USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI - Point-As

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI
Warszawa 2013r.
POINTAS.COM.PL
STRONA 1
USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI
Warszawa 2013
O NAS
Spis Treści
1
O Nas pointas.com.pl
2
Kadra i Kwalifikacje
3
Audyty i konsulting
w obszarze
Bezpieczeństwa
Informacji
3
Metodyka
4
Wdrożenie Systemu Zarządzania
Bezpieczeństwem Informacji
4
Audyt zarządzania
bezpieczeństwem informacji
5
Audyt bezpieczeństwa
systemów informatycznych
5
Audyt zgodności z ustawą o
Na rynku informatycznym działamy od 1998 roku. Firma Point
specjalizuje się w sprzedaży zintegrowanych rozwiązań do
bezpieczeństwa sieci komputerowych oraz w świadczeniu usług,
polegających na instalacji, konfiguracji oraz szkoleniu
administratorów sieci komputerowych.
Celem firmy POINT jest jej stały rozwój oraz zaspokajanie potrzeb
klientów poprzez sprzedaż rozwiązań do bezpieczeństwa sieci
komputerowych. Aby sprostać temu zadaniu firma korzysta
z nowoczesnych i sprawdzonych technologii informatycznych.
Personel firmy Point to wykwalifikowany zespół specjalistów
z dziedziny bezpieczeństwa systemów komputerowych. Wiedza
i doświadczenie pracowników pozwalają na świadczenie usług
na najwyższym poziomie. Inżynierowie POINT cały czas podnoszą
swoje kwalifikacje zawodowe uczestnicząc w szkoleniach
zarówno w Polsce jak i za granicą. Dzięki takiej polityce, firma ma
wysoką pozycję na rynku usług informatycznych.
ochronie danych osobowych
6
Audyt planów ciągłości
działania
6
Audyt bezpieczeństwa aplikacji
7
Testy penetracyjne
8
Audyt licencji oprogramowania
8
Warsztaty i szkolenia
Usprawniamy Twój Business,
wykonując prace na
których znamy się najlepiej.
Od prezesa
Oferowane przez nas rozwiązania dostosowane są do wielkości
i specyfiki potrzeb naszych Klientów. Produkty i usługi, które
oferujemy pozwalają na pełną obsługę dla wszystkich firm
i instytucji niezależnie od wielkości i złożoności infrastruktury.
Na naszej liście referencyjnej Klientów można znaleźć już kilka
tysięcy firm łącznie z tymi największymi, posiadającymi powyżej
tysiąca komputerów.
Jesteśmy pewni, że dzięki wykwalifikowanej kadrze pracowniczej,
zdobytemu doświadczeniu i ciągłemu rozwojowi, firma POINT jest
w
stanie
sprostać
każdemu
zadaniu
związanemu
z bezpieczeństwem.
Relacje z klientami opieramy na zasadzie partnerstwa. Chcemy,
aby projekty przez nas realizowane aktywnie wspierały
wszechstronny rozwój naszych klientów, wychodząc z założenia,
że sukces klienta jest naszym sukcesem.
POINTAS.COM.PL
POINT – Nowa
Generacja
Bezpieczeństwa
STRONA 2
Kadra i Kwalifikacje
Zespół do spraw audytu i bezpieczeństwa informacji to
kilkuosobowa grupa ekspertów o bardzo szerokiej specjalizacji,
która jest w stanie zapewnić kompleksową obsługę audytorską
oraz pełną ochronę danych sieci teleinformatycznej Klienta.
Oferujemy spójne, kompleksowe i sprawdzone rozwiązania.
