Naše služby » Analytický a bezpečnostní audit ITC

Analytický a bezpečnostní audit ITC

Na současné počítačové systémy organizací a firem působí stále více bezpečnostních hrozeb. Pro eliminaci těchto hrozeb nabízíme v oblasti bezpečnosti IT sadu služeb opírajících se o následující základní produkty:

• Bezpečnostní politika dle ČSN/ISO 17799
• Bezpečnostní audity IT
• Průnikové testování
• Havarijní plánování

S těmito službami jsme schopni u jakéhokoliv zákazníka řešit problematiku komplexně a systémově. Všechny možné oblasti ohrožení bere v úvahu mezinárodní norma ISO/ČSN 17799, kterou používáme při své práci jako základní dokument hodnocení informační bezpečnosti našich klientů.


Bezpečnostní politika dle ČSN/ISO 17799
Pro vypracování bezpečnostní dokumentace používáme a aplikujeme mezinárodní standard BS7799 v aktualizované podobě normy ČSN/ISO 17799. Základem této mezinárodní normy je 10 oblastí pokrývajících všechny běžné činnosti v IT od fyzické bezpečnosti, přes personální bezpečnost až po komunikační bezpečnost viz následující tabulka.

CIN	Název
1	Bezpečnostní politiky
2	Organizace bezpečnosti
3	Klasifikace a kontrola aktiv
4	Personální bezpečnost
5	Fyzická bezpečnost
6	Management počítačů a sítí
7	Systém přístupové kontroly
8	Systémový vývoj a údržba
9	Zajištění kontinuity provozu
10	Shoda se zákonnými požadavky

Vytvářený dokument bezpečnostní politiky nebo bezpečnostní hodnocení dle ČSN/ISO 17799 přesně odpovídá záhlavím popsaným v tabulce.


Bezpečnostní audity IT
Zadavatelem zpracování auditu IT je téměř vždy management společnosti, který má zájem o zmapování stavu svého IT. Většinou jsme se setkali vždy s tím, že management je spokojen s prací svého IT oddělení, ale protože se zabývá svou podnikatelskou činností a oblast IT je mu cizí, má zájem z pohledu třetí strany získat informace o stavu systému ve své společnosti s odborným názorem na to co je nutné případně zlepšit. Jako základ bezpečnostního auditu používáme ČSN/ISO 17799. Během hodnocení zjišťujeme naplněnost této normy. Součástí auditu je rovněž hodnocení předané dokumentace a vazba netechnických a technických opatření. Rozsah auditu je zpravidla individuální a je upřesněn managementem společnosti. Součástí auditu bývají i praktické testy zneužití informaci zpracovávaných na zdrojích vnitřní sítě. Výsledkem auditu je seznam zjištěných rizik a návrh bezpečnostních opatření, která budou zjištěná rizika eliminovat, či minimalizovat a návrh dalších kroků vedoucích k zajištění bezpečnosti organizace. Výsledek auditu vždy zahrnuje manažersky orientované výsledky hodnocení bezpečnosti a technickou část určenou specialistům IT.


Průnikové testování
Provádíme bezpečnostní testování aktiv dostupných z Internetu bez jakékoliv znalosti cílového prostředí. Cílem testování je ověřit aktuální  bezpečnost připojení na Internet tak, aby se podmínky testování co nejvíce blížily podmínkám, které by měl potenciální narušitel. Pro testování nejsou poskytovány žádné informace, kromě informací volně dostupných z veřejných zdrojů. Provádíme opakované zjišťování informací pomocí sady automatizovaných nástrojů a následně ruční sběr a ověření získaných dat. Rovněž provádíme specializované průnikové testy jen pro specifické komponenty pracující na Internetu, zejména WWW servery. Součástí testování může být i hodnocení vnitřní sítě včetně návrhu protiopatření eliminujících zjištěné nedostatky.


Havarijní plánování
Plánování kontinuity provozu přímo podporuje hlavní cíle organizace a zajišťuje minimalizaci ztrát v případě přerušení provozu IS. Přerušení provozu může být způsobeno mnoha faktory například výpadkem napájení, hardwarovou chybou, požárem, bouří atd. I když se katastrofě nedá vždy zabránit, jdou alespoň eliminovat její dopady. Pro eliminaci těchto dopadů lze použít plánování kontinuity provozu neboli obnovu funkčnosti. V rámci zajištění komplexní bezpečnosti je součástí nabídky naší firmy vypracování plánů obnovy funkčnosti jednotlivých částí informačního systému. Praktická realizace je však velice časově a materiálově náročná a nezbytnou podmínkou naplnění tohoto bodu je předchozí vypracování bezpečnostní politiky a analýzy rizik alespoň v omezené míře. Plán obnovy by měl splňovat požadavek na kompromisní řešení mezi časem potřebným na opětovné zprovoznění IS a finančními náklady potřebnými pro zajištění tohoto záměru. Přesný rozsah plánů obnovy je vždy upřesňován s managementem společnosti.