Czy warto wdrażać ISO w Banku Spółdzielczym

Slides:



Advertisements
Podobne prezentacje
Słabe strony administracji publicznej wg Narodowej Strategii Spójności 2007
Advertisements

Pozwól pomóc swojej firmie! Informacje o systemie.

Zarządzanie Ryzykiem Operacyjnym
w OCENIE BANKÓW SPÓŁDZIELCZYCH SGB
EControl – prostsze zarządzanie tożsamością pracowników Twórz Zarządzaj Audytuj Wolfgang Berger Omni Technology Solutions
MOF Microsoft Operations Framework
Hotel Courtyard – Warszawa
SYSTEMY ZARZĄDZANIA - GENEZA
Zarządzania Bezpieczeństwem Warto a może Nie?
Standardy organizacyjne zapewniające bezpieczeństwo informacji
1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.
Administracja zintegrowanych systemów zarządzania
Jakość systemów informacyjnych (aspekt eksploatacyjny)
Rational Unified Process
Outsourcing Dlaczego niektórym się opłaca? 23 maja 2013 r. Zamość
Systemy zarządzania treścią CMS
Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.
7. Platformy informatyczne przyszłości (wizja SAP)
Zarządzanie zmianami w systemie bezpieczeństwa - rozwiązania Check Point i partnerów OPSEC dr inż. Mariusz Stawowski
C.d. wstępu do tematyki RUP
ALM (Asset Life Cycle Management) - wsparcie procesów biznesowych w obszarze zarządzania cyklem życia majątku. Centralny Ośrodek Informatyki Górnictwa.
Nowoczesny system zarządzania firmą
SecPoint Penetrator Audyt sieci może być przyjemny
Adam Walicki - 30 września 2010
ZINTEGROWANY SYSTEM ZARZĄDZANIA
System ułatwiający zarządzanie Jednostką
AKREDYTACJA LABORATORIUM Czy warto
Kompleksowe zarządzanie jakością informacji (TIQM)
Usługi Doradcze IMPLEMENT Małgorzata Zaborska
GRC.
COBIT 5 Streszczenie dla Kierownictwa
Niemiecki proces certyfikacji przyłączy elektroenergetycznych
ZARZĄDZANIE JAKOŚCIĄ plan zajęć
Wymiana integracja ? oprogramowania dr Danuta Kajrunajtys.
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
Sp. z o.o. w Toruniu Jesteśmy firmą od 20 lat działająca na rynku IT Posiadamy System Zarządzania Jakością zgodny z wymogami normy PN-EN ISO 9001:2009.
7-8 listopada 2007 Central European Outsourcing Forum
Bezpieczeństwo a zarządzanie projektami
Copyright (c) 2007 DGA S.A. | All rights reserved. Skuteczny i efektywny samorząd terytorialny Warszawa, 8 października 2010 r. System Przeciwdziałania.
GRUPA ROBOCZA 5 ZAPOBIEGANIE POWAŻNYM AWARIOM W PRZEMYŚLE
Internetowego Biura Rachunkowego
1 Optymalizacja modelu IT do potrzeb biznesowych w firmie Międzyzdroje, Maja 2014r.
Audyt wewnętrzny jako źródło oceny kontroli zarządczej w jednostce
Zarządzanie bezpieczeństwem sieci akademickiej
Business Consulting Services © 2005 IBM Corporation Confidential.
Koncepcje zarządzania jakością (prof. nadzw. dr hab. Zofia Zymonik)
Dodatkowe slajdy (Koszty jakości)
Copyright © Jerzy R. Nawrocki Team Software Process Inżynieria oprogramowania II Wykład.
Kompleksowe usługi UDT
Wdrażanie SYSTEMU Jacek WĘGLARCZYK.
Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ergonomia procesów informacyjnych
WDRAŻANIE SYSTEMÓW Grażyna Szydłowska.
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Wdrożenie Foglight w Urzędzie Dozoru Technicznego
Moduł e-Kontroli Grzegorz Dziurla.
Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012.
Zintegrowany monitoring infrastruktury IT w Budimex
Zarządzanie wdrożeniem oprogramowania w organizacji w oparciu o metodykę ITIL Michał Majewski s4440 Praca magisterska napisana pod kierunkiem dr inż. Tomasza.
Punkt Informacyjny Funduszy Europejskich, styczeń 2014 r.
ZAJĘCIA. Rozkład 6 prezentacji, każda z innego obszaru DiD Każda z prezentacji przygotowana przez 2 osobowy zespół Ostatnie zajęcia – termin rezerwowy,
Monitoring efektów realizacji Projektu PL0100 „Wzrost efektywności działalności Inspekcji Ochrony Środowiska, na podstawie doświadczeń norweskich” Działania.
Kluczowe aspekty realizacji projektów PPP Listopad 2011.
Metoda weryfikacji zakresu wdrożenia standardu ISO w przedsiębiorstwach Prowadzący: Krzysztof Janicki, Auditor Wiodący PRS Certyfikacja Termin i.
GROUP Systemy zarządzania wg norm ISO w placówkach medycznych – skuteczne narzędzie zarządzania Prof. dr hab. Marek Bugdol – Auditor Wiodący IMQ Dorota.
„Szczegółowa analiza wpływu aktualizacji na poziom bezpieczeństwa systemów operacyjnych Microsoft Windows” Wykonał: Piotr Ognicki nr albumu: 6009 Promotor:
COBIT 5 Streszczenie dla Kierownictwa
Audyt niezależna ocena skuteczności miejskiego systemu CCTV
Zapis prezentacji:

