| |
Rámcová previerka / audit bezpečnosti IT
Úvod - prečo rámcová previerka / audit bezpečnosti
IT?
 Súčasná
doba je charakteristická pomerne vysokou závislosťou väčšiny
organizácií na používaní informačných technológií a elektronickom
spracúvaní údajov. Avšak typickým problémom niektorých organizácií
je napríklad:
 nedostatočná
pozornosť venovaná informačnej bezpečnosti, nedostatok času
a finančných zdrojov pre túto oblasť,
nedostatočný
počet nezávislých kvalifikovaných pracovníkov, ktorí sa zaoberajú
informačnou bezpečnosťou,
nevhodná
konfigurácia niektorých kľúčových IT zariadení (napr. servery,
routery, firewally atď.),
nízka úroveň
povedomia väčšiny pracovníkov o bezpečnostných zásadách v
organizácii.
Možným
dôsledkom tohto stavu môžu byť aj incidenty narušenia informačnej
bezpečnosti (napr. nedostupnosť, strata, prezradenie alebo
neoprávnená zmena dôležitých alebo citlivých údajov Vašej
organizácie). Riešenie následkov takýchto incidentov býva
často časovo aj finančne náročnejšie než vykonanie primeraných
preventívnych bezpečnostných opatrení, ktoré môžu buď úplne
zabrániť vzniku týchto incidentov a priamych aj nepriamych
škôd, alebo riziko ich vzniku výrazne znížiť. V prípade výskytu
bezpečnostných incidentov naviac hrozí aj strata dobrého mena
a dôveryhodnosti Vašej organizácie, možné narušenie vzťahov
s dodávateľmi, klientmi a podobne.
Mnoho vedúcich
pracovníkov si dobre uvedomuje nutnosť chrániť informačný
systém svojej organizácie a potrebu zaoberať sa riešením tejto
problematiky. Prax taktiež ukazuje, že žiadny bezpečnostný
systém sa nezaobíde bez technických a procesných kontrolných
mechanizmov, posudzovania kvality a vyhodnocovania jeho účinnosti,
s následným návrhom primeraných opatrení pre zlepšenie. Táto
činnosť je neoddeliteľnou súčasťou bezpečnostného procesu
z pohľadu aplikácie ISO noriem.
<top>
Náš cieľ
Naším cieľom
je za relatívne krátky čas a nízke náklady objektívne preveriť
súčasný stav, a navrhnúť najdôležitejšie kroky a primerané
opatrenia pre vybudovanie základov informačnej bezpečnosti
vo Vašej organizácii v súlade s medzinárodne uznávanými normami
a postupmi pre bezpečnosť informačných systémov (BS 7799 /
ISO 17799:2000 a ISO/TR 13355), pri zohľadnení dostupných
zdrojov, veľkosti a typu Vašej organizácie.
<top>
Popis a postup
Rámcová previerka informačnej bezpečnosti je zameraná na relevantné
oblasti, ako napr. organizácia bezpečnosti, bezpečnosť počítačových
sietí a riadenie prevádzky, riadenie prístupov do systémov,
havarijné a krízové plánovanie, vývoj systémov a zmenové riadenie
atď. Previerka bude vykonaná v priestoroch Vašej organizácie
a pozostáva z niekoľkých krokov, medzi ktoré patria napríklad:
rozhovor
s pracovníkmi zodpovednými za informačnú bezpečnosť vo Vašej
organizácii,
previerka
relevantnej dokumentácie ktorá sa vzťahuje k informačnej bezpečnosti,
overenie
najdôležitejších bezpečnostných nastavení v aplikáciách a
na kľúčových serveroch,
overenie
stavu fyzickej bezpečnosti a kontrol prostredia a pod.
<top>
Prínosy pre Vás
nezávislé
a objektívne posúdenie bezpečnosti a funkčnosti jednotlivých
prvkov Vášho informačného systému a vzájomných väzieb medzi
nimi,
odhalenie
bezpečnostných slabín Vášho informačného systému a potenciálnych
hrozieb ktoré naň môžu pôsobiť,
porovnanie
systému informačnej bezpečnosti Vašej organizácie a existujúcich
bezpečnostných opatrení s organizáciami podobného typu a s
medzinárodne uznávanými normami a postupmi pre bezpečnosť
informačných systémov, ako sú štandardy BS 7799 / ISO 17799:2000
a ISO/TR 13355,
návrh primeraných
bezpečnostných opatrení (technických, organizačných atď.)
pre zvýšenie úrovne bezpečnosti používaných informačných technológií
vo Vašej organizácii a na zabezpečenie ochrany dôvernosti,
integrity a dostupnosti spracúvaných údajov a systémov v súlade
s vyššie uvedenými štandardmi, pri zohľadnení dostupných zdrojov,
veľkosti a typu Vašej organizácie,
zvýšenie
dôveryhodnosti a dobrého mena Vašej organizácie,
rámcová
previerka je vykonaná za relatívne krátky čas a nízke náklady.
Je potrebné
uvedomiť si, že investícia do informačnej bezpečnosti neprinesie
Vašej organizácii priame zisky, dá sa však prirovnať k investovaniu
finančných prostriedkov do ochrany proti krádeži/zničeniu
majetku formou poistenia, inštaláciou zabezpečovacích zariadení
a primeranej údržby (napr. dom, byt, auto atď.).
<top>
Celková dĺžka trvania
Celkovú
dĺžku trvania rámcovej previerky bezpečnosti vrátane vypracovania
príslušnej dokumentácie odhadujeme na 2-5 prac. dní v závislosti
na veľkosti Vašej organizácie a zložitosti informačného systému.
Výstupy (v slovenskom alebo v anglickom jazyku)
záverečná
správa – prehľad o súčasnom stave informačnej bezpečnosti
vo Vašej organizácii, vrátane zhrnutia pre manažment,
návrh odporúčaní
a primeraných opatrení pre zlepšenie informačnej bezpečnosti
vo Vašej organizácii,
v prípade
záujmu prezentácia výsledkov previerky pre manažment a zainteresovaných
pracovníkov Vašej organizácie.
Ďalšie informácie
V prípade záujmu Vám radi poskytneme ďalšie informácie - kontaktujte
nás »
Taktiež je možné rámcovú previerku informačnej bezpečnosti
rozšíriť o detailné previerky v nasledovných oblastiach:
previerka
bezpečnosti komunikačnej infraštruktúry (pripojenie Vašej
počítačovej siete k Internetu, bezpečnostné nastavenia routerov,
firewallov, komunikácia prostredníctvom Internetu atď.),
previerka
bezpečnosti serverov (platformy Windows, Unix, Linux, AS/400,
Novell Netware). »
<top>
|
|
