OFERTA na wykonanie dokumentacji obejmującej formalny aspekt Rekomendacji D BlueNet sp. z o.o. ul. Pojezierska 90 91-341 Łódź Tel. /+48 42/ 209 33 50 Fax /+48 42/ 209 33 55 http://www.bluenet.pl E-mail: sekretariat@bluenet.pl NIP: 7262552951 KRS: 0000270167 - Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi Kapitał zakładowy: 68 000 zł
Niniejsza oferta powstała w związku z przyjęciem w dniu 8 stycznia 2013 r. przez Komisję Nadzoru Finansowego Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwem środowiska teleinformatycznego, która nałożyła na Banki Spółdzielcze obowiązek posiadania sformalizowanych zasad, procedur, instrukcji i dokumentacji dotyczących środowiska teleinformatycznego Zakres oferty 1. Zakres dokumentacji wymaganej w Rekomendacji D... 3 2. Opis metodyki przygotowania dokumentacji... 5 3. Zgodność z przepisami... 6 4. Referencje dotyczące Rekomendacji D... 7 5. Informacja o firmie BlueNet... 9 6. Koszt i termin wykonania dokumentacji... 13 7. Kontakt... 13 Niniejsza oferta jest przeznaczona jedynie dla osoby lub podmiotu będącego jej adresatem i może zawierać poufne lub uprzywilejowane informacje. Przeglądanie, przesyłanie, rozpowszechnianie lub inne wykorzystywanie tych informacji, jak również podejmowanie działań na ich podstawie przez osoby lub podmioty inne niż zamierzony adresat wymaga zgodny BlueNet sp. z o.o.
1. Zakres dokumentacji wymaganej w Rekomendacji D Oferujemy komplet 75 dokumentów wymaganych i odnoszących się bezpośrednio do Rekomendacji D. W związku z tym, iż tworząc Rekomendację D, Urząd Komisji Nadzoru Finansowego wzorował się na normie ISO 27001:2007, przygotowana przez nas dokumentacja dla Banków Spółdzielczych bazuje na zaleceniach tej normy. Każdy realizowany przez nas projekt wdrożenia dokumentacji uzupełniony jest o szkolenie personelu w zakresie stosowania dokumentacji, procedur i instrukcji w praktyce. Bankom, które chcą korzystać z własnych wzorców również zapewniamy opiekę i wsparcie w tworzeniu dokumentacji. Zachowując tę systematykę oferowany przez naszą firmę komplet dokumentacji obejmuje: Dokument główny: SZBI System Zarządzania Bezpieczeństwem Informacji Dokumenty związane: PBI Polityka Bezpieczeństwa Informacji ZSI Zarządzanie Systemem Informatycznym ZRSI Zarządzanie Ryzykiem Systemów Informatycznych ZCD Zarzadzanie Ciągłością Działania SIZ System Informacji Zarządczej Procedury: NBI NKS PDO PNI RZP UND WRI ZJD ZKS ZWP - Procedura postępowania w przypadku naruszenia bezpieczeństwa informacji - Procedura naprawy i konserwacji sprzętu - Procedura nadawania uprawnień do przetwarzania danych osobowych - Procedura postępowania w przypadku niedostępności infrastruktury - Procedura rozpoczęcia, zawieszenia i zakończenia pracy - Procedura usuwania nośników danych - Procedura wycofywania z eksploatacji rozwiązań informatycznych - Procedura zarządzania jakością danych - Procedura zarządzania zmianami w systemach informatycznych - Procedura zarządzania wydajnością i pojemnością komponentów
Załączniki powiązane: Instrukcje: Instrukcja dotycząca identyfikatorów i haseł Instrukcja uruchamiania serwera zapasowego Instrukcja odzyskiwania kopii bezpieczeństwa Instrukcja dotycząca zarządzania jakością danych Instrukcja przeprowadzania testów Instrukcja dotycząca zarzadzania wydajnością i pojemnością Zarządzanie Projektami Informatycznymi Rejestry: Baza incydentów naruszenia bezpieczeństwa Rejestr upoważnień do Przetwarzania Danych Osobowych Wykaz osób, które zapoznały się z PBI Rejestr usuniętych nośników Rejestr zmian do systemów informatycznych Ryzyko systemów informacyjnych Raport z analizy zagrożeń Wzory protokołów, oświadczeń, raportów: Wzór oświadczenia pracownika dotyczącego PBI Wzór raportu z naruszenia bezpieczeństwa Wzór protokołu