Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Czy warto wdrażać ISO w Banku Spółdzielczym

OpublikowałBartosz Danel Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Czy warto wdrażać ISO w Banku Spółdzielczym"— Zapis prezentacji:

1 Czy warto wdrażać ISO 27001 w Banku Spółdzielczym
Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

2 Agenda ISO 27001 – zalety i wady
Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej Jak i kiedy wdrażać? Trudne obszary i pułapki Podsumowanie

3 Kim jesteśmy 10 lat na rynku polskim Zintegrowany system zarządzania:
ISO 9001 ISO 27001 AQAP (dla projektów NATO) Niezależny audytor i konsultant w zakresie bezpieczeństwa informacji Sektor bankowy: ponad 60% przychodów

4 ISO 27001 PN-ISO/IEC 27001:2007 Dlaczego to działa?
Zastąpiła PN-I :2005 Wywodzi się z BS 7799 Dlaczego to działa? Początki w armii brytyjskiej Prostota i efektywność = przewaga biznesowa Brak dodatkowych kosztów To biznes rządzi bezpieczeństwem Bezpieczeństwo nie jest celem samym w sobie Podejście procesowe

5 Model PDCA

6 Co definiuje norma? System Zarządzania Bezpieczeństwem Informacji (ang. ISMS) Zarządzanie ryzykiem Bezpieczeństwo osobowe Bezpieczeństwo fizyczne Zarządzanie incydentami i ciągłością działania Bezpieczeństwo aplikacyjne i systemowe Bezpieczeństwo we współpracy ze stroną trzecią i outsourcing Niezależne przeglądy i kontrolę nad systemem

7 Jak źle wdrożyć system bezpieczeństwa?
Stworzyć wiele dokumentów Stworzyć wiele skomplikowanych procedur Stworzyć system aby tylko uzyskać certyfikat Wybrać błędną metodykę zarządzania ryzykiem Kupić wiele różnych zabezpieczeń bez długofalowej strategii

8 Jak wdrożyć certyfikowany system?
Opracować deklarację stosowania a) Dobrze dobrany zakres certyfikacji Identyfikacja kluczowych graczy i procesów Analiza ryzyka i identyfikacja potrzeb Stworzenie dokumentacji Wdrożenie zabezpieczeń Audyt wewnętrzny Audyt certyfikacyjny

9 Korzyści dla Banku (1/3) Pomaga podczas inspekcji GINB’u w zakresie bezpieczeństwa IT i informacji Rekomendacja D Ujednolica sposób zarządzania informacją oraz klasyfikacji aktywów Uporządkowana struktura zarządzania bezpieczeństwem

10 Korzyści dla Banku (2/3) Rozwiązuje kwestie outsourcingu i stron trzecich Opisuje procesy zarządzania ciągłością działania Zarządzanie ryzykiem – BASEL II

11 Korzyści dla Banku (3/3) Zgodność z wymogami prawnymi
Ustawa o ochronie danych osobowych Ustawa o obrocie instrumentami finansowymi Uporządkowana dokumentacja polityki bezpieczeństwa Zarządzanie incydentami

12 Bezpieczeństwo aplikacyjne
Do 90% awarii wynika z błędów lub podatności w oprogramowaniu Krytyczny obszar w bezpieczeństwie systemów IT Różnorodność wykorzystywanych aplikacji utrudnia zarządzanie bezpieczeństwem

13 AVET RMM

14 RMM - korzenie Metodyka powstała na bazie projektów z zakresu bezpieczeństwa aplikacyjnego Selekcja i integracja zabezpieczeń Praktyki bezpiecznego programowania Testy penetracyjne metodą white-box (ew. black-box) Audyt kodu źródłowego Audyt środowiska i samej aplikacji Założenia projektów Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu Muszą się zmieścić w czasie i budżecie projektu Muszą doprowadzić do szybkiej identyfikacji i usunięcia poważnych problemów Muszą przekazać wiedzę jak w przyszłości nie popełniać tych samych błędów

15 Cele Identyfikacja zagrożeń (poprzez ich modelowanie)
Zrozum zagrożenia i konsekwencje Kategoryzacja Demonstracja problemów Eliminacja problemów i podatności Historia ryzyka Śledzenie zmian Lista priorytetów Zarządzanie jakością i procesem Q&A Najlepsze praktyki Wzory ataków

