Audyt KSC

Oceniamy dostosowanie przedsiębiorstwa do wymagań Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Podstawy dla prowadzenia audytu zgodności z wymaganiami o Krajowym Systemem Cyberbezpieczeństwa

Audyt wynika bezpośrednio z ustawy z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa (dalej Ustawa) i opiera się o zbiór rekomendacji standaryzujących rozwiązania zabezpieczające w sieciach i systemach informatycznych.

Korzyści wynikające z audytu KSC

Audyt KSC:

  • obniża prawdopodobieństwo wycieku danych i naruszenia RODO,
  • nawet w przypadku naruszenia bezpieczeństwa stanowi dowód dla zastosowania niższych kar,
  • stanowi dowód dla zaangażowania Najwyższego Kierownictwa w bezpieczeństwo informacji, a raport jest tego potwierdzeniem,
  • gwarantuje rozpoznanie oraz możliwość usunięcia podatności teleinformatycznych stanowiących zagrożenie dla bezpieczeństwa informacji,
  • gwarantuje weryfikację stosowanych środków ochrony wraz ze wskazaniem rekomendacji w zakresie ich dalszego rozwoju,
  • gwarantuje podwyższenie standardów bezpieczeństwa informacji w obszarze wiedzy pracowników.

Na czym polega audyt KSC?

Audyt KSC polega na weryfikacji i ocenie gotowości jednostki publicznej do spełnienia wymogów Ustawy. Wykonywany jest poprzez dokładną weryfikację listy elementów wraz z określeniem stopnia ich spełnienia.

Części składowe audytu

System Zarządzania Bezpieczeństwem Informacji

Analiza obszarów

Analizowane obszary dotyczą bezpieczeństwa:

  • Infrastruktury teleinformatycznej w tym serwerów, systemów operacyjnych, przełączników sieciowych, UTM (NG Firewall),
  • kluczowych systemów teleinformatycznych,
  • procesów dostępu, autoryzacji i uwierzytelnienia,
  • zarządzania relacjami z dostawcami/klientami,
  • fizycznego (systemy SSWiN, SKD, monitorowania środowiska).

Ocenie podlegają również procesy zarządzania i oceny ryzyka, zarządzania incydentami, aktualizacji i dokumentowania zarządzania bezpieczeństwem, świadomości pracowników i zdolności jednostki do reagowania na zagrożenia.

Identyfikacja podatności

W ramach audytu identyfikujemy podatności (znane błędy) w systemach teleinformatycznych oraz proponujemy sposoby na ich usunięcie. Zagrożenia wynikające z podatności mierzymy zgodnie z CVSS (Common Vulnerability Scoring System).

Zwracamy uwagę, że wykorzystywanie narzędzi typu OpenVAS (Greenbone) albo Nessus jest właśnie identyfikacją podatności i nie należy tych czynności identyfikować z testami penetracyjnymi.

Testy penetracyjne

Testy prowadzą doświadczeni testerzy bezpieczeństwa (pentesterzy) posiadający certyfikaty OCSP i OSWE. Zapoznaj się z pełną ofertę prowadzonych przez nas testów penetracyjnych.

W kontekście audytu KSC najbardziej polecamy testy infrastruktury oraz aplikacji webowych.

Szkolenia

W ramach audytu bardzo często prowadzimy szkolenia, których głównym celem jest podwyższenie wiedzy pracowników. Wyższa świadomość równa się niższemu prawdopodobieństwu naruszenia bezpieczeństwa. Prowadzimy często szkolenia techniczne dla informatyków, administratorów sieci, programistów, devopsów.