Szukasz rozwiązania? | Potrzebujesz konsultacji? | Skontaktuj się!

Masz pytanie?

+48 737 185 903

// AUDYT ZGODNY Z WYMOGAMI PROJEKTU CYFROWA GMINA

Jeśli masz obawy jakiego audytora wybrać lub jaki powinien być zakres przeprowadzanego audytu, zachęcamy do bezpłatnej konsultacji celem uniknięcia kłopotów w przyszłości, a zwłaszcza ponoszenia kosztów audytów, które mają pozornie atrakcyjną cenę, jednak często nie spełniają ustalonych wymogów Projektu Cyfrowa Gmina.

Poniżej znajdziesz szczegółowy plan realizacji audytu bezpieczeństwa IT, który jest w pełni zgodny z wymaganiami Projektu Cyfrowa Gmina. Cena takiego audytu jest ustalana indywidualnie na podstawie wypełnionej ankiety. Jej celem jest zebranie podstawowych informacji o środowisku sieciowym, które będzie przedmiotem analizy, m.in. ilości i rodzaju hostów, konfiguracji urządzenia brzegowego czy używanych aplikacji.

Dla kogo realizujemy audyty bezpieczeństwa IT?

Dla Biznesu
Dla Szpitali
Dla Gmin

I dla Ciebie też możemy!

+48 737 185 903

    Masz pytania?

    Wypełnij formularz poniżej, jeśli potrzebujesz konsultacji, wyceny audytu lub wsparcia w zakresie doboru rozwiązań.

    Jakim rodzajem audytu jesteś zainteresowany?

    NAJCZĘSTSZE PYTANIA DOTYCZĄCE AUDYTÓW

    Czy audyt może zostać przeprowadzony zdalnie?

    Tak, audyt może mieć formę zdalną. Należy jednak zdawać sobie sprawę z tego, że taka forma ma swoje ograniczenia i nie daje możliwości weryfikacji stanu w naturze. Opiera się on wtedy na pozyskaniu materiału dowodowego od audytowanego.

    Czy audytowany powinien się w jakiś sposób przygotować do audytu?

    Wcześniejsze przygotowanie audytowanego w jakiś szczególny sposób nie jest obligatoryjne. Natomiast uprzednie usystematyzowanie wiedzy, przygotowanie funkcjonujących dokumentów na pewno taki audyt usprawni i przyspieszy.

    Jak długo trwa audyt?

    Jest to uzależnione od audytowanego obszaru i zakresu. W większości przypadków czas potrzebny na jego realizację nie przekracza 1-2 dni.

    Jaki jest koszt audytu?

    Koszt audytu wyceniany jest indywidualnie, w zależności od jego formy (zdalny lub na miejscu), czasu trwania, audytowanego zakresu oraz specyfiki danego środowiska.

    Co jest weryfikowane podczas audytu?

    Podczas audytu weryfikowana jest zgodność funkcjonujących u audytowanego polityk, procedur, sposobu postępowania z normą ISO 27001.

    Czy audytu należy się obawiać?

    Nie, audytu nie należy się obawiać. Jest on przeprowadzany w przyjaznej atmosferze i ma na celu pomóc audytowanemu, a nie zaszkodzić w jakikolwiek sposób.

    Kto ma wziąć udział w audycie?

    Nie ma określonych konkretnych osób, które biorą udział w audycie ze strony audytowanego. Powinny to być osoby, bądź osoba, która ma wiedzę na temat audytowanego obszaru, ewentualnie będzie w stanie takie osoby wskazać i umożliwić z nimi kontakt.

    Kto przeprowadza audyt?

    Audyt przeprowadzają audytorzy wiodący normy ISO 27001. Liczba audytorów i ich kompetencje określone są w warunkach audytu. Są audyty które wymagają udziału np. 2 audytorów.

