Informacja o przetwarzaniu danych osobowych

Szanowni Państwo,
Zgodnie z regulacjami dotyczącymi ochrony danych osobowych, pragniemy poinformować o sposobach przetwarzania Państwa danych osobowych. Naszym priorytetem jest zapewnienie pełnej transparentności oraz ochrony prywatności.
Po kliknięciu w przycisk znajdą Państwo kluczowe informacje dotyczące przetwarzania danych osobowych (Polityka prywatności).
Jeżeli mają Państwo jakiekolwiek pytania lub wątpliwości, prosimy o kontakt. Jesteśmy do Państwa dyspozycji.

Nasza strona używa plików cookies do różnych celów. Proszę zaakceptować lub odrzucić poszczególne kategorie plików cookies:

Cyberbezpieczeństwo - Fib.Code

CYBERBEZPIECZEŃSTWO

Wszystko, co powinieneś wiedzieć o nowej ustawie

Home Usługi Doradztwo prawne Cyberbezpieczeństwo

OFERTA NA DOSTOSOWANIE FIRMY / INSTYTUCJI DO WYMAGAŃ USTAWY O CYBERBEZPIECZEŃSTWIE

Opis zespołu

Prace realizowane w ramach proponowanej usługi w postaci wdrożenia postanowień Ustawy o Krajowym Systemie Cyberbezpieczeństwa będą prowadzone z uwzględnieniem potrzeb biznesowych i organizacyjnych Zamawiającego. Rozwiązanie ma charakter kompleksowy, dzięki niemu możliwe jest uzyskanie pełnej zgodności w zakresie wymagań stawianych przez Ustawę.

Usługa wykonana będzie przez osoby posiadające wiedzę i doświadczenie adekwatne do stopnia zaawansowania i charakteru usługi. Zespół złożony jest z absolwentów i pracowników Akademii Górniczo-Hutniczej oraz Uniwersytetu Rolniczego w Krakowie, informatyków, doktorów nauk technicznych oraz radców prawnych, doświadczonych w zwinnym zarządzaniu projektami (AGILE, PRINCE2), certyfikowanych przez TUV w zakresie ISO 27001 (Bezpieczeństwo informacji), administratorów bezpieczeństwa informacji i inspektorów ds. ochrony danych z doświadczeniem (ABI / IOD).

Z racji konieczności analizy podatności sieci i systemów IT, nasz Zespół składa się ponadto z wykwalifikowanych pracowników, od lat zajmujących się cyberbezpieczeństwem. Potwierdzeniem tych umiejętności są posiadane certyfikaty – CISSP (Certified Information Systems Security Proffesional) oraz OSCP (Offensive Security Certified Professional).

Zespół pracuje zdalnie lub bezpośrednio u klienta w zależności od rodzajów testów i charakteru wykonywanej usługi.

Stworzony zespół posiada wieloletnie doświadczenie w:

  • tworzeniu dokumentacji firm IT - polityk bezpieczeństwa, zasad bezpieczeństwa, kontrolowaniu prac obecnego zespołu IT
  • wdrażaniu systemów zarządzania jakością zgodnych z normą ISO 27001
  • wdrażaniu systemów bezpieczeństwa danych osobowych
  • drażaniu oraz opiece nad serwerami oraz stacjami roboczymi zgodnie z przygotowaną dokumentacją i polityką bezpieczeństwa
  • zarządzaniu serwerami opartymi o systemy operacyjne Linux/Windows i stałą ich obsługą
  • zabezpieczaniu danych zarówno w aspekcie technicznym jak i organizacyjnym - określaniu ich poziomów dostępu do danych osobowych i pozostałych
  • utrzymaniu serwerów dedykowanych dla działań własnych (deweloperskich projektów WWW, ERP) oraz klientów (aplikacje dedykowane lub hosting strony WWW/poczty e-mail), zabezpieczaniu danych, utrzymaniu ciągłości działania, zabezpieczaniu kopii zapasowej, przygotowaniu konfiguracji redundantnej
  • pracach programistycznych, adaptacjach gotowych usług oraz autorskich rozwiązaniach dedykowanych

Wieloletnia kooperacja ze środowiskiem akademickim w zakresie realizacji projektów naukowo-badawczych z dziedziny IT oraz pokrewnych pozwoliła na wypracowanie unikatowych metod optymalizacyjnych oraz zarządczych pozwalających na poprawę efektywności procesów zarządczych w firmach z wykorzystaniem innowacyjnych narzędzi – dzięki czemu, praca wykonywana przez zespół cechuje się wysoką jakością, względnie niską ceną a także kompletnym zestawem zaleceń minimalizujących potencjalne nakłady finansowe konieczne do poniesienia celem dostosowania organizacji do wymagań prawnych.

