R1

R2

R3

R4

ZASADY WSPÓŁPRACY ZAKRESY ODPOWIEDZIALNOŚCI

OB

IT

ITS

4.1. Tryb określony + sformalizowany

OB

…..................

…..................

…................

IT

…..................

…..................

…................

ITS

…..................

…..................

…................

* Rozwój

* Precyzyjne* Ograniczenia IT* Zagrożenia strategii

* Raport

PayPass *LoginHasło

EFEKTYWNEBEZPIECZNE

KORZYSTANIE Z POTENCJAŁU IT

OBOWIĄZKI

…...

…....

…....

UPRAWNIENIA

…...

…....

…....

OBOWIĄZKI

…...

…....

…....

UPRAWNIENIA

…...

…....

…....

R5

+ forma pisemna

+ separacja

- tworzenia od testowania

- administrowana od projektowania

- administrowana od monitorowania działań Administratora

- audytu od reszty funkcji

R5

WŁAŚCICIEL SYSTEMU zapewnienie prawidłowego działania

nadzór nad użytkownikami

rozwój

5.10 Identyfikacja procesów kluczowych pracowników

dokumentacja

zastępstwa

R5

SEPARACJA ŚRODOWISK

Cele biznesowe

Poziom wsparcia i zaawansowania IT

R7.9

10 mln

20 mln

CEL: DZIAŁALNOŚĆ BANKU + BEZPIECZEŃSTWO DANYCH

PRZEZ: SFORMALIZOWANE ZASADY ZARZĄDZANIA INFRASTRUKTURĄ IT

REKOMENDACJA 9

R9

STRUKTURA

IT

dokumentacja

komponenty

wydajność

architektura

pojemność

R9

Monitoring sieci + łącze zapasowe

Alternatywny dostawca łącza

Zapory sieciowe na styku sieci zewn. / wewn.

Stosowanie podsieci logicznych (VLan)

Analiza i monitorowanie zdarzeń sieciowych

R9

Odpowiednie warunki napraw gwarancyjnych

Analiza ataków wewnętrznych i zewnętrznych

R9

Analiza ryzyka

Nadzór zasobów (ścisły!)

(procesory, RAM, HDD, SSD)

Podsieć dedykowana administratorom

Ograniczenie nadużywania zasobów!!!

Szczególne zabezpieczenie maszyny fizycznej!

Wirtualizacja (warunki)

R9

Zabezpieczone drukarki i skanery sieciowe

R9

Testy penetracyjne

(90% banków przeprowadza testy po każdej zmianie infrastruktury)

Aktualizacja oprogramowania – sformalizowane zasady (ALO)

Testowanie aktualizacji w środowisku testowym

Tylko komponenty ze wsparciem

R9

Skalowalność

Nadmiarowość

Odpowiednie zarządzanie wydajnością

Określenie parametrów

Monitoring

Analiza trendów

Raportowanie

R9

PO PIERWSZE - BEZPIECZEŃSTWO

PROCEDURY DOBORU USŁUGODAWCÓW ZEWN. - JASNO SFORMALIZOWANE

REKOMENDACJA 10

PROWADZIĆ PROCESY I MECHANIZMY KONTROLNE

ZAPEWNIĆ RAPORTOWANIE INCYDENTÓW

R10

KONTROLA DOSTĘPU LOGICZNEGO

REKOMENDACJA 11

KONTROLA DOSTĘPU FIZYCZNEGO

Parametry haseł

Zasady blokowania kont

Zarządzanie uprawnieniami

Profile dostępu do grup pracowników

R11

ZAWSZE AKTUALNA DOKUMENTACJA

REKOMENDACJA 15

EFEKTYWNY SYSTEM DYSTRYBUCJI

ZASADY TECHNICZNE I MOŻLIWOŚĆ ICH ODTWORZENIA

Poufność i odpowiednia dostępność

R15

ROZLEGŁA AWARIA – LOKALIZACJA ZAPASOWA

REKOMENDACJA 15.8

R15

ODPOWIEDNIO ODLEGŁA - „SZEROKOŚĆ SKRZYDEŁ”

SFORMALIZOWANY PROCES ODTWORZENIA ŚRODOWISKA

CZAS POTRZEBNY NA WZNOWIENIE PROCESÓW BIZNESOWYCH

KOPIE AWARYJNE

ISO 27001

REKOMENDACJA 18.3

R18

System zarządzania bezpieczeństwem środowiska IT

REKOMENDACJA 18

R18

Identyfikacja ryzyka

Szacowanie

KontrolaPrzeciwdziałanie

Monitorowanie

Raportowanie

Poprzez:

Systematyczne przeglądy

Audyt ciągły (oprogramowanie + usługa)

REKOMENDACJA 19

R19

JAK?

