ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.
Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości Spółdzielczej Jak i kiedy wdraŝać? Trudne obszary i pułapki Podsumowanie
Kim jesteśmy 10 lat na rynku polskim Zintegrowany system zarządzania: ISO 9001 ISO 27001 AQAP (dla projektów NATO) NiezaleŜny audytor i konsultant w zakresie bezpieczeństwa informacji Sektor bankowy: ponad 60% przychodów
ISO 27001 PN-ISO/IEC 27001:2007 Zastąpiła PN-I-07799-2:2005 Wywodzi się z BS 7799 Dlaczego to działa? Początki w armii brytyjskiej Prostota i efektywność = przewaga biznesowa Brak dodatkowych kosztów To biznes rządzi bezpieczeństwem Bezpieczeństwo nie jest celem samym w sobie Podejście procesowe
Model PDCA Planuj (Plan) Ustanowienie ISMS Wykonaj (Do) Działaj (Act) WdroŜenie / eskploatacja Utrzymanie oraz doskonalenie Sprawdzaj (Check) Monitorowanie / przegląd
Co definiuje norma? System Zarządzania Bezpieczeństwem Informacji (ang. ISMS) Zarządzanie ryzykiem Bezpieczeństwo osobowe Bezpieczeństwo fizyczne Zarządzanie incydentami i ciągłością działania Bezpieczeństwo aplikacyjne i systemowe Bezpieczeństwo we współpracy ze stroną trzecią i outsourcing NiezaleŜne przeglądy i kontrolę nad systemem
ISO 27005 PN-ISO/IEC 17799:2006 PN-ISO/IEC 27001:2007 Analiza ryzyka Zarządzanie bezpieczeństwem Audyt Mapa ryzyka Polityka Bezpieczeństwa Plan postępowania z ryzykiem Proceudury Zabezpieczenia Zabezpieczenia Ciągłość działania BS 25999
Outsourcing i BCM BCM zarządzania ciągłością działania Budowanie i zarządzania ciągłością działania Transfer i unikanie ryzyka Testowanie procedur i procesów Szkolenia personelu Outsourcing Analiza ryzyka pokazuje centra kosztowe Zwrot z inwestycji Jak spełnić wymogi GINB w zakresie ciągłości i outsourcingu
Jak źle wdroŝyć system bezpieczeństwa? Stworzyć wiele dokumentów Stworzyć wiele skomplikowanych procedur Stworzyć system aby tylko uzyskać certyfikat Wybrać błędną metodykę zarządzania ryzykiem Kupić wiele róŝnych zabezpieczeń bez długofalowej strategii
Jak wdroŝyć certyfikowany system? 1. Opracować deklarację stosowania a) Dobrze dobrany zakres certyfikacji 2. Identyfikacja kluczowych graczy i procesów 3. Analiza ryzyka i identyfikacja potrzeb 4. Stworzenie dokumentacji 5. WdroŜenie zabezpieczeń 6. Audyt wewnętrzny 7. Audyt certyfikacyjny
Deklaracja stosowania Polityka Bezpieczeństwa Informacji Ochrona danych osobowych Procedury Polityka bezpieczeństwa systemów IT Polityka systemu IT Polityka systemu IT Polityka systemu IT Procedury Procedury Procedury
Deklaracja stosowania Polityka Bezpieczeństwa Informacji Ochrona danych osobowych Polityka bezpieczeństwa systemów IT Polityka systemu IT Polityka systemu IT Polityka systemu IT Procedury
Korzyści dla Banku (1/3) Pomaga podczas inspekcji GINB u w zakresie bezpieczeństwa IT i informacji Rekomendacja D Ujednolica sposób zarządzania informacją oraz klasyfikacji aktywów Uporządkowana struktura zarządzania bezpieczeństwem
Korzyści dla Banku (2/3) Rozwiązuje kwestie outsourcingu i stron trzecich Opisuje procesy zarządzania ciągłością działania Zarządzanie ryzykiem BASEL II
Korzyści dla Banku (3/3) Zgodność z wymogami prawnymi Ustawa o ochronie danych osobowych Ustawa o obrocie instrumentami finansowymi Uporządkowana dokumentacja polityki bezpieczeństwa Zarządzanie incydentami
Bezpieczeństwo aplikacyjne Do 90% awarii wynika z błędów lub podatności w oprogramowaniu Krytyczny obszar w bezpieczeństwie systemów IT RóŜnorodność wykorzystywanych aplikacji utrudnia zarządzanie bezpieczeństwem
AVET RMM
RMM - korzenie Metodyka powstała na bazie projektów z zakresu bezpieczeństwa aplikacyjnego Selekcja i integracja zabezpieczeń Praktyki bezpiecznego programowania Testy penetracyjne metodą white-box (ew. black-box) Audyt kodu źródłowego Audyt środowiska i samej aplikacji ZałoŜenia projektów Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu Muszą się zmieścić w czasie i budŝecie projektu Muszą doprowadzić do szybkiej identyfikacji i usunięcia powaŝnych problemów Muszą przekazać wiedzę jak w przyszłości nie popełniać tych samych błędów
Cele Identyfikacja zagroŝeń (poprzez ich modelowanie) Zrozum zagroŝenia i konsekwencje Kategoryzacja Demonstracja problemów Eliminacja problemów i podatności Historia ryzyka Śledzenie zmian Lista priorytetów Zarządzanie jakością i procesem Q&A Najlepsze praktyki Wzory ataków
Jak efektywnie ocenić zabezpieczenia techniczne?
Proces: Testy penetracyjne
AVET SecureCode! Attack Patterns gotowa baza Zarządzanie ryzykiem Zarządzanie standardami wraz z wytycznymi Pomoc w obszarze testowania Śledzenie problemów i podatności RóŜne metodyki błędów Szybka identyfikacja zagroŝeń
SDL
Korzyści ze stosowania SDL ObniŜenie kosztów eksploatacji Zmniejszenie liczby incydentów Nowoczesne zarządzanie bezpieczeństwem Podejście oparte o zarządzanie ryzykiem Spełniamy wymogi GINB Zarządzanie Ryzykiem Operacyjnym
Jak realizować audyty i inspekcje Wywiady Przegląd dokumentacji Przegląd zabezpieczeń Co z zabezpieczeniami technicznymi?
Podsumowanie System oparty o ISO 27001 moŝe pomóc w efektywnym zarządzaniu bezpieczeństwem ISO 27001 to zestaw najlepszych praktyk To od nas zaleŝy jaki kształt przybierze system bezpieczeństwa Odpowiednie wdroŝenie systemu pomaga podczas inspekcji GINBu wszystkie procesy są opisane i sprawowany jest nad nimi nadzór
Dziękuję za uwagę Pytania? aleksander.czarnowski@avet.com.pl