Realizacja harmonogramu wdrożenia Rozporządzenia DORA na podstawie ankiety KNF
Adresaci
W dniu 30.04.2024r. Banki otrzymały ankietę KNF w sprawie analizy luki wdrożenia Rozporządzenia PE i Rady w sprawie operacyjnej odporności cyfrowej, zwanego dalej Rozporządzeniem lub Standardami DORA. Na podstawie zidentyfikowanej luki banki opracowały harmonogramy wdrożenia zapisów Rozporządzenia DORA Celem niniejszego szkolenia jest analiza i domknięcie luki, tj. przegląd procedur wewnętrznych Banku od kątem realizacji harmonogramu wdrożenia Rozporządzenia DORA z uwzględnieniem realizacji działań zrzeszeniowych. Szkolenie jest skierowane do Członków Zarządu, szczególnie do Członka Zarządu nadzorującego bezpieczeństwo ICT w Banku, Administratorów Bezpieczeństwa Informatycznego (na podstawie zapisów Rekomendacji D i DORA), IOD, Administratorów Systemów Informatycznych, audytorów wewnętrznych, pracowników komórek ds. zarządzania ryzykiem operacyjnym, pracowników komórki ds. zgodności, kontroli wewnętrznej oraz innych osób zainteresowanych problematyką będącą przedmiotem szkolenia. Istnieje możliwość zorganizowania ww. szkolenia dla: - członków Rady Nadzorczej – na odpowiednim poziomie szczegółowości, - dla wszystkich pracowników banku spółdzielczego – z uwzględnieniem obowiązków wszystkich pracowników w zakresie bezpieczeństwa ICT – kultura ryzyka ICT.
Wymagania
Brak wymagań wstępnych.
Cel
Celem niniejszego szkolenia jest analiza i domknięcie luki, tj. przegląd procedur wewnętrznych Banku od kątem realizacji harmonogramu wdrożenia Rozporządzenia DORA z uwzględnieniem realizacji działań zrzeszeniowych.
Korzyści
1. Podczas szkolenia zostanie przeprowadzona analiza harmonogramu pod kątem działań technicznych, organizacyjnych, programowych itp.
2. W ramach szkolenia zostanie przeprowadzona inwentaryzacja oprogramowania wykorzystywanego przez Bank oraz architektura rozwiązań organizacyjnych oraz w zakresie infrastruktury technicznej,
3. Zostanie przeprowadzona przykładowa praktyczna analiza incydentu naruszenia bezpieczeństwa płatności (PSD2),
4. Uczestnik szkolenia otrzyma informacje w sprawie weryfikacji wewnętrznych procedur Banku pod kątem dostosowania do przyjętych rozwiązań w zakresie technologii i organizacji przetwarzania danych do przyjętej strategii informatyzacji.
5. Uczestnik otrzyma w ramach szkolenia projekty (przykłady):
a. Harmonogramu wdrożenia Rozporządzenia DORA,
b. Sprawozdania z realizacji ww. harmonogramu,
c. Strategii operacyjnej odporności cyfrowej, zawierającej zapisy dotyczące Rozporządzenia DORA oraz Rekomendacji D,
d. Instrukcji bezpieczeństwa systemów informatycznych i informacji,
e. Instrukcji bezpieczeństwa systemów informatycznych i informacji – z uwzględnieniem CPD,
f. Przykład zweryfikowanej procedury bezpieczeństwa dla pracowników, z uwzględnieniem zasad zdalnego dostępu do zasobów ICT Banku, w tym zasad dostępu użytkowników uprzywilejowanych,
g. Instrukcji zarządzania incydentami,
h. Planów awaryjnych, planów ciągłości działania,
i. Instrukcji outsourcingu z uwzględnieniem technologii chmury,
j. Planu testów warunków skrajnych,
k. Raportu z przeprowadzonych testów warunków skrajnych / testów planów awaryjnych.
l. Raportu z przeglądu procedur w obszarze ICT,
Metodyka
Szkolenie prowadzone za pośrednictwem Internetu przy użyciu platformy do zdalnego kształcenia. Czas trwania 2 x 90 min.
Szkolenie prowadzone jest w oparciu o wykład oraz metody aktywizujące uczestników.
