Přejít na hlavní obsah

27Paket-SECPAKET

Bezpečnostní testy ve Vaší organizaci

Provedení různých typů bezpečnostních testů ve vaší IT infrastruktuře. Jedná se především o penetrační testy, testování zranitelností apod. Cílem bezpečnostního testu je zjistit aktuální stav procesů a bezpečnostních opatření, ověřit jejich funkčnost a v případě odhalení nedostatku navrhnout vhodné řešení, které zjištěný nedostatek odstraní a zvýší tak celkovou úroveň Vaší bezpečnosti.

Poskytujeme následující typy bezpečnostních testů:

  • Bezpečnostní audit systému informační bezpečnosti dle OSSTM
  • Penetrační test
  • Test technických zranitelností
  • Softwarový audit
  • Bezpečnostní audit systému řízení bezpečnosti dle normy ISO 27001 nebo ZoKB

Bezpečnostní audit systému řízení bezpečnosti

Tento typ auditu je zaměřen na celou oblast ISMS, která může být prověřena jako celek nebo může být bezpečnostní audit proveden jen nad částí systému či nad vybranými aktivy. Pro tento typ testu používáme metodiku OSSTM.  Jedná se o standardizovaný test v souladu s OSSTM (Open Source Security Testing Methodology) metodologií pro provádění bezpečnostních testů. Testování se provádí v následujících oblastech:

  1. Řízení informací a dat
  2. Úroveň bezpečnostního povědomí zaměstnanců
  3. Úroveň řízení a odolnosti proti Fraudům a sociálnímu inženýrství
  4. Počítačová a telekomunikační síť
  5. Mobilní zařízení
  6. Řízení bezpečnosti fyzických přístupů
  7. Bezpečnostní procesy
  8. Fyzické lokace (budovy, perimetr atd.)              

Podporované jsou všechny běžně rozšířené operační systémy

Služba penetračního testování ISMS je zaměřena do všech oblastí organizace, tzn. že se nezaměřujeme jen na penetrační testy ICT infrastruktury, ale můžeme prověřit i ostatní části organizace. Úkolem penetračního testu je stanovit míru bezpečnosti podnikové infrastruktury, ale i objektového perimetru a odolnosti proti pokusům o nežádoucí průnik. Služba respektuje veškeré požadavky zákazníka, příslušných norem a platných zákonů.

Penetrační test IT infrastruktury je mnohem důkladnější test, než test zranitelností, který důkladně prověří Vaši IT infrastrukturu.

Testy můžeme provádět jako interní nebo externí, v režimu tzv. "White box", Gray box" nebo "Black box".

Dle typu testovaného aktiva můžeme provádět testy webových aplikací (např. dle OWASP), testy technologických systémů, SCADA, nebo testy mobilních aplikací a WIFI sítí.

Externí penetrační test IT infrastruktury.

Externí penetrační test si klade za cíl prověřit zabezpečení internetového připojení i bezpečnost všech externích služeb (WWW server, poštovní server, atd.) proti nežádoucímu průniku z vnějšku do vnitřní síťové infrastruktury. Externí penetrační test se provádí dálkovým testováním tzv. „Front Office“, přičemž se využívají metodiky a prostředky Versa Systems.

Interní penetrační test IT infrastruktury.

Interní penetrační test reálně prověří jednotlivé vnitřní bezpečnostní politiky a mechanismy v organizaci, které mají zamezit zaměstnancům v neoprávněném přístupu k citlivým firemním datům a jejich dalšímu možnému zneužití. Prověřují se zde nejen možnosti úmyslných pokusů získat důležitá data, ale i možnosti zcela náhodného přístupu k důležitým datům.

Testování zranitelností je testování potenciálních slabých míst ve Vaší IT infrastruktuře, jehož cílem je najít všechna zranitelná místa, která je možno využít k neautorizovanému průniku do sítě a zcizení dat, nebo jiné nekalé činnosti. Při pravidelném testování je možno monitorovat vývoj úrovně zabezpečení Vaší infrastruktury, kontrolovat odstranění slabých míst a včas nalézt nově vznikající slabá místa

Softwarový audit je jedním ze základních prostředků, jak zajistit legálnost používaného programového vybavení a také, jak efektivně řídit aktuálnost SW, čímž také zabraňuji vzniku zranitelností SW a případným průnikům škodlivého SW do IT infrastruktury. Zajištění legálnosti a aktuálnosti používaného SW je také jednou z nutných podmínek v ISMS dle SIO/IEC 27001 nebo zákona o kybernetické bezpečnosti.

Bezpečnostní audit systému řízení bezpečnosti dle normy ISO 27001 nebo ZoKB je závazným požadavkem při provozování systému managementu informační a kybernetické bezpečnosti. Tento druh testu prověřuje plnění požadavků normy ISO 27001, včetně přílohy A nebo zákona o kybernetické bezpečnosti č. 182/2014 Sb., včetně vyhl. č.84/2018 Sb. Výsledkem je zpráva o plnění či neplnění požadavků normy, resp. zákona.

Naši auditoři jsou pro všechny výše uvedené testy a audity mezinárodně certifikováni pro provádění těchto druhů auditů.