GoldenLine
Zaloguj się
Zygmunt Bieliński

Zygmunt Bieliński Otwarty na
propozycję

Temat: Audyt bezpieczeństwa tele-informatycznego kilka pytań ?

Jakie certyfikaty powinna posiadać firma wykonująca takie audyty
i które firmy polecacie.

Chodzi mi o kompleksowy audyt infrastruktury IT i zastanawiam się czy w zakres audytu nie powinny wejść też umowy np. na łącza na serwis/wsparcie sprzętu i oprogramowania.

I od czego uzależniona jest cena takiego audytu

Drugie pytanie:
Jakie soft wykorzystujecie do audytu legalności oprogramowania

Trzecie pytanie:
jakie certyfikaty powinna posiadać osoba która wykonuje takie audyty BTI

Czwarte pytanie jaki jest koszt przeprowadzenie audytu legalności oprogramowania i od czego jest uzależniony ?

Piąte
Jak wygląda proces przeprowadzenia audytu BTI i ile czasu może trwać powiedzmy że mówimy tu o
sieci 100 PC
z serwerem WEB
serwerem poczty
w jednym budynku.
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Audyt bezpieczeństwa tele-informatycznego kilka pytań ?

Zygmunt Bieliński:
Jakie certyfikaty powinna posiadać firma wykonująca takie
audyty i które firmy polecacie.

Certyfikaty posiadają ludzie - nie firmy. Firma może np. mieć poświadczenie bezpieczeństwa przemysłowego ale nie zwalnia to pracowników z obowiązku posiadania osobowych poświadczeń bezpieczeństwa.
Chodzi mi o kompleksowy audyt infrastruktury IT

Jeśli ktoś takowy oferuje to ..... w 99,9% przypadków rozmija się z rzeczywistością. Czy świadomie czy nieświadomie to osobna kwestia.
ile czasu może trwać

Żeby miał sens? Powinien być cykliczną procedurą a nie jednorazowym incydentem.

Krzysztof
Link do wypowiedziLink
Zygmunt Bieliński

Zygmunt Bieliński Otwarty na
propozycję

Temat: Audyt bezpieczeństwa tele-informatycznego kilka pytań ?

Czyli jaki certyfikaty :-) ?

I jak wyceniane jest pracy audytorów(patrz firmy) ?

Czyli ile może trwać jeden cykl audytu dla podanej sieci.

Jakie rzeczy powinny być sprawdzane przez audytorów.
Pytam ze względu na to że chciałbym wiedzieć jak kontrolować taki proces.
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Audyt bezpieczeństwa tele-informatycznego kilka pytań ?

Zygmunt Bieliński:
>
Pytam ze względu na to że chciałbym wiedzieć jak kontrolować taki proces.

Pytasz o wiele rzeczy które dla większości firm stanowią ich "know how" i nikt się nimi "ot tak" nie dzieli. Natomiast zawsze możesz wystosować zapytanie do kilku firm które chwalą się świadczeniem takich usług i poczytać co też Ci odpiszą.

Krzysztof
Link do wypowiedziLink

konto usunięte

Temat: Audyt bezpieczeństwa tele-informatycznego kilka pytań ?

Zygmunt Bieliński:
Czyli jaki certyfikaty :-) ?

Takie same, jakie chcesz zdobyć w wyniku procesu audytu.
Dodatkowo posiadając pewne certy musisz wymagać posiadania takich certów od swoich kontrahentów, w konsekwencji audytor powinien również je posiadać przed przystąpieniem do audytowania Twojej firmy.
I jak wyceniane jest pracy audytorów(patrz firmy) ?

Proporcjonalnie do obszaru prac.
Czyli ile może trwać jeden cykl audytu dla podanej sieci.

Audyt może trwać od 1 godziny (jeśli np. audytując do ISO27001 na pytanie "czy firma posiada politykę bezpieczeństwa" odpowiemy "nie"), do kilku miesięcy. Pierwszy cykl może trwać nawet kilka lat, zależnie od motywacji klienta do uporządkowania pewnych spraw.
Pytam ze względu na to że chciałbym wiedzieć jak kontrolować taki proces.

