IT rendszer auditálás
A szolgáltatás eredményeként egy GAP elemzést és hozzá kapcsolódó intézkedési tervezetet biztosítunk a szervezet számára.
GAP elemzést és hozzá kapcsolódó intézkedési tervezetet biztosítunk a szervezet számára
A szervezet IT rendszerét és a hozzá kapcsolódó üzemeltetési és felhasználói folyamatokat egy széles spektrumú szempontrendszer szerint átvilágítjuk, megvizsgáljuk. Azonosítjuk azon rendszer komponenseket, illetve folyamatokat, melyek kockázatot képeznek, nemmegfelelőségeket eredményeznek, vagy akár veszélyeztetik a szervezet folyamatos, biztonságos ügymenetét, adatkezelését.
A szolgáltatás eredményeként egy GAP elemzést és hozzá kapcsolódó intézkedési tervezetet biztosítunk a szervezet számára.
Az IT, mint rendszer auditálása az alábbi elemekből tevődik össze
1.
IT szolgáltatói preaudit, eseti átfogó, vagy célvizsgálata
A megrendelő igénye szerint a szervezet IT szolgáltatójának a megrendelő felé nyújtott szolgáltatások eseti jellegű vizsgálatát, auditját, vagy egy kiválasztott szolgáltatással kapcsolatos mélységi célvizsgálatot végzünk el.
Eredményképpen a megrendelő egy átfogó képet kap a felé nyújtott szolgáltatások IT biztonsági készültségéről, valamint magasabb színvonalú és IT biztonságú szolgáltatást tud igénybe venni.
2.
IT rendszerek, alkalmazások és biztonsági beállításaik vizsgálata
A feladat során a szervezet tevékenységéhez, szabályozásához, informatikai rendszerének méretéhez, illetve a szervezetre vonatkozó jogszabályi háttérnek figyelembevételével vizsgáljuk az alapvető rendszerek, alkalmazások információbiztonsági beállításait, azok paramétereit, felhívjuk a figyelmet az ebből adódó kockázatokra.
Eredményként a megrendelő IT rendszereiben, alkalmazásaiban található kockázatok felszínre kerülnek.
3.
IT üzemeltetés, használat, szolgáltatás vizsgálata
A szervezet tevékenységéhez, informatikai rendszerének méretéhez, illetve a szervezetre vonatkozó jogszabályi háttér figyelembevételével vizsgáljuk a megrendelő által üzemeltetett belső, külső IT rendszerek használati előírásainak betartását, az azokban rejlő eltéréseket, hiányosságokat, illetve az alkalmazott üzemeltetési gyakorlati elvárásoknak való megfelelést. Felhívjuk a figyelmet az ebből adódó kockázatokra.
Eredményként a megrendelő IT rendszereiben, az azok használatával, üzemeltetésével összefüggő kockázatok felszínre kerülnek.
4.
IT szolgáltatói szerződések, szerződés szerinti teljesítés vizsgálata
A szolgáltatói szerződéseket a szerződésben vállalt teljesítések szerint vizsgáljuk, majd a szerződések módosításához kapcsolódó javaslatokat fogalmazunk meg.
Eredményként a szolgáltatói szerződésben vállat feladatok teljesítési hiányosságai azonosításra kerülnek, a hiányosságok kezelésére intézkedési, valamint szerződés módosítási javaslatokat teszünk.
5.
IT biztonsági kockázatelemzés
A szervezet informatikai folyamatait, erőforrásait (fizikai, logikai, humán) a szervezet szakembereivel közösen felmérjük, a kialakított és a szervezet által elfogadott módszertan alapján. A folyamat részeként a szervezet vagyonelemei azonosításra kerülnek, az egyes vagyonelemek kockázati értékei meghatározásra kerülnek. Az információbiztonsági rendszerben azonosított kockázatok kezelési módjára vonatkozóan a gyakorlatban megvalósítható megoldásjavaslatok kerülnek meghatározásra.
Eredményként a kockázatok a szervezet napi működésétől független külső szakértők által kerülnek feltárásra, valamint azok kezelésére javaslatot teszünk.
6.
Felhő szolgáltatás kockázatelemzése
A szervezet tevékenysége vonatkozásában értelmezhető jogszabályi környezet alapján a lehetséges felhőszolgáltatási megoldások kiválasztását támogatjuk a felhőszolgáltatás kockázatainak felmérésével, azok megfelelő kezelésével.
