Audyt Urzędu
Według globalnego, 15-ego raportu bezpieczeństwa informacji firmy Ernst&Young (Fighting to close the Gap) 77% firm oceniło, iż zagrożenie atakami zewnętrznymi wzrosło, zaś 46% dostrzega wzrost zagrożeń wewnętrznych. 31% badanych firm doświadczyło w ostatnich dwóch latach incydentów naruszających ich bezpieczeństwo, a aż 63% nie ma wdrożonej systemowej polityki bezpieczeństwa.
Dla podmiotów publicznych Rozporządzenie „Krajowe Ramy Interoperacyjności” – Dz.U. 2012 poz. 526 (na podstawie: Ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne – Dz.U. 2005 nr 64 poz. 565 & 20. 2. 14), nakazuje prowadzenie okresowych audytów w zakresie bezpieczeństwa informacji, oraz spełnienia innych wymogów, w tym utrzymanie i doskonalenie systemu zarządzania bezpieczeństwem informacji.
Audyt SZBI zgodny z KRI
Audyt informatyczny Urzędu
Kontrola przeprowadzana w trybie określonym ustawą oraz zgodnie ze standardami kontroli w administracji rządowej. Celem kontroli jest dokonanie oceny działania systemów teleinformatycznych pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych oraz rejestrów publicznych i wymiany informacji w postaci elektronicznej, a także przestrzegania wymagań zawartych w KRI.
Ocenie podlegają niezależnie 3 główne obszary kontroli:
Interoperacyjność, np.
- świadczenie usług drogą elektroniczną (BIP, ePUAP),
- współpraca stosowanych systemów teleinformatycznych z innymi systemami,
- zgodność formatów danych udostępnianych przez systemy teleinformatyczne.
Bezpieczeństwo informacji, np.
- inwentaryzacja sprzętu i oprogramowania informatycznego,
- dokumenty z zakresu systemu zarządzania bezpieczeństwem informacji (SZBI),
- procedury incydentów,
- zarządzanie uprawnieniami do pracy w systemach teleinformatycznych,
- zabezpieczenia techniczno-organizacyjne dostępu do informacji,
- rozliczalność działań w systemach teleinformatycznych.
Dostosowanie dla osób niepełnosprawnych
- dostępność usług świadczonych drogą elektroniczną dla osób niepełnosprawnych.
Usługa obejmuje sprawdzenie rzeczywistego funkcjonowania wewnętrznych procedur określonych przez dokumenty takie jak:
- Polityka Bezpieczeństwa Informacji,
- Polityka Bezpieczeństwa Danych Osobowych,
- Polityka Bezpieczeństwa Fizycznego,
- Polityka/Regulamin/Instrukcja Bezpieczeństwa Systemów Teleinformatycznych.
Przykładowe procedury podlegające weryfikacji, to m.in:
- procedura zarządzania sprzętem i oprogramowaniem,
- procedura zarządzania uprawnieniami do pracy w systemach teleinformatycznych,
- procedura określania specyfikacji technicznej wymagań odbioru systemów IT,
- procedura zgłaszania i obsługi incydentów naruszenia bezpieczeństwa informacji,
- procedura wykonywania i testowania kopii bezpieczeństwa.
Pozostała dokumentacja podlegająca sprawdzeniu, to m.in.:
- dokumentacja z szacowania ryzyka Bezpieczeństwa Informacji,
- dokumentacja postepowania z ryzykiem,
- dokumentacja audytów z zakresu Bezpieczeństwa Informacji,
- dokumentacja incydentów naruszenia Bezpieczeństwa Informacji,
- dokumentacja cyklicznych szkoleń osób zaangażowanych w proces przetwarzania informacji.
Audyt Cyberbezpieczeństwa
Audyt informatyczny Urzędu
Przeprowadzenie testów styku sieci lokalnej z Internetem ze stacji roboczej podłączonej do sieci Internet, na które składa się:
- analiza topologii brzegu sieci;
- weryfikacja mechanizmów ochronnych;
- próba wykrycia usług sieciowych udostępnianych do Internetu;
- detekcja wersji oraz typu oprogramowania dostępnego z sieci Internet;
- exploitacja dostępnych urządzeń oraz usług wystawionych do sieci Internet;
- przedstawienie rozwiązań zwiększających bezpieczeństwo styku sieci lokalnej z siecią Internet.
Przeprowadzenie testów penetracyjnych ze stacji roboczej podłączonej do wewnętrznego systemu informatycznego w celu zidentyfikowania możliwości przeprowadzenia włamania z wewnątrz organizacji, które obejmuje:
- analiza topologii sieci LAN;
- weryfikacja mechanizmów ochronnych w sieci;
- analiza komunikacji sieciowej;
- skanowanie portów TCP/UDP próba wykrycia usług sieciowych;
- skanowanie hostów aktywnych w sieci;
- exploitacja dostępnych urządzeń oraz usług w sieci LAN;
Weryfikacja podstawowej świadomości pracowników dotyczącej zagrożeń związanych
z nowoczesnymi technologiami.