prac serwisowych Wzór protokołu prac serwisowych w trybie zdalnym Wzór upoważnienia do PDO Wzór protokołu zniszczenia nośnika danych Wzór raportu z inwentaryzacji danych Wzór wniosku propozycji zmian Wzór raportu z monitoringu wydajności i pojemności Wykazy: Wykaz budynków i pomieszczeń Wykaz zbiorów danych, opis struktury zbiorów danych, przepływ danych pomiędzy systemami Wykaz Zasobów Klasyfikacja informacji Wartości progowe do oceny jakości danych Wartości ostrzegawcze i graniczne dla poszczególnych parametrów Wykaz komponentów pozbawionych wsparcia producenta Mapa procesów Krytyczne procesy, zasoby ludzkie, obiekty, technologie, informacje itp. Skład komitetu ds. Zarządzania Ryzykiem Skład komitetu ds. Bezpieczeństwa środowiska IT Kopie zapasowe i nośniki danych Systematyka zdarzeń operacyjnych W celu zachowania spójność i integralność informacji wykorzystywanych przez wszystkie jednostki w Banku, wszystkie powyższe dokumenty są ze sobą powiązane. Do tych samych załączników odwołujemy się we wszystkich dokumentach związanych z danym obszarem.
2. Opis metodyki przygotowania dokumentacji Wykorzystując nasze ponad 15 letnie doświadczenie we współpracy z Bankami Spółdzielczymi, podczas procesu tworzenia dokumentacji priorytetem dla nas staje się zbudowanie relacji, jakich Klient od nas oczekuje. Dostosowujemy się do formy kontaktu, jaką preferuje nasz Klient. Staramy się zrozumieć wszystkie jego problemy i pomóc w każdym aspekcie przygotowania dokumentacji a także wdrażania jej zapisów w codzienną działalność Banku. Procesem przygotowania dokumentacji objęte jest: Zapoznanie się aktualnie posiadaną przez Bank dokumentacją; Weryfikacja jej pod kątem zgodności z Rekomendacją D; Opracowanie dokumentacji zamówionej przez Bank; Szkolenia w zakresie kontynuacji prowadzenia dokumentacji; Szkolenia w zakresie dostosowania nowych zasad do działalności Banku; Dodatkowo możliwa jest długoterminowa opieka nad dokumentacją i aktualizacja jej pod kątem zmian zachodzących wewnątrz i w otoczeniu Banku.
3. Zgodność z przepisami Przygotowana dokumentacja nie tylko jest zgodna z Rekomendacją D, ale również odnosi się do wcześniejszych regulacji prawnych tj: Ustawa z 29 sierpnia 1997 r. Prawo bankowe Ustawa z 29 września 1994 r. o rachunkowości Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach stanowiąca załącznik do uchwały nr 8/2013 Komisji Nadzoru Finansowego z dnia 8 stycznia 2013 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Ustawa z dnia 19 sierpnia 2011 r. o usługach płatniczych Ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji Ustawa z 26 czerwca 1974 r. Kodeks Pracy - Dział IV (Obowiązki pracodawcy i pracownika) Rozdział II (Obowiązki pracownika) i II a (Zakaz konkurencji) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11.10.2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 30.10.2006r. w sprawie niezbędnych elementów struktury dokumentów Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 30.10.2006r. w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi A podczas jej tworzenia wykorzystywane są wszystkie istniejące w Banku regulacje, tj. Regulaminy pracy, Zarządzanie, Rozporządzenia i Uchwały Zarządu.
4. Referencje dotyczące Rekomendacji D Dotychczas zakończone i trwające audyty zgodności z Rekomendacją D w Bankach Spółdzielczych: Fundacja Rozwoju Bankowości Spółdzielczej - przygotowanie i implementacja zestawu pytań użytego do badania luki niedopasowania w Bankach zrzeszonych w BPS S.A. Bank Spółdzielczy w Mikołajkach; Bank Spółdzielczy w Kolnie; Spółdzielczy Bank Ludowy w Olsztynie; Spółdzielczy Bank Ludowy w Kępnie; Bank Spółdzielczy w Obornikach Śląskich; Bank Spółdzielczy w Piotrkowie Kujawskim; Bank Spółdzielczy w Jedlińsku; Bank Spółdzielczy w Warcie.
Przeprowadzone szkolenia z zagadnień Rekomendacji D: Bank Spółdzielczy w Bartoszycach; Bank Spółdzielczy w Białej Rawskiej; Bank Spółdzielczy w Brodnicy; Bank Spółdzielczy w Chojnicach Bank Spółdzielczy w Giżycku Bank Spółdzielczy w Golubiu Dobrzyniu Bank Spółdzielczy w Grębocinie Bank Spółdzielczy w Iławie Bank Spółdzielczy w Kowalewie Pomorskim Bank Spółdzielczy w Lubawie Bank Spółdzielczy w Łosicach Bank Spółdzielczy w Mikołajkach Bank Spółdzielczy w Mrągowie Bank Spółdzielczy w Nidzicy Bank Spółdzielczy w Olsztynku Bank Spółdzielczy w Ostrowi Mazowieckiej Bank Spółdzielczy w Płońsku Bank Spółdzielczy w Radzyniu Podlaskim Bank Spółdzielczy w Szczuczynie Bank Spółdzielczy w Szczytnie Bank Spółdzielczy w Warce Bank Spółdzielczy w Węgorzewie Kujawsko Dobrzyński Bank Spółdzielczy we Włocławku PACO Bank Pabianice Spółdzielczy Bank Ludowy w Olsztynie Warmiński Bank Spółdzielczy w Jonkowie Warszawski Bank Spółdzielczy Bank Spółdzielczy w Czersku Bank Spółdzielczy w Tucholi Bank Spółdzielczy w Toruniu Bank Spółdzielczy w Osiu Bank Spółdzielczy w Golubiu Dobrzyniu Bank Spółdzielczy w Kowalewie Pomorskim Bank Spółdzielczy w Pruszcz Pomorskim Bank Spółdzielczy w Strzelnie Bank Spółdzielczy w Szubinie Bank Spółdzielczy w Rumii Bank Spółdzielczy w Kowalu Bank Spółdzielczy w Więcborku Bank Spółdzielczy w Inowrocławiu Bank Spółdzielczy w Koronowie Bank Spółdzielczy w Nowem n/wisłą Bank Spółdzielczy w Poddębicach SK Bank Ponadto uczestnictwo w charakterze prelegentów w wielu konferencjach branżowych dotyczących implementacji i weryfikacji Rekomendacji D w Bankach.
5. Informacja o firmie BlueNet Jesteśmy firmą prowadzącą działalność od 1996 roku. Oferujemy kompleksowe usługi teleinformatyczne dla sektorów: bankowego, przedsiębiorstw, administracji publicznej. Posiadamy przeszkoloną i wysoko wykwalifikowaną kadrę inżynierską jak również specjalistów z dziedziny zarządzania strategicznego i audytu. Nasi pracownicy maja bogate doświadczenie zawodowe dotyczące bezpieczeństwa teleinformatycznego potwierdzone stosownymi certyfikatami m.in. Audytora Wewnętrznego Systemu Zarządzania Bezpieczeństwem Informacji wg PN-ISO/IEC 27001:2007 czy systemu zarządzania jakością zgodnego z ISO 9001:2000. Dodatkowo posiadają, popartą bogatym doświadczeniem, wiedzę nt. metodyk zarządzania projektami PMI oraz PRINCE2. Firma specjalizuje się w świadczeniu usług konsultacyjnych, audytowych i integracyjnych, polegających na zapewnieniu bezawaryjnej współpracy różnych systemów operacyjnych, baz danych, aplikacji użytkowych, rozwiązań zwiększających ich bezpieczeństwo oraz projektowaniu i implementacji zaawansowanych rozwiązań teleinformatycznych np.: konsulting i szkolenia dla kadry informatycznej, audyty środowiska teleinformatycznego, projektowanie oraz realizacja bezpiecznych sieci LAN i WAN, dobór i dostawa sprzętu komputerowego i oprogramowania systemowego, projektowanie oraz wdrażanie zaawansowanych rozwiązań informatycznych, budowa rozwiązań internetowych oraz wewnętrznych sieci telefonicznych, świadczenie usług serwisowych sprzętu komputerowego i telekomunikacyjnego, budowa i wyposażanie serwerowni i ośrodków informatycznych, usługi telekomunikacyjne transmisji danych przewodowej i bezprzewodowej, usługi telekomunikacyjne telefonii stacjonarnej IP.
