Információbiztonsági tanácsadás
- Információbiztonsági kockázatelemzés lefolytatása
- Információbiztonsági szabályzatok elkészítése, felülvizsgálata
- Secure Configuration Baseline (SCB) csomag
- Üzletmenet-folytonosság tervezés támogatása
- Naplóállomány kezelés támogatása
- Felhőszolgáltatások bevezetésének támogatása
- ISO27001 szabvány bevezetésének támogatása support
- Adatszivárgás elleni védelem támogatása (DLP)
- vCISO szolgáltatások
- Információbiztonsági kockázatelemzés lefolytatása
Az információbiztonsági kockázatelemzés során célunk ügyfeleinkre ható kockázatok pontos feltérképezése, így azok kezelésének hatékony támogatása. Kockázatelemzési módszertanunk elsődlegesen az ISO27005 szabványhoz igazodva biztosítja a kockázatok teljes körű feltárását, de munkánk során figyelembe vesszük és igazodunk ügyfeleink belső előírásaihoz, módszertanaihoz, illetve a felügyeleti szervek – kiemelten az MNB 8/2020. számú ajánlása – releváns elvárásaihoz.
A kockázatelemzést irodai szoftverekkel vagy a PR-AUDIT Kft. PCP célszoftverével támogatva folytatjuk le. Igény esetén elvégezzük a kockázatelemzést megalapozó üzleti elemzéseket – folyamatfelmérés és üzleti hatáselemzés, adatvagyon felmérése és osztályozása, függőség-elemzés, informatikai rendszerek biztonsági osztályokba sorolása – vagy felhasználjuk és módszertanunkba integráljuk ügyfeleinknél rendelkezésre álló elemzések eredményeit.
- Információbiztonsági szabályzatok elkészítése, felülvizsgálata
Ügyfeleink részére támogatást nyújtunk bármilyen információbiztonsági tárgyú szabályozó elkészítésében, aktualizálásában vagy megfelelőségi vizsgálat követően az elvárt szabályozási szint elérésében.
- Secure Configuration Baseline (SCB) csomag
SCB csomagunk ügyfeleink számára nyújt biztos alapot az alapértelmezett és beépített védelem alapelveinek bevezetéséhez, így csökkentve a rendszerek támadási felületét, valamint korlátozva a hackerek lehetőségét a gyenge konfigurációk kihasználására, és a kritikus rendszerekhez vagy érzékeny üzleti adatokhoz való hozzáférésre.
A szolgáltatás az alábbiakra terjed ki:
- Kritikus infrastruktúra elemek meghatározása, melyekre SCB definiálása szükséges.
- Jelenlegi gyakorlat és követelmények felmérése
- Hatályos informatikai és információbiztonsági szabályzatok feldolgozása
- Hatályos jogi és megfelelőségi követelmények feldolgozása
- Hatályos SCB-k feldolgozása
- A fentiek alapján a hatályos SCB meghatározása és dokumentálása.
- Hardening vizsgálatok (gap-elemzés) lefolytatása a CIS és egyéb gyártói ajánlások alapján és az eredmények ügyféllel történő feldolgozása.
- SCB-k meghatározása és dokumentálása.
- SCB-k alkalmazásának visszamérése (opcionális)
- Üzletmenet-folytonosság tervezés támogatása
Támogatást nyújtunk ügyfeleink részére üzletmenet-folytonossági keretrendszerek (BCM) teljes körű kialakításában, felülvizsgálatában és aktualizálásában vagy akár egy szolgáltatás, folyamat vagy informatikai rendszer szolgáltatásfolytonosságának tervezésében.
Szolgáltatásunk kiterjed a:
- a szervezetre szabott módszertan kidolgozására,
- az üzleti folyamatok teljes körű felmérésére,
- üzleti hatáselemzés lefolytatására és a kritikus üzleti folyamatok meghatározására,
- függőség elemzés lefolytatására,
- működési kockázatelemzés lefolytatására,
- az üzletmenet-folytonossági tervek és informatikai katasztrófa elhárítási tervek elkészítésére.
- Naplóállomány kezelés támogatása
A PR-AUDIT Kft. több, mint 10 éves tapasztalattal rendelkezik központi naplógyűjtő és elemző rendszerek fejlesztése, integrálás és üzemeltetése terén. Támogatást tudunk nyújtani, amennyiben úgy érzi, hogy a jelentős anyagi erőforrásokat felemésztő SIEM rendszere nem működik elég hatékonyan, az érdemi naplóelemzéshez vezető utat keresi, vagy csak tervezi egy SIEM rendszer integrációját.
