Petr Marek, ČNB petr.marek@cnb.cz Bankovní dohled IT Petr Marek, ČNB petr.marek@cnb.cz

Obsah přednášky N co je bankovní dohled (BD) M standardy a metodika BD IT J průběh kontrol IT J oblasti kontrol IT J hlavní požadavky BD

Co to je „bankovní dohled“                            

Dohled finančních institucí v ČR Bankovní dohled ČNB Komise pro cenné papíry Úřad pro dohled nad družstevními záložnami Dozor nad pojišťovnictvím MF

§ Regulace BD IT § Zákon o ČNB Zákon o bankách (obezřetnost) Zákon o státní kontrole Opatření ČNB Opatření ČNB č.2/2004 k vnitřnímu řídícímu a kontrolnímu systému banky Regulace oblasti IT (nabylo platnosti 1.8.2004)

Metodika BD IT vnitřní metodika kontrol IT ve vývoji, rozpracovává a doplňuje se základy: BS 7799 (ISO/IEC 17799/2000) CobiT – Control Objectives for Information and Related Technology (www.isaca.org/cobit) vlastní zkušenosti

Průběh kontrol BD vyžádání podkladů analýza informací BD o bance analýza předpisů a dokumentace banky pohovory s pracovníky banky ověřování zjištění prezentace zjištění protokol opatření ČNB Externí audit Vytvoření plánu kontroly – s kým pohovory

Oblasti kontrol IT – řízení (1/2) řízení rizik IT základy pro bezpečné a stabilní prostření IT nastavení potřebných procesů standardizace prostředí (předpisová zákl.) řízení bezpečnosti IT řešení neslučitelných funkcí (konflikt zájmů) bezpečnost spolupráce s dodavateli

Oblasti kontrol IT – řízení (2/2) Strategie rozvoje Organizace a oddělení neslučitelných funkcí Předpisová základna Audit Bezpečnostní politika Klasifikace a řízení aktiv Hodnocení a řízení rizik Bezpečnostní incidenty Bezpečnost přístupu třetích stran Outsourcing Personální bezpečnost

Oblasti kontrol IT – provoz (1/2) implementace „teorie do praxe“ technologie & architektura přístup administrátorů bezpečnost provozu bezpečnost vývoje připravenost na neočekávané události

Oblasti kontrol IT – provoz (2/2) Fyzická bezpečnost Logická bezpečnost Monitorování používání a přístupu k systému Vývoj a údržba systémů Řízení komunikací a provozu Ochrana proti škodlivým programům Řízení kontinuity

Hlavní požadavky pouze ukázky nelze detailně pokrýt -  detailněji – případná další přednáška dotazy – interaktivně

Strategie rozvoje je vypracována strategie IT je v souladu s obchodní strategií banky je schválena představenstvem je základem pro středně- a krátkodobé plánování v IT

Organizace a oddělení neslučitelných funkcí org. struktura je funkční a efektivní (spolupráce, informace, dokumentování) je zajištěno oddělení neslučitelných funkcí (vývoj x provoz, provoz x bezpečnost…) bezpečnostní manažér

Předpisová základna na základě kontroly všech oblastí jsou pokryty všechny důležité oblasti předpisová základna je konzistentní nejsou rozpory mezi předpisy, nejsou odvolávky na neexistující předpisy, předpisy jsou dohledatelné,

Audit interní audit (IA) externí audit (EA) funguje IA IT (i outsourcingem) IA IT se zabývá relevantními problémy IA IT je efektivní zjištěné nedostatky jsou řešeny externí audit (EA) nezávislé ujištění o stavu IT cílené audity

Bezpečnostní politika (BP) pokrývá všechny hlavní oblasti bezpečnosti v dostatečném detailu je přijata představenstvem postupuje se podle ní v praxi je kontrolováno a vymáháno její dodržování

Klasifikace a řízení aktiv IT informační aktiva jsou identifikována a klasifikována existuje předpis o klasifikaci aktiv IT přístup k aktivům je řízen Informační aktivum – hmotný i nehmotný informační majetek banky: data, HW, SW, Dokumenty…

Hodnocení a řízení rizik IT banka provedla analýzu rizik v oblasti IT AR je aktualizována rizika IT jsou řízena – snižování expozice riziku nezávislost řízení rizik IT na vlastním IT Bezpečnostní manažér

Bezpečnostní incidenty existuje předpis pro evidenci, řešení a odezvu na bezpečnostní incidenty procesy pro řešení bezpečnostních incidentů jsou efektivní

Bezpečnost přístupu třetích stran je řešen v předpisové základně je řízen je bezpečný je zpětně rekonstruovatelný

Outsourcing je analyzována jeho nutnost a výhodnost banka řídí rizika s ním spojená auditovatelnost bankovní tajemství, osobní údaje selhání dodavatele smluvní zajištění

Personální bezpečnost prověřování zaměstnanců v IT před nástupem v průběhu pracovního poměru u nás může narážet na ochranu osobních údajů osobní integrita

Fyzická bezpečnost řízení fyzického přístupu ke kritickým prvkům IT infrastruktury servery, datové rozvaděče, zálohovací média ochrana IT před fyzickým poškozením hasící systémy, kontrola teploty…

Logická bezpečnost přístup do IS banky je řízen autorizace, identifikace, autentizace je jednoznačné přiřazení uživatel-account přidělování uživatelských práv je systematické a bezpečné probíhá kontrola privilegované účty – zvýšený dohled oddělení neslučitelných funkcí

Monitorování používání systému vznikají systémové a auditní logy u klíčových systémů logy jsou vyhodnocovány proaktivně (nestandardní záznamy) zabezpečení logů před změnou, smazáním… archivace

Vývoj a údržba systémů zadávání požadavků bezpečnost vývoje efektivita vývoje (centralizace) testování metodologie dokumentovaní jasně definované procesy oddělení od provozu

Řízení komunikací a provozu (1/2) správa IS odpovědnost & zastupitelnost zabezpečení prvků IS používané technologie, architektura spolehlivost systémů oddělení neslučitelných funkcí dokumentování činností nakládání s médii

Řízení komunikací a provozu (2/2) všechny důležité platformy: mainframe, UNIX, VMS, Windows LAN, WAN, Internet, Extranet databáze, aplikační servery „core“ aplikace (BIS – front-end/back-end, ebanking…) podpůrné aplikace (e-mail, technologické DB…) řízení změn, patche

Ochrana proti škodlivým programům antiviry kde, jak, kdo kontrola integrity systémů a aplikací Tripwire, host-based IDS updaty

Řízení kontinuity zálohování postupy při neočekávané události DRP testování, změny, doplňování záložní pracoviště krizové řízení odpovědnosti, způsob komunikace… povodně, 9/11 Záložní pracoviště – test dodavatelů – navezení techniky

Otázky (možná i odpovědi) ?

Co by vás zajímalo… …a co vás nezajímalo? petr.marek@cnb.cz