1 / 33

Bankovní dohled IT

Bankovní dohled IT. Petr Marek, ČNB petr.marek@cnb.cz. Obsah přednášky. N co je bankovní dohled (BD) M standardy a metodika BD IT J průběh kontrol IT J oblasti kontrol IT J hlavní požadavky BD. Co to je „bankovní dohled“. Dohled finančních institucí v ČR. Bankovní dohled ČNB

ivor-dejesus
Télécharger la présentation

Bankovní dohled IT

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bankovní dohled IT Petr Marek, ČNB petr.marek@cnb.cz

  2. Obsah přednášky N co je bankovní dohled (BD) M standardy a metodika BD IT J průběh kontrol IT J oblasti kontrol IT J hlavní požadavky BD

  3. Co to je „bankovní dohled“

  4. Dohled finančních institucí v ČR • Bankovní dohled ČNB • Komise pro cenné papíry • Úřad pro dohled nad družstevními záložnami • Dozor nad pojišťovnictvím MF

  5. § Regulace BD IT § • Zákon o ČNB • Zákon o bankách (obezřetnost) • Zákon o státní kontrole • Opatření ČNB • Opatření ČNB č.2/2004 k vnitřnímu řídícímu a kontrolnímu systému banky • Regulace oblasti IT (nabylo platnosti 1.8.2004)

  6. Metodika BD IT • vnitřní metodika kontrol IT • ve vývoji, rozpracovává a doplňuje se • základy: • BS 7799 (ISO/IEC 17799/2000) • CobiT – Control Objectives for Information and Related Technology (www.isaca.org/cobit) • vlastní zkušenosti

  7. Průběh kontrol BD • vyžádání podkladů • analýza informací BD o bance • analýza předpisů a dokumentace banky • pohovory s pracovníky banky • ověřování zjištění • prezentace zjištění • protokol • opatření ČNB

  8. Oblasti kontrol IT – řízení (1/2) • Řízení • řízení rizik IT • základy pro bezpečné a stabilní prostření IT • nastavení potřebných procesů • standardizace prostředí (předpisová zákl.) • řízení bezpečnosti IT • řešení neslučitelných funkcí (konflikt zájmů) • bezpečnost spolupráce s dodavateli

  9. Oblasti kontrol IT – řízení (2/2) • Strategie rozvoje • Organizace a oddělení neslučitelných funkcí • Předpisová základna • Audit • Bezpečnostní politika • Klasifikace a řízení aktiv • Hodnocení a řízení rizik • Bezpečnostní incidenty • Bezpečnost přístupu třetích stran • Outsourcing • Personální bezpečnost

  10. Oblasti kontrol IT – provoz (1/2) • Provoz • implementace „teorie do praxe“ • technologie & architektura • přístup administrátorů • bezpečnost provozu • bezpečnost vývoje • připravenost na neočekávané události

  11. Oblasti kontrol IT – provoz (2/2) • Fyzická bezpečnost • Logická bezpečnost • Monitorování používání a přístupu k systému • Vývoj a údržba systémů • Řízení komunikací a provozu • Ochrana proti škodlivým programům • Řízení kontinuity

  12. Hlavní požadavky • pouze ukázky • nelze detailně pokrýt -  • detailněji – případná další přednáška • dotazy – interaktivně

  13. Strategie rozvoje • je vypracována strategie IT • je v souladu s obchodní strategií banky • je schválena představenstvem • je základem pro středně- a krátkodobé plánování v IT

  14. Organizace a oddělení neslučitelných funkcí • org. struktura je funkční a efektivní (spolupráce, informace, dokumentování) • je zajištěno oddělení neslučitelných funkcí (vývoj x provoz, provoz x bezpečnost…) • bezpečnostní manažér

  15. Předpisová základna • na základě kontroly všech oblastí • jsou pokryty všechny důležité oblasti • předpisová základna je konzistentní • nejsou rozpory mezi předpisy, • nejsou odvolávky na neexistující předpisy, • předpisy jsou dohledatelné,

