Audyt Urzędu

Według globalnego, 15-ego raportu bezpieczeństwa informacji firmy Ernst&Young (Fighting to close the Gap) 77% firm oceniło, iż zagrożenie atakami zewnętrznymi wzrosło, zaś 46% dostrzega wzrost zagrożeń wewnętrznych. 31% badanych firm doświadczyło w ostatnich dwóch latach incydentów naruszających ich bezpieczeństwo, a aż 63% nie ma wdrożonej systemowej polityki bezpieczeństwa.

Dla podmiotów publicznych Rozporządzenie „Krajowe Ramy Interoperacyjności” – Dz.U. 2012 poz. 526 (na podstawie: Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne – Dz.U. 2005 nr 64 poz. 565 & 20. 2. 14), nakazuje prowadzenie okresowych audytów w zakresie bezpieczeństwa informacji, oraz spełnienia innych wymogów, w tym utrzymanie i doskonalenie systemu zarządzania bezpieczeństwem informacji.

Audyt SZBI zgodny z KRI

Audyt informatyczny Urzędu

Kontrola przeprowadzana w trybie określonym ustawą oraz zgodnie ze standardami kontroli w administracji rządowej. Celem kontroli jest dokonanie oceny działania systemów teleinformatycznych pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych oraz rejestrów publicznych i wymiany informacji w postaci elektronicznej, a także przestrzegania wymagań zawartych w KRI.

Ocenie podlegają niezależnie 3 główne obszary kontroli:

Interoperacyjność, np.

  • świadczenie usług drogą elektroniczną (BIP, ePUAP),
  • współpraca stosowanych systemów teleinformatycznych z innymi systemami,
  • zgodność formatów danych udostępnianych przez systemy teleinformatyczne.

Bezpieczeństwo informacji, np.

  • inwentaryzacja sprzętu i oprogramowania informatycznego,
  • dokumenty z zakresu systemu zarządzania bezpieczeństwem informacji (SZBI),
  • procedury incydentów,
  • zarządzanie uprawnieniami do pracy w systemach teleinformatycznych,
  • zabezpieczenia techniczno-organizacyjne dostępu do informacji,
  • rozliczalność działań w systemach teleinformatycznych.

Dostosowanie dla osób niepełnosprawnych

  • dostępność usług świadczonych drogą elektroniczną dla osób niepełnosprawnych.

Usługa obejmuje sprawdzenie rzeczywistego funkcjonowania wewnętrznych procedur określonych przez dokumenty takie jak:

  • Polityka Bezpieczeństwa Informacji,
  • Polityka Bezpieczeństwa Danych Osobowych,
  • Polityka Bezpieczeństwa Fizycznego,
  • Polityka/Regulamin/Instrukcja Bezpieczeństwa Systemów Teleinformatycznych.

Przykładowe procedury podlegające weryfikacji, to m.in:

  • procedura zarządzania sprzętem i oprogramowaniem,
  • procedura zarządzania uprawnieniami do pracy w systemach teleinformatycznych,
  • procedura określania specyfikacji technicznej wymagań odbioru systemów IT,
  • procedura zgłaszania i obsługi incydentów naruszenia bezpieczeństwa informacji,
  • procedura wykonywania i testowania kopii bezpieczeństwa.

Pozostała dokumentacja podlegająca sprawdzeniu, to m.in.:

  • dokumentacja z szacowania ryzyka Bezpieczeństwa Informacji,
  • dokumentacja postepowania z ryzykiem,
  • dokumentacja audytów z zakresu Bezpieczeństwa Informacji,
  • dokumentacja incydentów naruszenia Bezpieczeństwa Informacji,
  • dokumentacja cyklicznych szkoleń osób zaangażowanych w proces przetwarzania informacji.

Audyt Cyberbezpieczeństwa

Audyt informatyczny Urzędu

Przeprowadzenie testów styku sieci lokalnej z Internetem ze stacji roboczej podłączonej do sieci Internet, na które składa się:

  • analiza topologii brzegu sieci;
  • weryfikacja mechanizmów ochronnych;
  • próba wykrycia usług sieciowych udostępnianych do Internetu;
  • detekcja wersji oraz typu oprogramowania dostępnego z sieci Internet;
  • exploitacja dostępnych urządzeń oraz usług wystawionych do sieci Internet;
  • przedstawienie rozwiązań zwiększających bezpieczeństwo styku sieci lokalnej z siecią Internet.

Przeprowadzenie testów penetracyjnych ze stacji roboczej podłączonej do wewnętrznego systemu informatycznego w celu zidentyfikowania możliwości przeprowadzenia włamania z wewnątrz organizacji, które obejmuje:

  • analiza topologii sieci LAN;
  • weryfikacja mechanizmów ochronnych w sieci;
  • analiza komunikacji sieciowej;
  • skanowanie portów TCP/UDP próba wykrycia usług sieciowych;
  • skanowanie hostów aktywnych w sieci;
  • exploitacja dostępnych urządzeń oraz usług w sieci LAN;

Weryfikacja podstawowej świadomości pracowników dotyczącej zagrożeń związanych
z nowoczesnymi technologiami.

