AUDYT BEZPIECZEŃSTWA INFORMACJI

PODNIEŚ STANDARDY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI!

Zweryfikujemy poziom bezpieczeństwa systemu zarządzania bezpieczeństwem informacji (SZIB) w Waszej organizacji oraz wskażemy rekomendacje i zalecenia.

Co to jest Audyt
BEZPIECZEŃSTWA INFORMACJI?

Kompleksowa ocena wdrożonych zabezpieczeń technicznych i organizacyjnych poprzez sprawdzenie stosowanych zabezpieczeń, procedur i polityk.
Audyt odgrywa kluczową rolę nie tylko w niezależnej i neutralnej ocenie istniejących już zabezpieczeń, ale również uświadamia kierownictwo organizacji i wspiera je w przeciwdziałaniu różnorodnym zagrożeniom w otoczeniu organizacji. Audyt uwypukla obszary nad którymi należy popracować, by zachowana ciągłość działania była na najwyższym poziomie, zgodnie z obowiązującymi przepisami prawa, normami i przyjętymi standardami. Wszystko to ma wpływ na podniesienie efektywności procesów zachodzących wewnątrz organizacji.

cEL AUDYTU?

Audyt ma na celu analizę poziomu bezpieczeństwa IT, przegląd procedur bezpieczeństwa IT oraz inwentaryzację zasobów sieci.
Polega na:

  • zbadaniu aktualnego stanu zabezpieczenia zasobów,
  • wykryciu potencjalnego zagrożenia,
  • wskazaniu luk i niezgodności,
  • przygotowaniu rekomendacji i zaleceń naprawczo-korygujących.

Po co audyt?

Powody wykonania audytów w zakresie Systemu Bezpieczeństwa Informacji wg normy ISO 27001 obejmują m.in.:

  1. Wymaganie standardów np. w związku z normą PN-ISO/IEC 27001 standaryzującej systemy zarządzania bezpieczeństwem informacji.
  2. Wymagania prawne – audyt bezpieczeństwa informacji jest wymogiem prawnym stawianym instytucjom publicznym (rozporządzenie z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności)
  3. Plan audytów obowiązujący w organizacji.
  4. Występowanie incydentów w obszarze bezpieczeństwa informacji.
  5. Zmiany w organizacji np. zmiana osób odpowiadanych za infrastrukturę IT w organizacji.

Na czym bazujemy?

  • Ustawa o Krajowym Systemie Cyberbezpieczeństwa.
  • 20 ust. 2 rozporządzenia w sprawie Krajowych Ram Interoperacyjności – KRI (systemów teleinformatycznych, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych).
  • międzynarodowa norma PN-ISO/IEC 27001 standaryzująca systemy zarządzania bezpieczeństwem informacji.

ILE TO KOSZTUJE ?

Ceny mogą być bardzo różne. Koszt audytu zależy od ilości czasu, jaki musi być poświęcony na jego wykonanie, wielkości organizacji, a także od zakresu konkretnych działań. Każdy audyt wyceniamy indywidualnie więc zachęcamy do kontaktu!

ILE TO TRWA ?

Na czas trwania również wpływa wiele czynników, m.in.: ilość osób zatrudnionych, ilości lokalizacji oraz zakresu wdrożonego systemu.


Etapy przeprowadzeniA audytu bezpieczeństwa IT:

PLANOWANIE

Zdefiniujemy cel audytu i określimy kryteria, co do których określana będzie zgodność. Zbierzemy zespół i przygotujemy harmonogram całego audytu, aby sprawnie współpracować z Waszą organizacją. Dobierzemy narzędzia audytowe i sposób komunikacji. Ewentualnie prześlemy ankietę wstępną celem doprecyzowania i uściślenia zasobów i obszarów do zbadania.

Wykonywanie

Podczas spotkania otwierającego omówimy zakresy, przedstawimy metodykę prowadzenia, kwestie organizacyjne i techniczne. Zbadamy dokumentację, zbierzemy wywiady, przeprowadzimy listy kontrolne i wykonamy testy. Po zakończeniu prac audytowych zorganizujemy spotkanie zamykające, podczas którego omówione zostaną wykonane czynności i ewentualne zidentyfikowane niezgodności.

