OFERTA NA AUDYT ZGODNOŚCI Z REKOMENDACJĄ D WYMAGANĄ PRZEZ KNF w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach www.bakertilly.pl
WSTĘP Rekomendacja D wydana przez KNF jest zbiorem 22 rekomendacji podzielonych na następujące obszary: - strategia i organizacja obszarów technologii informacyjnej...i bezpieczeństwa środowiska teleinformatycznego - rozwój środowiska teleinformatycznego - utrzymanie i eksploatacja środowiska teleinformatycznego - zarządzanie bezpieczeństwem środowiska teleinformatycznego. Szczegółowy zakres ww. obszarów został przedstawiony w rozdziale Lista rekomendacji. Konieczność stosowania przez banki Rekomendacji D wymaga przeprowadzenia gruntownego procesu weryfikacji aktualnego sposobu funkcjonowania banku w zakresie systemów informatycznych, a następnie dostosowanie do wymagań stawianych przez KNF. Celem prac opisanych niniejszą ofertą jest wsparcie banku w całym procesie dostosowawczym. Komisja Nadzoru Finansowego wymaga, aby Rekomendacja D została wdrożona w bankach nie później niż do dnia 31 grudnia 2014 roku.
SPOSÓB PRZEPROWADZANIA PRAC Główne etapy prowadzenia prac przedstawiają się następująco. Identyfikacja i udokumentowanie stanu bieżącego (AS IS) Identyfikacja i analiza luk Zaproponowanie procesu naprawczego Monitorowanie realizacji procesu naprawczego Opracowanie raportu poaudytowego
SPOSÓB PRZEPROWADZANIA PRAC Etap 1 Identyfikacja i udokumentowanie stanu bieżącego (AS IS) W zakresie tego etapu leży udokumentowanie obecnie funkcjonujących procesów z obszaru zarządzania rozwojem, utrzymaniem oraz bezpieczeństwem systemów teleinformatycznych. Sposób przeprowadzenia etapu 1 będzie polegał na zgromadzeniu dokumentacji obecnie funkcjonującej w Banku, a w szczególności procedur, regulaminów, zarządzeń oraz zapisów dowodzących na funkcjonowanie obecnych mechanizmów. Po analizie dokumentacji zostaną przeprowadzone wywiady z wybranymi pracownikami Banku z obszaru technologii informacyjnej oraz z otoczenia biznesowego na każdym poziomie struktury organizacyjnej. Produkt etapu: Raport opisujący stan AI IS funkcjonowania IT w zakresie aspektów regulowanych za pomocą rekomendacji KNF. Etap 2 Identyfikacja i analiza luk Celem tego etapu jest przeanalizowanie obecnie funkcjonujących procesów IT pod kątem wymagań KNF stawianych poprzez zapisy Rekomendacji D. Produkt etapu: Raport opisujący braki w stosunku do rekomendacji KNF oraz Analiza Ryzyka w poszczególnych obszarach technologii informacyjnej. Raport będzie odnosił się do każdej rekomendacji D oceniając dojrzałość każdego etapu cyklu Deminga.
SPOSÓB PRZEPROWADZANIA PRAC Raport będzie zawierał ocenę każdej rekomendacji pod względem istnienia mechanizmów, ich kompletności i skuteczności, dowodów na funkcjonowanie mechanizmów, stopnia świadomości i kompetencji personelu. Wynikiem będzie ocena stopnia dojrzałości poszczególnych obszarów na każdym poziomie organizacyjnym Banku. Analiza Ryzyka będzie oparta na sprawdzonej metodologii szacowania ryzyka, czego wynikiem będzie oszacowanie poziomu ryzyka w poszczególnych obszarach wymaganych przez rekomendację D. Etap 3 Zaproponowanie procesu naprawczego W zakresie prac objętych tym etapem zostanie opracowana propozycja przeprowadzenia procesu naprawczego. W przypadku możliwości realizacji planu naprawczego za pomocą kilku wariantów zostaną one przedstawione do decyzji Zamawiającego. Produkt etapu: Opis propozycji realizacji planu naprawczego oraz przedstawienie propozycji harmonogramu prac. Etap 4 Monitorowanie realizacji procesu naprawczego W zakresie realizacji tego etapu zakłada się możliwość wsparcia Zamawiającego w zakresie monitorowania przebiegu realizacji procesu naprawczego. Etap ten jest opcjonalny, a czas jego realizacji jest zależny od wybranego i zaakceptowanego przez Zamawiającego planu naprawczego. Produkt etapu: Cotygodniowe raportowanie statusu przebiegu prac. Etap 5 Opracowanie raportu poaudytowego Celem tych prac jest przeprowadzenie ponownej weryfikacji obszaru IT w zakresie rozwoju, utrzymania oraz zarządzania bezpieczeństwem systemów teleinformatycznych regulowanych Rekomendacją D. Produkt etapu: Finalny raport po zakończonym audycie.
RAMOWY HARMONOGRAM PRAC Nr Nazwa zadania Czas trwania 1 Identyfikacja i udokumentowanie stanu AS IS 3 tygodnie Przedstawienie Raportu AS IS 2 Identyfikacja i analiza luk 3 tygodnie Przedstawienie Oceny 3 Zaproponowanie procesu naprawczego 2 tygodnie Plan Naprawczy 4 Monitorowanie realizacją procesu naprawczego TBD w zależności od zaakceptowanego planu realizacji procesu naprawczego (zadanie opcjonalne) 5 Opracowanie raportu poaudytowego 3 tygodnie CENA USŁUG Ze względu na konieczność indywidualnego podejścia do wyceny usług przyjmujemy, że cena zostanie przedstawiona po oszacowaniu pracochłonności prac w konkretnym banku. Zakładamy, że wycena ostatecznie zostanie przedstawiona w ciągu czterech dni roboczych od momentu otrzymania informacji pozwalających na jej wykonanie.
KOMPETENCJE Zespół powołany do realizacji projektu składa się z osób posiadających wieloletnie doświadczenie zawodowe w dużych polskich bankach m.in w takich obszarach jak: Zarządzanie bezpieczeństwem systemów IT Zarządzanie projektami IT Utrzymanie systemów IT Architektura systemów IT Administracja systemami IT Administracja bazami danych Zarządzanie sieciami komputerowymi Zarządzanie dostępami i uprawnieniami Skład zespołu IT jest indywidualnie dostosowywany do potrzeb projektu i potwierdzany z Zamawiającym przed formalnym uruchomieniem prac. LISTA REKOMENDACJI Niniejszy rozdział stanowi wyciąg z listy rekomendacji D wymaganej do stosowania przez banki: Strategia i organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego Rekomendacja 1 Rada nadzorcza banku powinna nadzorować funkcjonowanie obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, natomiast zarząd banku powinien zapewnić, aby powyższe obszary zarządzane były w sposób poprawny i efektywny.
LISTA REKOMENDACJI Rekomendacja 2 W banku powinien funkcjonować sformalizowany system informacji zarządczej w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zapewniający każdemu z odbiorców informacji właściwy poziom wiedzy o tych obszarach. Rekomendacja 3 Bank powinien opracować i wdrożyć strategię w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego, zgodną ze strategią działania banku. Rekomendacja 4 Bank powinien określić zasady współpracy oraz zakresy odpowiedzialności obszaru biznesowego, technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, pozwalające na efektywne i bezpieczne wykorzystanie potencjału środowiska teleinformatycznego w działalności banku. Rekomendacja 5 Rozwiązania organizacyjne oraz zasoby ludzkie w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być adekwatne do jego profilu ryzyka i specyfiki działalności oraz pozwalać na efektywną realizację działań w tych obszarach. Rozwój środowiska teleinformatycznego Rekomendacja 6 Bank powinien posiadać sformalizowane zasady prowadzenia projektów w zakresie środowiska teleinformatycznego, adekwatne do skali i specyfiki realizowanych projektów. Rekomendacja 7 Systemy informatyczne banku powinny być rozwijane w sposób zapewniający wsparcie jego działalności oraz uwzględniający wymogi bezpieczeństwa środowiska teleinformatycznego.
LISTA REKOMENDACJI Utrzymanie i eksploatacja środowiska teleinformatycznego Rekomendacja 8 Bank powinien posiadać sformalizowane zasady zarządzania danymi wykorzystywanymi w ramach prowadzonej działalności, obejmujące w szczególności zarządzanie architekturą oraz jakością danych i zapewniające właściwe wsparcie działalności banku. Rekomendacja 9 Bank powinien posiadać sformalizowane zasady dotyczące zarządzania infrastrukturą teleinformatyczną, w tym jej architekturą, poszczególnymi komponentami, wydajnością i pojemnością oraz dokumentacją, zapewniające właściwe wsparcie działalności banku oraz bezpieczeństwo przetwarzanych danych. Rekomendacja 10 Bank powinien posiadać sformalizowane zasady współpracy z zewnętrznymi dostawcami usług informatycznych, zapewniające bezpieczeństwo danych i poprawność działania środowiska teleinformatycznego, uwzględniające również usługi świadczone przez podmioty należące do grupy kapitałowej banku. Rekomendacja 11 Bank powinien posiadać sformalizowane zasady oraz mechanizmy techniczne zapewniające właściwy poziom kontroli dostępu logicznego do danych i informacji oraz dostępu fizycznego do kluczowych elementów infrastruktury teleinformatycznej. Rekomendacja 12 Bank powinien zapewnić odpowiednią ochronę środowiska teleinformatycznego przed szkodliwym oprogramowaniem. Rekomendacja 13 Bank powinien zapewniać wewnętrznym użytkownikom systemów informatycznych wsparcie w zakresie rozwiązywania problemów związanych z ich eksploatacją, w tym wynikających z wystąpienia awarii i innych niestandardowych zdarzeń zakłócających ich użytkowanie.
