Stacks Image 4

Audit bezpečnosti IS

Ako je zabezpečený majetok vašej organizácie? Chránite automobily imobilizérom, priestory alarmom, ukladáte cennosti v trezore? A viete ako je zabezpečený váš informačný systém, služby ktoré poskytuje a údaje v ňom uložené? Práve služby Gordiasu v oblasti auditu bezpečnosti IS vám podajú v podrobnej a pritom zrozumiteľnej forme odpoveď na všetky otázky ohľadne bezpečnosti IS.
Pri realizácii auditu postupuje Gordias podľa overených medzinárodných štandardov, odporúčaní a osvedčených postupov (z angl. best practices). Audit zvyčajne zodpovedá zameraním štandardu ISO/IEC 27002, zohľadňuje celosvetovo akceptovanú metodológiu COBIT (Control Objectives for Information and Related Technology) ako aj profesionálne štandardy pre internú kontrolu a audit (štandardy organizácie ISACA). Dôležité je tiež zohľadňovanie špecifických legislatívnych prvkov záväzných pre Vašu organizáciu – napr. Zákon o informačných systémoch verejnej správy (ISVS) a s ním súvisiaci Výnos o štandardoch pre ISVS pre verejnú správu, Zákon o ochrane osobných údajov.

Dlhoročné skúsenosti v oblasti auditu bezpečnosti IS sú zárukou vysokej kompetencie a odbornosti nášho tímu, už v roku 1997 sme získali certifikát CISA (Certified Information Systems Auditor), zamestnanci aktívne
pôsobia v profesijných organizáciách (ISACA Slovensko, SASIB) a aktívne spolupracujú pri tvorbe národnej legislatívy v oblasti informačnej bezpečnosti.

Audit bezpečnosti môže komplexne pokrývať existujúce IS, procesy spojené s ich vývojom, prevádzkou a administráciou, technologickú platformu, prostredie, v ktorom sú IS prevádzkované, súvisiacu legislatívu a ďalšie okruhy špecifické pre prostredie vašej organizácie. V prípade implementácie novej aplikácie alebo nového IS sa audit vykonáva priebežne, od úvodných analytických prác dodávateľa IS a špecifikáciu požiadaviek na IS až po záverečné testovanie a nasadenie do prevádzky. V prípade potreby môže priebežný audit projektu implementácie IS pokryť okrem bezpečnosti IS aj ďalšie okruhy (napr. sledovanie parametrov kvality implementácie nového IS, rizík projektu, napĺňania požiadaviek).
Gordias vám ponúka v oblasti auditu bezpečnosti IS napr. nasledujúce služby:
  • komplexný audit bezpečnosti IS (podľa požiadaviek ISO 27001, ISO 27002),
  • priebežný audit implementácie nového IS alebo jeho podstatného rozšírenia,
  • audit zhody s bezpečnostnou politikou resp. procesmi ISMS,
  • audit bezpečnosti IS podľa požiadaviek legislatívy (napr. Zákon o ochrane osobných údajov, Zákon o ISVS a súvisiaci Výnos o štandardoch pre ISVS, Opatrenie Telekomunikačného úradu Slovenskej republiky),
  • audit bezpečnosti služieb, informácií a dát podľa špecifických požiadaviek organizácie alebo zmluvných záväzkov,
  • audit systému riadenia kontinuity činností / havarijného plánovania,
  • audit bezpečnosti správy a riadenia prístupových oprávnení,
  • audit systému zálohovania údajov,
  • interné/externé penetračné testovanie.
Gordias vám už počas priebehu auditu poskytne priebežné konzultácie a odporučí konkrétne opatrenia a kroky s cieľom minimalizovať zistené riziká a nedostatky. Konečným výstupom auditu bude „Záverečná správa auditu IS“ vypracovaná štandardne v dvoch variantoch – prehľadová je určená pre vedenie organizácie a podrobná pre vašich špecialistov IT a vnútorný audit/kontrolu.
Záverečná správa bude identifikovať a hodnotiť z hľadiska bezpečnosti najmä:
  • používané technologické platformy a subsystémy vrátane ich vzájomných závislostí,
  • oblasti, ktoré sú outsourcované,
  • procesy a postupy spojené s administráciou a prevádzkou IS,
  • používané a poskytované služby IS,
  • dáta a dátové toky,
  • sieťovú infraštruktúru,
  • organizačné a personálne zabezpečenie,
  • fyzické zabezpečenie systému a jeho pripravenosť na havarijné situácie,
  • aktuálny stav a možnosti zvyšovania informačnej bezpečnosti v organizácii.
Profesionálny audit IS od Gordiasu vám podá komplexnú informáciu o stave bezpečnosti vašich IS a bude slúžiť ako optimálne východisko na ceste k zvyšovaniu bezpečnosti nielen samotných IS, ale aj celkového prostredia vašej organizácie.