Információbiztonsági tanácsadás

Információbiztonsági tanácsadás

Információbiztonsági kockázatelemzés lefolytatása 

Információbiztonsági szabályzatok elkészítése, felülvizsgálata

Secure Configuration Baseline (SCB) csomag

Üzletmenet-folytonosság tervezés támogatása

Naplóállomány kezelés támogatása 

Felhőszolgáltatások bevezetésének támogatása 

ISO27001 szabvány bevezetésének támogatása support

Adatszivárgás elleni védelem támogatása (DLP) 

vCISO szolgáltatások 

Információbiztonsági kockázatelemzés lefolytatása

Az információbiztonsági kockázatelemzés során célunk ügyfeleinkre ható kockázatok pontos feltérképezése, így azok kezelésének hatékony támogatása. Kockázatelemzési módszertanunk elsődlegesen az ISO27005 szabványhoz igazodva biztosítja a kockázatok teljes körű feltárását, de munkánk során figyelembe vesszük és igazodunk ügyfeleink belső előírásaihoz, módszertanaihoz, illetve a felügyeleti szervek – kiemelten az MNB 8/2020. számú ajánlása – releváns elvárásaihoz.

A kockázatelemzést irodai szoftverekkel vagy a PR-AUDIT Kft. PCP célszoftverével támogatva folytatjuk le. Igény esetén elvégezzük a kockázatelemzést megalapozó üzleti elemzéseket – folyamatfelmérés és üzleti hatáselemzés, adatvagyon felmérése és osztályozása, függőség-elemzés, informatikai rendszerek biztonsági osztályokba sorolása – vagy felhasználjuk és módszertanunkba integráljuk ügyfeleinknél rendelkezésre álló elemzések eredményeit.

Információbiztonsági szabályzatok elkészítése, felülvizsgálata

Ügyfeleink részére támogatást nyújtunk bármilyen információbiztonsági tárgyú szabályozó elkészítésében, aktualizálásában vagy megfelelőségi vizsgálat követően az elvárt szabályozási szint elérésében.

Secure Configuration Baseline (SCB) csomag

SCB csomagunk ügyfeleink számára nyújt biztos alapot az alapértelmezett és beépített védelem alapelveinek bevezetéséhez, így csökkentve a rendszerek támadási felületét, valamint korlátozva a hackerek lehetőségét a gyenge konfigurációk kihasználására, és a kritikus rendszerekhez vagy érzékeny üzleti adatokhoz való hozzáférésre.

A szolgáltatás az alábbiakra terjed ki:

  • Kritikus infrastruktúra elemek meghatározása, melyekre SCB definiálása szükséges.
  • Jelenlegi gyakorlat és követelmények felmérése
    • Hatályos informatikai és információbiztonsági szabályzatok feldolgozása
    • Hatályos jogi és megfelelőségi követelmények feldolgozása
    • Hatályos SCB-k feldolgozása
    • A fentiek alapján a hatályos SCB meghatározása és dokumentálása.
  • Hardening vizsgálatok (gap-elemzés) lefolytatása a CIS és egyéb gyártói ajánlások alapján és az eredmények ügyféllel történő feldolgozása.
  • SCB-k meghatározása és dokumentálása.
  • SCB-k alkalmazásának visszamérése (opcionális)

Üzletmenet-folytonosság tervezés támogatása

Támogatást nyújtunk ügyfeleink részére üzletmenet-folytonossági keretrendszerek (BCM) teljes körű kialakításában, felülvizsgálatában és aktualizálásában vagy akár egy szolgáltatás, folyamat vagy informatikai rendszer szolgáltatásfolytonosságának tervezésében.

Szolgáltatásunk kiterjed a:

  • a szervezetre szabott módszertan kidolgozására,
  • az üzleti folyamatok teljes körű felmérésére,
  • üzleti hatáselemzés lefolytatására és a kritikus üzleti folyamatok meghatározására,
  • függőség elemzés lefolytatására,
  • működési kockázatelemzés lefolytatására,
  • az üzletmenet-folytonossági tervek és informatikai katasztrófa elhárítási tervek elkészítésére.

Naplóállomány kezelés támogatása

A PR-AUDIT Kft. több, mint 10 éves tapasztalattal rendelkezik központi naplógyűjtő és elemző rendszerek fejlesztése, integrálás és üzemeltetése terén. Támogatást tudunk nyújtani, amennyiben úgy érzi, hogy a jelentős anyagi erőforrásokat felemésztő SIEM rendszere nem működik elég hatékonyan, az érdemi naplóelemzéshez vezető utat keresi, vagy csak tervezi egy SIEM rendszer integrációját.

