Czy warto wdrazac ISO 27001 w Banku Sp - PowerPoint PPT Presentation

Loading...

PPT – Czy warto wdrazac ISO 27001 w Banku Sp PowerPoint presentation | free to download - id: 6b4655-ZDkyO



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

Czy warto wdrazac ISO 27001 w Banku Sp

Description:

Czy warto wdra a ISO 27001 w Banku Sp dzielczym Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady ... – PowerPoint PPT presentation

Number of Views:4
Avg rating:3.0/5.0
Date added: 5 July 2019
Slides: 26
Provided by: Aleksande6
Learn more at: http://bs.net.pl
Category:
Tags: iso | banku | czy | warto | wdrazac

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: Czy warto wdrazac ISO 27001 w Banku Sp


1
Czy warto wdrazac ISO 27001 w Banku Spóldzielczym
  • Aleksander Czarnowski
  • AVET Information and Network Security Sp. z o.o.

2
Agenda
  • ISO 27001 zalety i wady
  • Miejsce systemów bezpieczenstwa w Bankowosci
    Spóldzielczej
  • Jak i kiedy wdrazac?
  • Trudne obszary i pulapki
  • Podsumowanie

3
Kim jestesmy
  • 10 lat na rynku polskim
  • Zintegrowany system zarzadzania
  • ISO 9001
  • ISO 27001
  • AQAP (dla projektów NATO)
  • Niezalezny audytor i konsultant w zakresie
    bezpieczenstwa informacji
  • Sektor bankowy ponad 60 przychodów

4
ISO 27001
  • PN-ISO/IEC 270012007
  • Zastapila PN-I-07799-22005
  • Wywodzi sie z BS 7799
  • Dlaczego to dziala?
  • Poczatki w armii brytyjskiej
  • Prostota i efektywnosc przewaga biznesowa
  • Brak dodatkowych kosztów
  • To biznes rzadzi bezpieczenstwem
  • Bezpieczenstwo nie jest celem samym w sobie
  • Podejscie procesowe

5
Model PDCA
6
Co definiuje norma?
  • System Zarzadzania Bezpieczenstwem Informacji
    (ang. ISMS)
  • Zarzadzanie ryzykiem
  • Bezpieczenstwo osobowe
  • Bezpieczenstwo fizyczne
  • Zarzadzanie incydentami i ciagloscia dzialania
  • Bezpieczenstwo aplikacyjne i systemowe
  • Bezpieczenstwo we wspólpracy ze strona trzecia i
    outsourcing
  • Niezalezne przeglady i kontrole nad systemem

7
Jak zle wdrozyc system bezpieczenstwa?
  • Stworzyc wiele dokumentów
  • Stworzyc wiele skomplikowanych procedur
  • Stworzyc system aby tylko uzyskac certyfikat
  • Wybrac bledna metodyke zarzadzania ryzykiem
  • Kupic wiele róznych zabezpieczen bez dlugofalowej
    strategii

8
Jak wdrozyc certyfikowany system?
  • Opracowac deklaracje stosowania
  • a) Dobrze dobrany zakres certyfikacji
  • Identyfikacja kluczowych graczy i procesów
  • Analiza ryzyka i identyfikacja potrzeb
  • Stworzenie dokumentacji
  • Wdrozenie zabezpieczen
  • Audyt wewnetrzny
  • Audyt certyfikacyjny

9
Korzysci dla Banku (1/3)
  • Pomaga podczas inspekcji GINBu w zakresie
    bezpieczenstwa IT i informacji
  • Rekomendacja D
  • Ujednolica sposób zarzadzania informacja oraz
    klasyfikacji aktywów
  • Uporzadkowana struktura zarzadzania
    bezpieczenstwem

10
Korzysci dla Banku (2/3)
  • Rozwiazuje kwestie outsourcingu i stron trzecich
  • Opisuje procesy zarzadzania ciagloscia dzialania
  • Zarzadzanie ryzykiem BASEL II

11
Korzysci dla Banku (3/3)
  • Zgodnosc z wymogami prawnymi
  • Ustawa o ochronie danych osobowych
  • Ustawa o obrocie instrumentami finansowymi
  • Uporzadkowana dokumentacja polityki
    bezpieczenstwa
  • Zarzadzanie incydentami

12
Bezpieczenstwo aplikacyjne
  • Do 90 awarii wynika z bledów lub podatnosci w
    oprogramowaniu
  • Krytyczny obszar w bezpieczenstwie systemów IT
  • Róznorodnosc wykorzystywanych aplikacji utrudnia
    zarzadzanie bezpieczenstwem

13
AVET RMM
14
RMM - korzenie
  • Metodyka powstala na bazie projektów z zakresu
    bezpieczenstwa aplikacyjnego
  • Selekcja i integracja zabezpieczen
  • Praktyki bezpiecznego programowania
  • Testy penetracyjne metoda white-box (ew.
    black-box)
  • Audyt kodu zródlowego
  • Audyt srodowiska i samej aplikacji
  • Zalozenia projektów
  • Musza dostarczyc korzysci biznesowych a nie
    arkusz w Excellu
  • Musza sie zmiescic w czasie i budzecie projektu
  • Musza doprowadzic do szybkiej identyfikacji i
    usuniecia powaznych problemów
  • Musza przekazac wiedze jak w przyszlosci nie
    popelniac tych samych bledów

15
Cele
  • Identyfikacja zagrozen (poprzez ich modelowanie)
  • Zrozum zagrozenia i konsekwencje
  • Kategoryzacja
  • Demonstracja problemów
  • Eliminacja problemów i podatnosci
  • Historia ryzyka
  • Sledzenie zmian
  • Lista priorytetów
  • Zarzadzanie jakoscia i procesem QA
  • Najlepsze praktyki
  • Wzory ataków

16
Dekompozycja aplikacji
  • Teoria
  • Jesli usuniemy podatnosci we wszystkich
    komponentach aplikacji to aplikacja bedzie
    bezpieczna
  • Praktyka
  • Najczesciej narazone sa punkty polaczen pomiedzy
    komponentami
  • Rada
  • Warto przeprowadzic dekompozycje
  • Nalezy rozpatrywac takze caly system

17
ProcesTesty penetracyjne
18
AVET SecureCode!
Attack Patterns gotowa baza
Zarzadzanie ryzykiem
Pomoc w obszarze testowania
Zarzadzanie standardami wraz z wytycznymi
Szybka identyfikacja zagrozen
Sledzenie problemów i podatnosci
Rózne metodyki bledów
19
SDL
20
Korzysci ze stosowania SDL
  • Obnizenie kosztów eksploatacji
  • Zmniejszenie liczby incydentów
  • Nowoczesne zarzadzanie bezpieczenstwem
  • Podejscie oparte o zarzadzanie ryzykiem
  • Spelniamy wymogi GINB
  • Zarzadzanie Ryzykiem Operacyjnym

21
Jak realizowac audyty i inspekcje
  • Wywiady
  • Przeglad dokumentacji
  • Przeglad zabezpieczen
  • Co z zabezpieczeniami technicznymi?

22
Katapulta
23
Funkcjonalnosc
  • Nie wymaga instalacji!
  • Analiza logów
  • Inspekcja praw dostepu do obiektów
  • Wykrywanie brakujacych poprawek
  • Testy bezpieczenstwa dla
  • IIS
  • MS Exchange
  • MS SQL Server

24
Podsumowanie
  • System oparty o ISO 27001 moze pomóc w efektywnym
    zarzadzaniu bezpieczenstwem
  • ISO 27001 to zestaw najlepszych praktyk
  • To od nas zalezy jaki ksztalt przybierze system
    bezpieczenstwa
  • Odpowiednie wdrozenie systemu pomaga podczas
    inspekcji GINBu wszystkie procesy sa opisane i
    sprawowany jest nad nimi nadzór

25
Dziekuje za uwage
  • Pytania?
  • aleksander.czarnowski_at_avet.com.pl
About PowerShow.com