  16. Audit • interní audit (IA) • funguje IA IT (i outsourcingem) • IA IT se zabývá relevantními problémy • IA IT je efektivní • zjištěné nedostatky jsou řešeny • externí audit (EA) • nezávislé ujištění o stavu IT • cílené audity

  17. Bezpečnostní politika (BP) • pokrývá všechny hlavní oblasti bezpečnosti v dostatečném detailu • je přijata představenstvem • postupuje se podle ní v praxi • je kontrolováno a vymáháno její dodržování

  18. Klasifikace a řízení aktiv IT • informační aktiva jsou identifikována a klasifikována • existuje předpis o klasifikaci aktiv IT • přístup k aktivům je řízen

  19. Hodnocení a řízení rizik IT • banka provedla analýzu rizik v oblasti IT • AR je aktualizována • rizika IT jsou řízena – snižování expozice riziku • nezávislost řízení rizik IT na vlastním IT

  20. Bezpečnostní incidenty • existuje předpis pro evidenci, řešení a odezvu na bezpečnostní incidenty • procesy pro řešení bezpečnostních incidentů jsou efektivní

  21. Bezpečnost přístupu třetích stran • je řešen v předpisové základně • je řízen • je bezpečný • je zpětně rekonstruovatelný

  22. Outsourcing • je analyzována jeho nutnost a výhodnost • banka řídí rizika s ním spojená • auditovatelnost • bankovní tajemství, osobní údaje • selhání dodavatele • smluvní zajištění

  23. Personální bezpečnost • prověřování zaměstnanců v IT • před nástupem • v průběhu pracovního poměru • u nás může narážet na ochranu osobních údajů

  24. Fyzická bezpečnost • řízení fyzického přístupu ke kritickým prvkům IT infrastruktury • servery, datové rozvaděče, zálohovací média • ochrana IT před fyzickým poškozením • hasící systémy, kontrola teploty…

  25. Logická bezpečnost • přístup do IS banky je řízen • autorizace, identifikace, autentizace • je jednoznačné přiřazení uživatel-account • přidělování uživatelských práv je systematické a bezpečné • probíhá kontrola • privilegované účty – zvýšený dohled • oddělení neslučitelných funkcí

  26. Monitorování používání systému • vznikají systémové a auditní logy • u klíčových systémů • logy jsou vyhodnocovány • proaktivně (nestandardní záznamy) • zabezpečení logů před změnou, smazáním… • archivace

  27. Vývoj a údržba systémů • zadávání požadavků • bezpečnost vývoje • efektivita vývoje (centralizace) • testování • metodologie • dokumentovaní • jasně definované procesy • oddělení od provozu

  28. Řízení komunikací a provozu (1/2) • správa IS • odpovědnost & zastupitelnost • zabezpečení prvků IS • používané technologie, architektura • spolehlivost systémů • oddělení neslučitelných funkcí • dokumentování činností • nakládání s médii

  29. Řízení komunikací a provozu (2/2) • všechny důležité platformy: • mainframe, UNIX, VMS, Windows • LAN, WAN, Internet, Extranet • databáze, aplikační servery • „core“ aplikace (BIS – front-end/back-end, ebanking…) • podpůrné aplikace (e-mail, technologické DB…) • řízení změn, patche

  30. Ochrana proti škodlivým programům • antiviry • kde, jak, kdo • kontrola integrity systémů a aplikací • Tripwire, host-based IDS • updaty

  31. Řízení kontinuity • zálohování • postupy při neočekávané události • DRP • testování, změny, doplňování • záložní pracoviště • krizové řízení • odpovědnosti, způsob komunikace… • povodně, 9/11

  32. Otázky (možná i odpovědi) ?

  33. Co by vás zajímalo… …a co vás nezajímalo? petr.marek@cnb.cz

More Related