Kontrola inwentaryzacji sprzętu i oprogramowania informatycznego Zamawiającego polegająca na weryfikacji sieci teleinformatycznej (architektura sieci z uwzględnieniem sposobu jej rozprowadzenia np. Ethernet, Wi-Fi, ADSL, wydzielone warstwy), użytkowane urządzenia pośredniczące (switch, router, hub itp.), a także inne urządzenia stosowane w organizacji w tym sprzęt – serwery, komputery stacjonarne, inne urządzenia przenośne, nośniki danych, drukarki; weryfikacja stosowanego oprogramowania w tym systemy operacyjne (Windows, Linux), programy wspomagające zarządzanie (antywirus, firewall, zarządzanie kontami użytkowników, oprogramowanie monitorujące) oraz użytkowane programy i aplikacje biznesowe (edytory tekstu, arkusze kalkulacyjne, komunikatory, przeglądarki, programy pocztowe, programy księgowe, programy magazynowe, programy graficzne, projektowe, CRM, ERP itd.); oraz sprawdzenie posiadanych licencji pod kątem legalności stosowanego oprogramowania bezpłatnego.

Audyt cyberbezpieczeństwa oparty jest o wytyczne z Ustawy z dnia 5 lipca 2018 o  krajowym systemie cyberbezpieczeństwa (Dz.U.2018.1560).

Audyt Zgodności z RODO

Audyt informatyczny Urzędu

  • Zebranie oraz analiza ogólnych informacji na temat przetwarzania danych osobowych
    w organizacji na podstawie wywiadów przeprowadzonych z administratorem danych osobowych oraz/lub przedstawicielami odpowiednich działów np.: kadry, płace, IT, HR czy marketing.
  • Określenie celu przetwarzania, podstaw prawnych, ustalenie zakresu oraz kategorii czynności przetwarzania danych.
  • Weryfikacja dotychczasowych działań wdrożeniowych, podjętych przez administratora danych lub powołanego inspektora ochrony danych.
  • Weryfikacja istniejącej dokumentacji związanej z ochroną danych osobowych, pod kątem jej kompletności oraz aktualności w oparciu o Rozporządzenie o Ochronie Danych Osobowych, przepisy Ustawy o Ochronie Danych Osobowych i inne akty prawne.
  • Inspekcja wymaganych procedur np.: procedura postępowania w przypadku wystąpienia incydentu, procedura obsługi praw osób fizycznych wynikających z RODO.
  • Weryfikacja aplikacji, urządzeń oraz systemów informatycznych wykorzystywanych do procesów przetwarzania danych oraz określenie sposobu ich zabezpieczeń.
  • Zbadanie sposobów wypełniania fundamentalnego obowiązku informacyjnego, ciążącego na każdym administratorze względem klientów/pacjentów/interesariuszy, pracowników, kandydatów do pracy, oferentów przetargowych, osób monitorowanych.
  • Weryfikacja prowadzonych przez administratora rejestrów np.: rejestr czynności przetwarzania danych osobowych, rejestr incydentów, rejestr upoważnień do przetwarzania danych, rejestr szkoleń pracowników, rejestr umów powierzenia DO.
  • Określenie zasadności powołania Inspektora Ochrony Danych, prowadzenia wymaganych rejestrów, ewidencji, upoważnień, powierzeń czy stosowania metod szyfrowania danych.
  • Wizja lokalna obszarów i stanowisk przetwarzania danych uwzględniająca sposoby przechowywania oraz zabezpieczania przetwarzanych danych.
  • Sporządzenie i wydanie raportu pokontrolnego, który określa stan faktyczny wypełniania wszystkich zadań wynikających z obowiązujących przepisów, stwierdzone uchybienia oraz wydanie zaleceń pod kątem uzupełnienia czynności w obecnym modelu ochrony danych osobowych w organizacji.
  • Weryfikacja legalności i bezpieczeństwa przetwarzania danych osobowych pozyskiwanych przez stronę internetową: formularze kontaktowe, szyfrowanie połączenia, obowiązki informacyjne, polityka prywatności, polityka cookies.
  • Inspekcja obszaru objętego monitoringiem obejmująca m.in. kontrolę tablic informacyjnych, zasięg kamer, czas przechowywania zapisów czy sposób prawidłowego zabezpieczania i przekazywania zapisów. Kontrola treści regulaminu monitoringu oraz wewnętrznej procedury funkcjonowania monitoringu. Sprawdzenie upoważnień i powierzeń dla podmiotów mających dostęp do monitoringu.

Bezpieczny Urząd

W ramach Bezpiecznego Urzędu przeprowadzony zostanie pełny pakiet audytów:

  • Audyt SZBI zgodny z KRI
  • Audyt Cyberbezpieczeństwa
  • Audyt Zgodności z RODO

Dzięki którym jednostka będzie miała pełne informacje dotyczące działania systemów informatycznych, bezpieczeństwa informacji i cyberbezpieczeństwa oraz procesu przetwarzania danych osobowych i opracowania niezbędnej dokumentacji.

Usługa Audytu kończy się przekazaniem i omówieniem szczegółowego raportu podzielonego na ok. 30 obszarów tematycznych. W każdym z obszarów opisany jest: stan na dzień kontroli, stwierdzone uchybienia oraz wydane zalecenia audytorów. Na podstawie ocen każdego z obszarów (skala zgodnie z rozporządzeniem) ustalana jest ocena końcowa audytu.

Formularz kontaktowy

Prosimy o wypełnienie formularza, nasz konsultant skontaktuje się z Państwem i przedstawi ofertę cenową

Wyślij