Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Czy warto wdrażać ISO w Banku Spółdzielczym

Podobne prezentacje


Prezentacja na temat: "Czy warto wdrażać ISO w Banku Spółdzielczym"— Zapis prezentacji:

1 Czy warto wdrażać ISO 27001 w Banku Spółdzielczym
Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

2 Agenda ISO 27001 – zalety i wady
Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej Jak i kiedy wdrażać? Trudne obszary i pułapki Podsumowanie

3 Kim jesteśmy 10 lat na rynku polskim Zintegrowany system zarządzania:
ISO 9001 ISO 27001 AQAP (dla projektów NATO) Niezależny audytor i konsultant w zakresie bezpieczeństwa informacji Sektor bankowy: ponad 60% przychodów

4 ISO 27001 PN-ISO/IEC 27001:2007 Dlaczego to działa?
Zastąpiła PN-I :2005 Wywodzi się z BS 7799 Dlaczego to działa? Początki w armii brytyjskiej Prostota i efektywność = przewaga biznesowa Brak dodatkowych kosztów To biznes rządzi bezpieczeństwem Bezpieczeństwo nie jest celem samym w sobie Podejście procesowe

5 Model PDCA

6 Co definiuje norma? System Zarządzania Bezpieczeństwem Informacji (ang. ISMS) Zarządzanie ryzykiem Bezpieczeństwo osobowe Bezpieczeństwo fizyczne Zarządzanie incydentami i ciągłością działania Bezpieczeństwo aplikacyjne i systemowe Bezpieczeństwo we współpracy ze stroną trzecią i outsourcing Niezależne przeglądy i kontrolę nad systemem

7 Jak źle wdrożyć system bezpieczeństwa?
Stworzyć wiele dokumentów Stworzyć wiele skomplikowanych procedur Stworzyć system aby tylko uzyskać certyfikat Wybrać błędną metodykę zarządzania ryzykiem Kupić wiele różnych zabezpieczeń bez długofalowej strategii

8 Jak wdrożyć certyfikowany system?
Opracować deklarację stosowania a) Dobrze dobrany zakres certyfikacji Identyfikacja kluczowych graczy i procesów Analiza ryzyka i identyfikacja potrzeb Stworzenie dokumentacji Wdrożenie zabezpieczeń Audyt wewnętrzny Audyt certyfikacyjny

9 Korzyści dla Banku (1/3) Pomaga podczas inspekcji GINB’u w zakresie bezpieczeństwa IT i informacji Rekomendacja D Ujednolica sposób zarządzania informacją oraz klasyfikacji aktywów Uporządkowana struktura zarządzania bezpieczeństwem

10 Korzyści dla Banku (2/3) Rozwiązuje kwestie outsourcingu i stron trzecich Opisuje procesy zarządzania ciągłością działania Zarządzanie ryzykiem – BASEL II

11 Korzyści dla Banku (3/3) Zgodność z wymogami prawnymi
Ustawa o ochronie danych osobowych Ustawa o obrocie instrumentami finansowymi Uporządkowana dokumentacja polityki bezpieczeństwa Zarządzanie incydentami

12 Bezpieczeństwo aplikacyjne
Do 90% awarii wynika z błędów lub podatności w oprogramowaniu Krytyczny obszar w bezpieczeństwie systemów IT Różnorodność wykorzystywanych aplikacji utrudnia zarządzanie bezpieczeństwem

13 AVET RMM

14 RMM - korzenie Metodyka powstała na bazie projektów z zakresu bezpieczeństwa aplikacyjnego Selekcja i integracja zabezpieczeń Praktyki bezpiecznego programowania Testy penetracyjne metodą white-box (ew. black-box) Audyt kodu źródłowego Audyt środowiska i samej aplikacji Założenia projektów Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu Muszą się zmieścić w czasie i budżecie projektu Muszą doprowadzić do szybkiej identyfikacji i usunięcia poważnych problemów Muszą przekazać wiedzę jak w przyszłości nie popełniać tych samych błędów

15 Cele Identyfikacja zagrożeń (poprzez ich modelowanie)
Zrozum zagrożenia i konsekwencje Kategoryzacja Demonstracja problemów Eliminacja problemów i podatności Historia ryzyka Śledzenie zmian Lista priorytetów Zarządzanie jakością i procesem Q&A Najlepsze praktyki Wzory ataków

16 Dekompozycja aplikacji
Teoria: Jeśli usuniemy podatności we wszystkich komponentach aplikacji to aplikacja będzie bezpieczna Praktyka: Najczęściej narażone są punkty połączeń pomiędzy komponentami Rada: Warto przeprowadzić dekompozycję Należy rozpatrywać także cały system

17 Proces: Testy penetracyjne

18 AVET SecureCode! Attack Patterns – gotowa baza Zarządzanie ryzykiem
Pomoc w obszarze testowania Zarządzanie standardami wraz z wytycznymi Szybka identyfikacja zagrożeń Śledzenie problemów i podatności Różne metodyki błędów

19 SDL

20 Korzyści ze stosowania SDL
Obniżenie kosztów eksploatacji Zmniejszenie liczby incydentów Nowoczesne zarządzanie bezpieczeństwem Podejście oparte o zarządzanie ryzykiem Spełniamy wymogi GINB Zarządzanie Ryzykiem Operacyjnym

21 Jak realizować audyty i inspekcje
Wywiady Przegląd dokumentacji Przegląd zabezpieczeń Co z zabezpieczeniami technicznymi?

22 Katapulta

23 Funkcjonalność Nie wymaga instalacji! Analiza logów
Inspekcja praw dostępu do obiektów Wykrywanie brakujących poprawek Testy bezpieczeństwa dla IIS MS Exchange MS SQL Server

24 Podsumowanie System oparty o ISO może pomóc w efektywnym zarządzaniu bezpieczeństwem ISO to zestaw najlepszych praktyk To od nas zależy jaki kształt przybierze system bezpieczeństwa Odpowiednie wdrożenie systemu pomaga podczas inspekcji GINBu – wszystkie procesy są opisane i sprawowany jest nad nimi nadzór

25 Dziękuję za uwagę Pytania?


Pobierz ppt "Czy warto wdrażać ISO w Banku Spółdzielczym"

Podobne prezentacje


Reklamy Google