Szolgáltatásunk kiterjed a jelenlegi rendszer-audit, naplógyűjtési és naplóelemzési gyakorlat teljes körű átvilágítására, a fenti akadályokat okozó hiányosságok feltárására és ezek kiküszöbölésében technikai segítség – SIEM képességek felmérése, rendszer-audit követelmények meghatározása, beállítása, naplóállományok továbbítása, naplóelemzési riportok kialakítása, események normalizációja, stb. – nyújtására. Célunk, hogy a naplóállomány-kezelésbe és -elemzésbe fektetett idő- és pénzbeli ráfordítás a lehető legalacsonyabb szinten tartva is folyamatosan értéket teremtsen.

Felhőszolgáltatások bevezetésének támogatása

A felhőszolgáltatások fejlődése eljutott arra a pontra, hogy azok teljes körű kizárása az informatikai és szolgáltatói portfolióból az adott vállalkozás üzleti versenyképességét jelentős mértékben csökkentheti. Ezzel összehangban az MNB Magyar Nemzeti Bank 4/2019. (IV.1.) számú ajánlása a közösségi és publikus felhőszolgáltatások igénybevételéről részletes követelményeket határozott meg a szolgáltatások teljes életciklusára vonatkozólag. Az ajánlásnak történő teljes körű megfelelés viszont jelentős és sokrétű felkészültséget és munkaterhet jelent.

Indokolttá vált egy átfogó megoldás kialakítása ügyfeleink támogatására, a felhő szolgáltatások bevezetésének megkönnyítésére és a kockázatok hatékony feltárására és kezelésére. A szolgáltatás kiterjed a szabályozás kialakítására a szolgáltatások teljes életciklusára, az igénylő, jogi és informatikai szakterületek támogatására a szabályzat szerinti feladatok végrehajtásában, információbiztonsági és adatvédelmi kockázatelemzés lefolytatására valamint a kapcsolódó projektmenedzsment feladatok elvégzésére.

ISO27001 szabvány bevezetésének támogatása

Információbiztonsági irányítási rendszerének ISO27001 szerinti tanúsítása mára már a legtöbb vállalkozás számára kézzel fogható üzleti előnyt jelent. Sok esetben találkozunk azzal, hogy pénzügyi szervezetek, multinacionális vállalatok a szerződéskötés – kiválasztási folyamatban történő részvétel – feltételéül szabják a szabvány, vagy azzal egyenértékű tanúsítvány meglétét.

Ügyfeleink részére támogatást tudunk nyújtani a szabvány bevezetésének teljes folyamata során, egészen az első kapavágástól, a tanúsítási folyamat lezárásáig.

Adatszivárgás elleni védelem támogatása (DLP)

A PR-AUDIT Kft. célja, hogy ügyfelei részére támogatást, valamint a projekt sikeréhez szükséges hatékony és gyakorlatias megoldásokat nyújtson a DLP rendszer integrálása során felmerülő információbiztonsági, adatvédelmi, folyamatszervezési és projektmenedzsment problémákra. Tapasztalatunk, hogy a közvélekedéssel ellentétben, a DLP projekt átgondolt, lépcsőzetes megvalósításával a projekt elszálló költségek és az üzleti működés megzavarása nélkül, tartható ütemezés mellett is megvalósítható.

Szolgáltatásunk kiterjed a DLP, mint folyamat alapjait meghatározó szabályzó elkészítése, támogatásra az adatnyilvántartás létrehozásában, a DLP rendszerhez kapcsolódó oktatások megtartására valamint az incidens-menedzsment szakmai támogatására.

vCISO szolgáltatások

 A PR-AUDIT Kft. több pénzügyi intézménynél is betölti kiszervezés keretében az információbiztonsági tisztviselői szerepkört. A szolgáltatás kiterjed a jogi követelményeken és nemzetközi szabványokon (pl. ISO2700x, COBIT, ITIL) alapuló, független IT biztonsági ellenőrzések rendszeres lefolytatására, mely magában foglalja a megkövetelt technológiai tesztek lefolytatását is. Széleskörű tapasztalattal rendelkezünk az üzleti, informatikai és biztonsági igények ötvözésében és azok szervezeten belüli kommunikálásában.

A PR-AUDIT egyaránt vállalja a szervezetre előírt információbiztonsági feladatok irányítását és azok végrehajtását. Virtuális információbiztonsági tisztviselőként a következő szolgáltatásokat kínáljuk:

  • Projektmenedzsment és vezetés
  • Komplett információbiztonsági irányítási rendszer kiépítése és működtetése vagy támogatása
  • Kontrollok megtervezése és kialakítása
  • Belső ellenőrzések lefolytatása
  • Kockázatértékelés lefolytatása
  • Social engineering vizsgálatok lefolytatása
  • Sérülékenység vizsgálat és betöréstesztek lebonyolítása
  • Hardening vizsgálatok elvégzése