ICT Consulting - Trusted Network Solutions

ICT Consulting
Bezpečnost informací a dat
PLAN
DO
CHECK
ACT
Analýza a návrh
Implementace
Audit a kontrola
Reakce
Systematické řešení ICT bezpečnosti
Nabízíme analýzu současného stavu, analýzu rizik, návrh protiopatření,
bezpečnostní politiku, efektivní implementaci i svěřenou správu
řízení bezpečnosti.
Analýza současného stavu
Řízení kontinuity činností
Analýza současného stavu (As-Is Analysis)
Analýza dopadů
(BIA – Business Imapact Analysis)
• přehledová analýza aktuálního stavu bezpečnosti informací
v organizaci
• rámcový popis aktuálního stavu, identifikace problematických
oblastí a zejména návrh dalšího postupu
Analýza a řízení rizik
Analýza rizik (Risk Analysis)
• analýza rizik je stěžejní aktivitou procesu řízení rizik
a řízení bezpečnosti
• detailní analýza rizik IS/IT s podrobným popisem aktiv,
jejich zranitelností, identifikací a ohodnocením hrozeb
• hlavním výstupem je seřazení skutečných rizik dle závažnosti
dopadu na aktivity zákazníka
• navazujícím výstupem je návrh protiopatření ke snížení
identifikovaných rizik, návrh strategie řízení rizik
Implementační studie
• podrobněji rozpracovává vybraná opatření ke snížení rizik,
vyčísluje finanční, organizační a časové nároky
• precizuje doporučení pro management rizik
Bezpečnostní politika
a řízení bezpečnosti
Bezpečnostní politika, strategie bezpečnosti
• definice základních parametrů, pravidel, postupů a požadavků
pro řízení bezpečnosti informací
• určení zodpovědností a nastavení procesů a kontrolních
mechanismů pro zajištění bezpečnosti informací
Rozšiřující bezpečnostní dokumentace
• bezpečnostní dokumentace od strategií a koncepcí,
přes politiky až po detailní provozní dokumentaci
• Příručka uživatele, Příručka správce, Příručka
bezpečnostního správce
• Prohlášení o aplikovatelnosti
• Metriky bezpečnosti
• Projekt bezpečnosti
• Plán zálohování
• Plán obnovy (DRP – Disaster Recovery Plan)
Implementace a certifikace systému řízení
bezpečnosti informací
• příprava a implementace zvoleného řešení,
outsourcing služeb, školení
• zajištění potřebné certifikace dle ISO/IEC 27001
• identifikace a ohodnocení obchodních procesů a jejich závislosti
na technologiích
• vyčíslení škod a dalších dopadů v důsledku nepříznivých událostí,
výpadků a havárií v závislosti na čase
• návrh protiopatření k zamezení nebo snížení potenciálních škod
Havarijní plán
(BCP – Business Continuity Plan)
• popis krizových scénářů pro zajištění kontinuity organizace,
zejména jejích hlavních obchodních procesů
• výčet preventivních opatření a popis jednotlivých kroků v případě
výskytu nepříznivé situace, výpadku či havárie s určením konkrétní
zodpovědnosti a časové posloupnosti
Havarijní plán pro ICT
(ITSCM Plan – IT Services Continuity Plan)
• popis krizových scénářů pro zabezpečení ICT podpory organizaci,
zejména hlavním obchodním procesům
• výčet preventivních opatření a popis jednotlivých kroků v případě
výskytu nepříznivé situace, výpadku či havárie s určením konkrétní
zodpovědnosti, časové posloupnosti a návaznosti na další plány
Implementace
(BCM – Business Continuity Management)
• ustanovení celého procesu Řízení kontinuity činností
(BCM – Business Continuity Management)
• vybudování organizační a řídící struktury, průběžná údržba,
školení a testování krizových plánů
Technické testy
Penetrační testy
• jednorázové i periodické testování zranitelností IS/IT i jeho
organizačního zabezpečení a řízení,
• penetrační testy externí, interní, white/gray/black-box,
přehledové nebo detailní, social engineering
Analýza síťové komunikace
• podrobná analýza datových toků s důrazem na rozbor
problematické komunikace a různých anomálií
Zátěžové testy
• testování ICT systémů z hlediska maximální zátěže resp.
maximálního počtu obsluhovaných uživatelů
• návrh podrobných i vícekrokových testovacích scénářů,
provedení testů, vyhodnocení
Bezpečnostní manažer
• outsourcing výkonu role bezpečnostního manažera
Školení
• školení pro management společností, pro správce
či běžné uživatele, nejefektivnější minimalizace rizik
Znalecký posudek (Forensis Analysis)
• znalecký posudek informačního systému v souladu se zákonem
č. 36/1967 Sb. a zákonem č. 444/2011 Sb. v platném znění
Legislativa a normy
Poskytujeme odborné konzultační služby včetně formulace nápravných
opatření a doporučení, aby bylo dosaženo souladu s legislativou.
ISMS
Kybernetická bezpečnost
Information Security Management System
ISO 27001
zákon č. 181/2014 Sb.
• podpora organizace ve všech fázích budování systému řízení
bezpečnosti informací – od analýzy, přes návrh technických,
organizačních i právních opatření, vypracování potřebné
dokumentace, přes implementaci jednotlivých opatření až k měření
a vyhodnocování jejich účinnosti a zlepšování systému
• certifikace – zajištění dle ISO/IEC 27001
• outsourcing služeb manažera bezpečnosti
ISVS
• analýza a právní zdůvodnění povinností vyplývajících ze zákona
č. 181/2014 Sb.
