ESET Services - specialista na informační bezpečnost

Proč řídit informační bezpečnost?

• Vytváření bezpečného prostředí
• Efektivní kontrola
• Optimalizace nákladů
• Budování bezpečnostního povědomí
• Soulad s legislativními a normativními požadavky

Řízení informační bezpečnosti od ESET Services

Řízení informační bezpečnosti považujeme za důležitou součást strategického plánu každé společnosti. Tato služba sladí úroveň informační bezpečnosti ve vaší organizaci s vašimi aktivitami, s legislativními požadavky a očekáváními trhu.

Zavádění informační bezpečnosti předchází komplexní příprava a obeznámení se se situací u klienta. Našim cílem je navrhnout vnitřní předpisy a procesy řízení, které co nejvíc eliminují rizika spojená s činností organizace.

ISO 27001

ISO/IEC 27001 je mezinárodně uznávaný standard, který definuje informační bezpečnost pro každý typ organizace. Je založený na řízení rizik a cílem je zlepšování stavu informační bezpečnosti.

Nabízené služby

• Analýza požadavků
• Návrh procesů
• Analýza rizik
• Vypracování vnitřních předpisů
• Příprava na certifikaci dle normy ISO:IEC 27001
• Konzultační podpora při návrhu a implementaci opatření
• Školení pro zaměstnance

Ke stažení

Systém řízení informační bezpečnosti (PDF produktový list, 192 kB)

Proč vykonávat analýzu rizik?

• Preventivní ochrana produktů a služeb
• Identifikace potřeb v oblasti informační bezpečnosti
• Systematické pokrývání rizik
• Optimalizace nákladů

Analýza rizik od ESET Services

Předcházejte potenciálním hrozbám co nejefektivněji. Důkladnou analýzou rizik budete umět posoudit jednotlivé hrozby a přijmout vhodná opatření.

Zhodnoťte svoje priority co nejefektivněji a definujte, jakým způsobem budete řešit rizika v oblasti informační bezpečnosti. Proces analýzy rizik se sestává ze dvou fází:

• Identifikace a klasifikace aktiv a přiřazení požadavků na jejich zabezpečení.
• Identifikace zranitelností a hrozeb a vytvoření výstupních dokumentů.
• Katalog aktiv
• Seznam rizik
• Návrh nápravných opatření

Metodika

ESET používá na analýzu rizik převážně kvalitativní metody, které se zaměřují na důkladné pochopení zkoumaných oblastí a parametrické vyhodnocování dopadů. ESET má vypracovanou vlastní metodiku, která vychází ze standardu ISO 27005.

Nabízené služby

• Vykonání analýzy rizik
• Revize analýzy rizik

Ke stažení

Analýza rizik (PDF produktový list, 115 kB)

Proč vytvářet vnitřní předpisy?

• Standardizace procesů
• Zavádění řízení a efektivní kontroly
• Plnění legislativních požadavků

Vnitřní předpisy

Pomůžeme Vám vypracovat vnitřní předpisy, které budou obsahově věcné a zároveň přehledné a srozumitelné.

V rámci řízení informační bezpečnosti je potřebné vypracovat a udržovat poměrně rozsáhlou dokumentaci, jejíž podstatnou součástí jsou politiky, směrnice a pracovní postupy. Vypracování těchto dokumentů si vyžaduje zkušenosti, znalost standardů a technologií a odbornou způsobilost.

Politika je vrcholový dokument, který obsahuje principy, strategické cíle a rozhodovací pravomoci, např.:

• Bezpečnostní politika
• BCM politika

Směrnice obsahuje zásady, pokyny a standardy důležité pro výkon různých činností, např.:

• Směrnice o informační bezpečnosti pro zaměstnance
• Směrnice o řízení přístupu
• Směrnice o klasifikaci dat

Pracovní postup podrobně opisuje situaci a postupnost kroků, které se mají vykonat, např.:

• Pracovní postup na řešení incidentů
• Pracovní postup na ošetřování rizik
• Pracovní postup pro nakládání se záznamy

Nabízené služby

• Vytvoření nových předpisů
• Revize existujících předpisů

Proč vykonávat interní bezpečnostní audit?