    PLAN REALIZACJI USŁUGI AUDYTU BEZPIECZEŃSTWA IT

    // Audyt dokumentacji i procesów

    1. Ocena zgodności z Krajowymi Ramami Interoperacyjności (KRI) / Krajowym Systemie Cyberbezpieczeństwa (KSC)

    • wyznaczenie osoby do kontaktu – Art. 21 KSC
    • przekazanie danych osoby wyznaczonej – Art. 22 pkt 5) KSC
    • zapewnienie zarządzania incydentem – Art. 22 pkt 1) KSC
    • zgłaszanie incydentu – Art. 22 pkt 2) Art. 23 KSC
    • zapewnienie obsługi incydentu – Art. 22 pkt 3) KSC
    • zapewnienie dostępu do wiedzy – Art. 22 pkt 4) KSC
    • opracowanie, ustanowienie i wdrożenie SZBI – Par. 20 KRI
    • monitorowanie i przegląd SZBI – Par. 20 KRI
    • doskonalenie SZBI – Par. 20 KRI
    • aktualizowanie regulacji wewnętrznych – Par. 20 pkt 1) KRI
    • inwentaryzacja sprzętu i oprogramowania – Par. 20 pkt 2) KRI
    • przeprowadzanie okresowych analiz ryzyka – Par. 20 pkt 3) KRI
    • postępowanie z ryzykiem – Par. 20 pkt 3) KRI
    • zarządzanie uprawnieniami – Par. 20 pkt 4), 5) KRI
    • szkolenia i uświadamianie – Par. 20 pkt 6) KRI
    • monitorowanie dostępu do informacji – Par. 20 pkt 7) a), b) KRI
    • monitorowanie nieautoryzowanych zmian – Par. 20 pkt 7) b) KRI
    • zabezpieczenie nieautoryzowanego dostępu – Par. 20 pkt 7) c) KRI
    • ustanowienie zasad bezpiecznej pracy mobilnej – Par. 20 pkt 8) KRI
    • zabezpieczenie informacji przed nieuprawnionym ujawnieniem – Par. 20 pkt 9) KRI
    • zabezpieczenie informacji przed nieuprawnioną modyfikacją – Par. 20 pkt 9) KRI
    • zabezpieczenie informacji przed nieuprawnionym usunięciem lub zniszczeniem – Par. 20 pkt 9) KRI
    • zawieranie w umowach serwisowych zapisów o bezpieczeństwie – Par. 20 pkt 10) KRI
    • ustalenie zasad postępowania z informacjami w celu minimalizacji kradzieży informacji i środków przetwarzania – Par. 20 pkt 11) KRI
    • aktualizowanie oprogramowania – Par. 20 pkt 12) a) KRI
    • minimalizowanie ryzyka utraty informacji w wyniku awarii systemu – Par. 20 pkt 12) b) KRI
    • ochrona systemu przed błędami – Par. 20 pkt 12) c) KRI
    • stosowanie mechanizmów kryptograficznych w systemach – Par. 20 pkt 12) d) KRI
    • zapewnienie bezpieczeństwa plików systemowych – Par. 20 pkt 12) e) KRI
    • zarządzanie podatnościami systemów – Par. 20 pkt 12) f), g) KRI
    • kontrola zgodności systemów z regulacjami – Par. 20 pkt 12) h) KRI
    • zapewnienie audytu bezpieczeństwa informacji nie rzadziej niż raz na rok – Par. 20 pkt 14) KRI

    2. Ocena wybranych aspektów bezpieczeństwa systemów informatycznych

    • dokumentacja potwierdzająca wykonane działania wskazanego w ustawie
    • opis identyfikacji systemu informacyjnego wspierającego zadanie publiczne
    • dokumentacja Systemu Informacyjnego wspierającego zadanie publiczne
    • dokumentacja procesu zarządzania incydentami
    • aspekty techniczne do weryfikacji

    3. Ocena dojrzałości wybranych procesów bezpieczeństwa

    • ochrona przed kodem szkodliwym
    • ochrona sieci i połączeń
    • ochrona urządzeń końcowych
    • zarządzanie tożsamością i autoryzacją dostępu
    • ochrona fizyczna systemów IT
    • bezpieczeństwo urządzeń drukujących
    • zarządzanie podatnościami

    4. Opracowanie raportu z audytu oraz uzupełnienie arkusza do oceny

    // Testy penetracyjne infrastruktury sieciowej

    1. Przedstawienie założeń Audytu

    Audyt wykonywany będzie w sposób manualny oraz automatyczny za pomocą specjalistycznych narzędzi oraz własnych skryptów przygotowanych na podstawie wiedzy i doświadczeń. Testy zostaną przeprowadzone w oparciu o OSSTMM (Open Source Security Testing Methodology Manual).

