USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI



Podobne dokumenty
Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Szczegółowy opis przedmiotu zamówienia:

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

ZAPROSZENIE DO SKŁADANIA OFERT

nas sprawdził czas INFORMATYKA ELEKTRONIKA AUTOMATYKA

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Opis przedmiotu zamówienia

Zapytanie ofertowe nr OR

Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.

Promotor: dr inż. Krzysztof Różanowski

ISO w Banku Spółdzielczym - od decyzji do realizacji

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Usługa: Audyt kodu źródłowego

Comparex It przyszłości już dziś.

BAKER TILLY POLAND CONSULTING

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

BAKER TILLY POLAND CONSULTING

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Informatyka w kontroli i audycie

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Kompleksowe Przygotowanie do Egzaminu CISMP

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Maciej Byczkowski ENSI 2017 ENSI 2017

Projektowanie interakcji

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

2016 Proget MDM jest częścią PROGET Sp. z o.o.

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Propozycja przeprowadzenia szkolenia. Legalność i bezpieczeństwo systemów IT

Audytowane obszary IT

sprawdź korzyści płynące ze współpracy z nami

Szkolenie otwarte 2016 r.

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

The Right Direction.

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Opis Przedmiotu Zamówienia

I. O P I S S Z K O L E N I A

Bezpieczeństwo dziś i jutro Security InsideOut

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ISO bezpieczeństwo informacji w organizacji

Oferta handlowa Outsourcing usług

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Polityka Zarządzania Ryzykiem

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

SYSTEM KONTROLI WEWNĘTRZNEJ W RAIFFEISEN BANK POLSKA S.A.

dr inŝ. Michał Tomaszewski Wydział Elektrotechniki, Automatyki i Informatyki Politechnika Opolska

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Szkolenie Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania AW-01

Zarządzanie oprogramowaniem możliwe problemy. Auditoria tel

Reforma ochrony danych osobowych RODO/GDPR

Oprogramowanie systemu B2B zakup licencji na oprogramowanie umożliwiające zarządzanie informacjami o produktach:

Komunikat nr 115 z dnia r.

Dlaczego outsourcing informatyczny? Jakie korzyści zapewnia outsourcing informatyczny? Pełny czy częściowy?

SZCZEGÓŁOWY HARMONOGRAM KURSU

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Obsługa prawna sektora IT

ZAŁĄCZNIK NR 1 Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy UMOWA. zawarta w dniu w Rybniku pomiędzy:

Umowa Nr. Zawarta w dniu.. roku w..., pomiędzy... zwanym w dalszej części umowy Zamawiającym reprezentowanym przez:

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Piotr Krząkała. Dyrektor Handlowy ds. Kluczowych Klientów

AuditSolutions OFERTA WSPÓŁPRACY. Bezpieczeństwo Informacji. Systemy Teleinformatyczne. Wymiana Informacji. Rozwiązania dla sektora publicznego

Nr sprawy: ST Poznań, Zapytanie ofertowe

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

SIŁA PROSTOTY. Business Suite

Szkolenie Ochrona Danych Osobowych ODO-01

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Skuteczna polityka zarządzania oprogramowaniem. Sebastian Strzech Dyrektor Zarządzający

Instrukcja do opracowania Koncepcji technicznej projektu

Bezpieczeństwo specjalne

Szkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01

System antyfraudowy w praktyce. marcin zastawa wiceprezes zarządu. Warszawa, października 2006r.

Warsztaty FRAME. Sygnatura warsztatu: W1 (W3) Czas trwania: 3 dni

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Normalizacja dla bezpieczeństwa informacyjnego

Transkrypt:

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r.

STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting w obszarze Informacji 3 Metodyka Bezpieczeństwa 4 Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji 4 Audyt zarządzania bezpieczeństwem informacji 5 Audyt bezpieczeństwa systemów informatycznych 5 Audyt zgodności z ustawą o ochronie danych osobowych 6 Audyt planów ciągłości działania 6 Audyt bezpieczeństwa aplikacji 7 Testy penetracyjne 8 Audyt licencji oprogramowania 8 Warsztaty i szkolenia Usprawniamy Twój Business, wykonując prace na których znamy się najlepiej. O NAS Na rynku informatycznym działamy od 1998 roku. Firma Point specjalizuje się w sprzedaży zintegrowanych rozwiązań do bezpieczeństwa sieci komputerowych oraz w świadczeniu usług, polegających na instalacji, konfiguracji oraz szkoleniu administratorów sieci komputerowych. Celem firmy POINT jest jej stały rozwój oraz zaspokajanie potrzeb klientów poprzez sprzedaż rozwiązań do bezpieczeństwa sieci komputerowych. Aby sprostać temu zadaniu firma korzysta z nowoczesnych i sprawdzonych technologii informatycznych. Personel firmy Point to wykwalifikowany zespół specjalistów z dziedziny bezpieczeństwa systemów komputerowych. Wiedza i doświadczenie pracowników pozwalają na świadczenie usług na najwyższym poziomie. Inżynierowie POINT cały czas podnoszą swoje kwalifikacje zawodowe uczestnicząc w szkoleniach zarówno w Polsce jak i za granicą. Dzięki takiej polityce, firma ma wysoką pozycję na rynku usług informatycznych. Od prezesa Oferowane przez nas rozwiązania dostosowane są do wielkości i specyfiki potrzeb naszych Klientów. Produkty i usługi, które oferujemy pozwalają na pełną obsługę dla wszystkich firm i instytucji niezależnie od wielkości i złożoności infrastruktury. Na naszej liście referencyjnej Klientów można znaleźć już kilka tysięcy firm łącznie z tymi największymi, posiadającymi powyżej tysiąca komputerów. Jesteśmy pewni, że dzięki wykwalifikowanej kadrze pracowniczej, zdobytemu doświadczeniu i ciągłemu rozwojowi, firma POINT jest w stanie sprostać każdemu zadaniu związanemu z bezpieczeństwem. Relacje z klientami opieramy na zasadzie partnerstwa. Chcemy, aby projekty przez nas realizowane aktywnie wspierały wszechstronny rozwój naszych klientów, wychodząc z założenia, że sukces klienta jest naszym sukcesem.

STRONA 2 POINT Nowa Generacja Bezpieczeństwa Kadra i Kwalifikacje Zespół do spraw audytu i bezpieczeństwa informacji to kilkuosobowa grupa ekspertów o bardzo szerokiej specjalizacji, która jest w stanie zapewnić kompleksową obsługę audytorską oraz pełną ochronę danych sieci teleinformatycznej Klienta. Oferujemy spójne, kompleksowe i sprawdzone rozwiązania. Wypróbuj nasze Usługi, to nic nie kosztuje. Dodatkowo na naszą korzyść przemawia: znajomość specyfiki Klientów z różnych obszarów działalności gospodarczej; poparte referencjami doświadczenie w tworzeniu i wdrażaniu rozwiązań związanych z bezpieczeństwem systemów informatycznych dla instytucji z sektorów mundurowego, bankowego, finansowego i przemysłowego; doświadczenie w szeroko rozumianych pracach nad bezpieczeństwem u wielu Klientów, w zróżnicowanych i złożonych systemach; przeszkolony zespół specjalistów na najwyższym poziomie; dostęp do informacji o pojawiających się zagrożeniach; metodyka zgodna z przepisami polskiego prawa oraz obowiązującymi normami; zdolność do obsługi Klientów w rozumieniu Ustawy o Ochronie Informacji Niejawnej.

STRONA 3 Audyty i konsulting w obszarze Bezpieczeństwa Informacji Audyt bezpieczeństwa realizowany przez naszą firmę jest procesem, którego zadaniem jest określenie aktualnego stanu zabezpieczeń w wybranym obszarze funkcjonowania organizacji zgodnie z określoną polityką bezpieczeństwa lub zgodnie z obowiązującym stanem wiedzy w danym zakresie. Nasza oferta obejmuje: Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN-ISO/IEC 27001; Audyt zarządzania bezpieczeństwem informacji; Audyt bezpieczeństwa systemów informatycznych; Audyt zgodności z ustawą o ochronie danych osobowych; Audyt planów ciągłości działania; Audyt bezpieczeństwa aplikacji; Testy penetracyjne; Audyt legalności oprogramowania; Warsztaty i szkolenia. Wykonanie audytu systemu informatycznego, czy też systemu informacyjnego, daje bardzo konkretną wiedzę o stanie systemu. Rezultaty analizy mogą przynieść korzyści dotyczące wielu obszarów: identyfikacja i eliminacja usterek; wprowadzenie usprawnień; wsparcie dalszego rozwoju; oszczędności. Metodyka Metodyka prowadzonych prac audytorskich oparta jest na zaleceniach zawartych w COBIT (Control Objectives for Information and Related Technology). W trakcie prac oraz przy tworzeniu rekomendacji i zaleceń odwołujemy się do norm: ISO/IEC 27000:2005; ISO/IEC 20000:2011 ISO 22301:2012 PN-ISO/IEC 17799:2007. Ponadto, w miarę potrzeb, wykorzystujemy inne normy, uszczegóławiające zagadnienia wskazane w normach wymienionych powyżej, w tym: IT Grundschutzhandbuch Rekomendacje serii NIST SP 800 ISO/IEC 18044:2004 Tak dobrana metodyka zakłada: rozpoznanie i identyfikację procesów; zapoznanie się z procesami; ocenę mechanizmów kontrolnych; ocenę zgodności; udowadnianie ryzyka; określenie sposobu osiągnięcia celów; zgodność z międzynarodową normą.

STRONA 4 Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (PN-ISO/IEC 27001) Efektem wdrożenia SZBI jest zdefiniowanie adekwatnych zabezpieczeń w odniesieniu do specyfiki działalności gospodarczej oraz otoczenia rynkowego. Szczególny nacisk kładziony jest na zarządzanie ryzykiem. Budując system, wykorzystujemy metodykę i dokumenty źródłowe; od standardów korporacyjnych, poprzez normy krajowe, na normach międzynarodowych kończąc. Najbardziej atrakcyjną możliwością jest wdrażanie SZBI, zgodnego ze standardem międzynarodowym, czyli tworząc system korzystamy ze sprawdzonych i wiarygodnych wskazówek. Takim standardem jest norma PN-ISO/IEC 27001. Norma ta dotyczy ochrony wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. Audyt zarządzania bezpieczeństwem informacji Celem audytu jest sprawdzenie funkcjonowania i aktualności Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), często także w celu potwierdzenia gotowości badanej organizacji do odpowiedniej certyfikacji. Audyt taki, przeprowadzany cyklicznie, jest częścią procesu kontroli jakości. Kontrolowany SZBI może być oparty na normach międzynarodowych, np. ISO 27001, ale także na innych wytycznych.

STRONA 5 Pełny audyt bezpieczeństwa systemów informatycznych Audyty bezpieczeństwa systemów informatycznych Celem audytu jest sprawdzenie stanu bezpieczeństwa danych przechowywanych oraz przetwarzanych w systemie informatycznym organizacji, odkrycie rzeczywistych i potencjalnych nieprawidłowości w stosunkowo krótkim czasie oraz podniesienie poziomu bezpieczeństwa poprzez psychologiczne oddziaływanie na pracowników badanej organizacji. W trakcie prac następuje identyfikacja podatności na zagrożenia, ocena ryzyka związanego z daną podatnością oraz wskazanie działań korygujących. Pełny audyt bezpieczeństwa systemów informatycznych to: analiza zgodności systemu informatycznego z polityką bezpieczeństwa i dotyczącymi regulacjami; testy penetracyjne; testy vulnerability assessment (VA) kluczowych systemów informatycznych; testy z wykorzystaniem technik social engineering ; analiza zabezpieczeń fizycznych; analiza bezpieczeństwa aplikacji. Każda z wymienionych części może być realizowana jako odrębna usługa, mająca na celu kontrolę wybranego systemu czy też procesu. Audyt zgodności z ustawą o ochronie danych osobowych Celem audytu jest weryfikacja spełnienia przez badaną organizację wymagań prawnych, związanych z przetwarzaniem danych osobowych. Prace obejmują: audyt zgodności z wymaganiami prawnymi w zakresie ochrony danych osobowych; weryfikację i ocenę mechanizmów zapewniających ochronę danych osobowych; opracowanie lub modyfikację dokumentacji związanej z przetwarzaniem danych osobowych pod kątem zapewnienia zgodności z wymaganiami prawnymi; szkolenia w zakresie zabezpieczenia danych osobowych przetwarzanych przez badaną organizację.

STRONA 6 Audyt planów ciągłości działania Celem audytu jest kontrola rozwiązań organizacyjnych oraz technicznych, jakie zostały opracowane i wdrożone przez badaną organizację, aby zapewnić wysoki poziom dostępności i niezawodności systemów lub umożliwić odtworzenie działalności po awarii. Prace (w oparciu o ISO 22301:2012) mogą obejmować całą firmę, wybrane jednostki organizacyjne, czy wskazane procesy biznesowe. Częścią audytu są testy disaster recovery systemów informatycznych. Nasze Doświadczenie Twoje Bezpieczne IT Audyt bezpieczeństwa aplikacji Celem audytu jest ocena poziomu bezpieczeństwa badanej aplikacji z punktu widzenia użytkowników/administratorów o różnym poziomie uprawnień oraz potencjalnego intruza, który próbuje przełamać zastosowane zabezpieczenia. Usługa jest jedną z metod prewencyjnych, pozwalających wykryć podatność aplikacji na możliwość potencjalnych ataków oraz zapewnić bezpieczną ciągłość działania biznesu. Wykorzystywane procedury i badania dotyczą najbardziej podatnych na ataki składników aplikacji i m. in. obejmują: analizę architektury środowiska aplikacji; procedury komunikacji z użytkownikami; architekturę i mechanizmy komunikacji aplikacji; metody uwierzytelniania; metody zarządzania sesją; próbę przejęcia kontroli nad kontami użytkowników; próbę wykonywania nieautoryzowanych operacji bezpośrednio na bazie danych; próbę pozyskania nienależnych uprawnień; próbę zablokowania serwisu; wykorzystanie luk w interfejsie użytkownika; manipulację danymi wejściowymi i wyjściowymi; symulacje błędów administratora aplikacji.

STRONA 7 Testy penetracyjne Celem testów jest ocena zabezpieczenia infrastruktury informatycznej przed próbami pozyskania nieuprawnionego dostępu ze strony Internetu (testy zewnętrzne), ze strony sieci wewnętrznej (testy wewnętrzne) oraz przed celowym spowodowaniem utraty dostępności infrastruktury informatycznej. Prace obejmują: analizę dostępnych usług oraz identyfikację podatności pozwalających na naruszenie bezpieczeństwa informacji, test przeprowadzany bez dodatkowych informacji na temat specyfiki usług (informacje ograniczają się do wskazania adresów IP testy Black box ); próbę wykorzystania zidentyfikowanych podatności w celu pozyskania nieuprawnionego dostępu do systemu (wprowadzenie do systemu pliku o uzgodnionej treści lub pozyskanie z systemu uzgodnionych informacji) lub zablokowania działania systemu (atak denial-of-service) ; pozyskanie dodatkowych informacji na temat eksploatowanych usług zaimplementowanych na badanych komponentach (wywiady oraz dokumentacja); opcjonalnie, analiza konfiguracji wybranych elementów aktywnych na styku sieci wewnętrznej z Internetem; poszerzoną analizę usług w oparciu o pozyskane dodatkowe informacje (testy White box ) oraz próbę wykorzystania zidentyfikowanych podatności. Stawiamy Na Bezpieczeństwo Sprawdź NAS

STRONA 8 Audyt licencji oprogramowania Celem audytu jest weryfikacja procesu zaopatrzenia, dystrybucji i wykorzystania licencji w badanej organizacji. Wynikiem prac jest: inwentaryzacja aplikacji i licencji zainstalowanych na komputerach, serwerach oraz innych urządzeniach, np. routerach, firewallach, telefonach komórkowych; inwentaryzacja dokumentów licencyjnych; protokół rozbieżności pomiędzy stanem faktycznym, a dokumentacją; legalność (ważność) licencji; status prawny posiadanych aplikacji; propozycja optymalizacji wykorzystania licencji; plan aktualizacji aplikacji i licencji. Warsztaty i szkolenia Point sp. z o.o. dostarcza swoim Klientom wiedzę na temat potencjalnych zagrożeń oraz nowych technologii w zakresie bezpieczeństwa teleinformatycznego poprzez organizowanie dedykowanych warsztatów i szkoleń. Spotkania są przygotowywane i realizowane we współpracy z naszymi partnerami - znanymi producentami, zajmującymi się problematyką bezpieczeństwa. Prowadzimy także dedykowane szkolenia na temat bezpieczeństwa informacji, przetwarzania i ochrony danych osobowych oraz innych obszarów wskazanych przez naszych Klientów. www.pointas.com.pl Tel./Fax. 22 569 13 00 pointas@pointas.com.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres