Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Podobne dokumenty
Rekomendacja D w obszarze zarządzania projektami na przykładzie rozwiązań w Banku Polskiej Spółdzielczości S.A.

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

REKOMENDACJA D Rok PO Rok PRZED

OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

System Kontroli Wewnętrznej w Banku Spółdzielczym w Andrespolu ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPOŁDZIELCZYM W ANDRESPOLU

I. Cele systemu kontroli wewnętrznej.

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBAWIE

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Komisja Nadzoru Finansowego. Rekomendacja D-SKOK

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Komisja Nadzoru Finansowego. Rekomendacja D

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

SZCZEGÓŁOWY HARMONOGRAM KURSU

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krzywdzie

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŻORACH

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

dla Banków Spółdzielczych

Warszawa, dnia 16 kwietnia 2015 r. Poz. 8. UCHWAŁA Nr 411/2014 KOMISJI NADZORU FINANSOWEGO. z dnia 16 grudnia 2014 r.

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim

SYSTEM KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W LUBARTOWIE

Warszawa, dnia 16 kwietnia 2015 r. Poz. 8

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Komisja Nadzoru Finansowego. Wytyczne

Polityka zgodności w Banku Spółdzielczym w Wąsewie na 2018 rok

Promotor: dr inż. Krzysztof Różanowski

System kontroli wewnętrznej w Banku Spółdzielczym w Przeworsku

INFORMACJA BANKU SPÓŁDZIELCZEGO W BIAŁEJ PODLASKIEJ

System kontroli wewnętrznej w Banku Spółdzielczym w Głogowie Małopolskim

SPÓŁDZIELCZY BANK POWIATOWY w Piaskach

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W MAŁOPOLSKIM BANKU SPÓŁDZIELCZYM. I. Cele i organizacja systemu kontroli wewnętrznej

System kontroli wewnętrznej w Banku Spółdzielczym w Lubaczowie

Wsparcie Banków Spółdzielczych we wdrożeniu Rekomendacji D przez Bank BPS i IT BPS

Informacja Banku Spółdzielczego w Chojnowie

PODSTAWY ZARZĄDZANIA PROJEKTAMI

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym w Iławie

Szkolenie otwarte 2016 r.

Komisja Nadzoru Finansowego. Wytyczne

Opis systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Poznańskim Banku Spółdzielczym

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

System kontroli wewnętrznej w Łużyckim Banku Spółdzielczym w Lubaniu będącym uczestnikiem Spółdzielni Systemu Ochrony Zrzeszenia BPS

Projekty realizowane w Banku Polskiej Spółdzielczości S.A. przy współudziale i na rzecz Zrzeszenia BPS

Bank Spółdzielczy w Głogówku

OPIS SYSTENU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W USTRONIU. I. Cele systemu kontroli wewnętrznej

System kontroli wewnętrznej w Banku Spółdzielczym w Jordanowie

Bank Spółdzielczy w Suwałkach

System kontroli wewnętrznej w Limes Banku Spółdzielczym

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Audyt organizacyjny. 4 powody, dla których warto przeprowadzić niezależny przegląd organizacji. 3. Rekomendacje. 1. Diagnoza. 4.

Reforma regulacyjna sektora bankowego

SYSTEM KONTROLI WEWNETRZNEJ W BANKU SPÓŁDZIELCZYM W ZĄBKOWICACH ŚLĄSKICH

Warszawa, dnia 16 kwietnia 2015 r. Poz. 9. UCHWAŁA Nr 412/2014 KOMISJI NADZORU FINANSOWEGO. z dnia 16 grudnia 2014 r.

System kontroli wewnętrznej w Banku Spółdzielczym w Staroźrebach

System kontroli wewnętrznej w Krakowskim Banku Spółdzielczym

Opis systemu kontroli wewnętrznej Banku Spółdzielczego w Połańcu. 1. Cele i organizacja systemu kontroli wewnętrznej

BAKER TILLY POLAND CONSULTING

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

System kontroli wewnętrznej

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

Skuteczne zarządzanie projektami IT w otoczeniu uczelnianym. Piotr Ogonowski

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

Wpływ kompetencji pracowników administracji publicznej na wdrożenie i utrzymanie systemów teleinformatycznych

POLITYKA W ZAKRESIE STOSOWANIA ZASAD ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH W KURPIOWSKIM BANKU SPÓŁDZIELCZYM W MYSZYŃCU

BANK SPÓŁDZIELCZY W ŻOŁYNI

Zatwierdzone przez Zarząd Banku uchwałą nr DC/92/2018 z dnia 13/03/2018 r.