• Zjištění aktuálního stavu bezpečnosti
• Kontrola kvality a efektivity zavedených opatření
• Získání vstupů pro efektivní rozhodování
• Plnění legislativních a normativních požadavků

Služby nezávislého auditora

Nabízíme Vám služby nezávislého, zkušeného a odborně způsobilého auditora. Cílem auditu je posouzení stavu informační bezpečnosti, odhalení nedostatků, zhodnocení účinnosti implementovaných opatření a návrh zlepšení na zvýšení úrovně zabezpečení auditovaných systémů.

Typickým interním auditem je audit vykonávaný v rámci kontrolní fáze zavedeného systému řízení informační bezpečnosti a je určený pro vrcholové vedení organizace a zaměstnanců zodpovědných za řízení informační bezpečnosti.

Bezpečnostní audit je systematický a podrobně zdokumentovaný proces získávání auditních informací, jehož výstupem je zpráva o stavu informační bezpečnosti. Rozsah, hloubka, auditní techniky a postupnost kroků závisí na charakteru a struktury auditované organizace, cílů v oblasti informační bezpečnosti, smluvních závazků a legislativních a jiných požadavků na informační bezpečnost.

Nabízené služby

• Vykonání interního auditu

Ke stažení

Bezpečnostní audit (PDF produktový list, 128 kB)

Proč vykonávat rychlý audit?

• Zhodnocení stavu informační bezpečnosti
• Zjištění nedostatků
• Získaní vstupů pro efektivní rozhodování

Na co se zaměřuje rychlý audit?

Rychlý audit je vysokoúrovňové zhodnocení stavu informační bezpečnosti, zavedených praktik a implementovaných bezpečnostních opatření. Zaměřuje se na zjištění stavu ochrany před nejfrekventovanějšími hrozbami.

Rychlý audit se zaměřuje na následující oblasti:

• fyzická bezpečnost
• architektura a infrastruktura informačních systémů
• provoz informačních systémů
• řízení přístupů
• ochrana před škodlivým kódem
• nevyžádaná pošta
• havarijní plánování
• bezpečnostní povědomí a vzdělávací proces
• zranitelnost veřejně dostupných služeb

Výstupem auditu je auditní zpráva, která obsahuje popis a zhodnocení celkového stavu informační bezpečnosti, seznam zjištění, posouzení závažnosti, a návrh na řešení nejkritičtějších zjištění.

Nabízené služby

• Rychlý audit

Ke stažení

Rychlý audit (PDF produktový list, 114 kB)

Proč vykonávat penetrační testy?

• Prevence před bezpečnostními incidenty
• Včasná identifikace bezpečnostních chyb v systémech
• Sledování vývoje stavu bezpečnosti
• Optimalizace nákladů na implementaci bezpečnostních opatření

Co je to penetrační test?

Nabízíme Vám služby zaměřené na včasné odhalování chyb a zranitelností v informačních systémech, jejichž cílem je testování odolnosti informačních systémů a účinnosti aplikovaných opatření vůči potenciálním útokům.

Penetrační test je specifický technický audit, který simuluje pohled útočníka na aktiva společnosti. Na testování používáme pouze nedestruktivní techniky. Testování probíhá ve dvou fázích. První fáze je zaměřená na odhalení zranitelností testovaných systémů. V druhé se snažíme využít zjištěné zranitelnosti na řízenou kompromitaci, abychom posoudili jejich závažnost. Závažnost zjištění určuje technická náročnost vykonání útoku a cíl, který konkrétním útokem dosáhneme (přístup k citlivým údajům, zablokování služby,…). Výstupem je zpráva, která obsahuje metodiku testování, postupnost kroků, podrobný popis všech zjištění a návrh opatření na jejich odstranění.

Typy testů:

• Otevřený test – test se znalostí a přístupem do testovaného systému.
• Slepý test – test bez znalostí a přístupu do testovaného systému.
• Dvojitý slepý test – test bez znalostí a přístupu do testovaného systému a bez vyrozumění provozu testovacího systému o jeho vykonaní.

Nabízené služby

• Externí penetrační test
• Interní penetrační test
• Systémový audit