Ocena poziomu bezpieczeństwa
a) Testy bezpieczeństwa wykonywanych z sieci Internet
b) Testy głównej strony WWW w zakresie:
* OWASP Top 10-2017 Top 10,
* Analiza konfiguracji,
* Testy odporności na ataki Denial of Service,
c) Testy bezpieczeństwa serwerów w sieci DMZ,
d) Testy bezpieczeństwa sieci wewnętrznej,
e) Analiza konfiguracji wszystkich urządzeń sieciowych, 
f) Analiza reguł systemu firewall oraz ich optymalizacji pod kątem bezpieczeństwa i wydajności,
g) Analiza bezpieczeństwa systemów (włączając analizę konfiguracji wszystkich komponentów – systemu operacyjnego oraz baz danych). Analizie zostaną poddane między innymi następujące systemy: 
system pocztowy, system antywirusowy, system IPS/IDS, system proxy, system DNS, VPN, FTP. 
h) Analiza bezpieczeństwa dostępu z telefonów do poczty elektronicznej. Analiza uwzględnia ocenę bezpieczeństwa urządzeń mobilnych, zastosowanych mechanizmów bezpieczeństwa oraz ocenę polityki zarządzania zdalnym
dostępem.
i) Analiza ryzyka dotyczącego bezpieczeństwa infrastruktury,

​​​

​

W ramach audytu wykonujemy następujące prace:
Opracowujemy dokumentację bezpieczeństwa, na którą będą się składać następujące elementy: polityka bezpieczeństwa informacji, proces zarządzania bezpieczeństwem informacji, zasady bezpieczeństwa informacji, standardy bezpieczeństwa informacji oraz procedury bezpieczeństwa informacji. Dokument polityki bezpieczeństwa informacji zawiera:

• Definicję i cele bezpieczeństwa informacji,

• Intencje zapewniania bezpieczeństwa informacji,

• Strategię bezpieczeństwa informacji,

• Podejście do zarządzania bezpieczeństwem informacji,

• Podejście do szacowania ryzyka i postępowania z ryzykiem.

Dokumentacja procesu zarządzania bezpieczeństwem informacji zawiera:

• Opis celów i zakresu procesu,

• Opis ról niezbędnych do realizacji procesu,

• Opis przebiegu procesu,

• Definicję polityki i zasad dla procesu,

• Definicję mierników skuteczności i efektywności procesu,

• Szczegółowe procedury funkcjonowania procesu.

Dokument zasad bezpieczeństwa informacji z zasady odnosi się do zagadnień bezpieczeństwa informacji ujętych w normie ISO/IEC 27001, ISO/IEC 27002 oraz określa kluczowe wymagania, zalecenia oraz wytyczne bezpieczeństwa informacji. Dokumenty standardów bezpieczeństwa informacji stanowią uzupełnienie wymagań, zaleceń i wytycznych zawartych w dokumencie zasad bezpieczeństwa informacji. Na tej podstawie opracowane są następujące standardy bezpieczeństwa:

 

• Urządzeń sieciowych,

• Stacji roboczych i serwerów,

• Kryptograficznej ochrony informacji,

• Aplikacji infrastrukturalnych,

• Uwierzytelniania i autoryzacji,

• Nadawania uprawnień,

• Usuwania danych z nośników,

• Środowisk wirtualnych,

• Sieci bezprzewodowych,

• Urządzeń mobilnych,

• Pomiarów bezpieczeństwa informacji (metryki i sposoby pomiarów).

​

​

Ocena bezpieczeństwa wszystkich aplikacji biznesowych
Ocena uwzględnia:
a) Bezpieczeństwo aplikacji webowej w oparciu o OWASP ASVS poziom 2B
b) Analizę konfiguracji serwera www
c) Analizę konfiguracji systemów operacyjnych
d) Analizę konfiguracji bazy danych
Model zagrożeń dla wszystkich aplikacji biznesowych

​

​

Dokumenty procedur bezpieczeństwa dotyczą:

• Obsługi incydentów bezpieczeństwa informacji,

• Nadzoru nad dokumentami,

• Oceny skuteczności zabezpieczeń,

• Działań zapobiegawczych i korygujących,

• Audytu wewnętrznego,

• Zarządzania zmianami,

• Postępowanie z urządzeniami mobilnymi,

• Inne działania niezbędne do poprawnego funkcjonowania.

Umieszczona powyżej metodologia pozwala na kompleksowe zbadanie organizacji pod kątem potencjalnych zagrożeń. Na życzenie Klienta dokonujemy badania wybranych obszarów IT.