PRZEPROWADZENIE KOMPLEKSOWEGO AUDYTU oceniającego spełnienie wymagań ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Podstawy prawne:
- ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w SPRAWIE KRAJOWYCH RAM INTEROPERACYJNOŚCI, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych,
- USTAWA Z DNIA 29 SIERPNIA 1997 r. O OCHRONIE DANYCH OSOBOWYCH, (DZ. U. 2015. poz. 2135 z późn. zm.),
- ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
Szczegółowy opis prac:
- ANALIZA DOKUMENTACJI
- regulaminy organizacyjne
- stosowana metodyka analizy ryzyka i klasyfikacji informacji
- procedury i instrukcje związane z przetwarzaniem danych osobowych w organizacji
- procedury zarządzania systemami informatycznymi, w szczególności reguły tworzenia kopii zapasowych, nadawania uprawnień oraz definiowania wymagań dla nowych systemów
- umowy z kluczowymi dostawcami materiałów i usług, umowy powierzenia
- Politykę Bezpieczeństwa Informacji (wraz z załącznikami) i Instrukcję Zarządzania Systemem Informatycznym – służącym do przetwarzania danych osobowych zgodnej z wymogami Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
- wzór upoważnień
- ewidencja osób upoważnionych do przetwarzania danych osobowych oraz oświadczenia pracowników o zachowaniu poufności oraz o zapoznaniu się z obowiązującymi procedurami;
- formularze służące wypełnianiu przez administratora danych osobowych ustawowego obowiązku informacyjnego wobec osób, których dane dotyczą
- procedury postępowania w przypadku naruszeń bezpieczeństwa danych
- opis prawnych, fizycznych oraz organizacyjnych zabezpieczeń danych wymaganych przepisami
- opis obszaru, w którym przetwarzane są dane osobowe
- opis struktury zbiorów danych osobowych
- opis sposobu przepływu danych osobowych pomiędzy poszczególnymi systemami informatycznymi
- sprawdzenie i dostosowanie umowy z kontrahentami/partnerami
- ustalenie poziomu bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych.
- PRZEPROWADZENIE AUDYTÓW BEZPIECZEŃSTWA W POSZCZEGÓLNYCH KOMÓRKACH ORGANIZACYJNYCH.
- struktura zarządzania i odpowiedzialności związane z bezpieczeństwem informacji,
- nadzór nad firmami, mającymi wpływ na bezpieczeństwo informacji (np. podwykonawcy),
- zgłaszanie i postępowanie z incydentami naruszenia bezpieczeństwa,
- zarządzanie awaryjne (w tym aktualność i znajomość procedur awaryjnych)
- rozmieszczenie i zabezpieczenie stref bezpieczeństwa, sprawdzenia fizyczne,
- zarządzanie sprzętem teleinformatycznym,
- zarządzanie upoważnieniami i uprawnieniami,
- zgodność procedur z wymogami Ustawy o ochronie danych osobowych z 29.08. 1997 roku.
- PRZEPROWADZENIE AUDYTU INFRASTRUKTURY IT
- niezależne określenie stanu bezpieczeństwa sieci LAN.
- wykrycie naruszeń bezpieczeństwa sieci LAN.
- wskazanie możliwych rozwiązań zwiększających bezpieczeństwo sieci LAN.
- pogłębienie wiedzy z zakresu bezpieczeństwa administratorów odpowiedzialnych za LAN .
- umożliwienie trwałej i efektywnej ochrony sieci lokalnej.
- trwałe zwiększenie bezpieczeństwa IT w firmie.
- analiza topologii sieci
- weryfikacja podziału LAN na strefy sieciowe (w tym wykorzystanie firewalli oraz VLAN/PVLAN)
- poszukiwanie podatności w kilku wybranych podsieciach
- weryfikacja dostępu do Internetu z LAN
- wskazanie potencjalnych, dodatkowych metod ochrony sieci.
- testy szczelności systemów klasy firewall.
- skanowanie portów (kilka technik) – próby wykrycia usług sieciowych udostępnionych do Internetu
- określenie wykorzystanych mechanizmów uwierzytelniania stron (na podstawie przekazanych przez Klienta danych dostępowych).
- wykrycie luk zabezpieczeń
- redukcja czasu naprawy systemów, pozwalająca na lepsze wykorzystanie zasobów pracowników IT
- PRZEPROWADZENIE AUDYTU FIZYCZNEGO I ŚRODOWISKOWEGO
- weryfikacja skutecznej ochrony fizycznej i środowiskowej zasobów
- weryfikacja granic obszaru bezpiecznego
- weryfikacja zabezpieczeń wejścia/wyjścia
- weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń
- weryfikacja bezpieczeństwa okablowania strukturalnego
- weryfikacja systemów chłodzenia
- weryfikacja systemów alarmowych i przeciwpożarowych.