    2. Weryfikacja dokumentacji sieci, topologii sieci, kluczowych elementów sieci

    3. Skanowanie sieci – rekonesans sieci

    Sprawdzenie jakie hosty są w sieci widoczne, ile ich jest, usługi jakie są uruchomione na hostach, jakie systemy operacyjne działają na wykrytych hostach. W szczególności ten etap polega na:

    • skanowaniu sieci w poszukiwaniu wszystkich podłączonych hostów
    • wykryciu czy jest dostęp do innych podsieci z danej podsieci
    • wykryciu usług działających na hostach podłączonych do sieci
    • wykryciu podatności na wybranych hostach w sieci

    4. Skanowanie będzie powtórzone dla każdej wskazanej przez zamawiającego sieci

    Przeprowadzenie skanowania w prawidłowo działającej sieci nie powinno mieć negatywnego wpływu na działanie sieci. Po przeskanowaniu sieci wraz z Zamawiającym zostanie wybrana pula hostów do dalszego badania.

    5. Skanowanie najistotniejszych hostów w sieci (serwery, kluczowe stacje końcowe, kamery, rejestratory), które zostały wybrane na podstawie wcześniejszej analizy

    • weryfikacja występowania luk bezpieczeństwa dla konkretnych usług
    • w zależności od wykrytej usługi weryfikacja haseł
    • weryfikacja dostępu użytkowników do odpowiednich usług
    • weryfikacja możliwości dostępu do usługi
    • weryfikacja luk bezpieczeństwa w systemie operacyjnym
    • weryfikacja luk bezpieczeństwa w oprogramowaniu firm trzecich

    6. Sprawdzenie domyślnych haseł dla najistotniejszych hostów w sieci (serwery, bramy, switche, access point), które zostały wybrane na podstawie wcześniejszej analizy

    • weryfikacja haseł w usługach umożliwiających logowanie

    7. Sprawdzenie możliwości wylistowania użytkowników oraz zdobycia haseł

    8. Weryfikacja możliwości uzyskania dostępu do zasobów współdzielonych

    9. Weryfikacja zabezpieczeń urządzeń sieciowych

    • badanie odporności switchy na ataki sieciowe
    • weryfikacja zabezpieczeń monitoringu wizyjnego

    10. Testy sieci bezprzewodowej oraz weryfikacja zabezpieczeń sieci bezprzewodowej

    • weryfikacja pod kątem dostępu
    • weryfikacja pod kątem zabezpieczeń
    • wykrycie możliwości przechwycenia haseł
    • w przypadku przechwycenia hasła – weryfikacja pod kątem możliwości złamania hasła

    11. Zdalne testy adresów publicznych

    12. Badanie ankietowe

    Badanie ankietowe pracowników działu IT oraz pracowników Zamawiającego z wiedzy o bezpieczeństwie sieci i procedurach IT stosowanych przez Zamawiającego. Grupa ankietowanych pracowników zostanie ustalona podczas Audytu.

    13. Testy socjotechniczne

    • kontakt bezpośredni – do 10 osób
    • kontakt telefoniczny – do 20 osób
    • kampanie phishingowe – możliwa dla całej organizacji

    14. Wykonanie raportu zawierającego:

    • opis wszystkich elementów, które zostały poddane audytowi
    • podział podatności ze względu na ryzyko:
      – wysoki
      – średni
      – niski
    • wskazanie zaleceń, rekomendacji, najlepszych praktyk – dla każdej znalezionej podatności
    • wylistowanie wszystkich podatności ze względu na ryzyko:
      – wysoki
      – średni
      – niski
    • określenie bezpieczeństwa informatycznego w organizacji poprzez wskazanie ilości i rodzaju znalezionych podatności

    15. Wsparcie poaudytowe

    Udzielenie informacji na temat audytowanych elementów wynikających z raportu. Czas dla klienta na zapoznanie się z raportem i zadawanie pytań odnośnie raportu.

    // Chętnie porozmawiamy i doradzimy

    Szukasz audytu dla innej branży?

    737 185 903