Upload
huslu
View
67
Download
1
Embed Size (px)
DESCRIPTION
Czy warto wdrażać ISO 27001 w Banku Spółdzielczym. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda. ISO 27001 – zalety i wady Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej Jak i kiedy wdrażać? Trudne obszary i pułapki Podsumowanie. Kim jesteśmy. - PowerPoint PPT Presentation
Citation preview
Czy warto wdrażać ISO 27001 w Banku Spółdzielczym
Aleksander CzarnowskiAVET Information and Network
Security Sp. z o.o.
Agenda
• ISO 27001 – zalety i wady
• Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej
• Jak i kiedy wdrażać?
• Trudne obszary i pułapki
• Podsumowanie
Kim jesteśmy
• 10 lat na rynku polskim
• Zintegrowany system zarządzania: – ISO 9001– ISO 27001– AQAP (dla projektów NATO)
• Niezależny audytor i konsultant w zakresie bezpieczeństwa informacji
• Sektor bankowy: ponad 60% przychodów
ISO 27001
• PN-ISO/IEC 27001:2007– Zastąpiła PN-I-07799-2:2005– Wywodzi się z BS 7799
• Dlaczego to działa?– Początki w armii brytyjskiej– Prostota i efektywność = przewaga biznesowa
• Brak dodatkowych kosztów
– To biznes rządzi bezpieczeństwem– Bezpieczeństwo nie jest celem samym w sobie– Podejście procesowe
Model PDCA
Planuj(Plan)
Sprawdzaj(Check)
Wykonaj(Do)
Działaj(Act)
Wdrożenie /eskploatacja
Monitorowanie /przegląd
Utrzymanie orazdoskonalenie
UstanowienieISMS
Co definiuje norma?
• System Zarządzania Bezpieczeństwem Informacji (ang. ISMS)– Zarządzanie ryzykiem– Bezpieczeństwo osobowe– Bezpieczeństwo fizyczne– Zarządzanie incydentami i ciągłością działania– Bezpieczeństwo aplikacyjne i systemowe– Bezpieczeństwo we współpracy ze stroną trzecią i
outsourcing– Niezależne przeglądy i kontrolę nad systemem
Jak źle wdrożyć system bezpieczeństwa?
• Stworzyć wiele dokumentów
• Stworzyć wiele skomplikowanych procedur
• Stworzyć system aby tylko uzyskać certyfikat
• Wybrać błędną metodykę zarządzania ryzykiem
• Kupić wiele różnych zabezpieczeń bez długofalowej strategii
Jak wdrożyć certyfikowany system?
1. Opracować deklarację stosowaniaa) Dobrze dobrany zakres certyfikacji
2. Identyfikacja kluczowych graczy i procesów
3. Analiza ryzyka i identyfikacja potrzeb
4. Stworzenie dokumentacji
5. Wdrożenie zabezpieczeń
6. Audyt wewnętrzny
7. Audyt certyfikacyjny
Korzyści dla Banku (1/3)
• Pomaga podczas inspekcji GINB’u w zakresie bezpieczeństwa IT i informacji– Rekomendacja D
• Ujednolica sposób zarządzania informacją oraz klasyfikacji aktywów
• Uporządkowana struktura zarządzania bezpieczeństwem
Korzyści dla Banku (2/3)
• Rozwiązuje kwestie outsourcingu i stron trzecich
• Opisuje procesy zarządzania ciągłością działania
• Zarządzanie ryzykiem – BASEL II
Korzyści dla Banku (3/3)
• Zgodność z wymogami prawnymi– Ustawa o ochronie danych osobowych– Ustawa o obrocie instrumentami finansowymi
• Uporządkowana dokumentacja polityki bezpieczeństwa
• Zarządzanie incydentami
Bezpieczeństwo aplikacyjne
• Do 90% awarii wynika z błędów lub podatności w oprogramowaniu
• Krytyczny obszar w bezpieczeństwie systemów IT
• Różnorodność wykorzystywanych aplikacji utrudnia zarządzanie bezpieczeństwem
AVET RMM
RMM - korzenie
• Metodyka powstała na bazie projektów z zakresu bezpieczeństwa aplikacyjnego– Selekcja i integracja zabezpieczeń– Praktyki bezpiecznego programowania– Testy penetracyjne metodą white-box (ew. black-box)– Audyt kodu źródłowego– Audyt środowiska i samej aplikacji
• Założenia projektów– Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu– Muszą się zmieścić w czasie i budżecie projektu– Muszą doprowadzić do szybkiej identyfikacji i usunięcia
poważnych problemów– Muszą przekazać wiedzę jak w przyszłości nie popełniać tych
samych błędów
Cele
• Identyfikacja zagrożeń (poprzez ich modelowanie)– Zrozum zagrożenia i konsekwencje– Kategoryzacja– Demonstracja problemów
• Eliminacja problemów i podatności– Historia ryzyka– Śledzenie zmian– Lista priorytetów
• Zarządzanie jakością i procesem Q&A– Najlepsze praktyki– Wzory ataków
Dekompozycja aplikacji
• Teoria:– Jeśli usuniemy podatności we wszystkich
komponentach aplikacji to aplikacja będzie bezpieczna
• Praktyka:– Najczęściej narażone są punkty połączeń pomiędzy
komponentami
• Rada:– Warto przeprowadzić dekompozycję– Należy rozpatrywać także cały system
Proces:Testy penetracyjne
Definicja zakresuZbieranieinformacji
Identyfikacjapodatności
Analiza informacjioraz faza
planowania
Wykorzystaniepodatności
Więcejpodatności
Analiza wynikóworaz raportowanie
Prace końcoweNie
Tak
PlanowaniePlanowanie Atak Napraw toRaportowanieVulnerabilityAssessment
VulnerabilityAssessment
AVET SecureCode!
Zarządzanie ryzykiem
Śledzenie problemów i podatności Różne
metodyki błędów
Attack Patterns –
gotowa baza
Pomoc w obszarze
testowania
Szybka identyfikacja
zagrożeń
Zarządzanie standardami wraz z
wytycznymi
SDL
Korzyści ze stosowania SDL
• Obniżenie kosztów eksploatacji
• Zmniejszenie liczby incydentów
• Nowoczesne zarządzanie bezpieczeństwem
• Podejście oparte o zarządzanie ryzykiem– Spełniamy wymogi GINB– Zarządzanie Ryzykiem Operacyjnym
Jak realizować audyty i inspekcje
• Wywiady
• Przegląd dokumentacji
• Przegląd zabezpieczeń
• Co z zabezpieczeniami technicznymi?
Katapulta
Funkcjonalność
• Nie wymaga instalacji!
• Analiza logów
• Inspekcja praw dostępu do obiektów
• Wykrywanie brakujących poprawek
• Testy bezpieczeństwa dla– IIS– MS Exchange– MS SQL Server
Podsumowanie
• System oparty o ISO 27001 może pomóc w efektywnym zarządzaniu bezpieczeństwem
• ISO 27001 to zestaw najlepszych praktyk• To od nas zależy jaki kształt przybierze system
bezpieczeństwa• Odpowiednie wdrożenie systemu pomaga
podczas inspekcji GINBu – wszystkie procesy są opisane i sprawowany jest nad nimi nadzór