OFERTA. na wykonanie audytu zgodności z Rekomendacją D. sekretariat@bluenet.pl

Transkrypt

1 OFERTA na wykonanie audytu zgodności z Rekomendacją D BlueNet sp. z o.o. ul. Pojezierska Łódź Tel. /+48 42/ Fax /+48 42/ sekretariat@bluenet.pl NIP: KRS: Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi Kapitał zakładowy: zł

2 Niniejsza oferta powstała w związku z przyjęciem w dniu 8 stycznia 2013 r. przez Komisję Nadzoru Finansowego nowych wersji Rekomendacji D dotyczących zarządzania obszarami technologii informacyjnej i bezpieczeństwem środowiska teleinformatycznego w bankach. Wskazania audytu, który jest przedmiotem oferty pozwolą na precyzyjne wprowadzenie zaleceń Rekomendacji D zgodnie z oczekiwaniami KNF tzn. decyzje dotyczące zakresu i sposobu wprowadzenia wskazanych w Rekomendacji D rozwiązań poprzedzone zostaną analizą i poparte stosowna argumentacją. KNF oczekuje, że zalecenia zostaną wprowadzone nie później niż do dnia 31 grudnia 2014 roku. Analiza wyników audytu i sporządzony raport mogą być w przyszłości podstawą wdrożenia lub udoskonalenia Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001:2007. Zakres oferty 1. Obszar objęty audytem zgodności w Rekomendacji D Opis metodyki prowadzenia audytu Raport końcowy dla Zarządu Banku Zespół audytowy Referencje dotyczące Rekomendacji D Informacja o firmie BlueNet Kontakt Niniejsza oferta jest przeznaczona jedynie dla osoby lub podmiotu będącego jej adresatem i może zawierać poufne lub uprzywilejowane informacje. Przeglądanie, przesyłanie, rozpowszechnianie lub inne wykorzystywanie tych informacji, jak również podejmowanie działań na ich podstawie przez osoby lub podmioty inne niż zamierzony adresat wymaga zgody BlueNet sp. z o.o. 2

3 1. Obszar objęty audytem zgodności w Rekomendacji D Audytowi zostaną poddane wszystkie obszary objęte wymaganiami rekomendacji D, a w szczególności: I. Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (Rekomendacje 1-5) Rola zarządu i rady nadzorczej (Rekomendacja 1) System informacji zarządczej (Rekomendacja 2) Planowane strategiczne (Rekomendacja 3) Zasady współpracy obszarów biznesowych i technicznych (Rekomendacja 4) Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego (Rekomendacja 5) Struktura organizacyjna Podział obowiązków Zasoby ludzkie II. Rozwój środowiska teleinformatycznego (Rekomendacje 6-7) Projekty w zakresie środowiska teleinformatycznego (Rekomendacja 6) Rozwój systemów informatycznych (Rekomendacja 7) III. Utrzymanie i eksploatacja środowiska teleinformatycznego (Rekomendacje 8-17) Zarządzanie danymi (Rekomendacja 8) Zarządzanie architekturą danych Zarządzanie jakością danych Zarządzanie infrastrukturą teleinformatyczną (Rekomendacja 9) Architektura infrastruktury teleinformatycznej Komponenty infrastruktury teleinformatycznej Aktualizacja oprogramowania komponentów infrastruktury teleinformatycznej Zarządzanie pojemnością i wydajnością komponentów infrastruktury teleinformatycznej Dokumentacja infrastruktury teleinformatycznej 3

4 Współpraca z zewnętrznymi dostawcami usług (Rekomendacja 10) Kontrola dostępu (Rekomendacja 11) Mechanizmy kontroli dostępu logicznego Mechanizmy kontroli dostępu fizycznego Ochrona przed szkodliwym oprogramowaniem (Rekomendacja 12) Wsparcie dla użytkowników (Rekomendacja 13) Edukacja pracowników (Rekomendacja 14) Ciągłość działania środowiska teleinformatycznego (Rekomendacja 15) Plany utrzymania ciągłości działania i plany awaryjne Zasoby techniczne oraz warunki fizyczne i środowiskowe Kopie awaryjne Weryfikacja efektywności podejścia do zarządzania ciągłością działania Zarządzanie elektronicznymi kanałami dostępu (Rekomendacja 16) Weryfikacja tożsamości klientów Bezpieczeństwo danych i środków klientów Edukacja klientów Zarządzanie oprogramowaniem użytkownika końcowego (Rekomendacja 17) IV. Zarządzanie bezpieczeństwem środowiska teleinformatycznego (Rekomendacje 18-22) System zarządzania bezpieczeństwem środowiska teleinformatycznego (Rekomendacja 18) Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego Kontrola i przeciwdziałanie ryzyku w zakresie bezpieczeństwa środowiska teleinformatycznego Monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego Klasyfikacja informacji i systemów informatycznych (Rekomendacja 19) Klasyfikacja informacji Klasyfikacja systemów informatycznych Zarządzanie incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego (Rekomendacja 20) Bezpieczeństwo formalno-prawne (Rekomendacja 21) Rola audytu wewnętrznego i zewnętrznego (Rekomendacja 22) 4

