Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.



Podobne dokumenty
Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

PCI DSS Nowe wyzwanie dla sektora finansów i dystrybucji

ISO w Banku Spółdzielczym - od decyzji do realizacji

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Kompleksowe Przygotowanie do Egzaminu CISMP

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

Monitorowanie i analiza zdarzeń Novell Sentinel Piotr Majchrzak

Inspektor ochrony danych

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Bezpieczeństwo dziś i jutro Security InsideOut

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

9:45 Powitanie. 12:30 13:00 Lunch

! Retina. Wyłączny dystrybutor w Polsce

Zarządzanie relacjami z dostawcami

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Warstwa ozonowa bezpieczeństwo ponad chmurami

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Security Master Class Secure Configuration Life Cycle. Marcin Piebiak Senior Solutions Architect Linux Polska Sp. z o.o.

Dwuwymiarowy sposób na podróbki > 34

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

TESTER OPROGRAMOWANIA STUDIA PODYPLOMOWE

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Spis treści. Rozdział III. Outsourcing spółdzielczych kas oszczędnościowokredytowych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

SZCZEGÓŁOWY HARMONOGRAM KURSU

Chmura zrzeszenia BPS jako centrum świadczenia usług biznesowych. Artur Powałka Microsoft Services

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

Zarządzanie sieciami telekomunikacyjnymi

PCI-DSS. Wprowadzenie

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Instytut Technik Innowacyjnych

Wirtualizacja sieci - VMware NSX

Web Services. Bartłomiej Świercz. Łódź, 2 grudnia 2005 roku. Katedra Mikroelektroniki i Technik Informatycznych. Bartłomiej Świercz Web Services

Tivoli Endpoint Manager jak sprawnie zarządzać systemami

ORGANIZACJA SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W PONIATOWEJ

Krzysztof Świtała WPiA UKSW

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Projekty BPM z perspektywy analityka biznesowego. Wrocław, 20 stycznia 2011

Comparex It przyszłości już dziś.

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Administrator bezpieczeństwa informacji /Inspektor ochrony danych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

The Right Direction.

Zarządzanie ryzykiem w IT

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

PYTANIA PRÓBNE DO EGZAMINU NA CERTYFIKAT ZAAWANSOWANY REQB KLUCZ ODPOWIEDZI. Część DODATEK

Jak znaleźć prawdziwe zagrożenia w infrastrukturze IT

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

System kontroli wewnętrznej w Banku Spółdzielczym w Głogowie Małopolskim

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Bezpieczeostwo aplikacyjne

BOMGAR. Dostęp dla użytkowników uprzywilejowanych

Maciej Gawroński Maruta Wachta Sp.j. Odpowiedzialność za cyberbezpieczeństwo

Dobre praktyki w doborze technologii rozwiązań informatycznych realizujących usługi publiczne

Zakres prac implementacja VPLEX i ViPR dla środowiska macierzy VNX 5800

Kupiliśmy SIEM (IBM QRadar) dlaczego i co dalej?

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

17-18 listopada, Warszawa

OPIS SYSTENU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W USTRONIU. I. Cele systemu kontroli wewnętrznej

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

HP Service Anywhere Uproszczenie zarządzania usługami IT

System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

BAKER TILLY POLAND CONSULTING

Czy OMS Log Analytics potrafi mi pomóc?

Bezpieczeństwo informacji. jak i co chronimy

Outsourcing procesów. dr Arkadiusz Wargin CTPartners S.A. Analiza projektu B2B Kielce, 18 października 2012

Bezpieczeństwo danych w sieciach elektroenergetycznych

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Szkolenie otwarte 2016 r.

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

System kontroli wewnętrznej w Systemie Ochrony Zrzeszenia BPS

OT integracja i rozwój czy bezpieczeństwo?

BEZPIECZEŃSTWO W DOBIE RODO Czy zarządzanie oprogramowaniem uchroni nas przed wyciekiem danych?

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Iłży

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Efektywna ochrona danych jako skutek wdrożenia systemu Data Loss Prevention Maciej Iwanicki

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

USB firmware changing guide. Zmiana oprogramowania za przy użyciu połączenia USB. Changelog / Lista Zmian

Administrator bezpieczeństwa informacji /Inspektor ochrony danych

Leszek Sikorski Warszawa

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

LANGUAGE: NO_DOC_EXT: SOFTWARE VERSION: 9.6.5

Symantec Enterprise Security. Andrzej Kontkiewicz

Transkrypt:

Zarządzanie bezpieczeństwem w Banku Spółdzielczym Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Definicja problemu

Ważne standardy zewnętrzne

Umiejscowienie standardów KNF i Prawo Bankowe Wymagania biznesowe ISMS ISO 27001 BCM: BS 25999 Zgodność Audyt wewnętrzny Ustawa o ochronie danych osobowych PCI DSS 1.2 Zarządzanie incydentami Zarządzanie podatnościami

