Bezpečnostný audit v zmysle zákona č. 275/2006 Z.z. o informačných systémoch verejnej správy a výnosu MF č. 55/2014
- Podrobnosti
Ponúkame vypracovanie bezpečnostného auditu v zmysle zákona č. 275/2006 Z.z. o informačných systémoch verejnej správy a opatrenia MF č. 55/2014 Z.z.
Predmetom bezpečnostného auditu je overiť stav bezpečnosti informačného systému verejnej správy a systému riadenia ochrany informácií.
Prečo bezpečnostný audit?
Povinnosť raz ročne spracovať audit informačnej bezpečnosti určuje zákon č. 275/2006 Z.z. o informačných systémoch verejnej správy a výnosu Ministerstva financií o štandardoch pre informačné systémy verejnej správy MF č. 55/2014.
Rozsah bezpečnostného auditu, preverované oblasti v zmysle výnosu Ministerstva financií (výnos MF č. 55/2014):
- § 29 Riadenie informačnej bezpečnosti,
- § 30 Personálna bezpečnosť,
- § 31 Manažment rizík pre oblasť informačnej bezpečnosti,
- § 32 Kontrolný mechanizmus riadenia informačnej bezpečnosti,
- § 33 Ochrana proti škodlivému kódu,
- § 34 Sieťová bezpečnosť,
- § 35 Fyzická bezpečnosť a bezpečnosť prostredia,
- § 36 Aktualizácia softvéru,
- § 37 Monitorovanie a manažment bezpečnostných incidentov,
- § 38 Periodické hodnotenie zraniteľnosti,
- § 39 Zálohovanie,
- § 40 Fyzické ukladanie záloh,
- § 41 Riadenie prístupu,
- § 42 Aktualizácia informačno-komunikačných technológií,
- § 43 Účasť tretej strany,
- § 44 Federácia identít.
Spôsob vykonania auditu
- Metóda interview, pozorovanie, revízia dokumentácie, walk-through testy (praktické overenie účinnosti opatrení ich vykonaním).
Správa o audite
Popisuje cieľ auditu, predmet, rozsah, spôsob vykonania a konečné zistenia:
- sumárny prehľad preskúmaných oblastí podľa uvedeného rozsahu,
- počet zistení na každú skúmanú oblasť,
- stručný opis všetkých zistení o nesúlade s požadovanými opatreniami,
- nesúlad uvedený v troch úrovniach (od najvyššej po najnižšiu, teda vážnejšie veci skôr): 3. systémová nezhoda, 2. nezhoda, 1.odporúčanie,
- každé zistenie s návrhom možností a termínu jeho vyriešenia,
- prehlásenie auditovaného subjektu,
- osvedčenie o vykonaní bezpečnostného auditu týkajúce sa bezpečnosti sietí a služieb podniku.
Zaslať žiadosť o cenovú ponuku
Prečo my?
Naša spoločnosť aktívne pracuje v obore informačných technológií
Skúsenosti, znalosti a aktívna činnosť v oblasti informačných technológií nám umožňujú kvalifikovane vypracovať bezpečnostnú analýzu a projekt IT systémov.
Súlad výstupov s vnútropodnikovými smernicami a procesmi
Preskúmanie existujúcej dokumentácie (anglický jazyk) a prispôsobenie našich výstupov existujúcim smerniciam a zavedeným procesom.
Konzultačná činnosť v prípade kontroly zo strany úradu
Máme skúsenosti s konzultačnou činnosťou v prípade kontrolnej činnosti.
Legislatívne zmeny
Ochranná lehota 6 mesiacov v prípade legislatívnych zmien (na zmeny upozorňujeme listom).
Stabilita spoločnosti
Kontinuita činnosti: naša spoločnosť pracuje v obore už viacej ako 16 rokov.
Za kvalifikované vypracovanie bezpečnostného projektu je zodpovedný
Ing. Daniel Bednárik, vzdelanie: UTB Zlín, Fakulta Aplikované Informatiky, odbor: Inženýrska informatika, Bezpečnostní technologie.
Certifikát medzinárodne akreditovaného školenia IRCA, ISO 27001
Ing. Daniel Bednárik úspešne absolvoval medzinárodne akreditované školenie pre ISO 27001 pre externý audítor/hlavný audítor. Akreditáciu zastrešuje IRCA (Medzinárodný register certifikovaných audítorov). Číslo certifikátu IRCA: 27416.
Kvalifikovaný nezávislý audítor
Úrad pre reguláciu elektronických komunikácií a poštových služieb Slovenskej republiky vydal všeobecné usmernenie k auditom informačnej bezpečnosti v ktorom definoval požiadavky na audítorov (na ich odbornú spôsobilosť). Naša spoločnosť CBsoft, s.r.o. je zverejnená v zozname kvalifikovaných nezávislých audítorov na vykonanie bezpečnostného auditu u podniku poskytujúcemu verejné elektronické komunikačné služby. Zoznam je zverejnený na internetovej stránke úradu.