Audyty KRI, KSC, NIS2, PKE

Bezpieczeństwo teleinformatyczne w urzędzie

Posted on 18 lipca 2022 by Audytor ISO 27001

Zagadnienia z dziedziny telekomunikacji i informatyki umożliwiające korzystanie z komputerów i sieci komputerowych związanych z ryzykiem nazywane są Bezpieczeństwem Teleinformatycznym.

KONTAKT DO ADMINISTRATORA I ARCHITEKTA SIECI TEL. aktualny numer na stronie KONTAKT

Aplikacje serwerowe oraz błędy zrobione przez programistów są odrębnym zagadnieniem gdyż architekt sieci komputerowej jedynie co może zrobić w przypadku „dziurawego programu” to zablokować do niego dostęp na czas poprawienia bugów i wykonania aktualizacji.

Stosowane są najczęściej 3 rodzaje audytów w urzędzie:

  • Audyt RODO czyli Ochrony Danych Osobowych, jest to w 99% sprawdzenie dokumentacji, które może być rozszerzone na kontrolę serwisów www.
  • Audyt KRI czyli sprawdzanie dokumentacji, czasami powiększony o dostęp do komputerów celem sprawdzenia biosu, polityki haseł, plików z kopii bezpieczeństwa.

    Wymienione aspekty audytu KRI i RODO nie powinny być inwazyjne ale coraz częściej audytorzy używają narzędzi do przeprowadzenia testów penetracyjnych. Audytor taki nie będący nigdy wcześniej architektem sieci, nie będący także administratorem sieci z podstawowym certyfikatem CCNA, korzysta z narzędzi próbując znaleźć w niej podatności 🙂

  • Audyt CERT, który pojawia się częściej podczas projektu „Cyfrowa Gmina”.

Wymienione rodzaje audytów nie powinny wchodzić w konflikt z siecią komputerową urzędu, jeżeli jednak jest inaczej to niestety osoba zarządzająca siecią takiego urzędu nie posiada odpowiednich kompetencji.

Druzgocący raport audytora nic u takiego pracownika referatu IT nie zmieni, ponieważ aby naprawić błędy w sieci komputerowej należy to zrozumieć a to może zająć kilka ładnych lat a wszyscy wiemy, że informatyk w urzędzie zajmuje się wszystkim (wg niego samego) i niczym (wg włodarzy) a już nie na pewno nie bezpieczeństwem teleinformatycznym sieci komputerowej swojego urzędu.

Wszystkie rodzaje audytów inwazyjnych i testów penetracyjnych można, posiadając odpowiednią wiedzę, uniemożliwić.

Administrator czy architekt sieci komputerowej stosując już optymalne zasady jest w stanie określić krytyczne oraz kluczowe zasoby rzędu i zabezpieczyć swoją sieć przed takimi testami penetracyjnymi.

Posiadając wiedzę na poziomie CCNP może już niemal w całości odciąć testera sieci LAN od urządzeń sieciowych stosowanych w urzędzie albo zapędzić w kozi róg 🙂

Zapraszamy do kontaktu, oferujemy najwyższe bezpieczeństwo teleinformatyczne w strukturze sieci komputerowej urzędu i zapobiegamy nieprzychylnym raportom z audytu dot. bezpieczeństwa. Zadzwoń już dzisiaj: aktualny numer na stronie KONTAKT

Cybebezpieczeństwo w urzędzie gminy Izolacja urządzeń końcowych użytkowników Mechanizmy segmentacji sieci w urzędzie