ESET Services - specialista na informační bezpečnost

Proč řídit informační bezpečnost?

• Vytváření bezpečného prostředí
• Efektivní kontrola
• Optimalizace nákladů
• Budování bezpečnostního povědomí
• Soulad s legislativními a normativními požadavky

Řízení informační bezpečnosti od ESET Services

Řízení informační bezpečnosti považujeme za důležitou součást strategického plánu každé společnosti. Tato služba sladí úroveň informační bezpečnosti ve vaší organizaci s vašimi aktivitami, s legislativními požadavky a očekáváními trhu.

Zavádění informační bezpečnosti předchází komplexní příprava a obeznámení se se situací u klienta. Našim cílem je navrhnout vnitřní předpisy a procesy řízení, které co nejvíc eliminují rizika spojená s činností organizace.

ISO 27001

ISO/IEC 27001 je mezinárodně uznávaný standard, který definuje informační bezpečnost pro každý typ organizace. Je založený na řízení rizik a cílem je zlepšování stavu informační bezpečnosti.

Nabízené služby

• Analýza požadavků
• Návrh procesů
• Analýza rizik
• Vypracování vnitřních předpisů
• Příprava na certifikaci dle normy ISO:IEC 27001
• Konzultační podpora při návrhu a implementaci opatření
• Školení pro zaměstnance

Ke stažení

Systém řízení informační bezpečnosti (PDF produktový list, 192 kB)

Proč outsourcovat roli bezpečnostního managera?

• Efektivní pokrytí chybějící odbornosti
• Oddělení rolí a zodpovědností
• Eliminace rizik spojených s fluktuací zaměstnanců na klíčových pozicích
• Flexibilní čerpání služeb

Outsourcing bezpečnostního managera

Díky silnému zázemí renomované bezpečnostní firmy vám můžeme poskytnout službu outsourcingu bezpečnostního managera, díky které ušetříte cenné prostředky a pokryjete vaše specifické bezpečnostní požadavky.

Manager informační bezpečnosti z ESET Services bude s vámi spolupracovat na třech úrovních:

Příprava

• Vytváření bezpečnostní strategie a předpisů
• Navrhování opatření na základě vyhodnocených rizik
• Příprava a organizace projektů

Zavádění informační bezpečnosti

• Implementace procesů
• Provoz opatření
• Podpora při řešení bezpečnostních incidentů

Poskytování zpětné vazby

• Vzdělávání a budování bezpečnostního povědomí
• Vyhodnocování stavu bezpečnosti
• Konzultace pro management a prezentace výsledků

Rozsah činností je závislý od typu, velikosti a požadavků organizace.

Nabízené služby

• Výkon řídících a kontrolních činností managera pro informační bezpečnost
• Konzultační podpora pro managera informační bezpečnosti

Ke stažení

Případová studie UNIQA pojišťovna, a.s. (PDF, 479 kB)

Proč vykonávat analýzu rizik?

• Preventivní ochrana produktů a služeb
• Identifikace potřeb v oblasti informační bezpečnosti
• Systematické pokrývání rizik
• Optimalizace nákladů

Analýza rizik od ESET Services

Předcházejte potenciálním hrozbám co nejefektivněji. Důkladnou analýzou rizik budete umět posoudit jednotlivé hrozby a přijmout vhodná opatření.

Zhodnoťte svoje priority co nejefektivněji a definujte, jakým způsobem budete řešit rizika v oblasti informační bezpečnosti. Proces analýzy rizik se sestává ze dvou fází:

• Identifikace a klasifikace aktiv a přiřazení požadavků na jejich zabezpečení.
• Identifikace zranitelností a hrozeb a vytvoření výstupních dokumentů.
• Katalog aktiv
• Seznam rizik
• Návrh nápravných opatření

Metodika

ESET používá na analýzu rizik převážně kvalitativní metody, které se zaměřují na důkladné pochopení zkoumaných oblastí a parametrické vyhodnocování dopadů. ESET má vypracovanou vlastní metodiku, která vychází ze standardu ISO 27005.

Nabízené služby

• Vykonání analýzy rizik
• Revize analýzy rizik

Ke stažení

Analýza rizik (PDF produktový list, 115 kB)

Proč řídit kontinuitu činností?

• Ochrana podnikatelských aktivit
• Příprava na krizové scénáře
• Eliminace negativních dopadů
• Plnění legislativních a normativních požadavků

Podstata BCM

Cílem řízení kontinuity činností (BCM) je systematická příprava organizace na zvládání krizových situací a zabezpečení funkčnosti a dostupnost životně důležitých funkcí tak, aby si organizace mohla plnit svoje závazky vůči zákazníkům, partnerům a dodavatelům. BCM je běžným požadavkem v regulovaných odvětvích, jako je například finanční sektor nebo kritická infrastruktura státu a zároveň je součástí různých standardů z oblasti řízení, provozu, kontroly a bezpečnosti IT (COBIT, ITIL, ISO 27001).

BCM je kontinuální řídící proces, který se sestává z následujících činností:

1. identifikace potenciálních incidentů, havárií, poruch a hrozeb
2. určení materiálních i nemateriálních škod,
3. přípravě a testovaní plánů na minimalizaci dopadu,
4. obnovení funkcí a návratu do původního stavu,
5. vyškolení zaměstnanců.

Metodika

ESET na zavádění systému BCM používá vlastní metodiku, která vychází ze standardů BS25999-1 a ISO 22301.

Nabízené služby

• Vypracování analýzy dopadu
• Vypracování BCM politiky
• Vypracování BCM plánu
• Revize BCM plánu

Ke stažení

BCM (PDF produktový list, 117 kB)

Proč vytvářet vnitřní předpisy?

• Standardizace procesů
• Zavádění řízení a efektivní kontroly
• Plnění legislativních požadavků

Vnitřní předpisy

Pomůžeme Vám vypracovat vnitřní předpisy, které budou obsahově věcné a zároveň přehledné a srozumitelné.

V rámci řízení informační bezpečnosti je potřebné vypracovat a udržovat poměrně rozsáhlou dokumentaci, jejíž podstatnou součástí jsou politiky, směrnice a pracovní postupy. Vypracování těchto dokumentů si vyžaduje zkušenosti, znalost standardů a technologií a odbornou způsobilost.

Politika je vrcholový dokument, který obsahuje principy, strategické cíle a rozhodovací pravomoci, např.:

• Bezpečnostní politika
• BCM politika

Směrnice obsahuje zásady, pokyny a standardy důležité pro výkon různých činností, např.:

• Směrnice o informační bezpečnosti pro zaměstnance
• Směrnice o řízení přístupu
• Směrnice o klasifikaci dat

Pracovní postup podrobně opisuje situaci a postupnost kroků, které se mají vykonat, např.:

• Pracovní postup na řešení incidentů
• Pracovní postup na ošetřování rizik
• Pracovní postup pro nakládání se záznamy

Nabízené služby

• Vytvoření nových předpisů
• Revize existujících předpisů

Proč vykonávat bezpečnostní školení?

• Ochrana informačních aktiv
• Snížení počtu incidentů
• Minimalizace ztrát
• Budování bezpečnostního povědomí
• Zvyšování efektivity opatření

Školení ESET Services

Odevzdáme Vám naše zkušenosti a připravíme pro Vás na míru šité školení v oblasti informační bezpečnosti. Cílem školení je vzdělávat a obeznamovat Vaše zaměstnance s bezpečnostními riziky, vnitřními předpisy a dobrou praxí při používání IT prostředků a nakládáním s informacemi.

Náplň a rozsah školení stanovujeme na základě konkrétních potřeb a požadavků zákazníka. Předmětem školení můžou být následující oblasti:

• Vnitřní předpisy
• Fyzická bezpečnost
• Ochrana IT prostředků (počítače, telefony, ...)
• Používání hesel
• Bezdrátové sítě
• Přenosná média
• Internetové služby (e-mail, web, sociální sítě, ...)
• Škodlivý kód a jeho šíření
• Zvládání bezpečnostních incidentů
• Nakládání s citlivými informacemi
• Autorská práva a IT
• Ochrana osobních údajů

Nabízené služby

• Návrh a příprava vzdělávacího programu
• Příprava a realizace školení

Proč vykonávat interní bezpečnostní audit?

• Zjištění aktuálního stavu bezpečnosti
• Kontrola kvality a efektivity zavedených opatření
• Získání vstupů pro efektivní rozhodování
• Plnění legislativních a normativních požadavků

Služby nezávislého auditora

Nabízíme Vám služby nezávislého, zkušeného a odborně způsobilého auditora. Cílem auditu je posouzení stavu informační bezpečnosti, odhalení nedostatků, zhodnocení účinnosti implementovaných opatření a návrh zlepšení na zvýšení úrovně zabezpečení auditovaných systémů.

Typickým interním auditem je audit vykonávaný v rámci kontrolní fáze zavedeného systému řízení informační bezpečnosti a je určený pro vrcholové vedení organizace a zaměstnanců zodpovědných za řízení informační bezpečnosti.

Bezpečnostní audit je systematický a podrobně zdokumentovaný proces získávání auditních informací, jehož výstupem je zpráva o stavu informační bezpečnosti. Rozsah, hloubka, auditní techniky a postupnost kroků závisí na charakteru a struktury auditované organizace, cílů v oblasti informační bezpečnosti, smluvních závazků a legislativních a jiných požadavků na informační bezpečnost.

Nabízené služby

• Vykonání interního auditu

Ke stažení

Bezpečnostní audit (PDF produktový list, 128 kB)

Proč vykonávat audit podle normy ISO/IEC 27002?

• Zjištění aktuálního stavu informační bezpečnosti
• Kontrola kvality a efektivity zavedených opatření
• Získaní vstupů pro efektivní rozhodování

Služby nezávislého auditora

Nabízíme Vám služby nezávislého, zkušeného a odborně způsobilého auditora. Cílem auditu je posouzení stavu informační bezpečnosti, odhalení nedostatků, zhodnocení účinnosti implementovaných opatření a návrh zlepšení na zvýšení úrovně zabezpečení auditovaných systémů.

Audit podle normy ISO 27002 je posouzení souladu používaných řídících procesů v oblasti informační bezpečnosti a zavedených bezpečnostních opatření vůči dobrým praktikám a doporučením uvedených v normě ISO 27002. Výstupem auditu je zpráva, která obsahuje podrobný popis všech zjištění a návrh nápravných opatření na odstranění zjištění směřujících k plnění požadavků normy ISO 27002.

ISO 27002

Je norma, která obsahuje soubor doporučení a dobrých praktik v oblasti informační bezpečnosti. Je zaměřená na řešení otázek dostupnosti, důvěrnosti a integrity informačních aktiv.

Nabízené služby

• Vykonání auditu podle normy ISO 27002

Ke stažení

Bezpečnostní audit (PDF produktový list, 128 kB)

Proč vykonávat rychlý audit?

• Zhodnocení stavu informační bezpečnosti
• Zjištění nedostatků
• Získaní vstupů pro efektivní rozhodování

Na co se zaměřuje rychlý audit?

Rychlý audit je vysokoúrovňové zhodnocení stavu informační bezpečnosti, zavedených praktik a implementovaných bezpečnostních opatření. Zaměřuje se na zjištění stavu ochrany před nejfrekventovanějšími hrozbami.

Rychlý audit se zaměřuje na následující oblasti:

• fyzická bezpečnost
• architektura a infrastruktura informačních systémů
• provoz informačních systémů
• řízení přístupů
• ochrana před škodlivým kódem
• nevyžádaná pošta
• havarijní plánování
• bezpečnostní povědomí a vzdělávací proces
• zranitelnost veřejně dostupných služeb

Výstupem auditu je auditní zpráva, která obsahuje popis a zhodnocení celkového stavu informační bezpečnosti, seznam zjištění, posouzení závažnosti, a návrh na řešení nejkritičtějších zjištění.

Nabízené služby

• Rychlý audit

Ke stažení

Rychlý audit (PDF produktový list, 114 kB)

Proč vykonávat testy praktikami sociálního inženýrství?

• Zjištění úrovně bezpečnostního povědomí
• Zjištění znalostí vnitřních předpisů
• Prověřování efektivity vzdělávacího programu
• Prověření odolnosti zaměstnanců vůči praktikám sociálního inženýrství

K čemu jsou penetrační testy?

Pravidelné vykonávání penetračních testů praktikami sociálního inženýrství je nejúčinnější způsob prověření bezpečnostního povědomí zaměstnanců, znalosti interních předpisů a jejich dodržování v každodenní práci.

Penetrační testování praktikami sociálního inženýrství je pokusem o řízenou kompromitaci informačních aktiv testované organizace pomocí komunikačních zručností, technických prostředků a dostupných komunikačních kanálů.

Chování zaměstnanců a jejich nakládání s informacemi může být testované v různých oblastech, například:

• e-mailová komunikace
• telefonická komunikace
• faxová komunikace
• nakládání s přenosnými médii
• fyzický vstup do prostor
• dodržování pravidel skartace a likvidace informací

Výstupem testu je zpráva o výsledcích a průběhu testování. Součástí zprávy je i návrh nápravných opatření ve formě doporučení, zaměřených na odstranění zjištěných nedostatků.

Nabízené služby

• Realizace testů praktikami sociálního inženýrství

Ke stažení

Penetrační testy praktikami sociálního inženýrství (PDF produktový list, 447 kB)

Proč vykonávat penetrační testy?

• Prevence před bezpečnostními incidenty
• Včasná identifikace bezpečnostních chyb v systémech
• Sledování vývoje stavu bezpečnosti
• Optimalizace nákladů na implementaci bezpečnostních opatření

Co je to penetrační test?

Nabízíme Vám služby zaměřené na včasné odhalování chyb a zranitelností v informačních systémech, jejichž cílem je testování odolnosti informačních systémů a účinnosti aplikovaných opatření vůči potenciálním útokům.

Penetrační test je specifický technický audit, který simuluje pohled útočníka na aktiva společnosti. Na testování používáme pouze nedestruktivní techniky. Testování probíhá ve dvou fázích. První fáze je zaměřená na odhalení zranitelností testovaných systémů. V druhé se snažíme využít zjištěné zranitelnosti na řízenou kompromitaci, abychom posoudili jejich závažnost. Závažnost zjištění určuje technická náročnost vykonání útoku a cíl, který konkrétním útokem dosáhneme (přístup k citlivým údajům, zablokování služby,…). Výstupem je zpráva, která obsahuje metodiku testování, postupnost kroků, podrobný popis všech zjištění a návrh opatření na jejich odstranění.

Typy testů:

• Otevřený test – test se znalostí a přístupem do testovaného systému.
• Slepý test – test bez znalostí a přístupu do testovaného systému.
• Dvojitý slepý test – test bez znalostí a přístupu do testovaného systému a bez vyrozumění provozu testovacího systému o jeho vykonaní.

Nabízené služby

• Externí penetrační test
• Interní penetrační test
• Systémový audit