Informatikai biztonság

A Rendszer Kontroll Kft. meghatározza az alkalmazott IT biztonsági módszertanok, szabványok és releváns jogszabályok azon területeit és azt a biztonsági szintet, melyet a megbízó rendszerének kialakítása vagy üzemeltetése során figyelembe kell venni.

Az alkalmazott módszertanoknak és szabványoknak (COBIT, ISO 27001, Common Criteria, releváns jogszabályok, ITB ajánlások) megfelelően ellenőrzi a rendszer biztonsági felkészültségét, valamint ellátja a biztonsági felkészítés során felmerülő összes feladatot. Vállalja a meglévő lokális illetve távoli rendszerek, valamint a megvalósítandó rendszerek adat- és titokvédelmi auditját, továbbá hatásvizsgálatát.

Az audit célja annak felmérése és értékelése, hogy a jelenlegi IT folyamatok, IT rendszerek mennyire felelnek meg az adatvédelemmel kapcsolatos jogszabályi követelményeknek és a nemzetközi standardok által meghatározott előírásoknak, normáknak. A hatásvizsgálat az IT biztonsági helyzetkép értékelése alapján akciótervet határoz meg a javasolt korrektív intézkedésekre vonatkozóan.

Az IT biztonsági audit szkópja az adat és rendszerbiztonság. Az audit hatóköre kiterjed mind a lokális rendszerekre, mind a távoli rendszerekre; önkormányzatok esetében a helyi és közigazgatási rendszerektől az államigazgatási szervezetek csatlakozó rendszereivel bezárólag. Az előzőekben meghatározott szkópon belül az audit vizsgálja az információk bizalmasságának, integritásának, rendelkezésre állásának mértékét befolyásoló fenyegetettségek, sebezhetőségek és kockázatokat.

Veszélyforrások, fenyegetettségek meghatározása

Az audit megállapításai alapján meghatározzuk azokat a veszélyforrásokat, amelyek veszélyeztethetik az informatikai működést és információvagyont.

Sebezhetőségek meghatározása

Azok a gyenge pontok, amelyeken keresztül a rendszer támadható, ahol a fenyegetések realizálódhatnak és kár keletkezhet. Például nem teljes körű, illetve nem egyenszilárdságú védelem; tűzfal hiánya (vagy annak beállításainak nem kellően biztonságos volta); védelmi megoldások, kontroll, szoftver, hardver, vagy egyéb elem, komponens hiánya.

Megoldási javaslatok megfogalmazása

Az audit és a veszélyforrás analízis eredményeire támaszkodva – figyelembe véve a bekövetkezési valószínűségüket és az általuk okozott kár mértékét – helyesbítő és megelőző kontrollok bevezetését célzó akciókat definiálunk, azok sorrendjének (prioritás) és kockázati mértékének meghatározása mellett (Alacsony, Közepes, Magas).

Informatikai rendszerekhez kapcsolódó vizsgálataink:

  1. Központi rendszerek (szerverek, kommunikációs eszközök),
  2. Kommunikációs rendszerhez kapcsolódó vizsgálatok,
  3. Szoftverekhez kapcsolódó vizsgálatok,
  4. Adatokhoz kapcsolódó vizsgálatok,
  5. Üzemeltetéssel kapcsolatos vizsgálatok,
  6. Jogosultsági rendszer vizsgálata,
  7. Személyekhez kapcsolódó biztonsági intézkedések vizsgálata,
  8. Informatikai biztonság ellenőrző rendszerének vizsgálata.