Kontrola najwyższąformązaufania? Wymóg zarządzania ryzykiem operacyjnym Kontrola Działania naprawcze Akceptacja ryzyka Monitorowanie i śledzenie zagrożeń Wymóg zapewnienia ciągłości działania Monitorowanie Reagowanie przed zdarzeniem

Typowy proces Lista kontrolna Raporty Standardy Raporty Dowody audytowe

Inne problemy (1/2) Rozrzucenie geograficzne oddziałów Banku Różnorodność platform sprzętowych Różnorodność platform systemowych Różnorodność infrastruktury sieciowej Problemy wydajnościowe Brak możliwości modyfikacji systemów wyoutsourcowanych

Aby robićrzeczy wielkie i ważne dzisiaj trzeba myślećo przyszłości i widziećto, czego inni jeszcze nie dostrzegają Konsekwencje standardu PCI DSS 1.2

Inne problemy (2/2) Spełnienie wymogów PCI DSS: Określony sposób kontroli Kontrola tylko przez określonych partnerów Okresowe skany infrastruktury Ochrona danych kartowych na każdym etapie ich przetwarzania

PCI DSS 1.2 12 wymogów? Build and Maintain a Secure Network Requirement 1: Install and maintain a firewall configuration to protect cardholder data Requirement 2:Do not use vendor-supplied defaults for system passwords and other security parameters Protect Cardholder Data Requirement 3: Protect stored cardholder data Requirement 4:Encrypt transmission of cardholder data across open, public networks Maintain a Vulnerability Management Program Requirement 5: Use and regularly update anti-virus software Requirement 6:Develop and maintain secure systems and applications Implement Strong Access Control Measures Requirement 7: Restrict access to cardholder data by business need-to-know Requirement 8: Assign a unique ID to each person with computer access Requirement 9:Restrict physical access to cardholder data Regularly Monitor and Test Networks Requirement 10: Track and monitor all access to network resources and cardholder data Requirement 11:Regularly test security systems and processes Maintain an Information Security Policy Requirement 12:Maintain a policy that addresses information security

Rozwiązanie problemów 4 proste kroki 1. Partner posiadający prawa kontroli w ramach PCI DSS 2. Ustanowienie polityki bezpieczeństwa 3. Platforma umożliwiająca śledzenie ryzyka 4. Platforma umożliwiająca monitorowanie polityki bezpieczeństwa

Śledzenie zagrożeń, podatności i ryzyka Barracuda

Barracuda

Problemy

Podatności

Podsumowanie Możliwośćśledzenia ryzyka i podatności przez wszystkie zainteresowany strony Wykazanie podejścia procesowego Pomoc w zarządzaniu ryzykiem operacyjnym (z perspektywy bezpieczeństwa systemów IT)

Monitorowanie zgodności i polityki bezpieczeństwa RSOX

RSOX Bezagentowy system monitorowania zgodności z polityką bezpieczeństwa Architektura rozproszona Kontrola integralności plików Wspiera urządzenia sieciowe i systemy Unix/Linux Spełnia wymogi kontroli KNF, ustawy o ochronie danych osobowych, PCI DSS, ISO 27001

RSOX -architektura Serwer skanujący RSOX Konsola RSOX DMZ Serwer skanujący RSOX Serwer skanujący RSOX Oddział Centrum outsourcingowe

Demonstracja RSOX

RSOX i Barracuda Barracuda Konsola RSOX Raporty RSOX Serwer skanujący RSOX Serwer skanujący RSOX Serwer skanujący RSOX

Zalety rozwiązania Brak agentów pozwala wspieraćpraktycznie dowolne urządzenie sieciowe i platformę Unix/Linux Integracja zarządzania ryzykiem (perspektywa Zarządu) z podatnościami (perspektywa IT i Inspektorów / Oficerów / Administratorów bezpieczeństwa) Zgodność z wymogami Przygotowanie do audytu KNF Możliwość łatwej rozbudowy

Outsourcing Platform RSOX i Barracuda nie trzeba kupować można je dostaćw modelu outsourcingu Brak potrzeby inwestycji w hardware Brak potrzeby utrzymywania bazy danych Brak potrzeby aktualizacji Partner: Asseco Poland S.A.

Podsumowanie Wybór partnera jest krytyczny dla sukcesu działań w zakresie bezpieczeństwa Dzisiaj trzeba myślećo przyszłych regulacjach i przygotowywać się do nich Usługa często jest tańsza, niżinwestycja w sprzęt i oprogramowanie

Dziękujęza uwagę Pytania? aleksander.czarnowski@avet.com.pl

Dane kontaktowe