Najlepiej wybierz się na kilka szkoleń, np. z audytów ISO27001 albo 9001. Ew. poczytaj o TQMie.

Chyba, że szukasz tylko informacji na temat testów penetracyjnych (które mogą być jednym z elementów audytu), wtedy sprawa ma się zupełnie inaczej.
Link do wypowiedziLink
Robert W.

Robert W. Sales&Technical
Director, AKBIT

Temat: Audyt bezpieczeństwa tele-informatycznego kilka pytań ?

Wydaje mi się, że pytanie bardziej dotyczyło, przeskanowania systemów IT pod kątem podatności/luk bezpieczeństwa i zweryfikowanie takim audytem na ile systemy pracujące w infrastrukturze są bezpieczne.

Tak jak zrozumiałem wypowiedź pytającego. Mogę się mylić.
Link do wypowiedziLink
Zygmunt Bieliński

Zygmunt Bieliński Otwarty na
propozycję

Temat: Audyt bezpieczeństwa tele-informatycznego kilka pytań ?

Czyli z waszych wypowiedzi wynika że jednym z celów audytu infrastruktury IT jest też dostosowanie się do
normy i uzyskanie certyfikatu dla firmy
http://pl.wikipedia.org/wiki/ISO/IEC_27001

Czyli jak firma x chciałaby się przygotować do takiej certyfikacji to w jaki sposób ?

Co do testów podatności/luk to temat jest mi znamy nawet miałem przyjemność testowania paru produktów komercyjnych do wykonywania takich testów(tzn. testów czarnej skrzynki).

Raczej miałem na myśli tzn. testy białej skrzynki
czyli z dostępem do systemu i dokumentacji.

Chodzi mi o oprogramowanie które jest godne polecenia.
Do wykonywania audytu systemów unix/linux(patche,uprawnienie,konfiguracja,uruchomione procesy,usługi itp).
Oraz oprogramowanie do sprawdzania legalności oprogramowania głównie Windows.
Link do wypowiedziLink

konto usunięte

Temat: Audyt bezpieczeństwa tele-informatycznego kilka pytań ?

http://www.goldenline.pl/forum/bezpieczenstwo-it-ihack...
może się przyda :)
Link do wypowiedziLink

konto usunięte

Temat: Audyt bezpieczeństwa tele-informatycznego kilka pytań ?

Zygmunt Bieliński:
Czyli z waszych wypowiedzi wynika że jednym z celów audytu infrastruktury IT jest też dostosowanie się do
normy i uzyskanie certyfikatu dla firmy

Skoro cytujemy wiki, to za wiki:
"Celem audytu może być weryfikacja, czy cel wyznaczony przez organizację audytowaną został osiągnięty lub czy jej działania są zgodne z zaakceptowanymi standardami, statusem czy praktykami."
http://pl.wikipedia.org/wiki/Audyt
Czyli jak firma x chciałaby się przygotować do takiej certyfikacji to w jaki sposób ?

Jeśli firma chce przygotować się do np. 27001, to minimum jeden pracownik musi się z nią zapoznać :) Firma zewnętrzna może wspomagać proces, ale osoba kontrolująca proces powinna być zatrudniona.
Chodzi mi o oprogramowanie które jest godne polecenia.
Do wykonywania audytu systemów unix/linux(patche,uprawnienie,konfiguracja,uruchomione procesy,usługi itp).

Do testów penetracyjnych każdy ma swój warsztat :)
Wynik audytu powinien być taki sam niezależnie od audytora. Wynik testów penetracyjnych - jest nieustalony. Tester może nie znaleźć luk, mimo że one są (patrz: bugi w openssl które tam były i nikt ich nie widział, do czasu) i trudno to traktować jako błąd w sztuce.

Jeśli firma nie ma potrzeby certyfikacji (to w sumie dość droga impreza i dodatkowe koszty stałe) - najlepiej wynająć testera, podpisać NDA i czekać na wyniki :)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj