GADAS it consulting s.r.o.

Mám zájem

Bezpečnost IT

Této dříve podceňované oblasti se dnes úspěšné firmy důsledně věnují. A dobře vědí proč. Bezpečnost IT totiž znamená zajistit a zabezpečit know-how firem vůči konkurenci a také zabezpečit data vůči vlastním zaměstnancům. I s mobilem dnes totiž může kdekdo snadno proniknout do firemních sítí.

Osvědčenou součástí našich bezpečnostních auditů jsou proto výstupy pro management, který získá přehled o stavu svého ICT a doporučení, kterým směrem postupovat a podle toho plánovat rozvoj ICT pro následující období.

Neváhejte proto využít našich certifikovaných konzultantů pro zabezpečení svého byznysu.

Identifikace stavu vašeho ICT (audit)

Cílem auditu bezpečnosti ICT je vždy konkretizace bezpečnostních hrozeb působících na citlivá data organizace a návrh protiopatření eliminujících zjištěné hrozby.

Zadavatelem zpracování auditu IT je téměř vždy management společnosti, který má zájem o zmapování stavu svého IT. Většinou je management spokojen s prací svého IT oddělení, ale protože se zabývá byznysem a oblast IT je mu cizí, má zájem z pohledu třetí strany získat informace o stavu systému ve své společnosti a odborný názor na to, co je nutné zlepšit.

Jako základ bezpečnostního auditu používáme ČSN/ISO 13335 a ČSN/ISO 27001. V případě potřeby provádíme i vyhodnocení požadavků na základě starší osvědčené normy ČSN/ISO 17799.

Součástí auditu je také hodnocení předané dokumentace a vazba netechnických a technických opatření.

Rozsah auditu je zpravidla individuální a je upřesněn managementem společnosti. Součástí auditu bývají i praktické testy zneužití informací zpracovávaných na zdrojích vnitřní sítě.

Výsledkem je pak seznam zjištěných rizik a návrh bezpečnostních opatření, která budou zjištěná rizika eliminovat či minimalizovat, a návrh dalších kroků vedoucích k zajištění bezpečnosti organizace.

Výsledek auditu vždy zahrnuje manažersky orientované výsledky hodnocení bezpečnosti a technickou část určenou specialistům IT.

Sekundárním efektem této služby je pak informovanost pracovníků IT a jejich proškolení v určitých bezpečnostních technikách při vlastních testech. Zákazníci nejvíce oceňují, že bezpečnost v našem podání není o papírování, ale o hlubokých technických znalostech.

Zavádění a certifikace ISMS

Norma ČSN ISO/IEC 27001 poskytuje organizacím návod a požadavky na zavedení tzv. Systému managementu bezpečnosti informací (ISMS – Information Security Management System).

Zavedení ISMS spočívá v definování, zavedení, provozování a zlepšování stanovených bezpečnostních opatření a procedur v organizaci.

Vlastní ISMS podporuje dosahování hlavních cílů organizace. Předpokladem pro úspěšné zavedení ISMS je vůle managementu realizovat a trvale prosazovat stanovené bezpečnostní opatření a procesy v organizaci.

Standard ČSN ISO/IEC 27001:2005 historicky vychází z osvědčeného britského standardu BS7799. Novější standard ČSN ISO/IEC 27001:2005 sjednocuje pravidla fungování systému managementu bezpečnosti informací se systémem řízení kvality ISO 9001:2000 (Systémy managementu jakosti).

Hlavní výhodou standardů ISMS je, že řeší řízení bezpečnost komplexně, ve všech jejích oblastech. Základem normy ČSN ISO/IEC 27001:2005  je těchto 11 oblastí pokrývajících všechny běžné činnosti v ICT od fyzické bezpečnosti, přes personální bezpečnost až po komunikační bezpečnost:

  • bezpečnostní politika
  • organizace bezpečnosti
  • klasifikace a řízení aktiv
  • bezpečnost lidských zdrojů
  • fyzická bezpečnost a bezpečnost prostředí
  • management komunikací a řízení provozu
  • systém řízení přístupu
  • nákup, vývoj a údržba informačního systému
  • zvládání bezpečnostních incidentů
  • zajištění kontinuity činností organizace
  • shoda se zákonnými požadavky

Hlavní přínosy zavedení ISMS dle normy ČSN ISO/IEC 27001 pro vaši organizaci jsou uvedeny v následujícím přehledu:

  • Zajištění komplexního přístupu k bezpečnosti a ochraně informací.
  • Zavedení organizačních a administrativních procedur používaných k ochraně informací.
  • Přidělení odpovědnosti za ochranu informací konkrétním osobám v organizaci.
  • Garantování optimální a přiměřené ochrany pomocí analýzy a managementu rizik.
  • Aplikování mechanismů prosazujících soustavné zlepšování a rozvoj bezpečnosti.

