plik pdf

Nowoczesny Bank Spółdzielczy
to bezpieczny bank
Aleksander Czarnowski
AVET Information and Network Security Sp. z o.o.
Bezpieczeństwo nie jest
przywilejem banków
komercyjnych
System prawny na podstawie którego
wszystkie banki działają wymaga
zapewnienia bezpieczeństwa
Bezpieczeństwo jest procesem a
nie jednorazową
usługą/produktem.
Proces nie musi być drogi
Centra kosztowe
• Starty wynikające z braku korzystania z
szans jakie dają nowe i obecne
technologie
• Straty wynikające z braku zabezpieczeń
lub braku zgodności
• Źle napisana polityka bezpieczeństwa
Zgodność i standardy
• Wymogi prawne
– Ustawa o ochronie danych osobowych
• Wymogi i rekomendacje GINB
– Rekomendacja D i M
– Procedury inspekcji np.: dla systemów
bankowości elektronicznej
• PCI DSS
• Polskie normy
Punkty wspólne
• Wykorzystanie technologii internetowych,
ale w bezpieczny sposób
• Zabezpieczenia techniczne i proceduralne
oraz organizacyjne
• Zarządzanie ryzykiem
• Sformalizowane, procesowe podejście do
problemu ryzyka
Ustawa o ochronie danych
osobowych
• Rozporządzenie ministra spraw
wewnętrznych administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz
warunków technicznych organizacyjnych,
jakim powinny odpowiadać urządzenia
i systemy informatyczne słuŜące do
przetwarzania danych osobowych.
Ochrona danych osobowych
§ 4.
Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w
którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych
Ochrona danych osobowych
§ 5.
Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
–
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie
informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
–
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i uŜytkowaniem;
–
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla uŜytkowników systemu;
–
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych
słuŜących do ich przetwarzania;
–
5) sposób, miejsce i okres przechowywania:
–
–
a) elektronicznych nośników informacji zawierających dane osobowe,
–
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w
pkt III ppkt 1 załącznika do rozporządzenia;
»
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
»
8) procedury wykonywania przeglądów
Ochrona danych osobowych
§ 6.
1. Uwzględniając kategorie przetwarzanych danych oraz zagroŜenia wprowadza się poziomy bezpieczeństwa przetwarzania danych
osobowych w systemie informatycznym:
–
1) podstawowy;
–
2) podwyŜszony;
–
3) wysoki.
2. Poziom co najmniej podstawowy stosuje się, gdy:
–
1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz
–
2) Ŝadne z urządzeń systemu informatycznego, słuŜącego do przetwarzania danych osobowych nie
–
jest połączone z siecią publiczną.
3. Poziom co najmniej podwyŜszony stosuje się, gdy:
–
1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz
–
2) Ŝadne z urządzeń systemu informatycznego, słuŜącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
–
4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, słuŜącego do przetwarzania danych osobowych,
połączone jest z siecią publiczną.
–
5. Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia.
Ochrona danych osobowych
C. Środki bezpieczeństwa na poziomie wysokim
XII
1. System informatyczny słuŜący do przetwarzania danych osobowych
chroni się przed zagroŜeniami pochodzącymi z sieci publicznej
poprzez wdroŜenie fizycznych lub logicznych zabezpieczeń
chroniących przed nieuprawnionym dostępem.
2. W przypadku zastosowania logicznych zabezpieczeń, o których
mowa w ust. 1, obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym
administratora danych a siecią publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu
informatycznego administratora danych.
PCI DSS
• Payment Card Industry (PCI) Data Security
Standard (DSS)
– 1 Instalacja i zarządzanie systemem zaporowym w
celu ochrony danych klientów
– 2 Nie uŜywać domyślnych parametrów
– 4 Szyfrowanie połączeń w otwartych, publicznych
sieciach podczas przesyłania danych klientów
– 5 Zarządzanie i aktualizacja ochrony antywirusowej
– 6 Stworzenie bezpiecznych systemów i zarządzania
– 12 Utrzymuj politykę bezpieczeństwa
Procedury inspekcji
• Rozpoczynając inspekcję naleŜy
– Zweryfikować kompletność dokumentów
– Zapoznać się z polityką bezpieczeństwa
– Dokonać przeglądu analizy funkcji
biznesowych oraz obsługujących je systemów
informatycznych i aplikacji
Istotne obszary inspekcji
• Zabezpieczenie techniczne
–
–
–
–
Systemy zaporowe
Hasła
Zarządzania uŜytkownikami
Zarządzanie nośnikami / kopiami zapasowymi
• Plany ciągłości działania
• Outsourcing
• Kontrola i nadzór
– Audytu wewnętrzne i niezaleŜne zewnętrzne
Istotne obszary inspekcji
• Ciągłość działania
–
–
–
–
–
Plany
Testowanie
Procesy odtworzeniowe
Zapasowe centra przetwarzania
Oprogramowanie zapasowe
• Outsourcing
– „JeŜeli Bank decyduje się korzystać z usług osób trzecich to,
zgodnie z przepisami prawa, odpowiada za działanie tych osób,
a zawarta umowa w Ŝaden sposób nie zwalnia banku z tej
odpowiedzialności, a przede wszystkim z ochrony tajemnicy
bankowej i danych osobowych.”
– Umowy SLA
Nowoczesne bezpieczeństwo
• Efektywna i dopasowane do potrzeb polityka
bezpieczeństwa
– Zarządzanie zabezpieczeniami w oparciu o analizę
ryzyka
– Certyfikat ISO 27001?
• Korzystanie z nowych technologii bezpiecznie
– Nowe szanse biznesowe
– Transfer ryzyka lub jego unikanie
• Bezpieczeństwo aplikacyjne
• Zarządzanie incydentami
Przykłady
ŹLE
Internet
ŹLE
Poczta
Bazy danych
E-Banking
Inne usługi
ŹLE
Internet
ŹLE
Ebanking
Internet
DOBRZE
E-Banking
Bazy danych
Poczta
Inne usługi
WaŜne uwagi
• Koszt zabezpieczenia musi być adekwatny
do wartości chronionych aktywów
– Nie ma czegoś takiego jak darmowe
zabezpieczenie
– MoŜna stosować darmowe, otwarte
oprogramowanie
• Czy mamy zespół do jego utrzymania?
• Budować własne centra kompetencyjne?
– Zabezpieczenie trzeba utrzymywać
Bezpieczeństwo nie musi być drogie!
1.
Zabezpieczenia muszą być uwzględnione juŜ na
etapie projektu
1.
2.
Pamiętaj o wymogach prawnych!
1.
3.
4.
5.
Usunięcie błędu w dokumencie jest tańsze niŜ w juŜ
pracującym systemie
Sprawdź czy je spełniasz jak najwcześniej
Tworzenie bezpiecznego środowiska kosztuje więcej
podczas instalacji ale zarządzanie nim jest tanie
Nigdy nie wybieraj za pomocą kryterium 100% cena
Ile kosztuje tak naprawdę reputacja banku?
Podsumowanie
• Bezpieczeństwo nie moŜe być
rozpatrywane jako inwestycja która
przyniesie zwrot
– Czy wykupujesz polisę na Ŝycie aby na tym
zarobić?
• Noweczesny bank to bezpieczny bank
• Liczba wymogów i punktów kontrolnych
będzie rosła
Dziękuję za uwagę
• Pytania?
[email protected]