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

Informacja Banku Spółdzielczego w Proszowicach wynikająca z art. 111, 111a i 111b ustawy Prawo bankowe (stan na dzień r.

Poddziałanie 2.1.2, typ projektu 2. Wykaz usług

Specyfikacja usług. 1. Zakup usług informatycznych dla realizacji dostępu do systemu dla obsługi relacji B2B.

Komisja Nadzoru Finansowego. Wytyczne

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

INFORMACJA BANKU SPÓŁDZIELCZEGO KRASNOSIELCU Z SIEDZIBĄ W MAKOWIE MAZOWIECKIM

Zarządzanie procesami pomocniczymi w przedsiębiorstwie

Strategia Zrównoważonego Rozwoju i Odpowiedzialnego Biznesu GK PGNiG Troska o klienta

BANK SPÓŁDZIELCZY GRODKÓW-ŁOSIÓW z siedzibą w Grodkowie

System kontroli wewnętrznej w Banku Millennium S.A.

System kontroli wewnętrznej w Banku Spółdzielczym w Leśnicy

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W MIEDŹNEJ

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

SYSTEM KONTROLI WEWNĘTRZNEJ

PRINCE2. Metodyka zarządzania projektami. Na podstawie prezentacji R. Radzik, J. Binkiewicz, K. Kasprzak

Nowa Rekomendacja D (i M)

Przedsięwzięcia realizowane w ramach III stopnia alarmowego CHARLIE - CRP

ANKIETA dla kadry kierowniczej samoocena systemu kontroli zarządczej za rok

Transkrypt:

1

QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2

Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia) zgodność z przepisami, zapewnienie ciągłości działania, zaufanie klientów, bezpieczeństwo transakcji. 3

Po co Rekomendacja D? Rekomendacja ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tymi obszarami. - wyciąg z rekomendacji 4

Przewaga konkurencyjna Tym, co nadaje wszelkim zasobom prawdziwie strategiczne znaczenie i pozwala budować przewagę nad konkurencją jest ich ograniczona, a nie powszechna dostępność. 5 5

Historia rekomendacji 1997r - I wersja Rekomendacji D 2002r II wersja Rekomendacji D 2013r II wersja rekomendacji D 6

Rekomendacja 1997 Spis treści. Definicje i przydatne słownictwo... 1 Rekomendacje... 4 1 Rola kierownictwa banku w zarządzaniu bezpieczeństwem systemów informatycznych... 4 1.1. Nadzór kierownictwa... 4 1.2. Polityka w zakresie zabezpieczenia systemów komputerowych... 5 1.3. Planowanie skali systemów informatycznych... 8 2 Infrastruktura zabezpieczeń i zarządzanie bezpieczeństwem informacji... 9 2.1. Analiza zagrożeń i metody zabezpieczeń... 9 2.2. Bezpieczeństwo dokumentacji systemowej.... 10 2.3. Zarządzanie sprzętem, wyposażeniem komputerowym oraz siecią... 12 2.4. Bezpieczeństwo systemów informatycznych a działania personelu i upoważnionych osób trzecich... 14 2.5. Współpraca z klientami... 15 2.6. Szkolenie użytkowników... 16 2.7. Bezpieczeństwo fizyczne i środowiskowe systemów informatycznych... 17 3 Kontrola wewnętrzna i nadzór... 19 3.1. Kontrola wewnętrzna... 19 3.2. Wymagania nadzorcze... 20 7 7

Rekomendacja 2002 SPIS TREŚCI I. DEFINICJE I PRZYDATNE SŁOWNICTWO... 1 II. WSTĘP... 3 III. ROLA WŁADZ BANKU W ZARZĄDZANIU BEZPIECZEŃSTWEM SYSTEMÓW INFORMATYCZNYCH... 4 A. NADZÓR.... 4 B. POLITYKA W ZAKRESIE BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH... 6 C. PLANOWANIE SKALI SYSTEMÓW INFORMATYCZNYCH... 10 IV. MECHANIZMY KONTROLI BEZPIECZEŃSTWA... 12 A. MECHANIZMY KONTROLI DOTYCZĄCE WSZYSTKICH SYSTEMÓW INFORMATYCZNYCH... 12 1. Analiza zagrożeń i metody zabezpieczeń... 12 2. Bezpieczeństwo dokumentacji systemowej... 13 3. Zarządzanie sprzętem, wyposażeniem komputerowym oraz siecią.... 14 4. Bezpieczeństwo systemów informatycznych a działania personelu i upoważnionych osób trzecich.. 16 5. Współpraca z klientami.... 17 6. Szkolenie użytkowników... 18 7. Bezpieczeństwo fizyczne i środowiskowe systemów informatycznych... 19 B. SZCZEGÓLNE MECHANIZMY KONTROLI BEZPIECZEŃSTWA DOTYCZĄCE BANKOWOŚCI ELEKTRONICZNEJ... 20 1. Współpraca z klientami... 20 2. Zarządzanie transakcjami w bankowości elektronicznej.... 22 3. Zarządzanie bezpieczeństwem w bankowości elektronicznej... 23 V. ZARZĄDZANIE RYZYKAMI... 27 VI. AUDYT INFORMATYCZNY I NADZÓR... 32 A. KONTROLA WEWNĘTRZNA.... 32 B. KONTROLA ZEWNĘTRZNA... 34 C. ZALECENIA NADZORCZE... 35 8 8

