04 dec Informatikai biztonság
A Rendszer Kontroll Kft. meghatározza az alkalmazott IT biztonsági módszertanok, szabványok és releváns jogszabályok azon területeit, és azt a biztonsági szintet, melyet a megbízó rendszerének kialakítása, vagy üzemeltetése során figyelembe kell venni.
Az alkalmazott módszertanoknak, és szabványoknak (COBIT, ISO 27001, Common Criteria, releváns jogszabályok, ITB ajánlások) megfelelően ellenőrzi a rendszer biztonsági felkészültségét, valamint ellátja a biztonsági felkészítés során felmerülő összes feladatot. Vállalja a meglévő lokális, illetve távoli rendszerek, valamint a megvalósítandó rendszerek adat- és titokvédelmi auditját, továbbá hatásvizsgálatát.
Az audit célja annak felmérése, és értékelése, hogy a jelenlegi IT folyamatok, rendszerek, szabályozások mennyire felelnek meg az adatvédelemmel kapcsolatos jogszabályi követelményeknek, és a nemzetközi standardok által meghatározott előírásoknak, normáknak. A hatásvizsgálat az IT biztonsági helyzetkép értékelése alapján akciótervet határoz meg a javasolt korrektív intézkedésekre vonatkozóan.
Az IT biztonsági audit szkópja az adat és rendszerbiztonság. Az audit hatóköre kiterjed mind a lokális rendszerekre, mind pedig a távoli rendszerekre; önkormányzatok esetében a helyi, és közigazgatási rendszerektől az államigazgatási szervezetek csatlakozó rendszereivel bezárólag. Az előzőekben meghatározott szkópon belül az audit vizsgálja az információk bizalmasságának, integritásának, rendelkezésre állásának mértékét befolyásoló fenyegetettségek, sebezhetőségeket, és kockázatokat.
Veszélyforrások, fenyegetettségek meghatározása
Az audit megállapításai alapján meghatározzuk azokat a veszélyforrásokat, amelyek veszélyeztethetik az informatikai működést és információvagyont.
Sebezhetőségek meghatározása
Azok a gyenge pontok, amelyeken keresztül a rendszer támadható, ahol a fenyegetések realizálódhatnak, és kár keletkezhet. Például nem teljes körű, illetve nem egyenszilárdságú védelem; tűzfal hiánya (vagy annak beállításainak nem kellően biztonságos volta); védelmi megoldások, kontroll, szoftver, hardver, vagy egyéb elem, komponens hiánya.
Megoldási javaslatok megfogalmazása
Az audit, és a veszélyforrás analízis eredményeire támaszkodva – figyelembe véve a bekövetkezési valószínűségüket, és az általuk okozott kár mértékét – helyesbítő, és megelőző kontrollok bevezetését célzó akciókat definiálunk, azok sorrendjének (prioritás), és kockázati mértékének meghatározása mellett (Alacsony, Közepes, Magas).
Informatikai rendszerekhez kapcsolódó vizsgálataink:
- Központi rendszerek (szerverek, kommunikációs eszközök),
- Kommunikációs rendszerhez kapcsolódó vizsgálatok,
- Szoftverekhez kapcsolódó vizsgálatok,
- Adatokhoz kapcsolódó vizsgálatok,
- Üzemeltetéssel kapcsolatos vizsgálatok,
- Jogosultsági rendszer vizsgálata,
- Személyekhez kapcsolódó biztonsági intézkedések vizsgálata,
- Informatikai biztonság ellenőrző rendszerének vizsgálata.