Szolgáltatásunk kiterjed a jelenlegi rendszer-audit, naplógyűjtési és naplóelemzési gyakorlat teljes körű átvilágítására, a fenti akadályokat okozó hiányosságok feltárására és ezek kiküszöbölésében technikai segítség – SIEM képességek felmérése, rendszer-audit követelmények meghatározása, beállítása, naplóállományok továbbítása, naplóelemzési riportok kialakítása, események normalizációja, stb. – nyújtására. Célunk, hogy a naplóállomány-kezelésbe és -elemzésbe fektetett idő- és pénzbeli ráfordítás a lehető legalacsonyabb szinten tartva is folyamatosan értéket teremtsen.
- Felhőszolgáltatások bevezetésének támogatása
A felhőszolgáltatások fejlődése eljutott arra a pontra, hogy azok teljes körű kizárása az informatikai és szolgáltatói portfolióból az adott vállalkozás üzleti versenyképességét jelentős mértékben csökkentheti. Ezzel összehangban az MNB Magyar Nemzeti Bank 4/2019. (IV.1.) számú ajánlása a közösségi és publikus felhőszolgáltatások igénybevételéről részletes követelményeket határozott meg a szolgáltatások teljes életciklusára vonatkozólag. Az ajánlásnak történő teljes körű megfelelés viszont jelentős és sokrétű felkészültséget és munkaterhet jelent.
Indokolttá vált egy átfogó megoldás kialakítása ügyfeleink támogatására, a felhő szolgáltatások bevezetésének megkönnyítésére és a kockázatok hatékony feltárására és kezelésére. A szolgáltatás kiterjed a szabályozás kialakítására a szolgáltatások teljes életciklusára, az igénylő, jogi és informatikai szakterületek támogatására a szabályzat szerinti feladatok végrehajtásában, információbiztonsági és adatvédelmi kockázatelemzés lefolytatására valamint a kapcsolódó projektmenedzsment feladatok elvégzésére.
- ISO27001 szabvány bevezetésének támogatása
Információbiztonsági irányítási rendszerének ISO27001 szerinti tanúsítása mára már a legtöbb vállalkozás számára kézzel fogható üzleti előnyt jelent. Sok esetben találkozunk azzal, hogy pénzügyi szervezetek, multinacionális vállalatok a szerződéskötés – kiválasztási folyamatban történő részvétel – feltételéül szabják a szabvány, vagy azzal egyenértékű tanúsítvány meglétét.
Ügyfeleink részére támogatást tudunk nyújtani a szabvány bevezetésének teljes folyamata során, egészen az első kapavágástól, a tanúsítási folyamat lezárásáig.
- Adatszivárgás elleni védelem támogatása (DLP)
A PR-AUDIT Kft. célja, hogy ügyfelei részére támogatást, valamint a projekt sikeréhez szükséges hatékony és gyakorlatias megoldásokat nyújtson a DLP rendszer integrálása során felmerülő információbiztonsági, adatvédelmi, folyamatszervezési és projektmenedzsment problémákra. Tapasztalatunk, hogy a közvélekedéssel ellentétben, a DLP projekt átgondolt, lépcsőzetes megvalósításával a projekt elszálló költségek és az üzleti működés megzavarása nélkül, tartható ütemezés mellett is megvalósítható.
Szolgáltatásunk kiterjed a DLP, mint folyamat alapjait meghatározó szabályzó elkészítése, támogatásra az adatnyilvántartás létrehozásában, a DLP rendszerhez kapcsolódó oktatások megtartására valamint az incidens-menedzsment szakmai támogatására.
- vCISO szolgáltatások
A PR-AUDIT Kft. több pénzügyi intézménynél is betölti kiszervezés keretében az információbiztonsági tisztviselői szerepkört. A szolgáltatás kiterjed a jogi követelményeken és nemzetközi szabványokon (pl. ISO2700x, COBIT, ITIL) alapuló, független IT biztonsági ellenőrzések rendszeres lefolytatására, mely magában foglalja a megkövetelt technológiai tesztek lefolytatását is. Széleskörű tapasztalattal rendelkezünk az üzleti, informatikai és biztonsági igények ötvözésében és azok szervezeten belüli kommunikálásában.
A PR-AUDIT egyaránt vállalja a szervezetre előírt információbiztonsági feladatok irányítását és azok végrehajtását. Virtuális információbiztonsági tisztviselőként a következő szolgáltatásokat kínáljuk:
- Projektmenedzsment és vezetés
- Komplett információbiztonsági irányítási rendszer kiépítése és működtetése vagy támogatása
- Kontrollok megtervezése és kialakítása
- Belső ellenőrzések lefolytatása
- Kockázatértékelés lefolytatása
- Social engineering vizsgálatok lefolytatása
- Sérülékenység vizsgálat és betöréstesztek lebonyolítása
- Hardening vizsgálatok elvégzése