• podrobná GAP analýza plnění závazných povinností
• návrh technických i netechnických opatření nutných pro splnění
povinností a zajištění bezpečnosti informačního systému
• pomoc při realizaci jednotlivých kroků – provedení analýzy
rizik, vypracování dokumentace, implementační studie, projekt
bezpečnosti, realizace a provoz vybraných opatření,
outsourcing služeb
Ochrana osobních údajů
Informační Systémy Veřejné Správy
zákon č. 365/2000 Sb.
zákon č. 101/2000 Sb.
• Informační koncepce – vypracování základní dokumentace ISVS
• Provozní dokumentace – Bezpečnostní politika ISVS, bezpečnostní
směrnice pro činnost bezpečnostního správce systému, systémová
příručka a uživatelská příručka
• Technická dokumentace – technická dokumentaci služeb,
pomocí nichž jsou realizovány vazby mezi ISVS prostřednictvím
referenčního rozhraní
• Atestace – zajištění atestace dlouhodobého řízení ISVS nebo
atestace způsobilosti ISVS k realizaci vazeb prostřednictvím
referenčního rozhraní v souladu se zákonem č. 365/2000 Sb.
• analýza zpracovávaných osobních údajů v organizaci
a zajištění jejich bezpečnosti
• návrh procesních, organizačních i technických opatření
• vypracování potřebné dokumentace
• pomoc při implementaci vybraných opatření
Utajované informace
zákon č. 412/2005 Sb.
• dokumentace – vypracování bezpečnostní dokumentace podnikatele
• certifikace informačních systémů – vypracování bezpečnostní
dokumentace informačního systému
• zastupování při bezpečnostním řízení NBÚ – zastupování zákazníka
při bezpečnostním řízení, které provádí dle zákona č. 412/2005 Sb.
Národní bezpečnostní úřad ČR
ACT
Reakce
4
1
Návrh protiopatření
PLAN
Analýza a návrh
Analýza bezpečnosti informací
Zavedení do praxe
Analýza rizik
Analýza dopadů (BIA)
Bezpečnostní politika
Bezpečnostní dokumentace
Havarijní plán (BCP)
The Security
Lifecycle
Plán obnovy (DRP)
CHECK
Audit a kontrola
Audit bezpečnosti
Penetrační testy
Monitoring
DO
3
2
Implementace
Implementační studie
Implementace
Konzultace
Školení
REFERENCE
Specialista ICT bezpečnosti
Společnost Trusted Network Solutions patří mezi přední české
IT společnosti s mnohaletými zkušenostmi v oblasti bezpečnosti
počítačových sítí. Dlouhodobě se věnuje ochraně dat a informací,
poskytuje odborné konzultační služby zaměřené na analýzu
a řízení rizik, bezpečnostní politiku a ochranu informací.
„Bezpečnost není stav, ale proces,
proto je nutné starat se o ni dlouhodobě
a cíleně. Nabízíme systematické řešení
bezpečnosti včetně formulace nápravných
opatření a doporučení pro dosažení
souladu s legislativou.“
Klademe důraz na odbornost a individuální přístup.
Konzultační služby poskytujeme s cílem zajistit maximální
bezpečnost a dostupnost dat, informací a služeb informačních
systémů. Při tom vždy bereme na zřetel nejen požadavky legislativy,
ale zejména specifickou situaci konkrétního zákazníka včetně
jeho individuálních požadavků.
Outsourcing bezpečnosti
Mercedes-Benz Financial Services Česká republika
Řízení kontinuity činností – Havarijní plán (BCP),
Havarijní plán pro ICT (ITSCM Plan)
ČEZ Distribuce
Kybernetická bezpečnost dle zákona č. 181/2014 Sb.
VODÁRENSKÁ AKCIOVÁ SPOLEČNOST
ISMS – Analýza rizik, Bezpečnostní politika,
Plán bezpečnosti, Plán kontinuity, Plán obnovy,
Metriky bezpečnosti, Příručky
Raiffeisenbank
Penetrační testy
• Odhalení slabých míst v zabezpečení
informačních systémů a poskytovaných službách
• Návrh a realizace účinných protiopatření
• Sledování efektivity systému zabezpečení
dat a informací
Ministerstvo pro místní rozvoj ČR
ISVS – Informační koncepce, vyhodnocení,
atestace dle zákona č. 365/2000 Sb.
• Splnění zákonných povinností, norem
a požadavků dozorových orgánů
• Dohled nad informační bezpečností
včetně souvisejících procesů
• Školení bezpečnosti, certifikace,
znalecký posudek
Česká zbrojovka
Utajované informace – zákon č. 412/2005 Sb.
Bezpečnostní dokumentace informačního systému,
zastupování zákazníka při bezpečnostním řízení
před NBÚ ČR.
CERTIFIKÁTY
NBÚ ČR
Přístup k utajované informaci
stupeň utajení DŮVĚRNÉ
Trusted Network Solutions, a. s.
Sídlo společnosti: Žižkova 600, 664 01 Bílovice nad Svitavou, tel. +420 545 423 160, [email protected]
Kancelář Praha, Křižíkova 209/51, 180 00 Praha 8-Karlín, tel. +420 222 364 369
www.tns.cz