Audyt stanowiskowy wewnętrzny lub zewnętrzny

KLASYFIKACJA SYSTEMÓW – KLASYFIKACJA INFORMACJI

SZCZEGÓŁOWA LISTA STANOWISK

SZCZEGÓŁOWA LISTA PROCESÓW

SZCZEGÓŁOWA LISTA UPRAWNIEŃ

REKOMENDACJA 22

SYSTEMATYCZNIEi w NIEZALEŻNYSPOSÓB powinny być

audytowane systemy technologii informacji oraz bezpieczeństwa środowiska teleinformatycznego.

R22

KLIENCI

Banki należące do Spółdzielczej Grupy Bankowej:

Bank Spółdzielczy w Tucholi

Bank Spółdzielczy w Golubiu-Dobrzyniu

Bank Spółdzielczy w Świeciu

Bank Spółdzielczy we Włoszakowicach

Bank Spółdzielczy w Lubrańcu

Bank Spółdzielczy we Mstowie

Bank Spółdzielczy w Osiu

Bank Spółdzielczy w Grójcu

Bank Spółdzielczy w Sośnicowicach

Bank Spółdzielczy w Bieżuniu

Bank Spółdzielczy w Radziejowie

Bank Spółdzielczy w Siedlcu

Bank Spółdzielczy w Pleszewie

Bank Spółdzielczy w Szubinie

Bank Spółdzielczy w Nowem nad Wisłą

Banki należące do Grupy Banków Polskiej Spółdzielczości:

Bank Spółdzielczy w Bartoszycach

Bank Spółdzielczy w Wilamowicach

Bank Spółdzielczy w Siewierzu

Bank Spółdzielczy w Koniecpolu

Bank Spółdzielczy w Zatorze

Bank Spółdzielczy w Kalwarii Zebrzydowskiej

Bank Spółdzielczy w Łobżenicy

Bank Spółdzielczy w Wysokiej

Bank Spółdzielczy we Włoszakowicach

„Z przyjemnością rekomendujemy firmę IT Auditor Sp. z o.o., która przeprowadziła dla nas kompleksowyAudyt Bezpieczeństwa Informacji, jako godnego zaufania partnera, świadczącego swoje usługi rzetelniei profesjonalnie.

Wysoka jakoś świadczonych usług w pełni zaspokoiła nasze wymagania.

Polecamy firmę IT Auditor Sp. z o.o. i jej usługi jako wszystkim firmom i instytucjom, które chcą należyciechronić informacje i odpowiednio nimi zarządzać.”

Informatyk - Karol Kielczewski

REFERENCJE

Bank Spółdzielczy w Lubrańcu

„Bank Spółdzielczy w Lubrańcu potwierdza, że IT Auditor Sp. z o.o. przeprowadziła dla nas kompleksowyAudyt Legalności Oprogramowania oraz Audyt Bezpieczeństwa Informacji oraz przeszkoliła w tym zakresiepracowników.

Wszystkie zadania zostały wykonane fachowo, profesjonalnie i terminowo, a współpraca przebiegłą w miłejharmonijnej atmosferze. Dzięki IT Auditor Sp. z o.o. możemy zapewnić odpowiedni poziom bezpieczeństwainformacji, co przekłada się na wyższą jakość usług świadczonych na rzecz naszych klientów.

Z całą odpowiedzialnością polecamy firmę IT Auditor Sp. z o.o. jako rzetelnego godnego zaufaniapartnera.”

Zarząd

REFERENCJE

Homag Polska

„Z przyjemnością informujemy, że IT Auditor Sp. z o.o. wykonała dla pracowników HOMAG Polska Sp. z o.o.szkolenie z zakresu "Ochrona danych osobowych w przedsiębiorstwie".

Audytor, prowadzący Pan Marcin Polit, przygotował oraz poprowadził szkolenie wykazując się przy tymwzorową starannością oraz profesjonalizmem. Praktyczne i trafne przykłady w łatwy sposób pomagałyzrozumieć uczestnikom problematykę związaną z tematem przewodnim.

Szkolenie oceniam bardzo pozytywnie pod względem formy jak i wartości merytorycznej.

W związku z powyższym mogę z pełną odpowiedzialnością zarekomendować firmę IT Auditor Sp. z o.o. jakogodną polecenia firmę.”

Członek Zarządu - Michał Piłat

REFERENCJE

OFERTA

Audyt zgodności z Rekomendacją D

Audyt bezpieczeństwa informacji oparty na wytycznych normy ISO 27001

Audyt danych osobowych (plus szkolenia)

Pentesty sieci LAN/WiFi

Usługi wykonywane są w oparciu o metodykę PRINCE2® Foundation, dedykowaną dla prowadzenia projektów informatycznych.

Pentesty aplikacji internetowych

Audyt konfiguracji urządzeń sieciowych

Audyt legalności oprogramowania

Dziękuję za uwagę

Marcin Polit

533 641 700

marcin.polit@itauditor.pl

www.itauditor.pl