Dzięki długoletniej obecności na rynku oraz wysokim kompetencjom firma współpracuje z największymi dostawcami rozwiązań IT. Posiada status partnera m.in. Cisco, Microsoft, IBM, Symantec, Juniper Networks, IBM, Dell, Lenovo, Oracle, MikroTik, Meru Networks, OKI, i wielu innych. Zrealizowaliśmy projekty związane z bezpieczeństwem IT w ponad 150 Bankach Spółdzielczych. Poniżej przedstawiamy wybrane z naszych realizacji: Bank Polskiej Spółdzielczości S.A zapewnienie bezpiecznej łączności dla bankomatów w oparciu o technologię GPRS/EDGE/3G. projekt i wdrożenie sieci WAN na potrzeby komunikacji z Bankami Spółdzielczymi projekt i wdrożenie telefonii IP w końcowym etapie uruchomionych 800 słuchawek Bank Spółdzielczy w Mikołajkach projekt sieci teleinformatycznej, audyt zgodności z Rekomendacją D. Bank Spółdzielczy w Radzyniu Podlaskim projekt sieci teleinformatycznej, budowa serwerowni zapasowej (kompleksowe wykonawstwo od projektu do realizacji wszystkich systemów), łączność radiowa w paśmie komercyjnym między dwiema serwerowniami (budowa masztów, urządzenia radiowe, uruchomienie). Bank Spółdzielczy w Koronowie projekt sieci teleinformatycznej, wyposażenie serwerowni zapasowej, bezpieczny dostęp do Internetu,
system bezpiecznej poczty elektronicznej, wdrożenie usługi katalogowej Active Directory. Spółdzielczy Bank Ludowy w Olsztynie audyt zgodności z Rekomendacją D. Bank Spółdzielczy w Stalowej Woli bezpieczny dostęp do Internetu, konfiguracja bezpiecznej sieci LAN. Spółdzielczy Bank Ludowy w Kępnie projekt sieci teleinformatycznej, dostawa urządzeń i konfiguracja bezpiecznej sieci LAN/WAN wraz z wyposażeniem serwerowni, wirtualizacja środowiska i bezpieczny dostęp do Internetu, telefonia VoIP. Bank Spółdzielczy w Wołczynie bezpieczny dostęp do Internetu, konfiguracja bezpiecznej sieci LAN. Bank Spółdzielczy w Kolnie Audyt zgodności z Rekomendacją D. Gospodarczy Bank Spółdzielczy w Międzyrzeczu
bezpieczny dostęp do Internetu, system bezpiecznej poczty elektronicznej. Bank Spółdzielczy w Poddębicach audyt sieci teleinformatycznej, łączność zapasowa dla jednostek zdalnych oraz dostawa urządzeń i konfiguracja bezpiecznej sieci LAN/WAN, bezpieczny dostęp do Internetu, system bezpiecznej poczty elektronicznej. Bank Spółdzielczy w Andrespolu łączność zapasowa dla jednostek zdalnych oraz dostawa urządzeń i konfiguracja bezpiecznej sieci LAN/WAN, wyposażenie serwerowni, bezpieczny dostęp do Internetu. Bank Spółdzielczy w Zgierzu bezpieczny dostęp do Internetu. Bank Spółdzielczy w Skawinie bezpieczny dostęp do Internetu. Bank Spółdzielczy w Lututowie bezpieczny dostęp do Internetu. i wiele innych
6. Koszt i termin wykonania dokumentacji W przypadku zainteresowania naszą ofertą prosimy o kontakt w celu uzyskania konkretnej oferty cenowej dla Państwa Banku. Czas przygotowania dokumentacji jest uzależniony od zakresu, jaki zostanie przez Państwa zamówiony. 7. Kontakt W przypadku pytań dotyczących powyższej oferty prosimy o kontakt # BlueNet sp. z o.o. E-mail: sprzedaz@bluenet.pl Tel.: +48 (42) 209 33 50 Fax: +48 (42) 209 33 55 www.bluenet.pl