Czy warto wdrażać ISO 27001 w Banku Spółdzielczym Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Agenda ISO 27001 – zalety i wady Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej Jak i kiedy wdrażać? Trudne obszary i pułapki Podsumowanie

Kim jesteśmy 10 lat na rynku polskim Zintegrowany system zarządzania: ISO 9001 ISO 27001 AQAP (dla projektów NATO) Niezależny audytor i konsultant w zakresie bezpieczeństwa informacji Sektor bankowy: ponad 60% przychodów

ISO 27001 PN-ISO/IEC 27001:2007 Dlaczego to działa? Zastąpiła PN-I-07799-2:2005 Wywodzi się z BS 7799 Dlaczego to działa? Początki w armii brytyjskiej Prostota i efektywność = przewaga biznesowa Brak dodatkowych kosztów To biznes rządzi bezpieczeństwem Bezpieczeństwo nie jest celem samym w sobie Podejście procesowe

Model PDCA

Co definiuje norma? System Zarządzania Bezpieczeństwem Informacji (ang. ISMS) Zarządzanie ryzykiem Bezpieczeństwo osobowe Bezpieczeństwo fizyczne Zarządzanie incydentami i ciągłością działania Bezpieczeństwo aplikacyjne i systemowe Bezpieczeństwo we współpracy ze stroną trzecią i outsourcing Niezależne przeglądy i kontrolę nad systemem

Jak źle wdrożyć system bezpieczeństwa? Stworzyć wiele dokumentów Stworzyć wiele skomplikowanych procedur Stworzyć system aby tylko uzyskać certyfikat Wybrać błędną metodykę zarządzania ryzykiem Kupić wiele różnych zabezpieczeń bez długofalowej strategii

Jak wdrożyć certyfikowany system? Opracować deklarację stosowania a) Dobrze dobrany zakres certyfikacji Identyfikacja kluczowych graczy i procesów Analiza ryzyka i identyfikacja potrzeb Stworzenie dokumentacji Wdrożenie zabezpieczeń Audyt wewnętrzny Audyt certyfikacyjny

Korzyści dla Banku (1/3) Pomaga podczas inspekcji GINB’u w zakresie bezpieczeństwa IT i informacji Rekomendacja D Ujednolica sposób zarządzania informacją oraz klasyfikacji aktywów Uporządkowana struktura zarządzania bezpieczeństwem

Korzyści dla Banku (2/3) Rozwiązuje kwestie outsourcingu i stron trzecich Opisuje procesy zarządzania ciągłością działania Zarządzanie ryzykiem – BASEL II

Korzyści dla Banku (3/3) Zgodność z wymogami prawnymi Ustawa o ochronie danych osobowych Ustawa o obrocie instrumentami finansowymi Uporządkowana dokumentacja polityki bezpieczeństwa Zarządzanie incydentami

Bezpieczeństwo aplikacyjne Do 90% awarii wynika z błędów lub podatności w oprogramowaniu Krytyczny obszar w bezpieczeństwie systemów IT Różnorodność wykorzystywanych aplikacji utrudnia zarządzanie bezpieczeństwem

AVET RMM

RMM - korzenie Metodyka powstała na bazie projektów z zakresu bezpieczeństwa aplikacyjnego Selekcja i integracja zabezpieczeń Praktyki bezpiecznego programowania Testy penetracyjne metodą white-box (ew. black-box) Audyt kodu źródłowego Audyt środowiska i samej aplikacji Założenia projektów Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu Muszą się zmieścić w czasie i budżecie projektu Muszą doprowadzić do szybkiej identyfikacji i usunięcia poważnych problemów Muszą przekazać wiedzę jak w przyszłości nie popełniać tych samych błędów

Cele Identyfikacja zagrożeń (poprzez ich modelowanie) Zrozum zagrożenia i konsekwencje Kategoryzacja Demonstracja problemów Eliminacja problemów i podatności Historia ryzyka Śledzenie zmian Lista priorytetów Zarządzanie jakością i procesem Q&A Najlepsze praktyki Wzory ataków

Dekompozycja aplikacji Teoria: Jeśli usuniemy podatności we wszystkich komponentach aplikacji to aplikacja będzie bezpieczna Praktyka: Najczęściej narażone są punkty połączeń pomiędzy komponentami Rada: Warto przeprowadzić dekompozycję Należy rozpatrywać także cały system

Proces: Testy penetracyjne

AVET SecureCode! Attack Patterns – gotowa baza Zarządzanie ryzykiem Pomoc w obszarze testowania Zarządzanie standardami wraz z wytycznymi Szybka identyfikacja zagrożeń Śledzenie problemów i podatności Różne metodyki błędów

SDL

Korzyści ze stosowania SDL Obniżenie kosztów eksploatacji Zmniejszenie liczby incydentów Nowoczesne zarządzanie bezpieczeństwem Podejście oparte o zarządzanie ryzykiem Spełniamy wymogi GINB Zarządzanie Ryzykiem Operacyjnym

Jak realizować audyty i inspekcje Wywiady Przegląd dokumentacji Przegląd zabezpieczeń Co z zabezpieczeniami technicznymi?

Katapulta

Funkcjonalność Nie wymaga instalacji! Analiza logów Inspekcja praw dostępu do obiektów Wykrywanie brakujących poprawek Testy bezpieczeństwa dla IIS MS Exchange MS SQL Server

Podsumowanie System oparty o ISO 27001 może pomóc w efektywnym zarządzaniu bezpieczeństwem ISO 27001 to zestaw najlepszych praktyk To od nas zależy jaki kształt przybierze system bezpieczeństwa Odpowiednie wdrożenie systemu pomaga podczas inspekcji GINBu – wszystkie procesy są opisane i sprawowany jest nad nimi nadzór

Dziękuję za uwagę Pytania? aleksander.czarnowski@avet.com.pl

Zwrotny adres: Polityka prywatności Zwrotny adres
О projekcie: SlidePlayer Regulamin

© 2024 SlidePlayer.pl Inc. All rights reserved.