5 2. Opis metodyki prowadzenia audytu Celem audytów przeprowadzanych przez firmę BlueNet jest zebranie rzeczowych dowodów, które pozwolą na obiektywną ocenę faktycznego stanu infrastruktury teleinformatycznej oraz zgodności dotychczas stosowanych w Banku rozwiązań z wytycznymi zawartymi w Rekomendacji D. Audyt przebiega według poniższego schematu: a. Zbieranie informacji i prowadzenie wywiadów: Wywiady z zatrudnionymi i innymi osobami; Obserwacja działań oraz otaczających warunków i środowiska; Analiza dokumentacji: polityka, cele, plany, procedury, instrukcje, licencje, pozwolenia, specyfikacje i wyniki pomiarów; Zapisy z kontroli, spotkań, wyniki pomiarów; Zapisy z innych źródeł, na przykład informacje zwrotne od klienta, od stron zewnętrznych; Testy penetracyjne, tzn. symulacje realnych ataków z wykorzystaniem specjalistycznego oprogramowania, a także analiza stosowanych rozwiązań technicznych; Określenie kategorii danych przetwarzanych w poddanych badaniu systemach oraz oszacowanie ich znaczenia dla poszczególnych kryteriów bezpieczeństwa informacji. b. Agregacja i analiza informacji uzyskanych na etapie zbierania informacji. c. Podsumowanie audytu Informacje dotyczące niezgodności; Miejsca ich wykrycia; Obszary/funkcje gdzie stwierdzono zgodność; Wymagania systemu zarządzania, które najczęściej nie były spełniane; Wskazania wraz ze sposobem ich realizacji. 5

6 Wynikiem przeprowadzonych prac jest szczegółowy raport opracowany dla każdego z badanych obszarów, jako odrębny dokument, wskazujący stopień zgodności badanego środowiska z wymaganiami Rekomendacji D wraz z propozycjami rozwiązania ewentualnych niezgodności. 6

7 3. Raport końcowy dla Zarządu Banku Oprócz szczegółowych raportów (w postaci czerech protokołów dla każdego z obszarów z osobna) przygotowujemy oddzielny dokument dla Zarządu Banku podsumowujący przeprowadzony audyt ze wskazaniem stopnia zgodności badanych obszarów z wymaganiami Rekomendacji D. Do niniejszej dokumentacji dołączamy również harmonogram w formacie.xls, w którym umieszczone są wszystkie wskazania w podziale na obszary, dla których Bank w ramach prac związanych z pokryciem luki definiuje: Priorytet zalecenia; Termin jego realizacji; Podmiot odpowiedzialny za wdrożenie; Osobę odpowiedzialną za realizację po stronie Banku; Koszty realizacji; Status realizacji zalecenia. 7

8 4. Zespół audytowy Audytor wiodący I - Dorota Szumska Członek Stowarzyszenia ISACA zarejestrowany pod numerem Ukończyła z wyróżnieniem Wydział Matematyki Uniwersytetu Łódzkiego i studium Mini MBA na Wydziale Zarządzania Uniwersytetu Łódzkiego. Posiada ponad 14 letnie doświadczenie w branży IT oraz bogatą wiedzę w zakresie zarządzania strategicznego, zarządzania kapitałem ludzkim oraz zarządzania jakością zgodnego z ISO 9001:2000, potwierdzoną certyfikatami i szerokim doświadczeniem w pracy zawodowej. Na przestrzeni swojej kariery zawodowej zdobyła wiedzę i bogate doświadczenie w zarządzaniu projektami jako Project Manager zgodnie z metodyką PMI i PRINCE2 realizowanych dla sektora bankowego i publicznego. Audytor wiodący II Kamil Magdziarz Audytor Wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji wg PN-ISO/IEC 27001:2007 (nr certyfikatu: BPIC-AW ). Ukończył Politechnikę Łódzką na Wydziale Elektrotechniki, Elektroniki, Informatyki i Automatyki. Posiada ponad 6 letnie doświadczenie w branży IT oraz szeroką wiedzę w zakresie systemów informatycznych (Linux, MS Windows Server, MS SQL) potwierdzoną stosownymi certyfikatami oraz w zakresie technologii sieci LAN/WAN. Członkowie Zespołu Audytowego: Magdalena Fiałkowska Tomasz Raczyński Dariusz Just Radosław Machała - Specjalista ds. Systemów informatycznych, - Specjalista ds. Systemów informatycznych, - Architekt IT, - Architekt DC 8

