Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Petr Marek, ČNB petr.marek@cnb.cz Bankovní dohled IT Petr Marek, ČNB petr.marek@cnb.cz.

Podobné prezentace


Prezentace na téma: "Petr Marek, ČNB petr.marek@cnb.cz Bankovní dohled IT Petr Marek, ČNB petr.marek@cnb.cz."— Transkript prezentace:

1 Petr Marek, ČNB petr.marek@cnb.cz
Bankovní dohled IT Petr Marek, ČNB

2 Obsah přednášky N co je bankovní dohled (BD)
M standardy a metodika BD IT J průběh kontrol IT J oblasti kontrol IT J hlavní požadavky BD

3 Co to je „bankovní dohled“
                           

4 Dohled finančních institucí v ČR
Bankovní dohled ČNB Komise pro cenné papíry Úřad pro dohled nad družstevními záložnami Dozor nad pojišťovnictvím MF

5 § Regulace BD IT § Zákon o ČNB Zákon o bankách (obezřetnost)
Zákon o státní kontrole Opatření ČNB Opatření ČNB č.2/2004 k vnitřnímu řídícímu a kontrolnímu systému banky Regulace oblasti IT (nabylo platnosti )

6 Metodika BD IT vnitřní metodika kontrol IT
ve vývoji, rozpracovává a doplňuje se základy: BS 7799 (ISO/IEC 17799/2000) CobiT – Control Objectives for Information and Related Technology (www.isaca.org/cobit) vlastní zkušenosti

7 Průběh kontrol BD vyžádání podkladů analýza informací BD o bance
analýza předpisů a dokumentace banky pohovory s pracovníky banky ověřování zjištění prezentace zjištění protokol opatření ČNB Externí audit Vytvoření plánu kontroly – s kým pohovory

8 Oblasti kontrol IT – řízení (1/2)
řízení rizik IT základy pro bezpečné a stabilní prostření IT nastavení potřebných procesů standardizace prostředí (předpisová zákl.) řízení bezpečnosti IT řešení neslučitelných funkcí (konflikt zájmů) bezpečnost spolupráce s dodavateli

9 Oblasti kontrol IT – řízení (2/2)
Strategie rozvoje Organizace a oddělení neslučitelných funkcí Předpisová základna Audit Bezpečnostní politika Klasifikace a řízení aktiv Hodnocení a řízení rizik Bezpečnostní incidenty Bezpečnost přístupu třetích stran Outsourcing Personální bezpečnost

10 Oblasti kontrol IT – provoz (1/2)
implementace „teorie do praxe“ technologie & architektura přístup administrátorů bezpečnost provozu bezpečnost vývoje připravenost na neočekávané události

11 Oblasti kontrol IT – provoz (2/2)
Fyzická bezpečnost Logická bezpečnost Monitorování používání a přístupu k systému Vývoj a údržba systémů Řízení komunikací a provozu Ochrana proti škodlivým programům Řízení kontinuity

12 Hlavní požadavky pouze ukázky nelze detailně pokrýt - 
detailněji – případná další přednáška dotazy – interaktivně

13 Strategie rozvoje je vypracována strategie IT
je v souladu s obchodní strategií banky je schválena představenstvem je základem pro středně- a krátkodobé plánování v IT

14 Organizace a oddělení neslučitelných funkcí
org. struktura je funkční a efektivní (spolupráce, informace, dokumentování) je zajištěno oddělení neslučitelných funkcí (vývoj x provoz, provoz x bezpečnost…) bezpečnostní manažér

15 Předpisová základna na základě kontroly všech oblastí
jsou pokryty všechny důležité oblasti předpisová základna je konzistentní nejsou rozpory mezi předpisy, nejsou odvolávky na neexistující předpisy, předpisy jsou dohledatelné,

16 Audit interní audit (IA) externí audit (EA)
funguje IA IT (i outsourcingem) IA IT se zabývá relevantními problémy IA IT je efektivní zjištěné nedostatky jsou řešeny externí audit (EA) nezávislé ujištění o stavu IT cílené audity

17 Bezpečnostní politika (BP)
pokrývá všechny hlavní oblasti bezpečnosti v dostatečném detailu je přijata představenstvem postupuje se podle ní v praxi je kontrolováno a vymáháno její dodržování

18 Klasifikace a řízení aktiv IT
informační aktiva jsou identifikována a klasifikována existuje předpis o klasifikaci aktiv IT přístup k aktivům je řízen Informační aktivum – hmotný i nehmotný informační majetek banky: data, HW, SW, Dokumenty…

19 Hodnocení a řízení rizik IT
banka provedla analýzu rizik v oblasti IT AR je aktualizována rizika IT jsou řízena – snižování expozice riziku nezávislost řízení rizik IT na vlastním IT Bezpečnostní manažér

20 Bezpečnostní incidenty
existuje předpis pro evidenci, řešení a odezvu na bezpečnostní incidenty procesy pro řešení bezpečnostních incidentů jsou efektivní

21 Bezpečnost přístupu třetích stran
je řešen v předpisové základně je řízen je bezpečný je zpětně rekonstruovatelný

22 Outsourcing je analyzována jeho nutnost a výhodnost
banka řídí rizika s ním spojená auditovatelnost bankovní tajemství, osobní údaje selhání dodavatele smluvní zajištění

23 Personální bezpečnost
prověřování zaměstnanců v IT před nástupem v průběhu pracovního poměru u nás může narážet na ochranu osobních údajů osobní integrita

24 Fyzická bezpečnost řízení fyzického přístupu ke kritickým prvkům IT infrastruktury servery, datové rozvaděče, zálohovací média ochrana IT před fyzickým poškozením hasící systémy, kontrola teploty…

25 Logická bezpečnost přístup do IS banky je řízen
autorizace, identifikace, autentizace je jednoznačné přiřazení uživatel-account přidělování uživatelských práv je systematické a bezpečné probíhá kontrola privilegované účty – zvýšený dohled oddělení neslučitelných funkcí

26 Monitorování používání systému
vznikají systémové a auditní logy u klíčových systémů logy jsou vyhodnocovány proaktivně (nestandardní záznamy) zabezpečení logů před změnou, smazáním… archivace

27 Vývoj a údržba systémů zadávání požadavků bezpečnost vývoje
efektivita vývoje (centralizace) testování metodologie dokumentovaní jasně definované procesy oddělení od provozu

28 Řízení komunikací a provozu (1/2)
správa IS odpovědnost & zastupitelnost zabezpečení prvků IS používané technologie, architektura spolehlivost systémů oddělení neslučitelných funkcí dokumentování činností nakládání s médii

29 Řízení komunikací a provozu (2/2)
všechny důležité platformy: mainframe, UNIX, VMS, Windows LAN, WAN, Internet, Extranet databáze, aplikační servery „core“ aplikace (BIS – front-end/back-end, ebanking…) podpůrné aplikace ( , technologické DB…) řízení změn, patche

30 Ochrana proti škodlivým programům
antiviry kde, jak, kdo kontrola integrity systémů a aplikací Tripwire, host-based IDS updaty

31 Řízení kontinuity zálohování postupy při neočekávané události DRP
testování, změny, doplňování záložní pracoviště krizové řízení odpovědnosti, způsob komunikace… povodně, 9/11 Záložní pracoviště – test dodavatelů – navezení techniky

32 Otázky (možná i odpovědi) ?

33 Co by vás zajímalo… …a co vás nezajímalo?


Stáhnout ppt "Petr Marek, ČNB petr.marek@cnb.cz Bankovní dohled IT Petr Marek, ČNB petr.marek@cnb.cz."

Podobné prezentace


Reklamy Google