Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Czy warto wdrażać ISO 27001 w Banku Spółdzielczym Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Podobne prezentacje


Prezentacja na temat: "Czy warto wdrażać ISO 27001 w Banku Spółdzielczym Aleksander Czarnowski AVET Information and Network Security Sp. z o.o."— Zapis prezentacji:

1 Czy warto wdrażać ISO w Banku Spółdzielczym Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

2 Agenda ISO – zalety i wady Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej Jak i kiedy wdrażać? Trudne obszary i pułapki Podsumowanie

3 Kim jesteśmy 10 lat na rynku polskim Zintegrowany system zarządzania: –ISO 9001 –ISO –AQAP (dla projektów NATO) Niezależny audytor i konsultant w zakresie bezpieczeństwa informacji Sektor bankowy: ponad 60% przychodów

4 ISO PN-ISO/IEC 27001:2007 –Zastąpiła PN-I :2005 –Wywodzi się z BS 7799 Dlaczego to działa? –Początki w armii brytyjskiej –Prostota i efektywność = przewaga biznesowa Brak dodatkowych kosztów –To biznes rządzi bezpieczeństwem –Bezpieczeństwo nie jest celem samym w sobie –Podejście procesowe

5 Model PDCA

6 Co definiuje norma? System Zarządzania Bezpieczeństwem Informacji (ang. ISMS) –Zarządzanie ryzykiem –Bezpieczeństwo osobowe –Bezpieczeństwo fizyczne –Zarządzanie incydentami i ciągłością działania –Bezpieczeństwo aplikacyjne i systemowe –Bezpieczeństwo we współpracy ze stroną trzecią i outsourcing –Niezależne przeglądy i kontrolę nad systemem

7 Jak źle wdrożyć system bezpieczeństwa? Stworzyć wiele dokumentów Stworzyć wiele skomplikowanych procedur Stworzyć system aby tylko uzyskać certyfikat Wybrać błędną metodykę zarządzania ryzykiem Kupić wiele różnych zabezpieczeń bez długofalowej strategii

8 Jak wdrożyć certyfikowany system? 1.Opracować deklarację stosowania a) Dobrze dobrany zakres certyfikacji 2.Identyfikacja kluczowych graczy i procesów 3.Analiza ryzyka i identyfikacja potrzeb 4.Stworzenie dokumentacji 5.Wdrożenie zabezpieczeń 6.Audyt wewnętrzny 7.Audyt certyfikacyjny

9 Korzyści dla Banku (1/3) Pomaga podczas inspekcji GINBu w zakresie bezpieczeństwa IT i informacji –Rekomendacja D Ujednolica sposób zarządzania informacją oraz klasyfikacji aktywów Uporządkowana struktura zarządzania bezpieczeństwem

10 Korzyści dla Banku (2/3) Rozwiązuje kwestie outsourcingu i stron trzecich Opisuje procesy zarządzania ciągłością działania Zarządzanie ryzykiem – BASEL II

11 Korzyści dla Banku (3/3) Zgodność z wymogami prawnymi –Ustawa o ochronie danych osobowych –Ustawa o obrocie instrumentami finansowymi Uporządkowana dokumentacja polityki bezpieczeństwa Zarządzanie incydentami

12 Bezpieczeństwo aplikacyjne Do 90% awarii wynika z błędów lub podatności w oprogramowaniu Krytyczny obszar w bezpieczeństwie systemów IT Różnorodność wykorzystywanych aplikacji utrudnia zarządzanie bezpieczeństwem

13 AVET RMM

14 RMM - korzenie Metodyka powstała na bazie projektów z zakresu bezpieczeństwa aplikacyjnego –Selekcja i integracja zabezpieczeń –Praktyki bezpiecznego programowania –Testy penetracyjne metodą white-box (ew. black-box) –Audyt kodu źródłowego –Audyt środowiska i samej aplikacji Założenia projektów –Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu –Muszą się zmieścić w czasie i budżecie projektu –Muszą doprowadzić do szybkiej identyfikacji i usunięcia poważnych problemów –Muszą przekazać wiedzę jak w przyszłości nie popełniać tych samych błędów

15 Cele Identyfikacja zagrożeń (poprzez ich modelowanie) –Zrozum zagrożenia i konsekwencje –Kategoryzacja –Demonstracja problemów Eliminacja problemów i podatności –Historia ryzyka –Śledzenie zmian –Lista priorytetów Zarządzanie jakością i procesem Q&A –Najlepsze praktyki –Wzory ataków

16 Dekompozycja aplikacji Teoria: –Jeśli usuniemy podatności we wszystkich komponentach aplikacji to aplikacja będzie bezpieczna Praktyka: –Najczęściej narażone są punkty połączeń pomiędzy komponentami Rada: –Warto przeprowadzić dekompozycję –Należy rozpatrywać także cały system

17 Proces: Testy penetracyjne

18 AVET SecureCode! Zarządzanie ryzykiem Śledzenie problemów i podatności Różne metodyki błędów Attack Patterns – gotowa baza Pomoc w obszarze testowania Szybka identyfikacja zagrożeń Zarządzanie standardami wraz z wytycznymi

19 SDL

20 Korzyści ze stosowania SDL Obniżenie kosztów eksploatacji Zmniejszenie liczby incydentów Nowoczesne zarządzanie bezpieczeństwem Podejście oparte o zarządzanie ryzykiem –Spełniamy wymogi GINB –Zarządzanie Ryzykiem Operacyjnym

21 Jak realizować audyty i inspekcje Wywiady Przegląd dokumentacji Przegląd zabezpieczeń Co z zabezpieczeniami technicznymi?

22 Katapulta

23 Funkcjonalność Nie wymaga instalacji! Analiza logów Inspekcja praw dostępu do obiektów Wykrywanie brakujących poprawek Testy bezpieczeństwa dla –IIS –MS Exchange –MS SQL Server

24 Podsumowanie System oparty o ISO może pomóc w efektywnym zarządzaniu bezpieczeństwem ISO to zestaw najlepszych praktyk To od nas zależy jaki kształt przybierze system bezpieczeństwa Odpowiednie wdrożenie systemu pomaga podczas inspekcji GINBu – wszystkie procesy są opisane i sprawowany jest nad nimi nadzór

25 Dziękuję za uwagę Pytania?


Pobierz ppt "Czy warto wdrażać ISO 27001 w Banku Spółdzielczym Aleksander Czarnowski AVET Information and Network Security Sp. z o.o."

Podobne prezentacje


Reklamy Google