Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Podobne dokumenty

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Kryteria oceny Systemu Kontroli Zarządczej

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Polityka Zarządzania Ryzykiem

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

OPIS SYSTENU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W USTRONIU. I. Cele systemu kontroli wewnętrznej

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

BAKER TILLY POLAND CONSULTING

System kontroli wewnętrznej w Limes Banku Spółdzielczym

Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Reforma regulacyjna sektora bankowego

Organizacja i funkcjonowanie Systemu Kontroli Wewnętrznej w HSBC Bank Polska S.A.

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Informacja o strategii i celach zarządzania ryzykiem

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

ZARZĄDZENIE NR 19/2011/2012 DYREKTORA PRZEDSZKOLA KRÓLA Maciusia I w Komornikach z dnia w sprawie przyjęcia regulaminu kontroli zarządczej

Zatwierdzone przez Zarząd Banku uchwałą nr DC/92/2018 z dnia 13/03/2018 r.

ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W PONIATOWEJ

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŻORACH

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Zarządzanie projektami a zarządzanie ryzykiem

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

REKOMENDACJA D Rok PO Rok PRZED

Z A R Z Ą D Z E N I E Nr 3/2011

System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim

Informacja Banku Spółdzielczego w Nowym Dworze Mazowieckim wynikająca z art. 111a ustawy Prawo bankowe według stanu na 31 grudnia 2017 roku

II. Rola Zarządu, Rady Nadzorczej i Komitetu Audytu

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Opis systemu kontroli wewnętrznej W NEST BANK S.A. Stan na dzień r.

INFORMACJA BANKU SPÓŁDZIELCZEGO W MRĄGOWIE

Standardy kontroli zarządczej

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

Kwestionariusz samooceny kontroli zarządczej

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

KWESTIONARIUSZ SAMOOCENY DLA ZESPOŁU SZKÓŁ W DRYGAŁACH W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ

Informacja Banku Spółdzielczego w Chojnowie

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBAWIE

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

INFORMACJA BANKU SPÓŁDZIELCZEGO W BIAŁEJ PODLASKIEJ

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

INFORMACJA Banku Spółdzielczego w Trzebnicy

ZARZĄDZENIE NR 36/2016 BURMISTRZA KSIĄŻA WLKP. z dnia 22 marca 2016 r.

Corporate governance wpływ na efektywność i minimalizację ryzyka procesów biznesowych

BANK SPÓŁDZIELCZY W SKAWINIE. Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Skawinie. SKAWINA, 2018 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Regulamin kontroli zarządczej w Gminnym Ośrodku Kultury

I. Cele systemu kontroli wewnętrznej.

Regulamin zarządzania ryzykiem. Założenia ogólne

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

PROCEDURY SZACOWANIA KAPITAŁU WEWNĘTRZNEGO W DOMU MAKLERSKIM CAPITAL PARTNERS S.A.

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

INFORMACJA BANKU SPÓŁDZIELCZEGO KRASNOSIELCU Z SIEDZIBĄ W MAKOWIE MAZOWIECKIM

INFORMACJA NADNOTECKIEGO BANKU SPÓŁDZIELCZEGO

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

KWESTIONARIUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ ZA ROK..

Zasady systemu kontroli wewnętrznej w Banku Polskiej Spółdzielczości S.A.

SZCZEGÓŁOWY HARMONOGRAM KURSU

System kontroli wewnętrznej w Banku Spółdzielczym w Głogowie Małopolskim

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W MAŁOPOLSKIM BANKU SPÓŁDZIELCZYM. I. Cele i organizacja systemu kontroli wewnętrznej

SPÓŁDZIELCZY BANK POWIATOWY w Piaskach

Wartość audytu wewnętrznego dla organizacji. Warszawa,

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

System Kontroli Wewnętrznej w Banku BPH S.A.

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

INFORMACJA BANKU SPÓŁDZIELCZEGO W ZAŁUSKACH

INFORMACJA MAZOWIECKIEGO BANKU SPÓŁDZIELCZEGO W ŁOMIANKACH

System kontroli wewnętrznej w Banku Spółdzielczym w Lubaczowie

INFORMACJA BANKU SPÓŁDZIELCZEGO W OZORKOWIE

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ

Opis systemu kontroli wewnętrznej Banku Spółdzielczego w Połańcu. 1. Cele i organizacja systemu kontroli wewnętrznej

Transkrypt:

Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4. Zapewnienie bezpieczeństwa informacji przetwarzanych w środowisku teleinformatycznym nie jest wyłącznie domeną komórek odpowiedzialnych za obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, ale w dużej mierze zależy od właściwego postępowania bezpośrednich użytkowników systemów informatycznych i danych. W związku z tym, każdy pracownik banku powinien byćświadomy, że jego obowiązkiem jest dbanie o bezpieczeństwo informacji przetwarzanych w środowisku teleinformatycznym. W tym celu bank powinien podejmowaćdziałania mające na celu tworzenie tzw. kultury bezpieczeństwa informacji, edukowaćpracowników w zakresie bezpieczeństwa środowiska teleinformatycznego oraz uzyskaćpisemne zobowiązania do przestrzegania regulacji wewnętrznych dotyczących tego obszaru.

Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.8. Bank nie powinien wprowadzaćdo użytku nowych technologii informatycznych bez posiadania wiedzy i kompetencji umożliwiających właściwe zarządzanie związanym z nimi ryzykiem. W związku z tym, bank każdorazowo powinien oceniać adekwatnośćtych kompetencji, zaśw przypadku stwierdzenia, że sąone niewystarczające podjąćdziałania mające na celu ich uzupełnienie (np. szkolenia pracowników, zatrudnienie nowych pracowników, podjęcie współpracy z zewnętrznymi dostawcami usług itp.).

Rozwój systemów informatycznych 7.4. Wprowadzenie nowego systemu informatycznego, jak równieżznacznej zmiany do jużistniejącego systemu, powinno byćpoprzedzone przeprowadzeniem analizy ryzyka wynikającego z zastosowanych technologii informatycznych oraz dokonaniem oceny wpływu wprowadzanych zmian na środowisko teleinformatyczne i procesy biznesowe banku, ze szczególnym uwzględnieniem aspektów bezpieczeństwa.

System zarządzania bezpieczeństwem środowiska teleinformatycznego W banku powinien funkcjonowaćsformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w banku.

Bądź zgodny z własnymi zasadami Bądźkrok przed zagrożeniami Skoncentruj sięna priorytetach Zbuduj program walki z ryzykiem Połącz IT z biznesem

Postrzeganie kadry kierowniczej Zaufanie do bezpieczeństwa jest niskie NIE MAJĄZAUFANIA I PRZEKONANIA, ich personel może poradzićsobie z nowymi i 57%Menedżerowie powstającymi zagrożeniami Dlaczego? 45%Brak PEŁNEGO OBRAZU w całej infrastrukturze 7

Agregacja ryzyka Ryzyko bazowe Szacowanie prawdopodobieństwa wystąpienia Podatności, kontrole techniczne, ankiety, incydenty itp.. Charakterystyka zasobów Zrozumienie ważności na różnych warstwach klasyfikacji Kontrola efektywności Rzeczywiste modelowanie ryzyka Waga zasobów przełożona na mechanizmy kontrolne Ryzyko zarządzane Ryzyko Zrozumienie zależności i wpływów na ryzyko CCS 11 Technical Field Enablement

Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego 18.6. Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego powinna byćdokonywana systematycznie i opierać się na: identyfikacji ryzyka związanego z potencjalnym naruszeniem bezpieczeństwa środowiska teleinformatycznego przed zmaterializowaniem się danych zagrożeń, identyfikacji ryzyka związanego z naruszeniami bezpieczeństwa środowiska teleinformatycznego po zmaterializowaniu się zagrożeń.

Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego 18.10. Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego ma na celu określenie prawdopodobieństwa i potencjalnego wpływu zmaterializowania się zagrożeń związanych z tym ryzykiem na instytucjęoraz na tej podstawie dokonanie oceny tego ryzyka.

Ryzyka Zagrożenia dla zasobów w biznesowych, które powinny być ograniczone Wymagania Zewnętrzne wymagania, regulacje itp. Platforma zarządzaj dzająca Sprawdzenia Ustawienia i konfiguracje, porównywane z wymaganymi standardami Podatności Zagrożenia dla systemów, korygowane przez poprawki i rekonfiguracje Ankiety Ocena stanu wiedzy pracowników Polityki Wewnętrzne polityki, mające na celu ochronę zasobów w firmy Dane z zewnątrz Dane importowane z rozwiąza zań firm trzecich CCS 11 Advanced Risk 11

