Doradca bezpieczeństwa DGA

 
Metodyka - audyt teleinformatyczny

Metodyka
Usługa audytu bezpieczeństwa teleinformatycznego oferowana przez Doradztwo Gospodarcze DGA S.A. opiera się na własnej metodyce, opracowanej na podstawie międzynarodowych standardów:
  • ISO/IEC 27001,
  • ISO/IEC 15408,
  • ISO/IEC 17799,
  • ISO/IEC 13335,
  • wytyczne COBIT i ISACA.


Zakres audytu
Audyt bezpieczeństwa teleinformatycznego obejmuje zarówno obszary organizacyjne jak i techniczne. W ramach weryfikacji części organizacyjnej audytem objęte są polityki, procedury i instrukcje związane z zarządzaniem środowiskiem i systemami teleinformatycznymi. W ramach technicznej części audytu weryfikowane są między innymi:
  • Bezpieczeństwo stałej i bezprzewodowej sieci informatycznej, obejmujące analizę mechanizmów wykorzystywanych do ochrony przed atakiem z zewnątrz, jak również z wewnątrz sieci oraz możliwością podsłuchu;
  • Bezpieczeństwo fizyczne infrastruktury teleinformatycznej, obejmujące m.in. kontrolę dostępu do zasobów, warunki eksploatacji urządzeń, bezpieczeństwo zasilania energetycznego;
  • Bezpieczeństwo stacji roboczych, które są często najsłabiej chronionym elementem sieci informatycznych;
  • Analiza konfiguracji systemu domenowego wraz z weryfikacją metod autoryzacji na stacjach roboczych;
  • Jakość stosowanych rozwiązań w zakresie ochrony przed działaniem szkodliwego oprogramowania. Analizie poddawane są systemy antywirusowe;
  • Weryfikacja zarządzania legalnością oprogramowania;
  • Testy penetracyjne, mające na celu ocenę rzeczywistej skuteczności zastosowanych rozwiązań oraz poprawności ich konfiguracji. W tym celu testowany system zostaje poddany serii kontrolowanych ataków, symulujących próbę naruszenia bezpieczeństwa i stabilności sieci.
  • Bezpieczeństwo serwerów oraz systemów baz danych pod względem zarządzania i monitorowania, jak również weryfikacja konfiguracji pod kątem zapewnienia wymaganego poziomu poufności i integralności danych;
  • Bezpieczeństwo metod autoryzacji w systemach informatycznych, analiza bezpieczeństwa stosowanych haseł;
  • Zarządzanie kopiami zapasowymi i zmianami w systemach informatycznych;
  • Zarządzanie kontami i uprawnieniami użytkowników w systemach informatycznych;
  • Zgodność systemów teleinformatycznych z regulacjami prawnymi w tym z:
    • ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
    • ustawą z dnia 29 września 1994 roku o rachunkowości,
    • rozporządzeniami w sprawie instrukcji kancelaryjnej – sektor administracji publicznej,
    • rekomendacją D Generalnego Inspektoratu Nadzoru Bankowego – sektor bankowy;

  • Spełnienie wymagań normy ISO/IEC 17799 w zakresie systemów IT. Podczas audytu sprawdzany jest m.in. sposób zarządzania systemami informatycznymi.


Wyniki audytu
  • przeanalizowanie funkcjonującego systemu bezpieczeństwa w zakresie objętym przez audyt,
  • raport o stanie bezpieczeństwa sieci teleinformatycznej,
  • raport o stanie bezpieczeństwa systemu informatycznego,
  • raporty techniczne uzyskane z wykorzystaniem narzędzi skanujących,
  • wskazanie działań doskonalących poziom bezpieczeństwa informacji.


Wyniki audytów zawarte w raporcie mogą być wykorzystane do dalszych prac nad wdrażaniem systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001:2005.

Wykorzystywane narzędzia informatyczne
Nessus

GFI LANGuard Network Security Scanner

DGA Secure Audit

Audytorów DGA SA cechuje profesjonalizm, bogate doświadczenie w dziedzinie bezpieczeństwa teleinformatycznego oraz szeroka wiedza, poparta uzyskanymi certyfikatami m.in.:


Audytor Wiodący Systemów Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001:2005


Audytor Wiodący Systemów Zarządzania Bezpieczeństwem Informacji BS 7799-2


Certified Information Systems Auditor (CISA)


CompTIA Security+


Foundation Certificate in IT Management
Poświadczenia bezpieczeństwa ABW

Licencja pracownika zabezpieczenia technicznego II stopnia
wydana przez Komendanta Wojewódzkiego Policji w Poznaniu



(c) by Doradztwo Gospodarcze DGA S.A.