Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.
Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie którego wszystkie banki działają wymaga zapewnienia bezpieczeństwa
Bezpieczeństwo jest procesem a nie jednorazową usługą/produktem. Proces nie musi być drogi
Centra kosztowe Starty wynikające z braku korzystania z szans jakie dają nowe i obecne technologie Straty wynikające z braku zabezpieczeń lub braku zgodności Źle napisana polityka bezpieczeństwa
Zgodność i standardy Wymogi prawne Ustawa o ochronie danych osobowych Wymogi i rekomendacje GINB Rekomendacja D i M Procedury inspekcji np.: dla systemów bankowości elektronicznej PCI DSS Polskie normy
Punkty wspólne Wykorzystanie technologii internetowych, ale w bezpieczny sposób Zabezpieczenia techniczne i proceduralne oraz organizacyjne Zarządzanie ryzykiem Sformalizowane, procesowe podejście do problemu ryzyka
Ustawa o ochronie danych osobowych Rozporządzenie ministra spraw wewnętrznych administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŝące do przetwarzania danych osobowych.
Ochrona danych osobowych 4. Polityka bezpieczeństwa, o której mowa w 3 ust. 1, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Ochrona danych osobowych 5. Instrukcja, o której mowa w 3 ust. 1, zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i uŝytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŝytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych słuŝących do ich przetwarzania; 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;» 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4;» 8) procedury wykonywania przeglądów
Ochrona danych osobowych 6. 1. Uwzględniając kategorie przetwarzanych danych oraz zagroŝenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: 1) podstawowy; 2) podwyŝszony; 3) wysoki. 2. Poziom co najmniej podstawowy stosuje się, gdy: 1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz 2) Ŝadne z urządzeń systemu informatycznego, słuŝącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 3. Poziom co najmniej podwyŝszony stosuje się, gdy: 1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz 2) Ŝadne z urządzeń systemu informatycznego, słuŝącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, słuŝącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. 5. Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia.
Ochrona danych osobowych C. Środki bezpieczeństwa na poziomie wysokim XII 1. System informatyczny słuŝący do przetwarzania danych osobowych chroni się przed zagroŝeniami pochodzącymi z sieci publicznej poprzez wdroŝenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.
PCI DSS Payment Card Industry (PCI) Data Security Standard (DSS) 1 Instalacja i zarządzanie systemem zaporowym w celu ochrony danych klientów 2 Nie uŝywać domyślnych parametrów 4 Szyfrowanie połączeń w otwartych, publicznych sieciach podczas przesyłania danych klientów 5 Zarządzanie i aktualizacja ochrony antywirusowej 6 Stworzenie bezpiecznych systemów i zarządzania 12 Utrzymuj politykę bezpieczeństwa
Procedury inspekcji Rozpoczynając inspekcję naleŝy Zweryfikować kompletność dokumentów Zapoznać się z polityką bezpieczeństwa Dokonać przeglądu analizy funkcji biznesowych oraz obsługujących je systemów informatycznych i aplikacji
Istotne obszary inspekcji Zabezpieczenie techniczne Systemy zaporowe Hasła Zarządzania uŝytkownikami Zarządzanie nośnikami / kopiami zapasowymi Plany ciągłości działania Outsourcing Kontrola i nadzór Audytu wewnętrzne i niezaleŝne zewnętrzne
Istotne obszary inspekcji Ciągłość działania Plany Testowanie Procesy odtworzeniowe Zapasowe centra przetwarzania Oprogramowanie zapasowe Outsourcing JeŜeli Bank decyduje się korzystać z usług osób trzecich to, zgodnie z przepisami prawa, odpowiada za działanie tych osób, a zawarta umowa w Ŝaden sposób nie zwalnia banku z tej odpowiedzialności, a przede wszystkim z ochrony tajemnicy bankowej i danych osobowych. Umowy SLA
Nowoczesne bezpieczeństwo Efektywna i dopasowane do potrzeb polityka bezpieczeństwa Zarządzanie zabezpieczeniami w oparciu o analizę ryzyka Certyfikat ISO 27001? Korzystanie z nowych technologii bezpiecznie Nowe szanse biznesowe Transfer ryzyka lub jego unikanie Bezpieczeństwo aplikacyjne Zarządzanie incydentami
Przykłady
ŹLE
Internet ŹLE Poczta Bazy danych E-Banking Inne usługi
ŹLE
Internet ŹLEEbanking
Internet DOBRZE Poczta E-Banking Bazy danych Inne usługi
WaŜne uwagi Koszt zabezpieczenia musi być adekwatny do wartości chronionych aktywów Nie ma czegoś takiego jak darmowe zabezpieczenie MoŜna stosować darmowe, otwarte oprogramowanie Czy mamy zespół do jego utrzymania? Budować własne centra kompetencyjne? Zabezpieczenie trzeba utrzymywać
Bezpieczeństwo nie musi być drogie! 1. Zabezpieczenia muszą być uwzględnione juŝ na etapie projektu 1. Usunięcie błędu w dokumencie jest tańsze niŝ w juŝ pracującym systemie 2. Pamiętaj o wymogach prawnych! 1. Sprawdź czy je spełniasz jak najwcześniej 3. Tworzenie bezpiecznego środowiska kosztuje więcej podczas instalacji ale zarządzanie nim jest tanie 4. Nigdy nie wybieraj za pomocą kryterium 100% cena 5. Ile kosztuje tak naprawdę reputacja banku?
Podsumowanie Bezpieczeństwo nie moŝe być rozpatrywane jako inwestycja która przyniesie zwrot Czy wykupujesz polisę na Ŝycie aby na tym zarobić? Noweczesny bank to bezpieczny bank Liczba wymogów i punktów kontrolnych będzie rosła
Dziękuję za uwagę Pytania? aleksander.czarnowski@avet.com.pl