R1
R2
R3
R4
ZASADY WSPÓŁPRACY ZAKRESY ODPOWIEDZIALNOŚCI
OB
IT
ITS
4.1. Tryb określony + sformalizowany
OB
…..................
…..................
…................
IT
…..................
…..................
…................
ITS
…..................
…..................
…................
* Rozwój
* Precyzyjne* Ograniczenia IT* Zagrożenia strategii
* Raport
PayPass *LoginHasło
EFEKTYWNEBEZPIECZNE
KORZYSTANIE Z POTENCJAŁU IT
OBOWIĄZKI
…...
…....
…....
UPRAWNIENIA
…...
…....
…....
OBOWIĄZKI
…...
…....
…....
UPRAWNIENIA
…...
…....
…....
R5
+ forma pisemna
+ separacja
- tworzenia od testowania
- administrowana od projektowania
- administrowana od monitorowania działań Administratora
- audytu od reszty funkcji
R5
WŁAŚCICIEL SYSTEMU zapewnienie prawidłowego działania
nadzór nad użytkownikami
rozwój
5.10 Identyfikacja procesów kluczowych pracowników
dokumentacja
zastępstwa
R5
SEPARACJA ŚRODOWISK
Cele biznesowe
Poziom wsparcia i zaawansowania IT
R7.9
10 mln
20 mln
CEL: DZIAŁALNOŚĆ BANKU + BEZPIECZEŃSTWO DANYCH
PRZEZ: SFORMALIZOWANE ZASADY ZARZĄDZANIA INFRASTRUKTURĄ IT
REKOMENDACJA 9
R9
STRUKTURA
IT
dokumentacja
komponenty
wydajność
architektura
pojemność
R9
Monitoring sieci + łącze zapasowe
Alternatywny dostawca łącza
Zapory sieciowe na styku sieci zewn. / wewn.
Stosowanie podsieci logicznych (VLan)
Analiza i monitorowanie zdarzeń sieciowych
R9
Odpowiednie warunki napraw gwarancyjnych
Analiza ataków wewnętrznych i zewnętrznych
R9
Analiza ryzyka
Nadzór zasobów (ścisły!)
(procesory, RAM, HDD, SSD)
Podsieć dedykowana administratorom
Ograniczenie nadużywania zasobów!!!
Szczególne zabezpieczenie maszyny fizycznej!
Wirtualizacja (warunki)
R9
Zabezpieczone drukarki i skanery sieciowe
R9
Testy penetracyjne
(90% banków przeprowadza testy po każdej zmianie infrastruktury)
Aktualizacja oprogramowania – sformalizowane zasady (ALO)
Testowanie aktualizacji w środowisku testowym
Tylko komponenty ze wsparciem
R9
Skalowalność
Nadmiarowość
Odpowiednie zarządzanie wydajnością
Określenie parametrów
Monitoring
Analiza trendów
Raportowanie
R9
PO PIERWSZE - BEZPIECZEŃSTWO
PROCEDURY DOBORU USŁUGODAWCÓW ZEWN. - JASNO SFORMALIZOWANE
REKOMENDACJA 10
PROWADZIĆ PROCESY I MECHANIZMY KONTROLNE
ZAPEWNIĆ RAPORTOWANIE INCYDENTÓW
R10
KONTROLA DOSTĘPU LOGICZNEGO
REKOMENDACJA 11
KONTROLA DOSTĘPU FIZYCZNEGO
Parametry haseł
Zasady blokowania kont
Zarządzanie uprawnieniami
Profile dostępu do grup pracowników
R11
ZAWSZE AKTUALNA DOKUMENTACJA
REKOMENDACJA 15
EFEKTYWNY SYSTEM DYSTRYBUCJI
ZASADY TECHNICZNE I MOŻLIWOŚĆ ICH ODTWORZENIA
Poufność i odpowiednia dostępność
R15
ROZLEGŁA AWARIA – LOKALIZACJA ZAPASOWA
REKOMENDACJA 15.8
R15
ODPOWIEDNIO ODLEGŁA - „SZEROKOŚĆ SKRZYDEŁ”
SFORMALIZOWANY PROCES ODTWORZENIA ŚRODOWISKA
CZAS POTRZEBNY NA WZNOWIENIE PROCESÓW BIZNESOWYCH
KOPIE AWARYJNE
ISO 27001
REKOMENDACJA 18.3
R18
System zarządzania bezpieczeństwem środowiska IT
REKOMENDACJA 18
R18
Identyfikacja ryzyka
Szacowanie
KontrolaPrzeciwdziałanie
Monitorowanie
Raportowanie
Poprzez:
Systematyczne przeglądy
Audyt ciągły (oprogramowanie + usługa)
REKOMENDACJA 19
R19
JAK?
Audyt stanowiskowy wewnętrzny lub zewnętrzny
KLASYFIKACJA SYSTEMÓW – KLASYFIKACJA INFORMACJI
SZCZEGÓŁOWA LISTA STANOWISK
SZCZEGÓŁOWA LISTA PROCESÓW
SZCZEGÓŁOWA LISTA UPRAWNIEŃ
REKOMENDACJA 22
SYSTEMATYCZNIEi w NIEZALEŻNYSPOSÓB powinny być
audytowane systemy technologii informacji oraz bezpieczeństwa środowiska teleinformatycznego.
R22
KLIENCI
Banki należące do Spółdzielczej Grupy Bankowej:
Bank Spółdzielczy w Tucholi
Bank Spółdzielczy w Golubiu-Dobrzyniu
Bank Spółdzielczy w Świeciu
Bank Spółdzielczy we Włoszakowicach
Bank Spółdzielczy w Lubrańcu
Bank Spółdzielczy we Mstowie
Bank Spółdzielczy w Osiu
Bank Spółdzielczy w Grójcu
Bank Spółdzielczy w Sośnicowicach
Bank Spółdzielczy w Bieżuniu
Bank Spółdzielczy w Radziejowie
Bank Spółdzielczy w Siedlcu
Bank Spółdzielczy w Pleszewie
Bank Spółdzielczy w Szubinie
Bank Spółdzielczy w Nowem nad Wisłą
Banki należące do Grupy Banków Polskiej Spółdzielczości:
Bank Spółdzielczy w Bartoszycach
Bank Spółdzielczy w Wilamowicach
Bank Spółdzielczy w Siewierzu
Bank Spółdzielczy w Koniecpolu
Bank Spółdzielczy w Zatorze
Bank Spółdzielczy w Kalwarii Zebrzydowskiej
Bank Spółdzielczy w Łobżenicy
Bank Spółdzielczy w Wysokiej
Bank Spółdzielczy we Włoszakowicach
„Z przyjemnością rekomendujemy firmę IT Auditor Sp. z o.o., która przeprowadziła dla nas kompleksowyAudyt Bezpieczeństwa Informacji, jako godnego zaufania partnera, świadczącego swoje usługi rzetelniei profesjonalnie.
Wysoka jakoś świadczonych usług w pełni zaspokoiła nasze wymagania.
Polecamy firmę IT Auditor Sp. z o.o. i jej usługi jako wszystkim firmom i instytucjom, które chcą należyciechronić informacje i odpowiednio nimi zarządzać.”
Informatyk - Karol Kielczewski
REFERENCJE
Bank Spółdzielczy w Lubrańcu
„Bank Spółdzielczy w Lubrańcu potwierdza, że IT Auditor Sp. z o.o. przeprowadziła dla nas kompleksowyAudyt Legalności Oprogramowania oraz Audyt Bezpieczeństwa Informacji oraz przeszkoliła w tym zakresiepracowników.
Wszystkie zadania zostały wykonane fachowo, profesjonalnie i terminowo, a współpraca przebiegłą w miłejharmonijnej atmosferze. Dzięki IT Auditor Sp. z o.o. możemy zapewnić odpowiedni poziom bezpieczeństwainformacji, co przekłada się na wyższą jakość usług świadczonych na rzecz naszych klientów.
Z całą odpowiedzialnością polecamy firmę IT Auditor Sp. z o.o. jako rzetelnego godnego zaufaniapartnera.”
Zarząd
REFERENCJE
Homag Polska
„Z przyjemnością informujemy, że IT Auditor Sp. z o.o. wykonała dla pracowników HOMAG Polska Sp. z o.o.szkolenie z zakresu "Ochrona danych osobowych w przedsiębiorstwie".
Audytor, prowadzący Pan Marcin Polit, przygotował oraz poprowadził szkolenie wykazując się przy tymwzorową starannością oraz profesjonalizmem. Praktyczne i trafne przykłady w łatwy sposób pomagałyzrozumieć uczestnikom problematykę związaną z tematem przewodnim.
Szkolenie oceniam bardzo pozytywnie pod względem formy jak i wartości merytorycznej.
W związku z powyższym mogę z pełną odpowiedzialnością zarekomendować firmę IT Auditor Sp. z o.o. jakogodną polecenia firmę.”
Członek Zarządu - Michał Piłat
REFERENCJE
OFERTA
Audyt zgodności z Rekomendacją D
Audyt bezpieczeństwa informacji oparty na wytycznych normy ISO 27001
Audyt danych osobowych (plus szkolenia)
Pentesty sieci LAN/WiFi
Usługi wykonywane są w oparciu o metodykę PRINCE2® Foundation, dedykowaną dla prowadzenia projektów informatycznych.
Pentesty aplikacji internetowych
Audyt konfiguracji urządzeń sieciowych
Audyt legalności oprogramowania