16 Dekompozycja aplikacji
Teoria: Jeśli usuniemy podatności we wszystkich komponentach aplikacji to aplikacja będzie bezpieczna Praktyka: Najczęściej narażone są punkty połączeń pomiędzy komponentami Rada: Warto przeprowadzić dekompozycję Należy rozpatrywać także cały system

17 Proces: Testy penetracyjne

18 AVET SecureCode! Attack Patterns – gotowa baza Zarządzanie ryzykiem
Pomoc w obszarze testowania Zarządzanie standardami wraz z wytycznymi Szybka identyfikacja zagrożeń Śledzenie problemów i podatności Różne metodyki błędów

19 SDL

20 Korzyści ze stosowania SDL
Obniżenie kosztów eksploatacji Zmniejszenie liczby incydentów Nowoczesne zarządzanie bezpieczeństwem Podejście oparte o zarządzanie ryzykiem Spełniamy wymogi GINB Zarządzanie Ryzykiem Operacyjnym

21 Jak realizować audyty i inspekcje
Wywiady Przegląd dokumentacji Przegląd zabezpieczeń Co z zabezpieczeniami technicznymi?

22 Katapulta

23 Funkcjonalność Nie wymaga instalacji! Analiza logów
Inspekcja praw dostępu do obiektów Wykrywanie brakujących poprawek Testy bezpieczeństwa dla IIS MS Exchange MS SQL Server

24 Podsumowanie System oparty o ISO może pomóc w efektywnym zarządzaniu bezpieczeństwem ISO to zestaw najlepszych praktyk To od nas zależy jaki kształt przybierze system bezpieczeństwa Odpowiednie wdrożenie systemu pomaga podczas inspekcji GINBu – wszystkie procesy są opisane i sprawowany jest nad nimi nadzór

25 Dziękuję za uwagę Pytania?

Pobierz ppt "Czy warto wdrażać ISO w Banku Spółdzielczym"

Podobne prezentacje

Słabe strony administracji publicznej wg Narodowej Strategii Spójności 2007

Słabe strony administracji publicznej wg Narodowej Strategii Spójności 2007
Pozwól pomóc swojej firmie! Informacje o systemie.

Pozwól pomóc swojej firmie! Informacje o systemie.

Zarządzanie Ryzykiem Operacyjnym

Zarządzanie Ryzykiem Operacyjnym
w OCENIE BANKÓW SPÓŁDZIELCZYCH SGB

w OCENIE BANKÓW SPÓŁDZIELCZYCH SGB
EControl – prostsze zarządzanie tożsamością pracowników Twórz Zarządzaj Audytuj Wolfgang Berger Omni Technology Solutions +49819299733-25

EControl – prostsze zarządzanie tożsamością pracowników Twórz Zarządzaj Audytuj Wolfgang Berger Omni Technology Solutions
MOF Microsoft Operations Framework

MOF Microsoft Operations Framework
Hotel Courtyard – Warszawa

Hotel Courtyard – Warszawa
SYSTEMY ZARZĄDZANIA - GENEZA

SYSTEMY ZARZĄDZANIA - GENEZA
Zarządzania Bezpieczeństwem Warto a może Nie?

Zarządzania Bezpieczeństwem Warto a może Nie?
Standardy organizacyjne zapewniające bezpieczeństwo informacji

Standardy organizacyjne zapewniające bezpieczeństwo informacji
1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.

1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.
Administracja zintegrowanych systemów zarządzania

Administracja zintegrowanych systemów zarządzania
Jakość systemów informacyjnych (aspekt eksploatacyjny)

Jakość systemów informacyjnych (aspekt eksploatacyjny)
Rational Unified Process

Rational Unified Process
Outsourcing Dlaczego niektórym się opłaca? 23 maja 2013 r. Zamość

Outsourcing Dlaczego niektórym się opłaca? 23 maja 2013 r. Zamość
Systemy zarządzania treścią CMS

Systemy zarządzania treścią CMS
Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.

Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.
7. Platformy informatyczne przyszłości (wizja SAP)

7. Platformy informatyczne przyszłości (wizja SAP)
Zarządzanie zmianami w systemie bezpieczeństwa - rozwiązania Check Point i partnerów OPSEC dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl.

Zarządzanie zmianami w systemie bezpieczeństwa - rozwiązania Check Point i partnerów OPSEC dr inż. Mariusz Stawowski

Podobne prezentacje

Reklamy Google