Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Petr Marek, ČNB petr.marek@cnb.cz Bankovní dohled IT Petr Marek, ČNB petr.marek@cnb.cz.

ZveřejnilDana Horáková

Podobné prezentace

Prezentace na téma: "Petr Marek, ČNB petr.marek@cnb.cz Bankovní dohled IT Petr Marek, ČNB petr.marek@cnb.cz."— Transkript prezentace:

1 Petr Marek, ČNB petr.marek@cnb.cz
Bankovní dohled IT Petr Marek, ČNB

2 Obsah přednášky N co je bankovní dohled (BD)
M standardy a metodika BD IT J průběh kontrol IT J oblasti kontrol IT J hlavní požadavky BD

3 Co to je „bankovní dohled“
                           

4 Dohled finančních institucí v ČR
Bankovní dohled ČNB Komise pro cenné papíry Úřad pro dohled nad družstevními záložnami Dozor nad pojišťovnictvím MF

5 § Regulace BD IT § Zákon o ČNB Zákon o bankách (obezřetnost)
Zákon o státní kontrole Opatření ČNB Opatření ČNB č.2/2004 k vnitřnímu řídícímu a kontrolnímu systému banky Regulace oblasti IT (nabylo platnosti )

6 Metodika BD IT vnitřní metodika kontrol IT
ve vývoji, rozpracovává a doplňuje se základy: BS 7799 (ISO/IEC 17799/2000) CobiT – Control Objectives for Information and Related Technology ( vlastní zkušenosti

7 Průběh kontrol BD vyžádání podkladů analýza informací BD o bance
analýza předpisů a dokumentace banky pohovory s pracovníky banky ověřování zjištění prezentace zjištění protokol opatření ČNB Externí audit Vytvoření plánu kontroly – s kým pohovory

8 Oblasti kontrol IT – řízení (1/2)
řízení rizik IT základy pro bezpečné a stabilní prostření IT nastavení potřebných procesů standardizace prostředí (předpisová zákl.) řízení bezpečnosti IT řešení neslučitelných funkcí (konflikt zájmů) bezpečnost spolupráce s dodavateli

9 Oblasti kontrol IT – řízení (2/2)
Strategie rozvoje Organizace a oddělení neslučitelných funkcí Předpisová základna Audit Bezpečnostní politika Klasifikace a řízení aktiv Hodnocení a řízení rizik Bezpečnostní incidenty Bezpečnost přístupu třetích stran Outsourcing Personální bezpečnost

10 Oblasti kontrol IT – provoz (1/2)
implementace „teorie do praxe“ technologie & architektura přístup administrátorů bezpečnost provozu bezpečnost vývoje připravenost na neočekávané události

11 Oblasti kontrol IT – provoz (2/2)
Fyzická bezpečnost Logická bezpečnost Monitorování používání a přístupu k systému Vývoj a údržba systémů Řízení komunikací a provozu Ochrana proti škodlivým programům Řízení kontinuity

12 Hlavní požadavky pouze ukázky nelze detailně pokrýt - 
detailněji – případná další přednáška dotazy – interaktivně

13 Strategie rozvoje je vypracována strategie IT
je v souladu s obchodní strategií banky je schválena představenstvem je základem pro středně- a krátkodobé plánování v IT

14 Organizace a oddělení neslučitelných funkcí
org. struktura je funkční a efektivní (spolupráce, informace, dokumentování) je zajištěno oddělení neslučitelných funkcí (vývoj x provoz, provoz x bezpečnost…) bezpečnostní manažér

15 Předpisová základna na základě kontroly všech oblastí
jsou pokryty všechny důležité oblasti předpisová základna je konzistentní nejsou rozpory mezi předpisy, nejsou odvolávky na neexistující předpisy, předpisy jsou dohledatelné,

16 Audit interní audit (IA) externí audit (EA)
funguje IA IT (i outsourcingem) IA IT se zabývá relevantními problémy IA IT je efektivní zjištěné nedostatky jsou řešeny externí audit (EA) nezávislé ujištění o stavu IT cílené audity

17 Bezpečnostní politika (BP)
pokrývá všechny hlavní oblasti bezpečnosti v dostatečném detailu je přijata představenstvem postupuje se podle ní v praxi je kontrolováno a vymáháno její dodržování

18 Klasifikace a řízení aktiv IT
informační aktiva jsou identifikována a klasifikována existuje předpis o klasifikaci aktiv IT přístup k aktivům je řízen Informační aktivum – hmotný i nehmotný informační majetek banky: data, HW, SW, Dokumenty…

19 Hodnocení a řízení rizik IT
banka provedla analýzu rizik v oblasti IT AR je aktualizována rizika IT jsou řízena – snižování expozice riziku nezávislost řízení rizik IT na vlastním IT Bezpečnostní manažér

20 Bezpečnostní incidenty
existuje předpis pro evidenci, řešení a odezvu na bezpečnostní incidenty procesy pro řešení bezpečnostních incidentů jsou efektivní