Dodatkowo na naszą korzyść przemawia:

znajomość specyfiki Klientów z różnych obszarów
działalności gospodarczej;
 poparte referencjami doświadczenie w tworzeniu
i wdrażaniu rozwiązań związanych z bezpieczeństwem
systemów informatycznych dla instytucji z sektorów
„mundurowego”,
bankowego,
finansowego
i przemysłowego;
 doświadczenie w szeroko rozumianych pracach nad
bezpieczeństwem u wielu Klientów, w zróżnicowanych
i złożonych systemach;
 przeszkolony zespół specjalistów na najwyższym
poziomie;
 dostęp
do
informacji
o
pojawiających
się
zagrożeniach;
 metodyka zgodna z przepisami polskiego prawa oraz
obowiązującymi normami;
 zdolność do obsługi Klientów w rozumieniu Ustawy
o Ochronie Informacji Niejawnej.
Wypróbuj nasze Usługi, to nic
nie kosztuje.
POINTAS.COM.PL
STRONA 3
Audyty i konsulting w obszarze
Bezpieczeństwa Informacji
Audyt bezpieczeństwa realizowany przez naszą firmę jest procesem, którego zadaniem jest
określenie aktualnego stanu zabezpieczeń w wybranym obszarze funkcjonowania organizacji
zgodnie z określoną polityką bezpieczeństwa lub zgodnie z obowiązującym stanem wiedzy
w danym zakresie.
Nasza oferta obejmuje:
 Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą
PN-ISO/IEC 27001;
 Audyt zarządzania bezpieczeństwem informacji;
 Audyt bezpieczeństwa systemów informatycznych;
 Audyt zgodności z ustawą o ochronie danych osobowych;
 Audyt planów ciągłości działania;
 Audyt bezpieczeństwa aplikacji;
 Testy penetracyjne;
 Audyt legalności oprogramowania;

Warsztaty i szkolenia.
Wykonanie audytu systemu informatycznego, czy też systemu informacyjnego, daje bardzo
konkretną wiedzę o stanie systemu. Rezultaty analizy mogą przynieść korzyści dotyczące wielu
obszarów:
 identyfikacja i eliminacja usterek;
 wprowadzenie usprawnień;
 wsparcie dalszego rozwoju;
 oszczędności.
Metodyka
Metodyka prowadzonych prac audytorskich oparta jest na zaleceniach zawartych
w COBIT (Control Objectives for Information and Related Technology).
W trakcie prac oraz przy tworzeniu rekomendacji i zaleceń odwołujemy się do norm:
 ISO/IEC 27000:2005;
 ISO/IEC 20000:2011
 ISO 22301:2012
 PN-ISO/IEC 17799:2007.
Ponadto, w miarę potrzeb, wykorzystujemy inne normy, uszczegóławiające zagadnienia
wskazane w normach wymienionych powyżej, w tym:
 IT Grundschutzhandbuch
 Rekomendacje serii NIST SP 800
 ISO/IEC 18044:2004
Tak dobrana metodyka zakłada:
 rozpoznanie i identyfikację procesów;
 zapoznanie się z procesami;
 ocenę mechanizmów kontrolnych;
 ocenę zgodności;
 udowadnianie ryzyka;
 określenie sposobu osiągnięcia celów;
 zgodność z międzynarodową normą.
POINTAS.COM.PL
Wdrożenie Systemu Zarządzania
Bezpieczeństwem Informacji
(PN-ISO/IEC 27001)
Efektem wdrożenia SZBI jest zdefiniowanie adekwatnych
zabezpieczeń
w
odniesieniu do
specyfiki
działalności
gospodarczej oraz otoczenia rynkowego. Szczególny nacisk
kładziony jest na zarządzanie ryzykiem. Budując system,
wykorzystujemy
metodykę
i
dokumenty
źródłowe;
od standardów korporacyjnych, poprzez normy krajowe,
na
normach
międzynarodowych
kończąc.
Najbardziej
atrakcyjną możliwością jest wdrażanie SZBI, zgodnego
ze standardem międzynarodowym, czyli tworząc system
korzystamy ze sprawdzonych i wiarygodnych wskazówek. Takim
standardem jest norma PN-ISO/IEC 27001. Norma ta dotyczy
ochrony wszystkich form informacji, w tym także ustnych
i graficznych, powstających z wykorzystaniem telefonów
komórkowych i faksów.