Eredményként a felhőszolgáltatás bevezetése megfelelő előkészítés által történik meg.
7.
Biztonsági, üzemeltetési megfelelőség vizsgálatok (szabvány, jogszabály, belső előírás, …)
A szervezet tevékenységéhez, informatikai rendszerének méretéhez, illetve a szervezetre vonatkozó jogszabályi háttér figyelembevételével vizsgáljuk a megrendelő által üzemeltetett belső, külső IT rendszerek használati előírásainak betartását, az azokban rejlő eltéréseket, hiányosságokat, illetve az alkalmazott üzemeltetési gyakorlati elvárásoknak való megfelelést. Felhívjuk a figyelmet az ebből adódó kockázatokra, javaslatokat fogalmazunk meg a feltárt kockázat kezelésére vonatkozóan.
Eredményként a megrendelő IT rendszereiben, az azok használatával, üzemeltetésével összefüggő kockázatok előtérbe kerülnek, azok kockázati értéke lecsökken.
Az IT biztonsági rendszerek üzemeltetésével, használatával kapcsolatosan feltárt kockázatok kezelésére javaslatokat teszünk.
8.
Adatvagyonhoz hozzáférések vizsgálata
A megrendelő által biztosított adatvagyon térkép, leltár, jogosultsági mátrix, összeférhetetlenségi szerepkörök alapján az adatvagyonhoz hozzáférő személyek jogosultságát vizsgáljuk a munkavégzéshez szükséges minimum jogosultsági elvet figyelembe véve. Segítjük a hiányzó dokumentációk előállítását.
Eredményként megvalósul a meglévő jogosultságok felülvizsgálata, valamint az alkalmazásra javasolt minimum jogosultságok meghatározásra kerülnek.
9.
Vírusvédelem megfelelőségének vizsgálata
A szolgáltatás során a megrendelőnél kialakított és alkalmazott vírusvédelmi rendszer és vírusvédelmi megoldások megfelelőségét és teljes körűségét vizsgáljuk. Feltárásra kerülnek az esetleges hiányosságok, melyekre megoldási javalatokat teszünk.
Eredményként a szervezet vírusvédelemmel kapcsolatos kockázatai csökkennek.
10.
Incidens, üzemeltetési események vizsgálata
A vizsgálat során ellenőrizzük, segítjük az incidensek jegyzőkönyvezését, közreműködünk a gyökérokfeltárásban, ügyélkommunikációban. Az incidensek jövőbeni előfordulásának csökkentése érdekében bevezetendő intézkedéseket fogalmazunk meg, melyek végrehajtását ellenőrizzük, részt veszünk a vezetői riport, és nyilvántartás elkészítésében.
Eredményként az incidensek kezelésének teljes folyamata szakértői módon, hatékonyan kerül kezelésre, valamint a jövőbeni előfordulásuk lehetősége csökken.
11.
Távoli munkavégzés, hordozható eszközök biztonságának vizsgálata
A vizsgálat során a megrendelőnél használatban lévő távoli munkavégzésre kialakított informatikai rendszert, és a hozzá kapcsolódó végponti „munkaállomásokat” vizsgáljuk. (Vírusvédelem, authentikáció, azonosító eszköz, titkosítás, Post Sure teszt, MFA, …). Az esetlegesen feltárt hiányosságok kezelésére megoldási javaslatokat teszünk, bevezetésüket támogatjuk. Kialakítjuk a távoli munkavégzési környezet szabályozását.
Eredményként a megrendelő egy átfogó képet kap a jelenleg kialakított távmunkavégzés megfelelőségéről, állapotáról, az abban rejlő veszélyekről.
12.
Internet, telephelyek, szolgáltatók adatkapcsolatának biztonsági vizsgálata
A Megrendelő internet irányú eléréseinek, szolgáltatói kapcsolatainak alapvető információbiztonsági vizsgálata, mely magában foglalja az alkalmazott elsődleges védelmi vonal (Tűzfal) beállításainak kezelését is.
A Szolgáltatási elem során a Megrendelő oldali internet hozzáféréssel kapcsolatos korlátozások vizsgálata (proxy, web-filter, alapvető vírusvédelem, alapvető adatszivárgás elleni védelem, kivételkezelés, stb). Más irányú internet elérhetőségének vizsgálata.
Eredményként elősegítjük a Megrendelő IT rendszerének adatkapcsolatával összefüggő hiányosságok előtérbe kerülését.