21 Bezpečnost přístupu třetích stran
je řešen v předpisové základně je řízen je bezpečný je zpětně rekonstruovatelný

22 Outsourcing je analyzována jeho nutnost a výhodnost
banka řídí rizika s ním spojená auditovatelnost bankovní tajemství, osobní údaje selhání dodavatele smluvní zajištění

23 Personální bezpečnost
prověřování zaměstnanců v IT před nástupem v průběhu pracovního poměru u nás může narážet na ochranu osobních údajů osobní integrita

24 Fyzická bezpečnost řízení fyzického přístupu ke kritickým prvkům IT infrastruktury servery, datové rozvaděče, zálohovací média ochrana IT před fyzickým poškozením hasící systémy, kontrola teploty…

25 Logická bezpečnost přístup do IS banky je řízen
autorizace, identifikace, autentizace je jednoznačné přiřazení uživatel-account přidělování uživatelských práv je systematické a bezpečné probíhá kontrola privilegované účty – zvýšený dohled oddělení neslučitelných funkcí

26 Monitorování používání systému
vznikají systémové a auditní logy u klíčových systémů logy jsou vyhodnocovány proaktivně (nestandardní záznamy) zabezpečení logů před změnou, smazáním… archivace

27 Vývoj a údržba systémů zadávání požadavků bezpečnost vývoje
efektivita vývoje (centralizace) testování metodologie dokumentovaní jasně definované procesy oddělení od provozu

28 Řízení komunikací a provozu (1/2)
správa IS odpovědnost & zastupitelnost zabezpečení prvků IS používané technologie, architektura spolehlivost systémů oddělení neslučitelných funkcí dokumentování činností nakládání s médii

29 Řízení komunikací a provozu (2/2)
všechny důležité platformy: mainframe, UNIX, VMS, Windows LAN, WAN, Internet, Extranet databáze, aplikační servery „core“ aplikace (BIS – front-end/back-end, ebanking…) podpůrné aplikace ( , technologické DB…) řízení změn, patche

30 Ochrana proti škodlivým programům
antiviry kde, jak, kdo kontrola integrity systémů a aplikací Tripwire, host-based IDS updaty

31 Řízení kontinuity zálohování postupy při neočekávané události DRP
testování, změny, doplňování záložní pracoviště krizové řízení odpovědnosti, způsob komunikace… povodně, 9/11 Záložní pracoviště – test dodavatelů – navezení techniky

32 Otázky (možná i odpovědi) ?

33 Co by vás zajímalo… …a co vás nezajímalo?

Stáhnout ppt "Petr Marek, ČNB petr.marek@cnb.cz Bankovní dohled IT Petr Marek, ČNB petr.marek@cnb.cz."

Podobné prezentace

Konference Bezpečnost v podmínkách organizací a institucí ČR

Konference "Bezpečnost v podmínkách organizací a institucí ČR"
Integrace aplikací s využitím komunikačního serveru Vema

Integrace aplikací s využitím komunikačního serveru Vema
13. Koordinace projektů Realizace změn Koordinace projektů

13. Koordinace projektů Realizace změn Koordinace projektů
IISPP ■ pojem definován v letech 2003-2004 v rámci přípravy výzkumných záměrů NPÚ na roky 2005-2011 ■ dlouhodobý projekt na vybudování nového komplexního.

IISPP ■ pojem definován v letech v rámci přípravy výzkumných záměrů NPÚ na roky ■ dlouhodobý projekt na vybudování nového komplexního.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc +420 723 064 701 Microsoft, s.r.o. Solution.

Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Systém základních registrů - bezpečné sdílení informací – Informační systém ORG Nová kompetence ÚOOÚ v roce 2010 Jiří Krump náměstek předsedy Brno 2009.

Systém základních registrů - bezpečné sdílení informací – Informační systém ORG Nová kompetence ÚOOÚ v roce 2010 Jiří Krump náměstek předsedy Brno 2009.
Audit IT procesů ve FNOL

Audit IT procesů ve FNOL
Efektivní informační bezpečnost

Efektivní informační bezpečnost
Řízení rizik ve veřejné správě legislativní rámec

Řízení rizik ve veřejné správě legislativní rámec
Daniel Kardoš Ing. Daniel Kardoš

Daniel Kardoš Ing. Daniel Kardoš
1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února 2013 9. Národní konference kvality ve veřejné správě.

Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února Národní konference kvality ve veřejné správě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina

7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace

Management kontinuity činností organizace
Informační technologie pro IZS a krizové řízení

Informační technologie pro IZS a krizové řízení
Auditorské postupy Činnosti před uzavřením smlouvy

Auditorské postupy Činnosti před uzavřením smlouvy
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.

Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Jaromír Skorkovský ESF MU KAMI

Jaromír Skorkovský ESF MU KAMI
Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš.

Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS :2004 Ing. Daniel Kardoš.
Datové schránky ve velké společnosti SharePoint partenrská konference Microsoft 2. 2. 2010 Pavel Salava Mainstream technologies,

Datové schránky ve velké společnosti SharePoint partenrská konference Microsoft Pavel Salava Mainstream technologies,

Podobné prezentace

Reklamy Google