Audyt zarządzania bezpieczeństwem
informacji
Celem audytu jest sprawdzenie funkcjonowania i aktualności
Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), często
także w celu potwierdzenia gotowości badanej organizacji do
odpowiedniej certyfikacji. Audyt taki, przeprowadzany cyklicznie,
jest częścią procesu kontroli jakości. Kontrolowany SZBI może być
oparty na normach międzynarodowych, np. ISO 27001, ale także
na innych wytycznych.
STRONA 4
POINTAS.COM.PL
Pełny audyt
bezpieczeństwa
systemów
informatycznych
STRONA 5
Audyty bezpieczeństwa systemów
informatycznych
Celem audytu jest sprawdzenie stanu bezpieczeństwa danych
przechowywanych
oraz
przetwarzanych
w
systemie
informatycznym
organizacji,
odkrycie
rzeczywistych
i potencjalnych nieprawidłowości w stosunkowo krótkim czasie
oraz
podniesienie
poziomu
bezpieczeństwa
poprzez
psychologiczne oddziaływanie na pracowników badanej
organizacji. W trakcie prac następuje identyfikacja podatności
na zagrożenia, ocena ryzyka związanego z daną podatnością
oraz wskazanie działań korygujących.
Pełny audyt bezpieczeństwa systemów informatycznych to:
 analiza zgodności systemu informatycznego z polityką
bezpieczeństwa i dotyczącymi regulacjami;
 testy penetracyjne;
 testy „vulnerability assessment (VA)” kluczowych
systemów informatycznych;
 testy z wykorzystaniem technik „social engineering”;
 analiza zabezpieczeń fizycznych;
 analiza bezpieczeństwa aplikacji.
Każda z wymienionych części może być realizowana jako
odrębna usługa, mająca na celu kontrolę wybranego systemu
czy też procesu.
Audyt zgodności z ustawą o ochronie
danych osobowych
Celem audytu jest weryfikacja spełnienia przez badaną
organizację wymagań prawnych, związanych z przetwarzaniem
danych osobowych.
Prace obejmują:
 audyt zgodności z wymaganiami prawnymi w zakresie
ochrony danych osobowych;
 weryfikację i ocenę mechanizmów zapewniających
ochronę danych osobowych;
 opracowanie lub modyfikację dokumentacji związanej
z przetwarzaniem danych osobowych pod kątem
zapewnienia zgodności z wymaganiami prawnymi;
 szkolenia
w
zakresie
zabezpieczenia
danych
osobowych przetwarzanych przez badaną organizację.
POINTAS.COM.PL
STRONA 6
Audyt planów ciągłości działania
Celem audytu jest kontrola rozwiązań organizacyjnych oraz
technicznych, jakie zostały opracowane i wdrożone przez
badaną organizację, aby zapewnić wysoki poziom
dostępności i niezawodności systemów lub umożliwić
odtworzenie działalności po awarii. Prace (w oparciu o ISO
22301:2012) mogą obejmować całą firmę, wybrane jednostki
organizacyjne, czy wskazane procesy biznesowe. Częścią
audytu
są
testy
„disaster
recovery”
systemów
informatycznych.
Audyt bezpieczeństwa aplikacji
Celem audytu jest ocena poziomu bezpieczeństwa
badanej
aplikacji
z
punktu
widzenia
użytkowników/administratorów
o
różnym
poziomie
uprawnień oraz potencjalnego intruza, który próbuje
przełamać zastosowane zabezpieczenia.
