LOGNESS
Hazai vállalat, saját, innovatív megoldásokkal, a magyar biztonsági környezetre szabva...
LOGNESS
Mi így haladunk.
A PRAUDIT Kft. 2003 óta a magyar információbiztonsági szektor elkötelezett és innovatív szereplôje. Szolgáltatásaink fejlesztésével, portfóliónk folyamatos bôvítésével igyekszünk megfelelni Ügyfeleink egyre komplexebbé váló igényeinek. Munkánk során fôleg információbiztonsági, informatikai átvilágításokat, sebezhetôségi vizsgálatokat végzünk, alakítunk ki teljes körû szabályozó környezetet, vezetünk be üzletmenetfolytonossági és biztonságtechnikai megoldásokat. Cégünk saját termékek fejlesztésévél kínál költséghatékony, a jogszabályi követelményeknek megfelelô, komplex megoldásokat a magyar piac információbiztonság iránt elkötelezett szereplôinek. Különösen nagy tapasztalattal rendelkezünk naplógyûjtésiés -elemzési rendszerek fejlesztésében, bevezetésében és a rendszerek kiszervezés keretében történô üzemeltetésében. Szakértôink magas szintû szakmai és projekt felkészültsége Cégünknél kiemelt követelmény, ezért mindegyikünk alapelve, hogy „ha nyolc óránk van a feladat elvégzésére, hat órát élezzük baltáinkat.” (Abraham Lincoln).
PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail:
[email protected]
„Amit mástól elvárunk, annak mi is megfelelünk.” Cégünk több éve rendelkezik ISO/IEC 27001 minôsítéssel az informatikai audit szolgáltatások nyújtása során hagyományos és elektronikus adathordozókon tárolt és kezelt információ, valamint a kapcsolódó információfeldolgozó eszközök védelme területén.
A minôség és védelem magasfokú ötvözeteként, cégünk NATO projektek beszállítójaként is közremûködik a Honvédelmi Minisztérium döntése alapján. Cégünk sikeres nemzetbiztonsági ellenôrzés eredményeként megfelel a 143/2004. évi Kormányrendeletben foglalt biztonsági feltételeknek.
A fentiekkel összhangban Cégünk a vonatkozó jogszabályok, valamint a felügyeleti szervek elvárásaiban foglaltak alapján alkalmas kiszervezett informatikai szolgáltatások nyújtására pénzügyi szervezetek részére.
4
5
Szolgáltatásaink
Informatikai audit és átvilágítás, informatikai biztonsági felmérés Az informatikai rendszer biztonságos mûködtetését, a kockázatarányos kontrollkörnyezet kialakítását, és annak független szakértôvel történô auditálását a pénzügyi szervezetek, hitelintézetek, biztosítók, pénztárak, államigazgatási szervek és távközlési szolgáltatók számára ágazati törvények írják elô, melyeknek történô megfelelôséget a felügyeleti szervek rendszeresen ellenôrzik.
PRAUDIT
Informatikai audit és átvilágítás
Üzletmenetfolytonosság tervezés
Hatósági informatikai engedélyeztetés
Kiszervezett informatikai ellenôrzések
Katasztrófaelhárítás tervezése, tesztelése
Központosított naplógyûjtés és elemzés
Adatvédelem
LOGNESS
Etikus behatolás tesztelés
PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail:
[email protected]
Informatikai kockázatelemzés
Az informatikai auditálás és az informatikai biztonsági átvilágítás célja, a kockázatok teljes körû feltárása révén az informatikai rendszer sebezhetôségének csökkentése, a szervezet információs vagyonának védelme, valamint a jogszabályi követelményeknek, felügyeleti és piaci elvárásoknak való megfelelés biztosítása. Ügyfeleink között van, aki mélyre ható biztonságot kíván, van aki gyors megfelelôséget, van aki hiteles, szakértôi támogatást szeretne elképzelt projektjeihez. Erre alapozva kell elindulni, felmérni a szervezet informatikai kontrolljait, folyamatait és rendszereit, valamint azonosítani a hiányosságokból fakadó kockázatokat. Az audit eredményeit a célokat támogató, átlátható, könnyen értelmezhetô és megoldási javaslatokat is tartalmazó írásos dokumentációban kell rögzíteni, alapot képezve az azonnali intézkedések megtételéhez, intézkedési tervek elkészítéséhez.
6
7
Kiszervezett informatikai ellenôrzések, biztonsági tevékenységek Azoknak, akik Ügyfeleinkhez hasonlóan elkötelezték magukat a hatékony információbiztonság megvalósítása mellett, gondoskodniuk kell az informatikai rendszer biztonságos mûködtetését felügyelô informatikai ellenôrzô rendszer kiépítésérôl és annak folyamatos mûködtetésérôl. Kisebb szervezetnél erre sok esetben nincs humán erôforrás, nagyobb szervezetnél pedig a feladat összetettsége haladhatja meg az adott IT szervezet teljesítôképességét. A kontroll-követelmények bevezetése, gyakorlatban történô érvényesülésének biztosítása, a megfelelôség teljes körû megvalósítása és folyamatosan megfelelô szinten tartása túlságosan nagy terhet jelent a szervezetek számára. Ezen problémára kínál hatékony megoldást az informatikai ellenôrzések, informatikai tevékenységek külsô partner bevonásával történô végrehajtása. Cégünk bevonása lehetôség a hiányzó információbiztonsági szakértelem pótlására, az informatikai biztonsági felelôs törvény által rendelt feladatainak megvalósítására ott, ahol ez túl kevés vagy túl sok egy embernek. Cégünk számos pénzügyi szervezetnél évek óta sikeresen cipeli a keresztet, mely során feltárt és könyörtelenül befoltozott minden útjába került biztonsági hiányosságot.
IBF kiszervezve
IT-szabályzatok elkészítése, naprakészen tartása
Folyamatba épített ellenôrzések elvégzése
Jogszabályi megfelelôség biztosítása
Complience- és sérülékenység vizsgálatok
Kiszervezések, ellenôrzések
IT-kockázatértékelés
Általános tanácsadás
Biztonsági incidensek kivizsgálása PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail:
[email protected]
Információbiztonsági oktatások
8
9
Üzletmenet-folytonosság és informatikai katasztrófaelhárítás tervezés Ez bizony az egyik legösszetettebb feladat, itt tényleg mindenkit be kell vonni: üzleti területek, IT, menedzsment, külsô szolgáltatók. Mindent át kell vizsgálni: folyamatok, informatikai rendszerek, szerzôdések, SLA-k, stb. Ugyanakkor minden szervezet legalapvetôbb érdeke az üzletmenet folyamatos fenntartása, a folyamatos mûködésre kisebb-nagyobb mértékû kockázatot jelentô eseményekre (hosszabb idejû áramkimaradás, hacker támadás, vasutassztrájk, stb.) való felkészülés. A feladat nem válaszható el az informatikai kockázatelemzéstôl, amelybôl sok, gyakorlatban használthatót nem könnyen talál a lelkes auditor a magyar piacon. Az évek során saját gyakorlatunkból megtanultuk, hogy a megfelelô szabályokat, folyamatokat, elemzéseket és terveket kizárólag alulról építkezve lehet felépíteni, koncepcionálisan szemlélve az elôttünk álló feladatokat. A tervezés hatékony megvalósítása érdekében saját módszertant alakítottunk ki, mely biztosítja a felmérések egységes és hangsúlyozottan átlátható megvalósítását.
ÜZLETMENETFOLYTONOSSÁG Üzleti folyamatok és azok függôségeinek felmérése Folyamatok kiesési hatásainak elemzése Folyamatok osztályozása Folyamatok fenyegetettségeinek elemzése Felvállalt és kezelendô kockázatok azonosítása Védelmi intézkedések tervezése Maradványkockázatok tervezése és azonosítása Üzletmenet-folytonossági tervek elkészítése Üzletmenet-folytonosság Ü zle etmenet follyton nossság g tervek ter rve ek ttesztelése eszt zte elé ése
PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail:
[email protected]
INFORMATIKAI KATASZTRÓFA-ELHÁRÍTÁS Informatikai alkalmazáseszköz mátrix elkészítése Kritikus informatikai erôforrások azonosítása Fenyegetettségek elemzése Felvállalt és kezelendô kockázatok azonosítása Védelmi intézkedések tervezése Maradványkockázatok tervezése és azonosítása Katasztrófa-elhárítási tervek elkészítése Katasztrófa-elhárítási tervek tesztelése
10
11
Webes, általános külsô és belsô sebezhetôségi tesztelés
Hatósági informatikai engedélyeztetés, vizsgálati felkészítés
A webalkalmazás biztonság napjaink egyik legnagyobb kihívása. Ahogy a világ egyre nagyobb része kapcsolódik szorosan egymásba mind nagyobb sávszélességgel, ez a kihívás úgy válik inkább kritikusabbá. Azok a szervezetek, akik tûzfalakba, behatolás érzékelô rendszerekbe (IDS) és egyéb biztonsági termékekbe ruháznak be, úgy érzékelik, hogy még mindig sebezhetôek a webalkalmazásokra irányuló támadásokkal szemben. Ugyanakkor sok esetben a támadás nem is kívülrôl ér minket, vagy nem áll meg a kapuknál, hanem belsô infrastruktúránk és hálózatunk gyengeségeit kihasználva veszítünk ellene ott, ahol legjobban fáj... saját kapuinkon belül.
A hatósági informatikai engedély megszerzésénél kiemelkedôen nagy hangsúly esik az adott szervezet informatikai rendszerének felkészültségére, fejlôdési irányára. A jogszabályi rendelkezéseknek történô megfelelôséget a felügyeleti szervek minden esetben mélyre hatóan értékelik. A jogszabályi elôírásoknak nem megfelelôen mûködô informatikai rendszerrel a minôsítés megszerzése, valamint a mûködés fenntartása elképzelhetetlen. A felkészítés során elvégezzük Ügyfeleink informatikai rendszerének átvilágítását, az informatikai rendszer hiányosságainak és az ezekbôl fakadó biztonsági kockázatok teljes körû feltárását. A hiányosságok javaslataink alapján történô kijavításával egyidôben meghatározzuk a szervezet ekvivalens mûködéséhez szükséges kockázatarányos kontrollkörnyezetet, valamint az informatikai engedélyeztetéshez szükséges módosítások, fejlesztések és beszerzések pontos körét, tekintettel a szervezet erôforrásaira.
Szakembereink szimulált támadások végrehajtásával azért dolgoznak, hogy feltárják a számítógépes rendszer vagy hálózat biztonságának hiányosságait. A webalkalmazás tesztekhez az OWASP (Open Web Application Security Project) javaslatait, mint módszertant alkalmazzuk. A belsô penetrációs tesztelés egy hálózat belsô, internet felôl nem elérhetô, elzárt részét veszi tesztelés alá. A tesztelés a hálózaton lévô gépek, munkaállomások, szerverek és más egyéb eszközök identitásának felderítésével kezdôdik, majd különféle felderítô módszerekkel folytatódik. A tesztelés célja olyan sebezhetôségek találása, amikkor nem engedélyezett, jogosultságot igénylô folyamatokat indíthatunk el, illetve privilégium szint emelést tudunk elôidézni. Domain l r rolle ntro Cont t) udiitt) ud Au R-A (PR-
-Audiitt Kftt. dszer – PR n e re t z s e t A Pen
Internet eszt enTTe er Pe A penteszt gozik go d lg do szerveren
Policcy
al vollii asztal Távo D)) (RPD
r inal Term ess ((RDP) rviicce Serv
SSH ay Gateway t) (PR-Audit)
SSH Gateway egrendelô el (m dal) S H Tunn SS ol
PenTeszt szerver ô (megrendel oldal)
ns en SSH klie Pen Teszztter ienst a SSH kl te ak az csak -pas yk miiatt p py c lic co po ég a m ra árra ásá ás erveren lá Az RDP sz ni. Adatok kimássol íta hett elind . lehe ég ôs et he leh rnccss le ersin n si en intte eszt Szer szin lag a PenT eettt, kizáró a le portján ke va i tv ít ly sí o os he ód el m n ns tun SH kliens nii az SSH Az SS ódn t kapccssolód verhez lehe resztül.
PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail:
[email protected]
SSH privát kulcs
PR-Audit
us SSH publik kulcs
ô
Megrendel
elô A megrend INTRANET-je
4
Központosított naplóelemzés a magyar piaci igényekre szabva
5
Központosított naplógyûjtési és értékelési rendszerek kialakítása
bbszörösen PSZÁF által tö ldás! auditált mego
A PRAUDIT a piacon egyedülálló módon a naplógyûjtés és naplóértékelés teljes körû, koncepcionális megvalósítását kínálja.
„Az ajánlatkérô célja a log gyûjtô és log elemzô szoftver bevezetésével megvalósítani alkalmazások és rendszerek naplóinak egységes gyûjtését, elemezhetôségét elsôsorban biztonsági szempontból, az alábbiak szerint:
Szolgáltatásaink nem csupán a vonatkozó jogszabályok egyes rendelkezéseinek való megfelelést szolgálják, hanem Ügyfeleink és a piac elvárásainak megfelelve lefedik a naplógyûjtés és értékelés koncepcionális meghatározását, a szabályozó környezet, a hiteles naplógyûjtési és tárolási rendszer kialakítását, valamint az érdemi értékelés megvalósítását. Az érdemi értékelés kialakítása során kiemelt célkitûzésünk a riportok, elemzések és riasztások eredményeinek integrálása Ügyfeleink kontrollfolyamatai közé.
• naplóállományok hiteles gyûjtése, tárolása, • a rendszerek adataihoz való hozzáférések, tevékenységek visszakereshetôségének biztosítása, • az adatok illetéktelenekhez való jutásának felderíthetôsége,
Segítséget nyújtunk:
• riasztások biztosítása, biztonsági incidensek azonnali feltárása, • biztonsági vizsgálatok hatékony támogatása,
• törvényi megfelelôség biztosítása.”
PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail:
[email protected]
• a kritikus események és kritikussági szintek meghatározásához, • a korelációs szabályok, sablonok és riasztások kialakításához,
• elôre definiált törvényi megfelelôséget (Hpt., ISO 27001, SOX) biztosító naplóelemzési riportok elkészítéséhez, • naplóelemzés kontrollkörnyezetbe illesztéséhez.
Cégünk által, a magyar piaci igények maximális figyelembe vételével fejlesztett LOGNESS naplóértékelô keretrendszer könnyen implementálható, költséghatékony megoldást kínál a fenti ajánlatkérô által szinte tökéletesen meghatározott, érdemi naplóértékelést célul kitûzô szervezetek számára. A követelményeknek megfelelô LOGNESS keretrendszer koncepcionális bevezetése, a naplóértékelés tudatos és célzott használata nagymértékben járul hozzá a szervezet információbiztonságának növeléséhez.
• a naplózandó események és szükséges audit beállítások tételes definiálásához,
• a naplóelemzési riportstruktúra felépítéséhez,
Vis z
• adminisztrációs kötelezettségek nyomon követhetôsége, a hiányosságok, anomáliák gyors feltárása.
o
• riportok generálása a naplóállományok alapján, • információvédelmi incidensek biztonsági vizsgálatának gyorsítása
s kell vezetn i e i b ! t n
• a naplózásba bevont rendszerek meghatározásához,
LOGNESS
www.praudit.hu © 2010 Ezen információs anyag tartalma a PR-AUDIT Kft. szellemi terméke. Másolása, sokszorosítása vagy elektronikus médiákba történô átvétele egészében és kivonatosan is csak a jogtulajdonosok engedélyével történhet.
1145 Budapest, Szent Tamás u. 4. Telefon: +36 (1) 789-9323 | Fax: +36 (1) 220-4610 E-mail:
[email protected] | web: www.praudit.hu
