Ocena istniejących dokumentów polityki bezpieczeństwa i procedur kontroli zabezpieczeń.

 

Jest to usługa o charakterze głównie analitycznym; istniejąca w organizacji dokumentacja oraz obowiązujące procedury i reguły związane z polityką bezpieczeństwa są poddawane analizie i ocenie. W wyniku prac analitycznych powstaje dokumentacja  zawierająca  zalecenia określające sposoby udoskonalenia istniejącej dokumentacji polityki bezpieczeństwa oraz ulepszenia obowiązujacych procedur jej realizacji.

 

Odbiorcy usługi

wszystkie organizacje, które chcą zweryfikować własną politykę bezpieczeństwa systemu informatycznego

Zakres prac

  1. Wykonanie wstępnego audytu bezpieczeństwa
  2. Ocena dokumentacji polityki bezpieczeństwa
  3. Ocena jakości realizacji wymogów polityki bezpieczeństwa
  4. Opracowanie dokumentacji poaudytowej zawierającej sugestie modyfikacji i ulepszeń

Sugerowane dalsze prace

  1. ewentualna modyfikacja / rozszerzenie zakresu merytorycznego funkcjonującej polityki bezpieczeństwa
  2. ewentualna modyfikacja / rozbudowa infrastruktury zabezpieczeń i procedur bezpieczeństwa

Metodyka audytów bezpieczeństwa (MARION)

  • Firma Kerberos OCHRONA INFORMACJI wykonuje prace audytorskie z wykorzystaniem metodyki MARION.
  • Korzystanie z tej metodyki jest nieodpłatne (nie ma ograniczeń licencyjnych). MARION jest metodyką zalecaną przez Związek Banków Polskich do realizacji audytów bezpieczeństwa w instytucjach finansowych.
  • Metodyka MARION wykorzystywana jest przez firmę Kerberos głównie w celu oceny funkcjonującej polityki bezpieczeństwa, dokumentacji polityki bezpieczeństwa oraz dokumentacji wymaganej polskim prawem.


Pomiar obszarów ryzyka może być wykonany w oparciu o jedną (lub kilka) z istniejących metod (MARION, MELISA, CRAMM itp). Dla potrzeb audytów firma Kerberos wykorzystuje zmodyfikowany kwestionariusz opracowany dla potrzeb wielopoziomowej metodyki analizy ryzyka informatycznego MARION, opracowanej przez APSAD (Zgromadzenie Plenarne Towarzystw Ubezpieczeń Majątkowych) oraz CLUSIF (Francuski Klub Zabezpieczeń Informatycznych) . Testowanie oparte jest na ankiecie składającej się z zestawu pytań, przy czym na część pytań odpowiada audytor na podstawie przeglądu dostarczonej dokumentacji i wizji lokalnej, na część odpowiedzi uzyskiwane są w wyniku ankiety. Ankieta została przystosowana do polskich warunków i polskich regulacji prawnych.

W metodzie MARION jest stosowana skala ocen od 0 do 4.

Wynik poniżej 2 jest niedostateczny i wymaga natychmiastowej analizy oraz podjęcia działań korygujących. Celem powinno być osiągnięcie przynajmniej oceny 3.

Dokonując audytu bezpieczeństwa, jako wzorcowe przyjęto rozwiązania opisane w:

  • Technical Report ISO/TR 13569:1997(E) Banking and related financial services Information security guidelines Second edition 1997-10-01 (Raport techniczny ISO/TR 13569:1997(E) - Bankowość i związane usługi finansowe. Wskazówki dotyczące zabezpieczania informacji. Wydanie drugie 1997-10-01)
  • normie PN - I - 13335-1 - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych (Technical Report ISO/TR 13335-1-5 JTC 1/ "Information Technology" SC27 "Security Techniques" WG1 "Requirements, Security Services and Guidelines" Guidelines for the Management of IT Security) ¨
    1. Arkusz 1 - Concepts and Models for IT Security (Pojęcia i modele bezpieczeństwa systemów informatycznych)
    2. Arkusz 2: Managing and planning IT Security (Zarządzanie i planowanie bezpieczeństwa systemów informatycznych)
    3. Arkusz 3: Techniques for the management of IT Security (Techniki zarządzania bezpieczeństwem systemów informatycznych)
    4. Arkusz 4: Selection of safeguards (Wybór zabezpieczeń)

Arkusz 5: Safeguards for external connections* (Zabezpieczenia połączeń zewnętrznych).