
Audyt Środowiska IT
Ocena poziomu bezpieczeństwa
a) Testy bezpieczeństwa wykonywanych z sieci Internet
b) Testy głównej strony WWW w zakresie:
* OWASP Top 10-2017 Top 10,
* Analiza konfiguracji,
* Testy odporności na ataki Denial of Service,
c) Testy bezpieczeństwa serwerów w sieci DMZ,
d) Testy bezpieczeństwa sieci wewnętrznej,
e) Analiza konfiguracji wszystkich urządzeń sieciowych,
f) Analiza reguł systemu firewall oraz ich optymalizacji pod kątem bezpieczeństwa i wydajności,
g) Analiza bezpieczeństwa systemów (włączając analizę konfiguracji wszystkich komponentów – systemu operacyjnego oraz baz danych). Analizie zostaną poddane między innymi następujące systemy:
system pocztowy, system antywirusowy, system IPS/IDS, system proxy, system DNS, VPN, FTP.
h) Analiza bezpieczeństwa dostępu z telefonów do poczty elektronicznej. Analiza uwzględnia ocenę bezpieczeństwa urządzeń mobilnych, zastosowanych mechanizmów bezpieczeństwa oraz ocenę polityki zarządzania zdalnym
dostępem.
i) Analiza ryzyka dotyczącego bezpieczeństwa infrastruktury,
W ramach audytu wykonujemy następujące prace:
Opracowujemy dokumentację bezpieczeństwa, na którą będą się składać następujące elementy: polityka bezpieczeństwa informacji, proces zarządzania bezpieczeństwem informacji, zasady bezpieczeństwa informacji, standardy bezpieczeństwa informacji oraz procedury bezpieczeństwa informacji. Dokument polityki bezpieczeństwa informacji zawiera:
-
Definicję i cele bezpieczeństwa informacji,
-
Intencje zapewniania bezpieczeństwa informacji,
-
Strategię bezpieczeństwa informacji,
-
Podejście do zarządzania bezpieczeństwem informacji,
-
Podejście do szacowania ryzyka i postępowania z ryzykiem.
Dokumentacja procesu zarządzania bezpieczeństwem informacji zawiera:
-
Opis celów i zakresu procesu,
-
Opis ról niezbędnych do realizacji procesu,
-
Opis przebiegu procesu,
-
Definicję polityki i zasad dla procesu,
-
Definicję mierników skuteczności i efektywności procesu,
-
Szczegółowe procedury funkcjonowania procesu.
Dokument zasad bezpieczeństwa informacji z zasady odnosi się do zagadnień bezpieczeństwa informacji ujętych w normie ISO/IEC 27001, ISO/IEC 27002 oraz określa kluczowe wymagania, zalecenia oraz wytyczne bezpieczeństwa informacji. Dokumenty standardów bezpieczeństwa informacji stanowią uzupełnienie wymagań, zaleceń i wytycznych zawartych w dokumencie zasad bezpieczeństwa informacji. Na tej podstawie opracowane są następujące standardy bezpieczeństwa:
-
Urządzeń sieciowych,
-
Stacji roboczych i serwerów,
-
Kryptograficznej ochrony informacji,
-
Aplikacji infrastrukturalnych,
-
Uwierzytelniania i autoryzacji,
-
Nadawania uprawnień,
-
Usuwania danych z nośników,
-
Środowisk wirtualnych,
-
Sieci bezprzewodowych,
-
Urządzeń mobilnych,
-
Pomiarów bezpieczeństwa informacji (metryki i sposoby pomiarów).
Ocena bezpieczeństwa wszystkich aplikacji biznesowych
Ocena uwzględnia:
a) Bezpieczeństwo aplikacji webowej w oparciu o OWASP ASVS poziom 2B
b) Analizę konfiguracji serwera www
c) Analizę konfiguracji systemów operacyjnych
d) Analizę konfiguracji bazy danych
Model zagrożeń dla wszystkich aplikacji biznesowych
Dokumenty procedur bezpieczeństwa dotyczą:
-
Obsługi incydentów bezpieczeństwa informacji,
-
Nadzoru nad dokumentami,
-
Oceny skuteczności zabezpieczeń,
-
Działań zapobiegawczych i korygujących,
-
Audytu wewnętrznego,
-
Zarządzania zmianami,
-
Postępowanie z urządzeniami mobilnymi,
-
Inne działania niezbędne do poprawnego funkcjonowania.
Umieszczona powyżej metodologia pozwala na kompleksowe zbadanie organizacji pod kątem potencjalnych zagrożeń. Na życzenie Klienta dokonujemy badania wybranych obszarów IT.