Pokud se organizace rozhodne zavést ISMS, má možnost ověřit správnost a úplnost implementace systému certifikací nezávislou auditorskou organizací.

Základní kroky a postup pro implementaci ISMS jsou následující:

Plan

Ustavení ISMS

Definování bezpečnostní politiky, plánů, cílů, procesů a postupů souvisejících s managementem rizik a zlepšováním bezpečnosti informací.

 

Do

Zavádění a provozování ISMS

Zavedení a využívání bezpečnostní politiky, kontrol, procesů a procedur.

Check

Monitorování a přezkoumávání ISMS

Posouzení a revize efektivnosti stávajících opatření s návrhem na zlepšení.

Act

Udržování a zlepšování ISMS

Provedení nápravných opatření, založených na výsledcích předchozího přezkoumání ISMS.

Uvedené kroky garantují kontinuální zlepšování ochrany informací ve vaší organizaci.

NAŠE SPOLEČNOST NABÍZÍ VEŠKERÉ SLUŽBY SOUVISEJÍCÍ SE ZAVEDENÍM A PODPOROU PRO CERTIFIKACI VAŠEHO ISMS DLE NORMY ISO/IEC 27001:2005.

 

Průnikové testování

Provádíme bezpečnostní testování aktiv dostupných z internetu bez jakékoliv znalosti cílového prostředí.

Cílem testování je ověřit aktuální bezpečnost připojení na internet tak, aby se podmínky testování co nejvíce blížily podmínkám, které by měl potenciální narušitel.

Pro testování nejsou poskytovány žádné informace, kromě informací volně dostupných z veřejných zdrojů.

Provádíme opakované zjišťování informací pomocí sady automatizovaných nástrojů a následně ruční sběr a ověření získaných dat. Realizujeme také specializované průnikové testy jen pro specifické komponenty pracující na internetu, zejména WWW servery.

Součástí testování může být i hodnocení vnitřní sítě včetně návrhu protiopatření, které eliminují zjištěné nedostatky.

Pro celkové výstupy jsou během testování zohledněny požadavky nezávislé metodologie OSSTMM - Open Source Security Testing Methodology Manual. Tento manuál je dostupný zde: http://www.isecom.org/osstmm/.

Tento návod na průnikové testy se snaží o maximální objektivitu a naplnění všech standardních postupů simulujících postupy hackerů.

Pro nalezená zařízení jsou během testování rovněž použity metodické postupy hodnocení podle nezávislé organizace OISSG  a jejich ISSAF návodů dostupných zde:

http://www.oissg.org/wiki/index.php?title=ISAAF-PENETRATION_TESTING_FRAMEWORK

Výsledkem hodnocení je zpravidla seznam zjištěných rizik a návrh bezpečnostních opatření, která budou tato rizika eliminovat či minimalizovat. Standardní součástí výstupní zprávy je i návrh dalších kroků, vedoucích k zajištění bezpečnosti LAN a WAN organizace.

Penetrační testy se opírají o zjištění skutečného stavu, který odhalí slabá a tudíž zranitelná místa.

Proč se vám vyplatí je udělat?

  • Identifikují potenciální bezpečnostní slabiny ve vaší infrastruktuře IT.
  • Poskytnout důkazy o možném využití nalezených slabin.
  • Ověří stávající bezpečnostní opatření a jejich efektivitu.
  • Stanoví míru ohrožení útokem z vnitřní sítě nebo internetu.

Na jejich základě získáte:

  • návrh postupu pro správnou implementaci protiopatření
  • ocenění stávajících obranných mechanismů a reakci na výskyt bezpečnostního incidentu
  • verifikaci bezpečné konfigurace operačních a databázových systémů

Chcete-li využít komplexní služby v oblasti penetračního testování, včetně testování internetové přítomnosti, vašich LAN sítí a WWW aplikací, můžete se na nás s důvěrou obrátit.

 

 

Školení bezpečnosti ICT

O své zkušenosti se rádi podělíme. Připravíme pro vás školení přímo na míru podle individuálních požadavků vaší firmy. Nabízíme specializovaná školení, která jsou zaměřena na aktivní útoky i obranu infrastruktury ICT:

 

Dosažení shody s požadavky ISO 27001

Seznámení s požadavky normy, příklad implementace správného postupu zavádění ISMS i praktické ukázky dokumentů z reálné praxe jsme připraveni Vám předat v rámci 2denního školení.

Naše společnost nabízí veškeré služby související se zavedením a podporou pro certifikaci vašeho ISMS dle normy ISO/IEC 27001:2005.