Rekomendacja 2013 Spis treści. I. Wstęp...4 II. Słownik pojęć...6 III. Lista rekomendacji...8 IV. Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska Teleinformatycznego 12 Rola zarządu i rady nadzorczej...12 System informacji zarządczej...13 Planowanie strategiczne...13 Zasady współpracy obszarów biznesowych i technicznych...14 Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego...16 Struktura organizacyjna...16 Podział obowiązków...16 Zasoby ludzkie...17 V. Rozwój środowiska teleinformatycznego...19 Projekty w zakresie środowiska teleinformatycznego...19 Rozwój systemów informatycznych... 20 VI. Utrzymanie i eksploatacja środowiska teleinformatycznego...25 Zarządzanie danymi...25 Zarządzanie architekturą danych...25 Zarządzanie jakością danych... 25 Zarządzanie infrastrukturą teleinformatyczną...28 Architektura infrastruktury teleinformatycznej...28 Komponenty infrastruktury teleinformatycznej...30 Aktualizacja oprogramowania komponentów infrastruktury teleinformatycznej..32 Zarządzanie pojemnością i wydajnością komponentów infrastruktury teleinformatycznej...33 Dokumentacja infrastruktury teleinformatycznej...35 Współpraca z zewnętrznymi dostawcami usług...35 Kontrola dostępu...39 Mechanizmy kontroli dostępu fizycznego.....41 Ochrona przed szkodliwym oprogramowaniem...41 9 9

Spis treści cd. Rekomendacja 2013 cd. Edukacja pracowników 43 Ciągłość działania środowiska teleinformatycznego. 43 Plany utrzymania ciągłości działania i plany awaryjne 43 Zasoby techniczne oraz warunki fizyczne i środowiskowe 44 Kopie awaryjne. 47 Weryfikacja efektywności podejścia do zarządzania ciągłością działania 48 Zarządzanie elektronicznymi kanałami dostępu 48 Weryfikacja tożsamości klientów.. 48 Bezpieczeństwo danych i środków klientów. 49 Edukacja klientów. 50 Zarządzanie oprogramowaniem użytkownika końcowego 51 VII Zarządzanie bezpieczeństwem środowiska teleinformatycznego. 52 System zarządzania bezpieczeństwem środowiska teleinformatycznego. 52 Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego... 52 Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego... 53 Kontrola i przeciwdziałanie ryzyku w zakresie bezpieczeństwa środowiska teleinformatycznego..54 Monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego...55 Klasyfikacja informacji i systemów informatycznych... 55 Klasyfikacja informacji.. 55 Klasyfikacja systemów informatycznych...57 Zarządzanie incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego....57 Bezpieczeństwo formalno-prawne..... 59 Rola audytu wewnętrznego i zewnętrznego... 60 10 10

QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 11

Główne obszary Rekomendacji. Strategia i organizacja obszaru IT. Rozwój środowiska IT. Utrzymanie i eksploatacja systemów IT. Bezpieczeństwo środowiska IT. 12 12

Główne obszary rekomendacji. Strategia i organizacja Rola zarządu i rady nadzorczej (R1) System informacji zarządczej (R2) Planowanie strategiczne (R3) Zasady współpracy biznes IT (R4) Organizacja IT (R5) Struktura organizacyjna, Podział obowiązków i odpowiedzialności, Zasoby ludzkie. 13 13

Główne obszary rekomendacji. Rola zarządu i rady nadzorczej (R1) zarządzanie bezpieczeństwem środowiska teleinformatycznego oraz ciągłością działania, tworzenie i aktualizacja strategii w obszarach IT i bezpieczeństwa IT, współpraca z zewnętrznymi dostawcami usług, adekwatna struktura organizacyjna oraz zasoby kadrowe w obszarach IT i bezpieczeństwa IT komitet do spraw bezpieczeństwa środowiska teleinformatycznego. 14 14

Główne obszary rekomendacji. Informacja zarządcza (R2) identyfikacja zagadnień z obszaru IT i bezpieczeństwa IT, sposób i zasady dystrybucji, zakres i częstotliwość raportowania, odbiorcy raportów, jakość raportów. 15 15

Główne obszary rekomendacji. Planowanie strategiczne (R3) realistyczna strategia środowiska IT i jego bezpieczeństwa, konkretne i mierzalne cele, priorytetyzacja projektów, nadzorowanie i monitorowanie realizacji celów, dokumentowanie, aktualizacja strategii IT, 16 16

Główne obszary rekomendacji. Współpraca biznes IT (R4) tryb podejmowania decyzji, zakresy zadań i odpowiedzialności, wspólne tworzenie strategii w zakresie IT i bezpieczeństwa IT, informacja o kosztach, raportowanie o stanie realizacji projektów, komitet do spraw współpracy biznes - IT. 17 17

Główne obszary rekomendacji. Organizacja IT i bezpieczeństwa IT (R5) struktura organizacyjna, obowiązki i uprawnienia, rozdział funkcji projektowych od testowania, administracji i użytkowania, właściciele biznesowi systemów, kompetencje i kwalifikacje poziom obciążenia pracowników dokumentacja środowiska teleinformatycznego, 18 18

Główne obszary rekomendacji. Rozwój środowiska IT Projekty w środowisku teleinformatycznym (R6) Rozwój systemów informatycznych (R7) 19 19

Główne obszary rekomendacji. Projekty w środowisku IT. 20 20

Główne obszary rekomendacji. Rozwój środowiska IT Projekty w środowisku teleinformatycznym. stosowanie standardów zarządzania projektami:pmi, PMBOK, PRINCE2, definicja projektu, etapy projektu: inicjacja, decyzja o uruchomieniu, prowadzenie, zamknięcie, interesariusze projektu, zespół projektowy, role, uprawnienia i odpowiedzialności, zarządzanie harmonogramem, budżetem, zakresem, jakością, dokumentacją, ryzykiem, zmianą, zasady odbioru i wprowadzania do eksploatacji produktów projektu (kryteria sukcesu), 21 21

Rozwój środowiska IT Zarządzanie wymaganiami funkcjonalne i niefunkcjonalne, dotyczące integracji, dotyczące oczekiwanej wydajności, dostępności i ciągłości działania, dotyczące odporności systemu na awarie i odtworzenia po awarii, dotyczące bezpieczeństwa systemu, wynikające z przepisów prawa, regulacji wewnętrznych oraz obowiązujących w banku standardów. 22 22

Rozwój środowiska IT Testowanie Weryfikacja: przyjętych założeń i wymagań funkcjonalnych, wydajności i dostępności systemu w szczególności odtwarzanie po awarii, zgodności nowego rozwiązania z wymogami bezpieczeństwa, w tym, w zakresie uprawnień, poprawności integracji (wymiany danych) danego systemu z innymi systemami, niemodyfikowanej części funkcjonalności systemu w przypadku zmian do istniejących systemów, Dedykowane środowisko testowe, Zakres i wolumen danych testowych zbliżony do faktycznych. 23 23

Rozwój systemów IT. Zarządzanie zmianą synergia z przyjętą strategią banku ryzyko technologiczne wpływ na istniejące środowisko teleinformatyczne wiarygodny dostawca (dostawca partnerem biznesowym) standardy i dobre praktyki środowiska rozwojowe, testowe 24 24

QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 25

Rzeczywistość wdrożeniowa Banki Zrzeszające BPS Przetarg na wybór firmy wspierającej wdrożenie Rekomendacji D. Przygotowanie dokumentów wzorcowych. BS-y samodzielnie wdrażają. SGB Powołanie projektu na poziomie zrzeszenia. Przygotowanie dokumentów wzorcowych. Wsparcie dla BS-ów. 26 26

Analiza luki Źródło: UKNF 27 27

Analiza luki Audyt vs samoocena 28 28

Analiza luki Audyt vs samoocena 29 29

Jeśli jest coś, czego nie potrafimy zrobić wydajniej, taniej i lepiej niż konkurenci, powinniśmy zatrudnić do wykonania tej pracy kogoś, kto zrobi to lepiej niż my. Henry Ford 30 30

Dziękuje za uwagę. krzysztof.wawrzyniak@skbank.pl krzysiek.wawrzyniak@op.pl 31

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres