Audit bezpečnosti a integrity verejných elektronických komunikačných sietí alebo služieb
- Podrobnosti
Ponúkame vypracovanie auditu bezpečnosti a integrity verejných elektronických komunikačných sietí alebo služieb
Podľa opatrenia Úradu pre reguláciu elektronických komunikácií a poštových služieb č. O-30/2012 a zákona č. 351/2011 elektronických komunikáciách.
Prečo audit bezpečnosti?
Povinnosť organizácie uskutočňovať audity bezpečnosti a integrity sietí a služieb určuje zákon č.351/2011 Z. z. o elektronických komunikáciách a opatrenie č. O-30/2012 úradu.
Plán a rozsah auditu a správa o audite
Cieľ auditu
Cieľom auditu je overovanie zhody s požiadavkami na bezpečnosť a integritu verejných sietí a služieb podľa opatrenia Úradu pre reguláciu elektronických komunikácií a poštových služieb Slovenskej republiky z 18. mája 2012, č. O-30/2012.
Predmet auditu
Predmetom sú služby, produkty alebo ich časti (napr. mobilný hlas/dáta, fixný hlas/dáta, VoIP, ISP, iné služby) a ak to nie zrejmé, vzhľadom na komplexnosť predmetu auditu, sú vyhradené časti, alebo komponenty, ktoré nie sú auditované.
Rozsah auditu
Bezpečnostné oblasti podľa opatrenia O-30/2012, §2 a metodických pokynov Úradu pre reguláciu elektronických komunikácií a poštových služieb:
- riadenie bezpečnosti a manažment rizík,
- personálna bezpečnosť,
- bezpečnosť systémov a zariadení,
- riadenie prevádzky,
- manažment bezpečnostných incidentov,
- riadenie dostupnosti sietí a služieb podniku,
- monitorovanie, testovanie bezpečnosti a bezpečnostné audity.
Spôsob vykonania auditu
Metóda interview, pozorovanie, revízia dokumentácie, walk-through testy (praktické overenie účinnosti opatrení ich vykonaním).
Správa o audite
Popisuje cieľ auditu, predmet, rozsah, spôsob vykonania a konečné zistenia:
- sumárny prehľad preskúmaných oblastí podľa uvedeného rozsahu,
- počet zistení na každú skúmanú oblasť,
- stručný opis všetkých zistení o nesúlade s požadovanými opatreniami,
- nesúlad uvedený v troch úrovniach (od najvyššej po najnižšiu, teda vážnejšie veci skôr): 3. systémová nezhoda, 2. nezhoda, 1.odporúčanie,
- každé zistenie s návrhom možností a termínu jeho vyriešenia,
- prehlásenie auditovaného subjektu,
- osvedčenie o vykonaní bezpečnostného auditu týkajúce sa bezpečnosti sietí a služieb podniku.
Periodicita auditov
Audit overujúci zhodu s bezpečnostnými požiadavkami vo všetkých oblastiach sa má vykonať raz za rok.
Kto môže spracovať audit?
Požiadavky na audítorov
Kompetencia (odborná spôsobilosť): dôkazom sú medzinárodne akceptované certifikáty (Certified ISO/IEC 27001 Lead auditor ďalšie.).
Audítor musí mať viacročné skúsenosti v danej oblasti informačných a telekomunikačných systémov, čo sa preukazuje autorizovanými referenciami.
Nezávislosť: auditor musí byť nezávislý od auditovaného subjektu do takej miery, že pri auditoch nesmie dochádzať ku konfliktu záujmov.
Zoznam audítorov je zverejnený na stránke Úradu pre reguláciu elektronických komunikácií a poštových služieb.
Zaslať žiadosť o cenovú ponuku
Prečo my?
Naša spoločnosť aktívne pracuje v obore informačných technológií
Skúsenosti, znalosti a aktívna činnosť v oblasti informačných technológií nám umožňujú kvalifikovane vypracovať bezpečnostnú analýzu a projekt IT systémov.
Súlad výstupov s vnútropodnikovými smernicami a procesmi
Preskúmanie existujúcej dokumentácie (anglický jazyk) a prispôsobenie našich výstupov existujúcim smerniciam a zavedeným procesom.
Konzultačná činnosť v prípade kontroly zo strany Úradu na ochranu osobných údajov
Máme skúsenosti s konzultačnou činnosťou v prípade kontrolnej činnosti.
Legislatívne zmeny
Ochranná lehota 6 mesiacov v prípade legislatívnych zmien (na zmeny upozorňujeme listom).
Stabilita spoločnosti
Kontinuita činnosti: naša spoločnosť pracuje v obore už viacej ako 14 rokov.
Za kvalifikované vypracovanie bezpečnostného projektu je zodpovedný
Ing. Daniel Bednárik, vzdelanie: UTB Zlín, Fakulta Aplikované Informatiky, odbor: Inženýrska informatika, Bezpečnostní technologie.
Medzinárodne akceptovaný a akreditovaný certifikát CISM organizácie ISACA
Certifikát CISM (Certified Information Security Manager) je určený pre skúsených manažérov informačnej bezpečnosti a je navrhnutý tak, aby poskytoval výkonnému manažmentu istotu, že jeho držitelia majú požadované znalosti a schopnosti na vykonávanie efektívneho manažmentu bezpečnosti.
Zoznam držiteľov certifikátov Isaca Slovensko (www odkaz).
Certifikát medzinárodne akreditovaného školenia IRCA, ISO 27001
Ing. Daniel Bednárik úspešne absolvoval medzinárodne akreditované školenie pre ISO 27001 pre externý audítor/hlavný audítor. Akreditáciu zastrešuje IRCA (Medzinárodný register certifikovaných audítorov). Číslo certifikátu IRCA: 27416.
Kvalifikovaný nezávislý audítor
Úrad pre reguláciu elektronických komunikácií a poštových služieb Slovenskej republiky vydal všeobecné usmernenie k auditom informačnej bezpečnosti v ktorom definoval požiadavky na audítorov (na ich odbornú spôsobilosť). Naša spoločnosť CBsoft, s.r.o. je zverejnená v zozname kvalifikovaných nezávislých audítorov na vykonanie bezpečnostného auditu u podniku poskytujúcemu verejné elektronické komunikačné služby. Zoznam je zverejnený na internetovej stránke úradu.
Poistenie zodpovednosti za škodu
Poistenie zodpovednosti za škodu spôsobenú pri poskytovaní služieb v oblasti bezpečnosti informačných technológií v rozsahu plnenia: 100 000 EUR, (Colonnade Insurance S.A.).