Program
1. Definicja operacyjnej odporności cyfrowej,
2. Klasyfikacja systemów informatycznych funkcjonujących w bankach spółdzielczych w powiązaniu z weryfikacją listy procesów – lista procesów operacyjnych,
3. Analiza harmonogramu wdrożenia Standardów DORA na podstawie ankiety KNF z uwzględnieniem działań zrzeszeniowych,
4. Podstawowe kierunki działań wymaganych przez Rozporządzenie DORA:
a. W zakresie zabezpieczeń,
b. W zakresie planów awaryjnych i planów ciągłości działania
5. Strategiczne kierunki działań w zakresie budowy infrastruktury IT:
a. Budowa własnych zasobów,
b. Outsourcing,
c. Rozwiązania hybrydowe,
6. Analiza zagrożeń i podatności komponentów środowiska teleinformatycznego w obszarze operacyjnej odporności cyfrowej:
a. Sieci,
b. Sprzęt,
c. Oprogramowanie,
d. Kadry
7. Podział zadań w obszarze bezpieczeństwa IT, w tym danych osobowych, outsourcingu itp.
8. Zasady pracy zdalnej – uwzględnienie odpowiednich zapisów w procedurach bezpieczeństwa IT, ze szczególnym uwzględnieniem dostępu przez użytkowników uprzywilejowanych.
9. Zarządzanie bezpieczeństwem w obszarze komunikacji:
a. Internet – biała lista stron, certyfikacja stron,
b. Poczta elektroniczna – metody ochrony,
c. Intranet.
10. Zarządzanie bezpieczeństwem w obszarze działalności operacyjnej,
11. Analiza incydentu naruszenia bezpieczeństwa płatności – przykład praktyczny – sporządzenie formularza oceny incydentu.
12. Zasady raportowania incydentów do instytucji nadzorczych.
13. Zasady przetwarzania danych w chmurze obliczeniowej.
14. Outsourcing w obszarze IT.
15. Plany awaryjne w obszarze IT w ramach podstawowych komponentów środowiska teleinformatycznego, tj.
a. Sieci – dublowanie łączy, separacja sieci, kopiowanie ustawień sieciowych, zarządzanie dostępem zdalnym,
b. Sprzęt – rozwiązania nadmiarowe, ochrona stacji roboczych przed infekcją,
c. Oprogramowanie – kopiowanie ścieżek dostępu, ustawień konfiguracyjnych, danych, separacja kopii,
d. Inne,
16. Testy warunków skrajnych. Testowanie planów awaryjnych.
17. Raportowanie w sprawie operacyjnej odporności cyfrowej do Zarządu i Rady Nadzorczej,
18. Pytania i odpowiedzi.
Warunki uczestnictwa w sesjach on-line, e-szkoleniach
Uczestnictwo w sesji on-line, e-szkoleniu wymaga dostępu do komputera lub urządzenia mobilnego wraz z połączeniem internetowym, a także posiadania słuchawek bądź głośników podłączonych do komputera, które umożliwiają odbiór dźwięku. Zalecamy korzystanie z przeglądarki Google Chrome. Film instruktażowy jak przygotować stanowisko do odbioru sesji on-line: https://youtu.be/ieBEfXPAB5I
W celu upewnienia się czy wszystkie komponenty (połączenie internetowe, wtyczki) działają po-prawnie zalecamy przeprowadzenie testu połączenia. Test dostępny jest https://transmisjeonline.pl/tester/
Zgłoszenie i potwierdzenie uczestnictwa, odwołanie sesji on-line, e-szkolenia, rezygnacja z uczestnictwa
Zgłoszenia przyjmowane są na podstawie wypełnionego formularza zgłoszeniowego podpisanego przez osobę upoważnioną, przesłanego e-mailem, przez stronę WWW lub pocztą.
Realizacja zaplanowanej sesji on-line, e-szkolenia potwierdzana jest mailowo 1–2 dni przed terminem. W przypadku konieczności odwołania sesji on-line, e-szkolenia, BODiE kontaktuje się z zainteresowanymi bankami e-mailowo, na adres e-mail wskazany w zgłoszeniu.
Rezygnacja przyjmowana jest jedynie w formie pisemnej (e-mail lub pocztą) najpóźniej na 3 dni robocze przed planowanym terminem. Rezygnacja w terminie późniejszym uprawnia BODiE do wystawienia faktury na kwotę umożliwiającą pokrycie poniesionych kosztów w wysokości 50% odpłatności. Brak pisemnej rezygnacji uprawnia BODiE do wystawienia faktury w wysokości 100% odpłatności za sesję on-line, e-szkolenie.
Zasady odpłatności
Płatność za sesję on-line następuje na podstawie faktury VAT wystawionej po zakończeniu sesji on-line, e-szkolenia przez BODiE. Faktury wysyłane są w wersji elektronicznej, na adres e-mail podany w oświadczeniu dot. akceptacji e-faktury. W przypadku nie korzystania z e-faktury odpłatność za wydruk i wysyłkę papierową faktury wynosi 15,00 zł netto i doliczana jest do faktury za sesję on-line, e-szkolenie.
***
Informujemy, że ceny podane na naszej stronie www.bodie.pl dotyczą banków spółdzielczych i zrzeszających. Ceny szkoleń dla banków komercyjnych, innych instytucji finansowych i osób prywatnych, wynoszą:
- e-szkolenie: 650,00 netto za 1 osobę
- sesja on-line: 250,00 netto za 1 osobę.