Audyt CERT
Osoba odpowiedzialna za bezpieczeństwo IT w jednostce wraz z odpowiednimi kompetencjami
Zabezpieczenie teleinformatyczne urzędu, zadzwoń aktualny numer na stronie KONTAKT
Dokumentacja potwierdzająca wykonane działania wskazanego w ustawie o krajowym systemie cyberbezpieczeństwa
- Czy zostały zidentyfikowane usługi publiczne, których świadczenie zależy od bezpieczeństwa systemów informacyjnych?
- Czy zostały wskazane osoby (podmioty) odpowiedzialne za zarządzanie incydentami?
- Czy podmiot publiczny realizuje zadania publikowania informacji pozwalających na zrozumienie zagrożeń cyberbezpieczeństwa oraz możliwych, skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, tj. zadań zawartych w art. 22 ust. 1 pkt 4 ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560 z późn. zm.)?
- Czy została wyznaczona i zgłoszona do właściwego CSIRT, osoba kontaktowa, o której mowa w art. 21 oraz art. 22 ust. 1 pkt 5 ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560 z późn. zm.)?
Opis identyfikacji systemu informacyjnego wspierającego zadanie publiczne
- Czy wszystkie elementy składowe systemu informatycznego zostały zinwentaryzowane?
- Czy dla każdego systemu informatycznego utrzymywana jest aktualna lista osób odpowiedzialnych za jego bezpieczną eksploatację?
Dokumentacja Systemu Informacyjnego wspierającego zadanie publiczne
- Czy istnieją raporty z audytów systemów informacyjnych wspierających zadanie publiczne?
- Czy istnieje dokumentacja architektury zastosowanych zabezpieczeń?
- Czy istnieje dokumentacja architektury sieci?
- Czy istnieje baza danych konfiguracji urządzeń aktywnych?
- Czy istnieje dokumentacja zmian w systemach informacyjnych?
- Czy istnieje dokumentacja dotycząca monitorowania w trybie ciągłym?
- Czy są dostępne umowy z dostawcami (wsparcie techniczne)?
- Czy są zawierane umowy z dostawcami usług z zakresu bezpieczeństwa teleinformatycznego?
- Czy są wymagane wyniki audytów u dostawców usług bezpieczeństwa teleinformatycznego?
- Czy jest dostępna i aktualna dokumentacja zabezpieczeń fizycznych i środowiskowych?
- Czy jest prowadzony rejestr dostępu do dokumentacji systemu informacyjnego?
Dokumentacja procesu zarządzania incydentami
- Czy wdrożone jest monitorowanie i wykrywanie incydentów? Kto za nie odpowiada? (stanowiska, funkcje itp. – bez danych osobowych)
- Czy istnieje procedura informowania o wykrytych incydentach?
- Czy istnieją procedury reagowania na incydenty?
Aspekty techniczne do weryfikacji
Wyniki audytu serwisów WWW z uwzględnieniem:
- wersji serwera HTTP;
- wersji systemu CMS (o ile występuje);
- bezpieczeństwa komunikacji (aktualność certyfikatów X.509, wersja TLS, stosowane algorytmy kryptograficzne itp.);
- dostępności kompetentnego personelu do utrzymania serwisów.
Wyniki audytu serwisów pocztowych z uwzględnieniem:
- poprawności wdrożenia mechanizmów SPF, DKIM i DMARC;
- poprawności i bezpieczeństwa wdrożenia mechanizmów TLS;
- dostępności kompetentnego personelu do utrzymania serwisów.
Wyniki audytu lokalnych sieci teleinformatycznych z uwzględnieniem:
- wdrożenia systemów ochrony przed kodem szkodliwym w sposób zapewniający ich automatyczną aktualizację;
- stosowania mechanizmów segmentacji sieci;
- izolacji urządzeń końcowych użytkowników;
- procesu tworzenia i okresowego odtwarzania kopii zapasowych przetwarzanych informacji;
- monitorowania ruchu wewnątrz sieci w zakresie wykrywania symptomów naruszeń bezpieczeństwa;
- dostępności kompetentnego personelu do utrzymania infrastruktury sieciowej.
Wyniki audytu połączenia z siecią Internet z uwzględnieniem:
- monitorowania ruchu wchodzącego i wychodzącego;
- stosowanych zabezpieczeń przed atakami DDoS;
- stosowanych zabezpieczeń przed wyciekiem informacji (DLP);
- stosowanych zabezpieczeń punktu styku (FW, IDS, IPS, WAF itp.);
- dostępności kompetentnego personelu do utrzymania punktu styku z siecią Internet.
Aspekty organizacyjne do weryfikacji
Wyniki audytu organizacji zarządzania bezpieczeństwem teleinformatycznym z uwzględnieniem:
- regularnego identyfikowania znanych podatności w eksploatowanych systemach IT;
- terminowego wprowadzania danych do systemów zarządzania tożsamością i uprawnieniami użytkowników;
- prowadzenia okresowego przeglądu uprawnień użytkowników;
- prowadzenia okresowych szkoleń użytkowników podnoszących ich świadomość zagrożeń.
Wyniki audytu procesów planowania z uwzględnieniem:
- posiadania planów przywracania usług IT na wypadek awarii;
- prowadzenia przeglądów oraz doskonalenia planów przywracania usług IT;
- cyklu życia systemów IT i eksploatacji produktów nieposiadających wsparcia producenta.
Konfiguracja firewall oraz urządzeń sieciowych, wdrażanie polityk bezpieczeństwa sieci
zadzwoń: tel. aktualny numer na stronie KONTAKT