Audit IS

​Audity systémov a zariadení

Vykonávame audity informačnej bezpečnosti ako z procesného, tak z technického hľadiska. Náš tím disponuje širokými kompetenciami na zvládnutie takmer akejkoľvek požiadavky na overenie zhody, či už sa týka kybernetického zákona, ISMS, ochrany osobných údajov či iných špecializovaných IT štandardov. Vykonáme i zákaznícky audit u Vašich dodávateľov. Určite nás kontaktujte, pripravíme pre Vás individuálny Audit IS za rozumnú cenu.

 

Naše odporúčania sú presné a konkrétne

Jedna z najväčších slovenských bánk prechádzala komplikovanou reštrukturalizáciou infraštruktúry. V rámci projektu sme už od počiatku úzko spolupracovali a disponovali sme tak dobrou znalosťou prostredia a interných štandardov. Po implementácii bezpečnosti na nových systémoch nám bol zverený kompletný audit týchto systémov.

Do prípravy auditu sme vložili nemalé úsilie úpravou vlastného auditovacieho softvéru tak, aby výsledky korešpondovali s prostredím banky a boli čo najviac relevantné. Následne sme odporúčali najlepšie opatrenia na zamedzenie zistených rizík s minimálnym dopadom na priebeh projektu.

Našimi znalosťami a našou vecnou konzultáciou behom auditu sme odporúčali konkrétne nápravné opatrenia na mieru auditovanej infraštruktúre. Diskusia nad odporúčaniami tak bola značne skrátená a audit ukončený s predstihom.

Audity systémov a zariadení

Urobili ste penetračné testy, a napriek tomu si nie ste istí, či je zabezpečenie konkrétneho serveru alebo inej aplikačnej platformy dostatočné? Potrebujete dôkladne preveriť zabezpečenie kľúčových prvkov vášho informačného systému? Riešením týchto a mnohých ďalších problémov je vykonanie detailného auditu zabezpečenia konkrétnych systémov alebo zariadení v rámci informačného systému organizácie.

Zatiaľ čo pri penetračných testoch sa špecialisti AEC stavajú skôr do roly potenciálneho útočníka, pri auditoch technického zabezpečenia pristupujú ku skúmanému prvku skôr v role systémového administrátora a implementátora odporúčaných opatrení na zvýšenie jeho bezpečnosti. Pri kontrole nastavenia jednotlivých systémov využívame znalosti a skúsenosti bezpečnostných a systémových špecialistov AEC, odporúčania výrobcov pre hardening daných systémov a pod.

Všetky nájdené nedostatky sú podrobne opísané v správe z auditu. Sú tu opísané riziká týchto zraniteľností a nechýbajú, samozrejme, ani návrhy na ich odstránenie (prípadne minimalizáciu rizika).

V rámci technických auditov poskytujeme tieto služby

    • Audit konfigurácie aktívnych sieťových prvkov.
    • Audit konfigurácie operačných systémov na serveroch.
    • Audit konfigurácie firewallov a systémov IDS/IPS.
    • Audit bezpečnosti špeciálnych systémov, aplikácií a služieb.

Ďalšie špecializované audity

    • Audity v súlade so štandardmi PCI-DSS a PA-DSS.
    • Audity topológie a infraštruktúry.

 

Metodika

Pri realizácii bezpečnostných auditov využívame ucelenú a priebežne aktualizovanú metodiku AEC vychádzajúcu z metodík a odporučení popredných organizácií zaoberajúcich sa bezpečnosťou informačných technológií.

    • Odporúčania výrobcov týkajúce sa hardeningu auditovaných HW, OS a SW.
    • Odporúčania organizácie IETF (Internet Engineering Task Force) – organizácie vydávajúcej RFCs, tzv. štandardy internetu.
    • Odporúčania organizácie NIST (napr. NIST SP 800-44 Guidlines on Securing Public Web Servers).
    • CVE – Common Vulnerabilities and Exposures – štandardizovaný slovník všeobecných zraniteľností a ohrození.
    • Common Criteria (ISO/IEC 15408) – štandard pre hodnotenie úrovne bezpečnosti systémov a ďalšie.

Prínosy riešení

    • Viac ako 20 rokov skúseností na poli bezpečnosti v Českej a Slovenskej republike.
    • Široký tím certifikovaných audítorov a administrátorov so skúsenosťami z niekoľkých desiatok vykonaných auditov ročne.
    • Využívame komerčné, free a tiež vlastné nástroje a skripty na zber dát a následnú analýzu.
    • Vyhodnotenie úrovne zabezpečenia ICT spoločnosti a definície reálnych rizík v kontexte predpokladaného dopadu na business.
    • Vykonávame audity v súlade so štandardmi PCI-DSS a PA-DSS.

Referencie

Ak sa chcete presvedčiť o kvalite výstupov, ktoré Vám poskytneme, môžeme predložiť vzorový report z auditov na nahliadnutie. Ak máte záujem zistiť viac o tom, ako pracujeme, neváhajte sa na nás spýtať v niektorej z nasledujúcich spoločností. Ide iba o vybrané a schválené referencie z poslednej doby.

    • Volksbank
    • ING bank

Pravidelně testujeme bezpečnost pro zákazníky, jako jsou T-Mobile, Komerční banka, Česká spořitelna, ČSOB, Zuno bank AG či Poštová banka.

Radi skonzultujeme vašu konkrétnu situáciu


Overenie: