Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Transkrypt

1 Zarządzanie bezpieczeństwem w Banku Spółdzielczym Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

2 Definicja problemu

3 Ważne standardy zewnętrzne

4 Umiejscowienie standardów KNF i Prawo Bankowe Wymagania biznesowe ISMS ISO BCM: BS Zgodność Audyt wewnętrzny Ustawa o ochronie danych osobowych PCI DSS 1.2 Zarządzanie incydentami Zarządzanie podatnościami

5 Kontrola najwyższąformązaufania? Wymóg zarządzania ryzykiem operacyjnym Kontrola Działania naprawcze Akceptacja ryzyka Monitorowanie i śledzenie zagrożeń Wymóg zapewnienia ciągłości działania Monitorowanie Reagowanie przed zdarzeniem

6 Typowy proces Lista kontrolna Raporty Standardy Raporty Dowody audytowe

7 Inne problemy (1/2) Rozrzucenie geograficzne oddziałów Banku Różnorodność platform sprzętowych Różnorodność platform systemowych Różnorodność infrastruktury sieciowej Problemy wydajnościowe Brak możliwości modyfikacji systemów wyoutsourcowanych

8 Aby robićrzeczy wielkie i ważne dzisiaj trzeba myślećo przyszłości i widziećto, czego inni jeszcze nie dostrzegają Konsekwencje standardu PCI DSS 1.2

9 Inne problemy (2/2) Spełnienie wymogów PCI DSS: Określony sposób kontroli Kontrola tylko przez określonych partnerów Okresowe skany infrastruktury Ochrona danych kartowych na każdym etapie ich przetwarzania

10 PCI DSS wymogów? Build and Maintain a Secure Network Requirement 1: Install and maintain a firewall configuration to protect cardholder data Requirement 2:Do not use vendor-supplied defaults for system passwords and other security parameters Protect Cardholder Data Requirement 3: Protect stored cardholder data Requirement 4:Encrypt transmission of cardholder data across open, public networks Maintain a Vulnerability Management Program Requirement 5: Use and regularly update anti-virus software Requirement 6:Develop and maintain secure systems and applications Implement Strong Access Control Measures Requirement 7: Restrict access to cardholder data by business need-to-know Requirement 8: Assign a unique ID to each person with computer access Requirement 9:Restrict physical access to cardholder data Regularly Monitor and Test Networks Requirement 10: Track and monitor all access to network resources and cardholder data Requirement 11:Regularly test security systems and processes Maintain an Information Security Policy Requirement 12:Maintain a policy that addresses information security

11 Rozwiązanie problemów 4 proste kroki 1. Partner posiadający prawa kontroli w ramach PCI DSS 2. Ustanowienie polityki bezpieczeństwa 3. Platforma umożliwiająca śledzenie ryzyka 4. Platforma umożliwiająca monitorowanie polityki bezpieczeństwa

12 Śledzenie zagrożeń, podatności i ryzyka Barracuda

13 Barracuda

14 Problemy

15 Podatności

16 Podsumowanie Możliwośćśledzenia ryzyka i podatności przez wszystkie zainteresowany strony Wykazanie podejścia procesowego Pomoc w zarządzaniu ryzykiem operacyjnym (z perspektywy bezpieczeństwa systemów IT)

17 Monitorowanie zgodności i polityki bezpieczeństwa RSOX

18 RSOX Bezagentowy system monitorowania zgodności z polityką bezpieczeństwa Architektura rozproszona Kontrola integralności plików Wspiera urządzenia sieciowe i systemy Unix/Linux Spełnia wymogi kontroli KNF, ustawy o ochronie danych osobowych, PCI DSS, ISO 27001

19 RSOX -architektura Serwer skanujący RSOX Konsola RSOX DMZ Serwer skanujący RSOX Serwer skanujący RSOX Oddział Centrum outsourcingowe

20 Demonstracja RSOX

21 RSOX i Barracuda Barracuda Konsola RSOX Raporty RSOX Serwer skanujący RSOX Serwer skanujący RSOX Serwer skanujący RSOX

22 Zalety rozwiązania Brak agentów pozwala wspieraćpraktycznie dowolne urządzenie sieciowe i platformę Unix/Linux Integracja zarządzania ryzykiem (perspektywa Zarządu) z podatnościami (perspektywa IT i Inspektorów / Oficerów / Administratorów bezpieczeństwa) Zgodność z wymogami Przygotowanie do audytu KNF Możliwość łatwej rozbudowy

23 Outsourcing Platform RSOX i Barracuda nie trzeba kupować można je dostaćw modelu outsourcingu Brak potrzeby inwestycji w hardware Brak potrzeby utrzymywania bazy danych Brak potrzeby aktualizacji Partner: Asseco Poland S.A.

24 Podsumowanie Wybór partnera jest krytyczny dla sukcesu działań w zakresie bezpieczeństwa Dzisiaj trzeba myślećo przyszłych regulacjach i przygotowywać się do nich Usługa często jest tańsza, niżinwestycja w sprzęt i oprogramowanie

25 Dziękujęza uwagę Pytania?

26 Dane kontaktowe