RAPORTOWANIE

Na podstawie zebranych informacji i danych, oddamy w Twoje ręce kompletny raport stanu zabezpieczeń systemów IT, zawierający zarówno stwierdzone niezgodności, luki, a także rekomendacje co do niezbędnych poprawek, których wdrożenie pozwoli Ci podnieść poziom bezpieczeństwa przechowywanych danych.

działania poaudytowe - opcjonalnie

Jednostka audytowana, po otrzymaniu raportu z audytu zobligowana jest do zbadania przyczyn odnotowanych niezgodności i podjęcia określonych działań poaudytowych (korygujących, zapobiegawczych, doskonalących) w celu ograniczenia ponownego ich powstania w SZBI. Możemy wesprzeć Waszą organizację we wdrożeniu poszczególnych rekomendacji wynikających z raportu.


USŁUGI USZYTE NA MIARĘ ?

Aby kompleksowo zweryfikować poziom cyberbezpieczeństwa Waszej organizacji, uwzględniając oczekiwania i potrzeby, przeprowadzamy ponadto:

Ważnym argumentem przemawiającym za cyklicznym przeprowadzaniem pentestów jest fakt, że zdecydowana większość skutecznych przypadków złamania zabezpieczeń, wykrywana jest średnio dopiero po 6 miesiącach od ich zaistnienia. Hakerzy często etapami penetrują system nie wzbudzając za szybko podejrzeń i ukrywając swoją obecność – a to jedynie faza przygotowawcza przed właściwym atakiem. W efekcie mogą mieć dostęp do danych i systemu miesiącami.

  • ZAKRES:

1. Skanowanie sieci 

  • weryfikacja topologii sieci, 
  • skanowanie sieci w poszukiwaniu wszystkich podłączonych hostów, 
  • sprawdzenie działających usług na hostach podłączonych do sieci.

2. Weryfikacja dokumentacji sieci i kluczowych elementów sieci 

  • skontrolowanie danych zawierających prace konfiguracyjne,
  • weryfikacja osób odpowiedzialnych,
  • weryfikacja dostępu do urządzeń sieciowych  .

3. Skanowanie najistotniejszych hostów w sieci: 

  • serwery, 
  • switche,
  • firewall, 
  • kluczowe stacje. 

4. Sprawdzenie domyślnych haseł dla najważniejszych urządzeń w sieci.

  • serwery, 
  • switche,
  • firewall.

5. Badanie odporności urządzeń sieciowych na ataki sieciowe.

  • ataki DOS, 
  • ataki DDOS.

6. Testy sieci bezprzewodowej oraz weryfikacja zabezpieczeń sieci bezprzewodowej

  • weryfikacja dostępu, 
  • weryfikacja pod kątem zabezpieczeń, 
  • wykrycie możliwości przechwycenia haseł. 

7. Weryfikacja konfiguracji urządzeń brzegowych sieci 

  • weryfikacja firewall, 
  • skontrolowanie urządzeń sieciowych.  

8. Badanie ankietowe z bezpieczeństwa sieci i procedur it

  • ankieta weryfikująca wiedzę i znajomość bezpieczeństwa, 
  • raport uświadamiający poziom bezpieczeństwa. 

9. Testy socjotechniczne 

  • kontakt bezpośredni – do 4 osób, 
  • kontakt telefoniczny – do 4 osób.

1. Phisingowe

  • kampanie e-mail, 
  • SMS.

2. Vishing

  • kontakt telefoniczny. 

3. Pretexting

  • kontakt bezpośredni, 
  • kontakt telefoniczny. 

4. Baiting 

  • wykorzystanie urządzeń przenośnych w celu wykonania ataku. 

CO NAS WYRÓŻNIA?

przeprowadź Audyt Bezpieczeństwa Informacji

Skorzystaj z naszego doświadczenia i podnieś standardy cyberbezpieczeństwa.