w zakresie zarządzania strategicznego, zarządzania kapitałem ludzkim popartą wieloletnią praktyką i studiami MBA,

33 Zespół audytorów Nasi audytorzy: Posiadają wiedzę i bogate doświadczenie w zarządzaniu projektami zgodnie z metodyką PMI i PRINCE2 realizowanymi dla sektora bankowego, Posiadają wieloletnie doświadczenie w branży IT na rynku Banków Spółdzielczych, Posiadają certyfikaty zarządzania jakością zgodnego z ISO 9001:2000.

34 Dziękuję za uwagę i chętnie odpowiem na Państwa pytania.