Kontrola i przeciwdziałanie ryzyku w zakresie bezpieczeństwa środowiska teleinformatycznego 18.14. Bank powinien zapewnić, aby wszystkie wyjątki od obowiązujących w banku regulacji oraz stosowanych mechanizmów kontrolnych były ewidencjonowane i kontrolowane zgodnie ze sformalizowaną procedurą, określającą m.in. sytuacje, w jakich dopuszcza sięudzielenie zgody na odstępstwo, zasady składania i akceptacji wniosku o udzielenie takiej zgody (z zapewnieniem, że wniosek zawiera uzasadnienie potrzeby zastosowania wyjątku), osoby upoważnione do udzielenia zgody, akceptowalny czas obowiązywania odstępstw oraz zasady raportowania w tym zakresie. Bank powinien również systematycznie analizować ryzyko związane z ww. odstępstwami.

Monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego 18.17. Wyniki identyfikacji i szacowania ryzyka w zakresie środowiska teleinformatycznego oraz rezultaty badania efektywności wprowadzonych mechanizmów kontrolnych powinny byćmonitorowane (w tym pod kątem występujących trendów), jak równieżprezentowane kierownictwu banku i radzie nadzorczej w ramach funkcjonującego w banku systemu informacji zarządczej. Informacje te powinny byćprzekazywane regularnie, zaś ich częstotliwość i zakres powinny uwzględniać profil ryzyka banku oraz dawaćmożliwośćpodjęcia odpowiedniej reakcji.

Zdefiniuj zasoby biznesowe do zarządzania Usługa xyz Pokażi komunikuj ryzyko dla zasobów biznesowych Ustal priorytety dla biznesu, nie dla IT Monitoruj trendy ryzyka w czasie Plan Status Obecny Docelowy A Completed Submitted 2.75 3.65 2.75 B Submitted Completed 4.22 1.81 1.81 C Completed Submitted 2.10 3.51 2.10

Metrics View Toi Session 18

Incident View 19

Rola audytu wewnętrznego i zewnętrznego 22.3. Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinien byćprzeprowadzany regularnie oraz każdorazowo po wprowadzeniu zmian mogących znacząco wpłynąćna poziom bezpieczeństwa środowiska teleinformatycznego. Częstotliwośći zakres audytów powinny wynikaćz poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz wyników ich wcześniejszych przeglądów.

Klasyfikacja informacji 19.1. Bank powinien opracowaćzasady klasyfikacji informacji zapewniające, że każda informacja przetwarzana w środowisku teleinformatycznym banku zostanie objęta odpowiednim dla niej poziomem ochrony. W tym celu niezbędne jest ustanowienie takiego systemu klasyfikacji informacji, który będzie obejmował wszystkie dane przetwarzane w systemach informatycznych banku, jak równieżzapewnienie, że klasyfikacja każdej informacji jest adekwatna do aktualnych uwarunkowańwewnętrznych i zewnętrznych banku.

Klasyfikacja systemów informatycznych 19.7. Bank powinien opracowaćzasady klasyfikacji systemów informatycznych, uwzględniające w szczególności: klasyfikacjęinformacji przetwarzanych w obrębie danego systemu, znaczenie danego systemu dla działalności banku, istotnośćinnych systemów informatycznych, których funkcjonowanie zależy od danego systemu.

Rozwiązanie... Potrzebujemy więcej niż rozwiązania technologicznego. Gdzie znajdują się poufne dane? Jak są wykorzystywane? Jak najlepiej zapobiec ich utracie? IDENTYFIKACJA ŚLEDZENIE OCHRONA 23

Jak to działa? Polityka chroniąca przed wyciekiem danych Detekcja Odpowiedź Zawartość Kontekst Akcja Powiadomienie Karty kredytowe PESEL Własność intelektualna Kto? Co? Gdzie? Poinformuj Uzasadnij Zaszyfruj Zapobiegnij Użytkownik Manager Bezpieczeństwo Eskaluj Znajdźto. Napraw to. 24

Edukacja pracowników Bank powinien podejmowaćskuteczne działania mające na celu osiągnięcie i utrzymanie odpowiedniego poziomu kwalifikacji pracowników w zakresie środowiska teleinformatycznego i bezpieczeństwa informacji przetwarzanych w tym środowisku.

Questoionaires 26

Podsumowanie Identyfikacja, szacowanie i zarządzanie ryzykiem Klasyfikacja informacji i systemów Edukacja pracowników 27