9 5. Referencje dotyczące Rekomendacji D Dotychczas zakończone i trwające audyty zgodności z Rekomendacją D w Bankach Spółdzielczych: Fundacja Rozwoju Bankowości Spółdzielczej - przygotowanie i implementacja zestawu pytań użytego do badania luki niedopasowania w Bankach zrzeszonych w BPS S.A. Bank Spółdzielczy w Mikołajkach; Bank Spółdzielczy w Kolnie; Spółdzielczy Bank Ludowy w Olsztynie; Spółdzielczy Bank Ludowy w Kępnie; Bank Spółdzielczy w Obornikach Śląskich; Bank Spółdzielczy w Piotrkowie Kujawskim; Bank Spółdzielczy w Jedlińsku; Bank Spółdzielczy w Warcie. Przeprowadzone szkolenia z zagadnień Rekomendacji D: Bank Spółdzielczy w Bartoszycach; Bank Spółdzielczy w Białej Rawskiej; Bank Spółdzielczy w Brodnicy; Bank Spółdzielczy w Chojnicach Bank Spółdzielczy w Giżycku Bank Spółdzielczy w Golubiu Dobrzyniu Bank Spółdzielczy w Grębocinie Bank Spółdzielczy w Iławie Bank Spółdzielczy w Kowalewie Pomorskim Bank Spółdzielczy w Lubawie Bank Spółdzielczy w Łosicach Bank Spółdzielczy w Mikołajkach Bank Spółdzielczy w Mrągowie Bank Spółdzielczy w Nidzicy 9

10 Bank Spółdzielczy w Olsztynku Bank Spółdzielczy w Ostrowi Mazowieckiej Bank Spółdzielczy w Płońsku Bank Spółdzielczy w Radzyniu Podlaskim Bank Spółdzielczy w Szczuczynie Bank Spółdzielczy w Szczytnie Bank Spółdzielczy w Warce Bank Spółdzielczy w Węgorzewie Kujawsko Dobrzyński Bank Spółdzielczy we Włocławku PACO Bank Pabianice Spółdzielczy Bank Ludowy w Olsztynie Warmiński Bank Spółdzielczy w Jonkowie Warszawski Bank Spółdzielczy Bank Spółdzielczy w Czersku Bank Spółdzielczy w Tucholi Bank Spółdzielczy w Toruniu Bank Spółdzielczy w Osiu Bank Spółdzielczy w Golubiu Dobrzyniu Bank Spółdzielczy w Kowalewie Pomorskim Bank Spółdzielczy w Pruszcz Pomorskim Bank Spółdzielczy w Strzelnie Bank Spółdzielczy w Szubinie Bank Spółdzielczy w Rumii Bank Spółdzielczy w Kowalu Bank Spółdzielczy w Więcborku Bank Spółdzielczy w Inowrocławiu Bank Spółdzielczy w Koronowie Bank Spółdzielczy w Nowem n/wisłą Bank Spółdzielczy w Poddębicach SK Bank Ponadto uczestnictwo w charakterze prelegentów w wielu konferencjach branżowych dotyczących implementacji i weryfikacji Rekomendacji D w Bankach. 10

11 11

12 12

13 6. Informacja o firmie BlueNet Jesteśmy firmą prowadzącą działalność od 1996 roku. Oferujemy kompleksowe usługi teleinformatyczne dla sektorów: bankowego, przedsiębiorstw, administracji publicznej. Posiadamy przeszkoloną i wysoko wykwalifikowaną kadrę inżynierską jak również specjalistów z dziedziny zarządzania strategicznego i audytu. Nasi pracownicy maja bogate doświadczenie zawodowe dotyczące bezpieczeństwa teleinformatycznego potwierdzone stosownymi certyfikatami m.in. Audytora Wewnętrznego Systemu Zarządzania Bezpieczeństwem Informacji wg PN-ISO/IEC 27001:2007 czy systemu zarządzania jakością zgodnego z ISO 9001:2000. Dodatkowo posiadają, popartą bogatym doświadczeniem, wiedzę nt. metodyk zarządzania projektami PMI oraz PRINCE2. Firma specjalizuje się w świadczeniu usług konsultacyjnych, audytowych i integracyjnych, polegających na zapewnieniu bezawaryjnej współpracy różnych systemów operacyjnych, baz danych, aplikacji użytkowych, rozwiązań zwiększających ich bezpieczeństwo oraz projektowaniu i implementacji zaawansowanych rozwiązań teleinformatycznych np.: konsulting i szkolenia dla kadry informatycznej, audyty środowiska teleinformatycznego, projektowanie oraz realizacja bezpiecznych sieci LAN i WAN, dobór i dostawa sprzętu komputerowego i oprogramowania systemowego, projektowanie oraz wdrażanie zaawansowanych rozwiązań informatycznych, budowa rozwiązań internetowych oraz wewnętrznych sieci telefonicznych, świadczenie usług serwisowych sprzętu komputerowego i telekomunikacyjnego, budowa i wyposażanie serwerowni i ośrodków informatycznych, usługi telekomunikacyjne transmisji danych przewodowej i bezprzewodowej, usługi telekomunikacyjne telefonii stacjonarnej IP. 13

14 Dzięki długoletniej obecności na rynku oraz wysokim kompetencjom firma współpracuje z największymi dostawcami rozwiązań IT. Posiada status partnera m.in. Cisco, Microsoft, IBM, Symantec, Juniper Networks, IBM, Dell, Lenovo, Oracle, MikroTik, Meru Networks, OKI, i wielu innych. Zrealizowaliśmy projekty związane z bezpieczeństwem IT w ponad 150 Bankach Spółdzielczych. Poniżej przedstawiamy wybrane z naszych realizacji: Bank Polskiej Spółdzielczości S.A zapewnienie bezpiecznej łączności dla bankomatów w oparciu o technologię GPRS/EDGE/3G. projekt i wdrożenie sieci WAN na potrzeby komunikacji z Bankami Spółdzielczymi projekt i wdrożenie telefonii IP w końcowym etapie uruchomionych 800 słuchawek Bank Spółdzielczy w Mikołajkach projekt sieci teleinformatycznej, audyt zgodności z Rekomendacją D. Bank Spółdzielczy w Radzyniu Podlaskim projekt sieci teleinformatycznej, budowa serwerowni zapasowej (kompleksowe wykonawstwo od projektu do realizacji wszystkich systemów), łączność radiowa w paśmie komercyjnym między dwiema serwerowniami (budowa masztów, urządzenia radiowe, uruchomienie). Bank Spółdzielczy w Koronowie projekt sieci teleinformatycznej, wyposażenie serwerowni zapasowej, bezpieczny dostęp do Internetu, 14

15 system bezpiecznej poczty elektronicznej, wdrożenie usługi katalogowej Active Directory. Spółdzielczy Bank Ludowy w Olsztynie audyt zgodności z Rekomendacją D. Bank Spółdzielczy w Stalowej Woli bezpieczny dostęp do Internetu, konfiguracja bezpiecznej sieci LAN. Spółdzielczy Bank Ludowy w Kępnie projekt sieci teleinformatycznej, dostawa urządzeń i konfiguracja bezpiecznej sieci LAN/WAN wraz z wyposażeniem serwerowni, wirtualizacja środowiska i bezpieczny dostęp do Internetu, telefonia VoIP. Bank Spółdzielczy w Wołczynie bezpieczny dostęp do Internetu, konfiguracja bezpiecznej sieci LAN. Bank Spółdzielczy w Kolnie Audyt zgodności z Rekomendacją D. Gospodarczy Bank Spółdzielczy w Międzyrzeczu 15

16 bezpieczny dostęp do Internetu, system bezpiecznej poczty elektronicznej. Bank Spółdzielczy w Poddębicach audyt sieci teleinformatycznej, łączność zapasowa dla jednostek zdalnych oraz dostawa urządzeń i konfiguracja bezpiecznej sieci LAN/WAN, bezpieczny dostęp do Internetu, system bezpiecznej poczty elektronicznej. Bank Spółdzielczy w Andrespolu łączność zapasowa dla jednostek zdalnych oraz dostawa urządzeń i konfiguracja bezpiecznej sieci LAN/WAN, wyposażenie serwerowni, bezpieczny dostęp do Internetu. Bank Spółdzielczy w Zgierzu bezpieczny dostęp do Internetu. Bank Spółdzielczy w Skawinie bezpieczny dostęp do Internetu. Bank Spółdzielczy w Lututowie bezpieczny dostęp do Internetu. i wiele innych 16

17 7. Kontakt W przypadku pytań dotyczących powyższej oferty prosimy o kontakt # BlueNet sp. z o.o. sprzedaz@bluenet.pl Tel.: +48 (42) Fax: +48 (42)