Audyt bezpieczeństwa

Wiedza i kompetencje

Prace audytorskie wykonane są przez zespół doświadczonych specjalistów z Działu Usług Profesjonalnych CLICO od wielu lat zajmujpących się tematyką bezpieczeństwa. Analitycy i inżynierowe zabezpieczeń zaangażowani w realizację audytów posiadają najwyższe stopnie certyfikacji zawodowej w branży bezpieczeństwa IT, m.in. Certified Information Systems Security Professional (CISSP), Check Point Certified Security Expert Plus (CCSE+), Juniper Networks Certified Internet Specialist (JNCIS).

Kompletny zakres usług

Zespół audytorów CLICO oferuje kompletny zakres usług - od praktycznych testów penetracyjnych z elementami symulacji włamań, analizę projektu i konfiguracji zabezpieczeń, do oceny zgodności polityki bezpieczeństwa firmy z wymaganiami prawa i standardami (m.in. PN-ISO/IEC-17799).

Metodyki audytu

Prace audytorskie wykonywane są zgodnie z opracowaną do tego celu metodyką testów penetracyjnych oraz metodyką wewnętrznego audytu bezpieczeństwa. Zostały one opracowane na bazie norm bezpieczeństwa (m.in. PN-ISO/IEC-17799), wymagań polskiego prawa (m.in. Dz.U.29.08.97, Dz.U.08.02.99) oraz teorii bezpieczeństwa (m.in. zasad projektowania zabezpieczeń jak Defense-in-Depth,Layered Protections, Defense in Multiple Places, Compartmentalization of Information, The Principle of Least Privilege, itd.). Metodyki wraz z dokładnymi objaśnieniami przekazywane są Klientom przed rozpoczęciem prac audytorskich. Dla zainteresowanych oferowane są szkolenia z metodyk audytu (MP01).

Wyniki audytu

Wynikiem prac audytorskich jest raport opisujący rzeczywisty stan bezpieczeństwa analizowanego systemu. Dokumentacja z prac zawiera wykaz wszystkich wykonanych testów i analiz (m.in. cel i zakres wykonania testu, użyte narzędzia i wynik ich uruchomienia, uwagi i zalecenia). Raport z audytu przedstawiony jest w dwóch egzemplarzach o różnym poziomie szczegółowości – dla Zarządu oraz dla służb technicznych.

Szkolenia kadry IT

Zalecane jest, aby audyt bezpieczeństwa wykonywany był w ścisłej współpracy z administratorami analizowanych systemów, bądź innymi wyznaczonymi przedstawicielami Zleceniodawcy. Jest to szczególnie istotne w trakcie wykonywania badań odporności systemu na ataki destrukcyjne oraz symulację włamań (testy inwazyjne), a także oceny poprawności reakcji zabezpieczeń na wykonywane ataki. Kadra informatyczna zaangażowana w realizację przedsięwzięć bezpieczeństwa zostaje odpowiednio do tego celu przeszkolona. Zobacz program szkolenia (TP03) dla kadry IT.

Ocena poprawności działania zabezpieczeń

Zespół audytorów CLICO zatrudnia certyfikowanych inżynierów, którzy na co dzień świadczą usługi wsparcia technicznego dla wielu produktów zabezpieczeń (m.in. ActivIdentity, Aladdin, Check Point, Crossbeam, ISS, Juniper, nCipher, NetIQ, RadWare, SafeBoot, SonicWall, StoneSoft, surfCONTROL, Trend Micro i Websense). Dzięki temu oprócz samego wyszukiwania luk bezpieczeństwa w audycie możliwe jest dokonanie wiarygodnej oceny poprawności reakcji zabezpieczeń na wykonywane ataki i opracowanie wytycznych do dostrojenia ich konfiguracji.

Procedury wzmocnienia zabezpieczeń

Dla wszystkich wykrytych w audycie podatności oraz nieprawidłowości działania zabezpieczeń systemu informatycznego opracowane zostają dokładne procedury ich eliminacji, bądź redukcji (do poziomu ryzyka akceptowalnego).

Doświadczenie i referencje

CLICO działa na rynku bezpieczeństwa IT od 1996r. W tym czasie wykonało ponad 40 audytów bezpieczeństwa dużych i średnich firm. Na życzenie Klientów dostarczamy pisemne referencje wydane przez firmy, które korzystały z naszych usług.

Opracowania i publikacje

Centrum Kompetencyjne CLICO prowadzi aktywną działalność informacyjną i edukacyjną. Opracowania nt. nowych rozwiązań bezpieczeństwa publikowane są w prasie IT oraz na łamach biuletynu CLICO. Zobacz publikacje książkowe oraz biuletyn techniczny.