CYBERSECURITY
Oferta
NA PRZEPROWADZENIE TECHNICZNEJ DIAGNOZY CYBERBEZPIECZEŃSTWA JEDNOSTKI SAMORZĄDU TERYTORIALNEGO
REALIZOWANEGO W RAMACH PROJEKTU „CYFROWA GMINA”
Audyt bezpieczeństwa
Cel
- Ocena wybranych aspektów bezpieczeństwa systemów informatycznych,
- Ocena zgodności z KRI/ UoKSC, a tym samym wsparcie Jednostki Samorządu Terytorialnego w zakresie realizacji usług publicznych na drodze teleinformatycznej, poprzez zwiększenie cyfryzacji instytucji samorządowych oraz jednostek im podległych i nadzorowanych, a także zwiększenie cyberbezpieczeństwa.
Metodologia
- Norma PN-EN ISO 27001 - system Zarządzania Bezpieczeństwem Informacji,
- Najlepsze praktyki pod kątem bezpieczeństwa,
- Standard OWASP top 10.
Metodyka
- Testy automatyczne z wykorzystaniem komercyjnych i otwartoźródłowych skanerów oraz autorskich skryptów,
- Testy manualne, pozwalające na wykrycie lub potwierdzenie występowania określonej podatności,
- Wywiady z wybranymi osobami, np. Informatykiem, wdrażającym zabezpieczenia,
- Analiza dokumentacji, w tym w szczególności:
- istniejących już raportów z audytów systemów informacyjnych,
- istniejącej dokumentacji architektury sieci,
- istniejących baz danych konfiguracji urządzeń aktywnych,
- istniejącej dokumentacji procesu zarządzania incydentami,
- Weryfikacja serwisów www, ze szczególnym uwzględnieniem:
- wersji serwera http,
- wersji systemu CMS (o ile występuje),
- bezpieczeństwa komunikacji (aktualność certyfikatów X.509, wersja TLS, stosowane algorytmy kryptograficzne itp.),
- dostępności kompetentnego personelu do utrzymania serwisu,
- Weryfikacja systemów pocztowych, ze szczególnym uwzględnieniem:
- poprawności wdrożenia mechanizmów SPF, DKIM, DMARC,
- poprawności i bezpieczeństwa wdrożenia mechanizmów TLS,
- dostępności kompetentnego personelu do utrzymania serwisu,
- Weryfikacja lokalnych sieci teleinformatycznych,
- Weryfikacja połączenia z siecią internetu.
Produkt
Raport z audytu w rozumieniu ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, zawierający:
- wykryte podatności wraz z zaleceniami naprawczymi,
- rekomendacje w zakresie niezbędnych zmian organizacyjno-technicznych,
- tabelę zgodności (wskazanie i omówienie niezgodności z wymaganiami)
- podsumowanie testów.
Zakres projektu
Dokumentacja potwierdzająca wykonane działania wskazanego w ustawie o krajowym systemie cyberbezpieczeństwa
Identyfikacja systemu informacyjnego wspierającego zadanie publiczne
Dokumentacja Systemu Informacyjnego wspierającego zadanie publiczne
Proces zarządzania incydentami wraz z Dokumentacją procesu zarządzania incydentami
Wybrane aspekty świadczenia usług kluczowych, zgodnie z UoKSC i KRI
Analiza wybranych aspektów zarządzania bezpieczeństwem informacji (ISO 27001) – zabezpieczenia (Załącznik A)
Analiza wybranych aspektów zarządzania bezpieczeństwem informacji (ISO 27001) – organizacja systemu
Analiza wybranych aspektów zarządzania ciągłością działania (ISO 22301)
Zespół
Nasz zespół to eksperci ds. cyberbezpieczeństwa z wieloletnim doświadczeniem. Podczas audytu zespół audytorski będzie składał się z minimum 3 audytorów. Nasi audytorzy posiadają ponad 10 letnie doświadczenie w realizacji testów penetracyjnych oraz prowadzeniu audytów bezpieczeństwa.
Wybrane certyfikaty naszego zespołu:
- Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji – ISO 27001,
- OSCE, eWPTx, eWPT, EMEA, CCNA, CCENT, DSOC,
- ISO 27005:2018 – Information Security Risk Management,
- ISO/IEC27017:2015 – Information Security in the Cloud,
- ISO27001:2017 Internal Auditor,
- Blockchain Technology, Internet of Things (IoT) and the Cloud, CompTIA Cloud+,
- General Data Protection Regulation (GDPR) Certificates,
- ISO 13485:2016 – QMS for Medical Devices Certificate,
- ISO 9001:2015 – Quality Management System Certificate.