LISTA REKOMENDACJI Rekomendacja 14 Bank powinien podejmować skuteczne działania mające na celu osiągnięcie i utrzymanie odpowiedniego poziomu kwalifikacji pracowników w zakresie środowiska teleinformatycznego i bezpieczeństwa informacji przetwarzanych w tym środowisku. Rekomendacja 15 System zarządzania ciągłością działania banku powinien uwzględniać szczególne uwarunkowania związane z jego środowiskiem teleinformatycznym oraz przetwarzanymi w nim danymi. Rekomendacja 16 Bank świadczący usługi z wykorzystaniem elektronicznych kanałów dostępu powinien posiadać skuteczne rozwiązania techniczne i organizacyjne zapewniające weryfikację tożsamości i bezpieczeństwo danych oraz środków klientów, jak również edukować klientów w zakresie zasad bezpiecznego korzystania z tych kanałów. Rekomendacja 17 Bank powinien posiadać sformalizowane zasady zarządzania tzw. oprogramowaniem użytkownika końcowego, skutecznie ograniczające ryzyko związane z eksploatacją tego oprogramowania. Rekomendacja 18 W banku powinien funkcjonować sformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w banku. Rekomendacja 19 Bank powinien klasyfikować systemy informatyczne i przetwarzane w nich informacje zgodnie z zasadami uwzględniającymi w szczególności wymagany dla tych systemów i informacji poziom bezpieczeństwa.
LISTA REKOMENDACJI Rekomendacja 20 Bank powinien posiadać sformalizowane zasady zarządzania incydentami naruszenia bezpieczeństwa środowiska teleinformatycznego, obejmujące ich identyfikację, rejestrowanie, analizę, priorytetyzację, wyszukiwanie powiązań, podejmowanie działań naprawczych oraz usuwanie przyczyn. Rekomendacja 21 Bank powinien zapewnić zgodność funkcjonowania obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego z wymogami prawnymi, regulacjami wewnętrznymi i zewnętrznymi, zawartymi umowami i standardami przyjętymi w banku. Rekomendacja 22 Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów.
O NAS Baker Tilly jest wiodącą grupą, która oferuje profesjonalne usługi z zakresu rachunkowości, audytu, doradztwa podatkowego i biznesowego oraz IT. Naszym celem jest zapewnienie polskim i zagranicznym Klientom jak najlepszej obsługi w zakresie Business Processes Outsourcing (BPO), podatków, niezależnego audytu i innych usług finansowych przy wykorzystaniu wiedzy, doświadczenia i globalnych zasobów Baker Tilly International, którego jesteśmy członkiem. Zatrudniamy ponad 400 profesjonalistów w biurach w Polsce, Czechach i na Słowacji. Nasi Klienci cenią wysoką jakość świadczonych przez nas usług, pro-aktywne podejście, doskonałą obsługę techniczną, nasz sposób komunikacji oraz raportowania. Dzięki naszym Klientom jesteśmy wiodącym dostawcą usług outsourcingowych i atestacyjnych w Polsce i cieszymy się nienaganną reputacją. Dbamy o to, aby stosować myślenie strategiczne, które zapewni każdemu Klientowi uzyskanie z każdej usługi tego, co najlepsze. Dostarczamy rozwiązania: W Polsce w biurach w Warszawie, Wrocławiu, Krakowie i Łodzi W Europie Środkowej oprócz Polski, także w biurach w Republice Czeskiej W Pradze i Brnie oraz w stolicy Słowacji Bratysławie. Na całym świecie jako niezależny członek Baker Tilly International. Zapraszamy do kontaktu: Agnieszka Frommholz IT Group Director T +48 22 295 30 00 DL +48 22 295 30 20 M +48 502 192 272 E afrommholz@bakertilly.pl Dariusz Stefaniuk Project Manager T +48 22 295 30 00 DL +48 22 295 30 11 M +48 601 322 170 E dstefaniuk@ca-staff.eu Dawid Woś Account Manager T +48 22 295 30 00 DL +48 22 295 30 24 M +48 607 660 065 E dwos@ca-staff.eu
Siedziba firmy Pozostałe biura Baker Tilly Poland Sp. z o.o. ul. Hrubieszowska 2 01-209 Warszawa Wrocław ul. Legnicka 51/53 54-203 Wrocław Kraków ul. Smoleńsk 18/1 31-112 Kraków Łódź ul. Nawrot 114 90-029 Łódź T: +48 22 295 30 00 F: +48 22 295 30 01 T: +48 71 733 13 00 F: +48 71 733 13 01 T: +48 12 334 91 00 F: +48 12 334 91 01 T: +48 42 671 85 60 F: +48 42 671 85 61 contact@bakertilly.pl www.bakertilly.pl Join our group