Zarządzanie bezpieczeństwem w Banku Spółdzielczym Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.
Definicja problemu
Ważne standardy zewnętrzne
Umiejscowienie standardów KNF i Prawo Bankowe Wymagania biznesowe ISMS ISO 27001 BCM: BS 25999 Zgodność Audyt wewnętrzny Ustawa o ochronie danych osobowych PCI DSS 1.2 Zarządzanie incydentami Zarządzanie podatnościami
Kontrola najwyższąformązaufania? Wymóg zarządzania ryzykiem operacyjnym Kontrola Działania naprawcze Akceptacja ryzyka Monitorowanie i śledzenie zagrożeń Wymóg zapewnienia ciągłości działania Monitorowanie Reagowanie przed zdarzeniem
Typowy proces Lista kontrolna Raporty Standardy Raporty Dowody audytowe
Inne problemy (1/2) Rozrzucenie geograficzne oddziałów Banku Różnorodność platform sprzętowych Różnorodność platform systemowych Różnorodność infrastruktury sieciowej Problemy wydajnościowe Brak możliwości modyfikacji systemów wyoutsourcowanych
Aby robićrzeczy wielkie i ważne dzisiaj trzeba myślećo przyszłości i widziećto, czego inni jeszcze nie dostrzegają Konsekwencje standardu PCI DSS 1.2
Inne problemy (2/2) Spełnienie wymogów PCI DSS: Określony sposób kontroli Kontrola tylko przez określonych partnerów Okresowe skany infrastruktury Ochrona danych kartowych na każdym etapie ich przetwarzania
PCI DSS 1.2 12 wymogów? Build and Maintain a Secure Network Requirement 1: Install and maintain a firewall configuration to protect cardholder data Requirement 2:Do not use vendor-supplied defaults for system passwords and other security parameters Protect Cardholder Data Requirement 3: Protect stored cardholder data Requirement 4:Encrypt transmission of cardholder data across open, public networks Maintain a Vulnerability Management Program Requirement 5: Use and regularly update anti-virus software Requirement 6:Develop and maintain secure systems and applications Implement Strong Access Control Measures Requirement 7: Restrict access to cardholder data by business need-to-know Requirement 8: Assign a unique ID to each person with computer access Requirement 9:Restrict physical access to cardholder data Regularly Monitor and Test Networks Requirement 10: Track and monitor all access to network resources and cardholder data Requirement 11:Regularly test security systems and processes Maintain an Information Security Policy Requirement 12:Maintain a policy that addresses information security
Rozwiązanie problemów 4 proste kroki 1. Partner posiadający prawa kontroli w ramach PCI DSS 2. Ustanowienie polityki bezpieczeństwa 3. Platforma umożliwiająca śledzenie ryzyka 4. Platforma umożliwiająca monitorowanie polityki bezpieczeństwa
Śledzenie zagrożeń, podatności i ryzyka Barracuda
Barracuda
Problemy
Podatności
Podsumowanie Możliwośćśledzenia ryzyka i podatności przez wszystkie zainteresowany strony Wykazanie podejścia procesowego Pomoc w zarządzaniu ryzykiem operacyjnym (z perspektywy bezpieczeństwa systemów IT)
Monitorowanie zgodności i polityki bezpieczeństwa RSOX
RSOX Bezagentowy system monitorowania zgodności z polityką bezpieczeństwa Architektura rozproszona Kontrola integralności plików Wspiera urządzenia sieciowe i systemy Unix/Linux Spełnia wymogi kontroli KNF, ustawy o ochronie danych osobowych, PCI DSS, ISO 27001
RSOX -architektura Serwer skanujący RSOX Konsola RSOX DMZ Serwer skanujący RSOX Serwer skanujący RSOX Oddział Centrum outsourcingowe
Demonstracja RSOX
RSOX i Barracuda Barracuda Konsola RSOX Raporty RSOX Serwer skanujący RSOX Serwer skanujący RSOX Serwer skanujący RSOX
Zalety rozwiązania Brak agentów pozwala wspieraćpraktycznie dowolne urządzenie sieciowe i platformę Unix/Linux Integracja zarządzania ryzykiem (perspektywa Zarządu) z podatnościami (perspektywa IT i Inspektorów / Oficerów / Administratorów bezpieczeństwa) Zgodność z wymogami Przygotowanie do audytu KNF Możliwość łatwej rozbudowy
Outsourcing Platform RSOX i Barracuda nie trzeba kupować można je dostaćw modelu outsourcingu Brak potrzeby inwestycji w hardware Brak potrzeby utrzymywania bazy danych Brak potrzeby aktualizacji Partner: Asseco Poland S.A.
Podsumowanie Wybór partnera jest krytyczny dla sukcesu działań w zakresie bezpieczeństwa Dzisiaj trzeba myślećo przyszłych regulacjach i przygotowywać się do nich Usługa często jest tańsza, niżinwestycja w sprzęt i oprogramowanie
Dziękujęza uwagę Pytania? aleksander.czarnowski@avet.com.pl
Dane kontaktowe