Kontrola inwentaryzacji sprzętu i oprogramowania informatycznego Zamawiającego polegająca na weryfikacji sieci teleinformatycznej (architektura sieci z uwzględnieniem sposobu jej rozprowadzenia np. Ethernet, Wi-Fi, ADSL, wydzielone warstwy), użytkowane urządzenia pośredniczące (switch, router, hub itp.), a także inne urządzenia stosowane w organizacji w tym sprzęt – serwery, komputery stacjonarne, inne urządzenia przenośne, nośniki danych, drukarki; weryfikacja stosowanego oprogramowania w tym systemy operacyjne (Windows, Linux), programy wspomagające zarządzanie (antywirus, firewall, zarządzanie kontami użytkowników, oprogramowanie monitorujące) oraz użytkowane programy i aplikacje biznesowe (edytory tekstu, arkusze kalkulacyjne, komunikatory, przeglądarki, programy pocztowe, programy księgowe, programy magazynowe, programy graficzne, projektowe, CRM, ERP itd.); oraz sprawdzenie posiadanych licencji pod kątem legalności stosowanego oprogramowania bezpłatnego.
Audyt cyberbezpieczeństwa oparty jest o wytyczne z Ustawy z dnia 5 lipca 2018 o krajowym systemie cyberbezpieczeństwa (Dz.U.2018.1560).
Audyt Zgodności z RODO
Audyt informatyczny Urzędu
- Zebranie oraz analiza ogólnych informacji na temat przetwarzania danych osobowych
w organizacji na podstawie wywiadów przeprowadzonych z administratorem danych osobowych oraz/lub przedstawicielami odpowiednich działów np.: kadry, płace, IT, HR czy marketing. - Określenie celu przetwarzania, podstaw prawnych, ustalenie zakresu oraz kategorii czynności przetwarzania danych.
- Weryfikacja dotychczasowych działań wdrożeniowych, podjętych przez administratora danych lub powołanego inspektora ochrony danych.
- Weryfikacja istniejącej dokumentacji związanej z ochroną danych osobowych, pod kątem jej kompletności oraz aktualności w oparciu o Rozporządzenie o Ochronie Danych Osobowych, przepisy Ustawy o Ochronie Danych Osobowych i inne akty prawne.
- Inspekcja wymaganych procedur np.: procedura postępowania w przypadku wystąpienia incydentu, procedura obsługi praw osób fizycznych wynikających z RODO.
- Weryfikacja aplikacji, urządzeń oraz systemów informatycznych wykorzystywanych do procesów przetwarzania danych oraz określenie sposobu ich zabezpieczeń.
- Zbadanie sposobów wypełniania fundamentalnego obowiązku informacyjnego, ciążącego na każdym administratorze względem klientów/pacjentów/interesariuszy, pracowników, kandydatów do pracy, oferentów przetargowych, osób monitorowanych.
- Weryfikacja prowadzonych przez administratora rejestrów np.: rejestr czynności przetwarzania danych osobowych, rejestr incydentów, rejestr upoważnień do przetwarzania danych, rejestr szkoleń pracowników, rejestr umów powierzenia DO.
- Określenie zasadności powołania Inspektora Ochrony Danych, prowadzenia wymaganych rejestrów, ewidencji, upoważnień, powierzeń czy stosowania metod szyfrowania danych.
- Wizja lokalna obszarów i stanowisk przetwarzania danych uwzględniająca sposoby przechowywania oraz zabezpieczania przetwarzanych danych.
- Sporządzenie i wydanie raportu pokontrolnego, który określa stan faktyczny wypełniania wszystkich zadań wynikających z obowiązujących przepisów, stwierdzone uchybienia oraz wydanie zaleceń pod kątem uzupełnienia czynności w obecnym modelu ochrony danych osobowych w organizacji.
- Weryfikacja legalności i bezpieczeństwa przetwarzania danych osobowych pozyskiwanych przez stronę internetową: formularze kontaktowe, szyfrowanie połączenia, obowiązki informacyjne, polityka prywatności, polityka cookies.
- Inspekcja obszaru objętego monitoringiem obejmująca m.in. kontrolę tablic informacyjnych, zasięg kamer, czas przechowywania zapisów czy sposób prawidłowego zabezpieczania i przekazywania zapisów. Kontrola treści regulaminu monitoringu oraz wewnętrznej procedury funkcjonowania monitoringu. Sprawdzenie upoważnień i powierzeń dla podmiotów mających dostęp do monitoringu.
Bezpieczny Urząd
W ramach Bezpiecznego Urzędu przeprowadzony zostanie pełny pakiet audytów:
- Audyt SZBI zgodny z KRI
- Audyt Cyberbezpieczeństwa
- Audyt Zgodności z RODO
Dzięki którym jednostka będzie miała pełne informacje dotyczące działania systemów informatycznych, bezpieczeństwa informacji i cyberbezpieczeństwa oraz procesu przetwarzania danych osobowych i opracowania niezbędnej dokumentacji.
Usługa Audytu kończy się przekazaniem i omówieniem szczegółowego raportu podzielonego na ok. 30 obszarów tematycznych. W każdym z obszarów opisany jest: stan na dzień kontroli, stwierdzone uchybienia oraz wydane zalecenia audytorów. Na podstawie ocen każdego z obszarów (skala zgodnie z rozporządzeniem) ustalana jest ocena końcowa audytu.
Formularz kontaktowy
Prosimy o wypełnienie formularza, nasz konsultant skontaktuje się z Państwem i przedstawi ofertę cenową