plik pdf
Transkrypt
plik pdf
Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie którego wszystkie banki działają wymaga zapewnienia bezpieczeństwa Bezpieczeństwo jest procesem a nie jednorazową usługą/produktem. Proces nie musi być drogi Centra kosztowe • Starty wynikające z braku korzystania z szans jakie dają nowe i obecne technologie • Straty wynikające z braku zabezpieczeń lub braku zgodności • Źle napisana polityka bezpieczeństwa Zgodność i standardy • Wymogi prawne – Ustawa o ochronie danych osobowych • Wymogi i rekomendacje GINB – Rekomendacja D i M – Procedury inspekcji np.: dla systemów bankowości elektronicznej • PCI DSS • Polskie normy Punkty wspólne • Wykorzystanie technologii internetowych, ale w bezpieczny sposób • Zabezpieczenia techniczne i proceduralne oraz organizacyjne • Zarządzanie ryzykiem • Sformalizowane, procesowe podejście do problemu ryzyka Ustawa o ochronie danych osobowych • Rozporządzenie ministra spraw wewnętrznych administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych. Ochrona danych osobowych § 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych Ochrona danych osobowych § 5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności: – 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; – 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i uŜytkowaniem; – 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŜytkowników systemu; – 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych słuŜących do ich przetwarzania; – 5) sposób, miejsce i okres przechowywania: – – a) elektronicznych nośników informacji zawierających dane osobowe, – b) kopii zapasowych, o których mowa w pkt 4, 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; » 7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4; » 8) procedury wykonywania przeglądów Ochrona danych osobowych § 6. 1. Uwzględniając kategorie przetwarzanych danych oraz zagroŜenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: – 1) podstawowy; – 2) podwyŜszony; – 3) wysoki. 2. Poziom co najmniej podstawowy stosuje się, gdy: – 1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz – 2) Ŝadne z urządzeń systemu informatycznego, słuŜącego do przetwarzania danych osobowych nie – jest połączone z siecią publiczną. 3. Poziom co najmniej podwyŜszony stosuje się, gdy: – 1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz – 2) Ŝadne z urządzeń systemu informatycznego, słuŜącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. – 4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, słuŜącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. – 5. Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia. Ochrona danych osobowych C. Środki bezpieczeństwa na poziomie wysokim XII 1. System informatyczny słuŜący do przetwarzania danych osobowych chroni się przed zagroŜeniami pochodzącymi z sieci publicznej poprzez wdroŜenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. PCI DSS • Payment Card Industry (PCI) Data Security Standard (DSS) – 1 Instalacja i zarządzanie systemem zaporowym w celu ochrony danych klientów – 2 Nie uŜywać domyślnych parametrów – 4 Szyfrowanie połączeń w otwartych, publicznych sieciach podczas przesyłania danych klientów – 5 Zarządzanie i aktualizacja ochrony antywirusowej – 6 Stworzenie bezpiecznych systemów i zarządzania – 12 Utrzymuj politykę bezpieczeństwa Procedury inspekcji • Rozpoczynając inspekcję naleŜy – Zweryfikować kompletność dokumentów – Zapoznać się z polityką bezpieczeństwa – Dokonać przeglądu analizy funkcji biznesowych oraz obsługujących je systemów informatycznych i aplikacji Istotne obszary inspekcji • Zabezpieczenie techniczne – – – – Systemy zaporowe Hasła Zarządzania uŜytkownikami Zarządzanie nośnikami / kopiami zapasowymi • Plany ciągłości działania • Outsourcing • Kontrola i nadzór – Audytu wewnętrzne i niezaleŜne zewnętrzne Istotne obszary inspekcji • Ciągłość działania – – – – – Plany Testowanie Procesy odtworzeniowe Zapasowe centra przetwarzania Oprogramowanie zapasowe • Outsourcing – „JeŜeli Bank decyduje się korzystać z usług osób trzecich to, zgodnie z przepisami prawa, odpowiada za działanie tych osób, a zawarta umowa w Ŝaden sposób nie zwalnia banku z tej odpowiedzialności, a przede wszystkim z ochrony tajemnicy bankowej i danych osobowych.” – Umowy SLA Nowoczesne bezpieczeństwo • Efektywna i dopasowane do potrzeb polityka bezpieczeństwa – Zarządzanie zabezpieczeniami w oparciu o analizę ryzyka – Certyfikat ISO 27001? • Korzystanie z nowych technologii bezpiecznie – Nowe szanse biznesowe – Transfer ryzyka lub jego unikanie • Bezpieczeństwo aplikacyjne • Zarządzanie incydentami Przykłady ŹLE Internet ŹLE Poczta Bazy danych E-Banking Inne usługi ŹLE Internet ŹLE Ebanking Internet DOBRZE E-Banking Bazy danych Poczta Inne usługi WaŜne uwagi • Koszt zabezpieczenia musi być adekwatny do wartości chronionych aktywów – Nie ma czegoś takiego jak darmowe zabezpieczenie – MoŜna stosować darmowe, otwarte oprogramowanie • Czy mamy zespół do jego utrzymania? • Budować własne centra kompetencyjne? – Zabezpieczenie trzeba utrzymywać Bezpieczeństwo nie musi być drogie! 1. Zabezpieczenia muszą być uwzględnione juŜ na etapie projektu 1. 2. Pamiętaj o wymogach prawnych! 1. 3. 4. 5. Usunięcie błędu w dokumencie jest tańsze niŜ w juŜ pracującym systemie Sprawdź czy je spełniasz jak najwcześniej Tworzenie bezpiecznego środowiska kosztuje więcej podczas instalacji ale zarządzanie nim jest tanie Nigdy nie wybieraj za pomocą kryterium 100% cena Ile kosztuje tak naprawdę reputacja banku? Podsumowanie • Bezpieczeństwo nie moŜe być rozpatrywane jako inwestycja która przyniesie zwrot – Czy wykupujesz polisę na Ŝycie aby na tym zarobić? • Noweczesny bank to bezpieczny bank • Liczba wymogów i punktów kontrolnych będzie rosła Dziękuję za uwagę • Pytania? [email protected]