Konsulting i audyty bezpieczeństwa

Bardzo ważnym elementem bezpieczeństwa informatycznego jest określenie istotnych wymagań bezpieczeństwa. Istnieją trzy główne źródła wymagań. Pierwsze źródło wynika z szacowania ryzyka dotyczącego instytucji. Poprzez szacowanie ryzyka można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz szacować potencjalne skutki.

Drugim źródłem jest zbiór wymagań prawnych, statutowych, regulacyjnych i kontraktowych, które instytucja, kontrahenci i usługodawcy powinni spełnić. Trzecim źródłem jest specyficzny zbiór zasad, celów i wymagań dotyczących przetwarzania informacji, które instytucja opracowała w celu wspomagania swojej działalności.

Audyt obejmuje następujące obszary:

Organizacja bezpieczeństwa

Przegląd i ocena struktury zarządzania bezpieczeństwem informacji wewnątrz firmy.

Klasyfikacja i kontrola aktywów

Przegląd i ocena utrzymania przez instytucje odpowiedniej ochrony aktywów. W trakcie audytu przeprowadzona jest inwentaryzacja aktywów w tym:

  1. aktywa informacyjne: zbiory i pliki z danymi, dokumentacja systemu, instrukcje użytkowników, materiały szkoleniowe, procedury eksploatacyjne i wsparcia, plany utrzymania ciągłości działania, przygotowania awaryjne, informacje zarchiwizowane
  2. aktywa oprogramowania: aplikacje, systemy, programy narzędziowe i użytkowe
  3. aktywa fizyczne: sprzęt komputerowy, sprzęt komunikacyjny (routery, centrale abonenckie, telefaksy, automatyczne sekretarki), nośniki magnetyczne, inny sprzęt techniczny (UPS, klimatyzatory)
  4. usługi: obliczeniowe i telekomunikacyjne

Bezpieczeństwo osobowe

Przegląd i ocena aspektów związanych z bezpieczeństwem przy określaniu zakresów obowiązków i zarządzaniu zasobami ludzkimi.

Audyt obejmuje:

  1. przegląd zakresów obowiązków przypisanych do stanowisk
  2. procedury naboru
  3. warunki zatrudnienia

Bezpieczeństwo fizyczne i środowiskowe

Przegląd i ocena:

  1. zabezpieczenia biur, pomieszczeń i urządzeń
  2. zabezpieczenie sprzętu, w tym:
    1. rozmieszczenie sprzętu i jego ochrona
    2. zasilanie
    3. bezpieczeństwo okablowania
    4. konserwacja sprzętu
    5. zabezpieczenia stosowane dla komputerów przenośnych
  3. ogólne zabezpieczenia, w tym:
    1. polityka czystego biurka i czystego ekranu
    2. wynoszenie mienia

Zarządzanie systemami i sieciami

Przegląd i ocena:

  1. procedur eksploatacyjnych i procedur reagowania na incydenty
  2. procedur planowania pojemności i przygotowania systemów informatycznych
  3. środków wykrywania i ochrony przed szkodliwym oprogramowaniem
  4. procedur sporządzania kopii zapasowych
  5. zabezpieczeń stosowanych do ochrony danych w sieciach oraz ochrony przed nieuprawnionym dostępem
  6. bezpieczeństwa poczty elektronicznej

Kontrola dostępu do systemu

Celem audytu jest przegląd i ocena procedur zarządzania dostępem użytkowników:

  1. do usług sieciowych
  2. do systemów operacyjnych
  3. do aplikacji

Zarządzanie ciągłością działania

Celem audytu jest również przegląd i ocena planów awaryjnych przewidzianych do stosowania w przypadku rozległych awarii lub katastrof.

Zgodność z przepisami prawa

Celem audytu jest przegląd i ocena dowodów na to, że instytucja działa zgodnie z zasadą poszanowania praw autorskich dotyczących oprogramowania. W ramach audytu zostanie przeprowadzona kontrola sprawdzająca, czy zainstalowano tylko legalne i licencjonowane oprogramowanie i czy nie została przekroczona maksymalna dozwolona liczba użytkowników.

Copyright © PETROSIN Sp. z o.o. ul. Rysi Stok 8/2, 30-237 Kraków, projekt i realizacja Studio Otwarte