czy warto wdrażać iso 27001 w banku spółdzielczym
DESCRIPTION
Czy warto wdrażać ISO 27001 w Banku Spółdzielczym. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda. ISO 27001 – zalety i wady Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej Jak i kiedy wdrażać? Trudne obszary i pułapki Podsumowanie. Kim jesteśmy. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/1.jpg)
Czy warto wdrażać ISO 27001 w Banku Spółdzielczym
Aleksander CzarnowskiAVET Information and Network
Security Sp. z o.o.
![Page 2: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/2.jpg)
Agenda
• ISO 27001 – zalety i wady
• Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej
• Jak i kiedy wdrażać?
• Trudne obszary i pułapki
• Podsumowanie
![Page 3: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/3.jpg)
Kim jesteśmy
• 10 lat na rynku polskim
• Zintegrowany system zarządzania: – ISO 9001– ISO 27001– AQAP (dla projektów NATO)
• Niezależny audytor i konsultant w zakresie bezpieczeństwa informacji
• Sektor bankowy: ponad 60% przychodów
![Page 4: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/4.jpg)
ISO 27001
• PN-ISO/IEC 27001:2007– Zastąpiła PN-I-07799-2:2005– Wywodzi się z BS 7799
• Dlaczego to działa?– Początki w armii brytyjskiej– Prostota i efektywność = przewaga biznesowa
• Brak dodatkowych kosztów
– To biznes rządzi bezpieczeństwem– Bezpieczeństwo nie jest celem samym w sobie– Podejście procesowe
![Page 5: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/5.jpg)
Model PDCA
Planuj(Plan)
Sprawdzaj(Check)
Wykonaj(Do)
Działaj(Act)
Wdrożenie /eskploatacja
Monitorowanie /przegląd
Utrzymanie orazdoskonalenie
UstanowienieISMS
![Page 6: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/6.jpg)
Co definiuje norma?
• System Zarządzania Bezpieczeństwem Informacji (ang. ISMS)– Zarządzanie ryzykiem– Bezpieczeństwo osobowe– Bezpieczeństwo fizyczne– Zarządzanie incydentami i ciągłością działania– Bezpieczeństwo aplikacyjne i systemowe– Bezpieczeństwo we współpracy ze stroną trzecią i
outsourcing– Niezależne przeglądy i kontrolę nad systemem
![Page 7: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/7.jpg)
Jak źle wdrożyć system bezpieczeństwa?
• Stworzyć wiele dokumentów
• Stworzyć wiele skomplikowanych procedur
• Stworzyć system aby tylko uzyskać certyfikat
• Wybrać błędną metodykę zarządzania ryzykiem
• Kupić wiele różnych zabezpieczeń bez długofalowej strategii
![Page 8: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/8.jpg)
Jak wdrożyć certyfikowany system?
1. Opracować deklarację stosowaniaa) Dobrze dobrany zakres certyfikacji
2. Identyfikacja kluczowych graczy i procesów
3. Analiza ryzyka i identyfikacja potrzeb
4. Stworzenie dokumentacji
5. Wdrożenie zabezpieczeń
6. Audyt wewnętrzny
7. Audyt certyfikacyjny
![Page 9: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/9.jpg)
Korzyści dla Banku (1/3)
• Pomaga podczas inspekcji GINB’u w zakresie bezpieczeństwa IT i informacji– Rekomendacja D
• Ujednolica sposób zarządzania informacją oraz klasyfikacji aktywów
• Uporządkowana struktura zarządzania bezpieczeństwem
![Page 10: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/10.jpg)
Korzyści dla Banku (2/3)
• Rozwiązuje kwestie outsourcingu i stron trzecich
• Opisuje procesy zarządzania ciągłością działania
• Zarządzanie ryzykiem – BASEL II
![Page 11: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/11.jpg)
Korzyści dla Banku (3/3)
• Zgodność z wymogami prawnymi– Ustawa o ochronie danych osobowych– Ustawa o obrocie instrumentami finansowymi
• Uporządkowana dokumentacja polityki bezpieczeństwa
• Zarządzanie incydentami
![Page 12: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/12.jpg)
Bezpieczeństwo aplikacyjne
• Do 90% awarii wynika z błędów lub podatności w oprogramowaniu
• Krytyczny obszar w bezpieczeństwie systemów IT
• Różnorodność wykorzystywanych aplikacji utrudnia zarządzanie bezpieczeństwem
![Page 13: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/13.jpg)
AVET RMM
![Page 14: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/14.jpg)
RMM - korzenie
• Metodyka powstała na bazie projektów z zakresu bezpieczeństwa aplikacyjnego– Selekcja i integracja zabezpieczeń– Praktyki bezpiecznego programowania– Testy penetracyjne metodą white-box (ew. black-box)– Audyt kodu źródłowego– Audyt środowiska i samej aplikacji
• Założenia projektów– Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu– Muszą się zmieścić w czasie i budżecie projektu– Muszą doprowadzić do szybkiej identyfikacji i usunięcia
poważnych problemów– Muszą przekazać wiedzę jak w przyszłości nie popełniać tych
samych błędów
![Page 15: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/15.jpg)
Cele
• Identyfikacja zagrożeń (poprzez ich modelowanie)– Zrozum zagrożenia i konsekwencje– Kategoryzacja– Demonstracja problemów
• Eliminacja problemów i podatności– Historia ryzyka– Śledzenie zmian– Lista priorytetów
• Zarządzanie jakością i procesem Q&A– Najlepsze praktyki– Wzory ataków
![Page 16: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/16.jpg)
Dekompozycja aplikacji
• Teoria:– Jeśli usuniemy podatności we wszystkich
komponentach aplikacji to aplikacja będzie bezpieczna
• Praktyka:– Najczęściej narażone są punkty połączeń pomiędzy
komponentami
• Rada:– Warto przeprowadzić dekompozycję– Należy rozpatrywać także cały system
![Page 17: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/17.jpg)
Proces:Testy penetracyjne
Definicja zakresuZbieranieinformacji
Identyfikacjapodatności
Analiza informacjioraz faza
planowania
Wykorzystaniepodatności
Więcejpodatności
Analiza wynikóworaz raportowanie
Prace końcoweNie
Tak
PlanowaniePlanowanie Atak Napraw toRaportowanieVulnerabilityAssessment
VulnerabilityAssessment
![Page 18: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/18.jpg)
AVET SecureCode!
Zarządzanie ryzykiem
Śledzenie problemów i podatności Różne
metodyki błędów
Attack Patterns –
gotowa baza
Pomoc w obszarze
testowania
Szybka identyfikacja
zagrożeń
Zarządzanie standardami wraz z
wytycznymi
![Page 19: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/19.jpg)
SDL
![Page 20: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/20.jpg)
Korzyści ze stosowania SDL
• Obniżenie kosztów eksploatacji
• Zmniejszenie liczby incydentów
• Nowoczesne zarządzanie bezpieczeństwem
• Podejście oparte o zarządzanie ryzykiem– Spełniamy wymogi GINB– Zarządzanie Ryzykiem Operacyjnym
![Page 21: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/21.jpg)
Jak realizować audyty i inspekcje
• Wywiady
• Przegląd dokumentacji
• Przegląd zabezpieczeń
• Co z zabezpieczeniami technicznymi?
![Page 22: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/22.jpg)
Katapulta
![Page 23: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/23.jpg)
Funkcjonalność
• Nie wymaga instalacji!
• Analiza logów
• Inspekcja praw dostępu do obiektów
• Wykrywanie brakujących poprawek
• Testy bezpieczeństwa dla– IIS– MS Exchange– MS SQL Server
![Page 24: Czy warto wdrażać ISO 27001 w Banku Spółdzielczym](https://reader034.vdocuments.mx/reader034/viewer/2022051116/5681513e550346895dbf58c5/html5/thumbnails/24.jpg)
Podsumowanie
• System oparty o ISO 27001 może pomóc w efektywnym zarządzaniu bezpieczeństwem
• ISO 27001 to zestaw najlepszych praktyk• To od nas zależy jaki kształt przybierze system
bezpieczeństwa• Odpowiednie wdrożenie systemu pomaga
podczas inspekcji GINBu – wszystkie procesy są opisane i sprawowany jest nad nimi nadzór