Usługa jest jedną z metod prewencyjnych, pozwalających
wykryć podatność aplikacji na możliwość potencjalnych
ataków oraz zapewnić bezpieczną ciągłość działania
biznesu. Wykorzystywane procedury i badania dotyczą
najbardziej podatnych na ataki składników aplikacji i m. in.
obejmują:
 analizę architektury środowiska aplikacji;
 procedury komunikacji z użytkownikami;
 architekturę i mechanizmy komunikacji aplikacji;
 metody uwierzytelniania;
 metody zarządzania sesją;
 próbę
przejęcia
kontroli
nad
kontami
użytkowników;
 próbę wykonywania nieautoryzowanych operacji
bezpośrednio na bazie danych;
 próbę pozyskania nienależnych uprawnień;
 próbę zablokowania serwisu;
 wykorzystanie luk w interfejsie użytkownika;
 manipulację danymi wejściowymi i wyjściowymi;
 symulacje błędów administratora aplikacji.
Nasze Doświadczenie
Twoje Bezpieczne IT
POINTAS.COM.PL
STRONA 7
Testy penetracyjne
Celem testów jest ocena zabezpieczenia infrastruktury
informatycznej przed próbami pozyskania nieuprawnionego
dostępu ze strony Internetu (testy zewnętrzne), ze strony sieci
wewnętrznej (testy wewnętrzne) oraz przed celowym
spowodowaniem
utraty
dostępności
infrastruktury
informatycznej.
Prace obejmują:
 analizę
dostępnych
usług
oraz
identyfikację
podatności
pozwalających
na
naruszenie
bezpieczeństwa informacji, test przeprowadzany bez
dodatkowych informacji na temat specyfiki usług
(informacje ograniczają się do wskazania adresów IP
– testy „Black box”);
 próbę wykorzystania zidentyfikowanych podatności
w celu pozyskania nieuprawnionego dostępu do
systemu (wprowadzenie do systemu pliku o
uzgodnionej treści lub pozyskanie z systemu
uzgodnionych informacji) lub zablokowania działania
systemu (atak denial-of-service) ;
 pozyskanie dodatkowych informacji na temat
eksploatowanych usług zaimplementowanych na
badanych
komponentach
(wywiady
oraz
dokumentacja);
 opcjonalnie,
analiza
konfiguracji
wybranych
elementów aktywnych na styku sieci wewnętrznej z
Internetem;
 poszerzoną analizę usług w oparciu o pozyskane
dodatkowe informacje (testy „White box”) oraz
próbę wykorzystania zidentyfikowanych podatności.
Stawiamy Na Bezpieczeństwo – Sprawdź NAS
POINTAS.COM.PL
STRONA 8
Audyt licencji oprogramowania
Celem audytu jest weryfikacja procesu zaopatrzenia,
dystrybucji i wykorzystania licencji w badanej organizacji.
Wynikiem prac jest:
 inwentaryzacja aplikacji i licencji zainstalowanych
na
komputerach,
serwerach
oraz
innych
urządzeniach, np. routerach, firewallach, telefonach
komórkowych;
 inwentaryzacja dokumentów licencyjnych;
 protokół rozbieżności pomiędzy stanem faktycznym,
a dokumentacją;
 legalność (ważność) licencji;
 status prawny posiadanych aplikacji;
 propozycja optymalizacji wykorzystania licencji;
 plan aktualizacji aplikacji i licencji.
Warsztaty i szkolenia
Point sp. z o.o. dostarcza swoim Klientom wiedzę na temat
potencjalnych zagrożeń oraz nowych technologii w zakresie
bezpieczeństwa teleinformatycznego poprzez organizowanie
dedykowanych
warsztatów
i
szkoleń.
Spotkania
są
przygotowywane i realizowane we współpracy z naszymi
partnerami - znanymi producentami, zajmującymi się
problematyką bezpieczeństwa.
Prowadzimy także dedykowane szkolenia na temat
bezpieczeństwa informacji, przetwarzania i ochrony danych
osobowych oraz innych obszarów wskazanych przez naszych
Klientów.
www.pointas.com.pl
Tel./Fax. 22 569 13 00
[email protected]