Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bankovní dohled IT Petr Marek, ČNB

Podobné prezentace


Prezentace na téma: "Bankovní dohled IT Petr Marek, ČNB"— Transkript prezentace:

1

2 Bankovní dohled IT Petr Marek, ČNB

3 Obsah přednášky  co je bankovní dohled (BD)  standardy a metodika BD IT průběh kontrol IT oblasti kontrol IT hlavní požadavky BD

4 Co to je „bankovní dohled“

5 Dohled finančních institucí v ČR Bankovní dohled ČNB Komise pro cenné papíry Úřad pro dohled nad družstevními záložnami Dozor nad pojišťovnictvím MF

6 §Regulace BD IT§ Zákon o ČNB Zákon o bankách (obezřetnost) Zákon o státní kontrole Opatření ČNB –Opatření ČNB č.2/2004 k vnitřnímu řídícímu a kontrolnímu systému banky Regulace oblasti IT (nabylo platnosti )

7 Metodika BD IT vnitřní metodika kontrol IT –ve vývoji, rozpracovává a doplňuje se –základy: BS 7799 (ISO/IEC 17799/2000) CobiT – Control Objectives for Information and Related Technology (www.isaca.org/cobit)www.isaca.org vlastní zkušenosti

8 Průběh kontrol BD vyžádání podkladů analýza informací BD o bance analýza předpisů a dokumentace banky pohovory s pracovníky banky ověřování zjištění prezentace zjištění protokol opatření ČNB

9 Oblasti kontrol IT – řízení (1/2) Řízení –řízení rizik IT –základy pro bezpečné a stabilní prostření IT –nastavení potřebných procesů –standardizace prostředí (předpisová zákl.) –řízení bezpečnosti IT –řešení neslučitelných funkcí (konflikt zájmů) –bezpečnost spolupráce s dodavateli

10 Oblasti kontrol IT – řízení (2/2) –Strategie rozvoje –Organizace a oddělení neslučitelných funkcí –Předpisová základna –Audit –Bezpečnostní politika –Klasifikace a řízení aktiv –Hodnocení a řízení rizik –Bezpečnostní incidenty –Bezpečnost přístupu třetích stran –Outsourcing –Personální bezpečnost

11 Oblasti kontrol IT – provoz (1/2) Provoz –implementace „teorie do praxe“ –technologie & architektura –přístup administrátorů –bezpečnost provozu –bezpečnost vývoje –připravenost na neočekávané události

12 Oblasti kontrol IT – provoz (2/2) –Fyzická bezpečnost –Logická bezpečnost –Monitorování používání a přístupu k systému –Vývoj a údržba systémů –Řízení komunikací a provozu –Ochrana proti škodlivým programům –Řízení kontinuity

13 Hlavní požadavky pouze ukázky nelze detailně pokrýt -  detailněji – případná další přednáška dotazy – interaktivně

14 Strategie rozvoje je vypracována strategie IT je v souladu s obchodní strategií banky je schválena představenstvem je základem pro středně- a krátkodobé plánování v IT

15 Organizace a oddělení neslučitelných funkcí org. struktura je funkční a efektivní (spolupráce, informace, dokumentování) je zajištěno oddělení neslučitelných funkcí (vývoj x provoz, provoz x bezpečnost…) bezpečnostní manažér

16 Předpisová základna na základě kontroly všech oblastí jsou pokryty všechny důležité oblasti předpisová základna je konzistentní –nejsou rozpory mezi předpisy, –nejsou odvolávky na neexistující předpisy, –předpisy jsou dohledatelné,

17 Audit interní audit (IA) –funguje IA IT (i outsourcingem) –IA IT se zabývá relevantními problémy –IA IT je efektivní –zjištěné nedostatky jsou řešeny externí audit (EA) –nezávislé ujištění o stavu IT –cílené audity

18 Bezpečnostní politika (BP) pokrývá všechny hlavní oblasti bezpečnosti v dostatečném detailu je přijata představenstvem postupuje se podle ní v praxi je kontrolováno a vymáháno její dodržování

19 Klasifikace a řízení aktiv IT informační aktiva jsou identifikována a klasifikována existuje předpis o klasifikaci aktiv IT přístup k aktivům je řízen

20 Hodnocení a řízení rizik IT banka provedla analýzu rizik v oblasti IT AR je aktualizována rizika IT jsou řízena – snižování expozice riziku nezávislost řízení rizik IT na vlastním IT

21 Bezpečnostní incidenty existuje předpis pro evidenci, řešení a odezvu na bezpečnostní incidenty procesy pro řešení bezpečnostních incidentů jsou efektivní

22 Bezpečnost přístupu třetích stran je řešen v předpisové základně je řízen je bezpečný je zpětně rekonstruovatelný

23 Outsourcing je analyzována jeho nutnost a výhodnost banka řídí rizika s ním spojená –auditovatelnost –bankovní tajemství, osobní údaje –selhání dodavatele smluvní zajištění

24 Personální bezpečnost prověřování zaměstnanců v IT –před nástupem –v průběhu pracovního poměru u nás může narážet na ochranu osobních údajů

25 Fyzická bezpečnost řízení fyzického přístupu ke kritickým prvkům IT infrastruktury –servery, datové rozvaděče, zálohovací média ochrana IT před fyzickým poškozením –hasící systémy, kontrola teploty…

26 Logická bezpečnost přístup do IS banky je řízen –autorizace, identifikace, autentizace je jednoznačné přiřazení uživatel-account přidělování uživatelských práv je systematické a bezpečné –probíhá kontrola privilegované účty – zvýšený dohled –oddělení neslučitelných funkcí

27 Monitorování používání systému vznikají systémové a auditní logy –u klíčových systémů logy jsou vyhodnocovány –proaktivně (nestandardní záznamy) zabezpečení logů před změnou, smazáním… archivace

28 Vývoj a údržba systémů zadávání požadavků bezpečnost vývoje efektivita vývoje (centralizace) testování metodologie dokumentovaní jasně definované procesy oddělení od provozu

29 Řízení komunikací a provozu (1/2) správa IS odpovědnost & zastupitelnost zabezpečení prvků IS používané technologie, architektura spolehlivost systémů oddělení neslučitelných funkcí dokumentování činností nakládání s médii

30 Řízení komunikací a provozu (2/2) všechny důležité platformy: –mainframe, UNIX, VMS, Windows –LAN, WAN, Internet, Extranet –databáze, aplikační servery –„core“ aplikace (BIS – front-end/back-end, ebanking…) –podpůrné aplikace ( , technologické DB…) řízení změn, patche

31 Ochrana proti škodlivým programům antiviry –kde, jak, kdo kontrola integrity systémů a aplikací –Tripwire, host-based IDS updaty

32 Řízení kontinuity zálohování postupy při neočekávané události DRP –testování, změny, doplňování záložní pracoviště krizové řízení –odpovědnosti, způsob komunikace… –povodně, 9/11

33 Otázky (možná i odpovědi) ?

34 Co by vás zajímalo… …a co vás nezajímalo?


Stáhnout ppt "Bankovní dohled IT Petr Marek, ČNB"

Podobné prezentace


Reklamy Google