1 / 25

Czy warto wdrażać ISO 27001 w Banku Spółdzielczym

Czy warto wdrażać ISO 27001 w Banku Spółdzielczym. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda. ISO 27001 – zalety i wady Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej Jak i kiedy wdrażać? Trudne obszary i pułapki Podsumowanie. Kim jesteśmy.

huslu
Download Presentation

Czy warto wdrażać ISO 27001 w Banku Spółdzielczym

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Czy warto wdrażać ISO 27001 w Banku Spółdzielczym Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

  2. Agenda • ISO 27001 – zalety i wady • Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej • Jak i kiedy wdrażać? • Trudne obszary i pułapki • Podsumowanie

  3. Kim jesteśmy • 10 lat na rynku polskim • Zintegrowany system zarządzania: • ISO 9001 • ISO 27001 • AQAP (dla projektów NATO) • Niezależny audytor i konsultant w zakresie bezpieczeństwa informacji • Sektor bankowy: ponad 60% przychodów

  4. ISO 27001 • PN-ISO/IEC 27001:2007 • Zastąpiła PN-I-07799-2:2005 • Wywodzi się z BS 7799 • Dlaczego to działa? • Początki w armii brytyjskiej • Prostota i efektywność = przewaga biznesowa • Brak dodatkowych kosztów • To biznes rządzi bezpieczeństwem • Bezpieczeństwo nie jest celem samym w sobie • Podejście procesowe

  5. Model PDCA

  6. Co definiuje norma? • System Zarządzania Bezpieczeństwem Informacji (ang. ISMS) • Zarządzanie ryzykiem • Bezpieczeństwo osobowe • Bezpieczeństwo fizyczne • Zarządzanie incydentami i ciągłością działania • Bezpieczeństwo aplikacyjne i systemowe • Bezpieczeństwo we współpracy ze stroną trzecią i outsourcing • Niezależne przeglądy i kontrolę nad systemem

  7. Jak źle wdrożyć system bezpieczeństwa? • Stworzyć wiele dokumentów • Stworzyć wiele skomplikowanych procedur • Stworzyć system aby tylko uzyskać certyfikat • Wybrać błędną metodykę zarządzania ryzykiem • Kupić wiele różnych zabezpieczeń bez długofalowej strategii

  8. Jak wdrożyć certyfikowany system? • Opracować deklarację stosowania a) Dobrze dobrany zakres certyfikacji • Identyfikacja kluczowych graczy i procesów • Analiza ryzyka i identyfikacja potrzeb • Stworzenie dokumentacji • Wdrożenie zabezpieczeń • Audyt wewnętrzny • Audyt certyfikacyjny

  9. Korzyści dla Banku (1/3) • Pomaga podczas inspekcji GINB’u w zakresie bezpieczeństwa IT i informacji • Rekomendacja D • Ujednolica sposób zarządzania informacją oraz klasyfikacji aktywów • Uporządkowana struktura zarządzania bezpieczeństwem

  10. Korzyści dla Banku (2/3) • Rozwiązuje kwestie outsourcingu i stron trzecich • Opisuje procesy zarządzania ciągłością działania • Zarządzanie ryzykiem – BASEL II

  11. Korzyści dla Banku (3/3) • Zgodność z wymogami prawnymi • Ustawa o ochronie danych osobowych • Ustawa o obrocie instrumentami finansowymi • Uporządkowana dokumentacja polityki bezpieczeństwa • Zarządzanie incydentami

  12. Bezpieczeństwo aplikacyjne • Do 90% awarii wynika z błędów lub podatności w oprogramowaniu • Krytyczny obszar w bezpieczeństwie systemów IT • Różnorodność wykorzystywanych aplikacji utrudnia zarządzanie bezpieczeństwem

  13. AVET RMM

  14. RMM - korzenie • Metodyka powstała na bazie projektów z zakresu bezpieczeństwa aplikacyjnego • Selekcja i integracja zabezpieczeń • Praktyki bezpiecznego programowania • Testy penetracyjne metodą white-box (ew. black-box) • Audyt kodu źródłowego • Audyt środowiska i samej aplikacji • Założenia projektów • Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu • Muszą się zmieścić w czasie i budżecie projektu • Muszą doprowadzić do szybkiej identyfikacji i usunięcia poważnych problemów • Muszą przekazać wiedzę jak w przyszłości nie popełniać tych samych błędów

  15. Cele • Identyfikacja zagrożeń (poprzez ich modelowanie) • Zrozum zagrożenia i konsekwencje • Kategoryzacja • Demonstracja problemów • Eliminacja problemów i podatności • Historia ryzyka • Śledzenie zmian • Lista priorytetów • Zarządzanie jakością i procesem Q&A • Najlepsze praktyki • Wzory ataków

  16. Dekompozycja aplikacji • Teoria: • Jeśli usuniemy podatności we wszystkich komponentach aplikacji to aplikacja będzie bezpieczna • Praktyka: • Najczęściej narażone są punkty połączeń pomiędzy komponentami • Rada: • Warto przeprowadzić dekompozycję • Należy rozpatrywać także cały system

  17. Proces:Testy penetracyjne

  18. AVET SecureCode! Attack Patterns – gotowa baza Zarządzanie ryzykiem Pomoc w obszarze testowania Zarządzanie standardami wraz z wytycznymi Szybka identyfikacja zagrożeń Śledzenie problemów i podatności Różne metodyki błędów

  19. SDL

  20. Korzyści ze stosowania SDL • Obniżenie kosztów eksploatacji • Zmniejszenie liczby incydentów • Nowoczesne zarządzanie bezpieczeństwem • Podejście oparte o zarządzanie ryzykiem • Spełniamy wymogi GINB • Zarządzanie Ryzykiem Operacyjnym

  21. Jak realizować audyty i inspekcje • Wywiady • Przegląd dokumentacji • Przegląd zabezpieczeń • Co z zabezpieczeniami technicznymi?

  22. Katapulta

  23. Funkcjonalność • Nie wymaga instalacji! • Analiza logów • Inspekcja praw dostępu do obiektów • Wykrywanie brakujących poprawek • Testy bezpieczeństwa dla • IIS • MS Exchange • MS SQL Server

  24. Podsumowanie • System oparty o ISO 27001 może pomóc w efektywnym zarządzaniu bezpieczeństwem • ISO 27001 to zestaw najlepszych praktyk • To od nas zależy jaki kształt przybierze system bezpieczeństwa • Odpowiednie wdrożenie systemu pomaga podczas inspekcji GINBu – wszystkie procesy są opisane i sprawowany jest nad nimi nadzór

  25. Dziękuję za uwagę • Pytania? aleksander.czarnowski@avet.com.pl

More Related