Zakres usług

Usługa I

Analizy zgodności przedsiębiorstwa z wymogami Ustawy o cyberbezpieczeństwie

  1. Wizja lokalna
  2. Prezentacja założeń realizowanych prac – spotkanie organizacyjne
  3. Analiza procesów przetwarzania danych wraz z analizą stanu zabezpieczeń systemowych
  4. Analiza podatności systemów wspomagających świadczenie usług kluczowych

    5. Efektem przeprowadzonej analizy jest raport wskazujący obszary systemu, w których istnieją luki zwiększające ryzyko udanego ataku hackerskiego a także wykaz procedur naprawczych, jakie należy wykonać w celu usunięcia wskazanych w raporcie podatności.

  5. Opracowanie metodyki analizy ryzyka i polityki zarządzania ryzykiem w obszarze cyberbezpieczeństwa, składającej się z:
    • Wstępnej identyfikacji zagrożeń
    • Przygotowania arkuszy analizy ryzyka (szacowania i postępowania z ryzykiem)
    • Przeprowadzenia analizy ryzyka i podatności w obrębie zinwentaryzowanych systemów
    • Wyliczenie i ocena ryzyk oraz stworzenie listy (mapy) ryzyk
  6. Opracowanie deklaracji stosowania i planu zarządzania ryzykiem
  7. Aktualizacja i uzupełnienie procedur działu IT o zapisy wymagane przez Ustawę o cyberbezpieczeństwie
  8. Opracowanie raportu końcowego z zaleceniami do realizacji dla działu IT, w celu uzyskania pełnej zgodności z wymaganiami prawnymi w zakresie Ustawy o Cyberbezpieczeństwie

Usługa II

Audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej

Zgodne z Art. 15 ust. 1 Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. W ramach powyższej usługi, realizujemy audyty z wykorzystaniem testów penetracyjnych, które służą wskazaniu potencjalnych zagrożeń teleinformatycznych w firmie. Za pomocą kontrolowanych ataków badamy obszary narażone na niepożądane nadużycia ze strony hakerów. Efektem takich testów jest raport pokazujący, które elementy sieci wewnętrznej lub aplikacji zewnętrznej należy poprawić aby uniknąć prawdziwych ataków. Do wykonania testów konieczna jest pełna zgoda firmy zlecającej oraz ustalenie szczegółów dotyczących zakresu i terminów przeprowadzanych testów.

Rodzaje testów:

W zależności od ilości danych udostępnionych przez firmę wyróżniamy trzy rodzaje pentestów.

  1. White box – pełna wiedza testera odnośnie dostępów, kodów źródłowych i dokumentacji. Opiera się na założeniu, że haker w dowolny inny sposób uzyskał dostęp do na przykład hasła użytkownika.
  2. Black box – wiedza testera przed rozpoczęciem testów jest maksymalnie ograniczona. Pozwala to na symulacje rzeczywistego ataku.
  3. Grey box – najczęściej używany rodzaj testów. Tester ma z góry ustaloną częściową wiedzę o testowanej aplikacji.

Poprawność merytoryczna wykonanej usługi objęta jest gwarancją. Zespół może się w chwili obecnej pochwalić skutecznym wdrożeniem i dostosowaniem do wymagań normy ISO 27001 blisko 100 firm (znaczący udział dużych przedsiębiorstw zatrudniających ponad 250 osób).

Przebieg testów:

Bardzo ważną częścią testów jest tak zwany scoping, czyli ustalenie co tak na prawdę chcemy przetestować. Czy chodzi o testowanie aplikacji udostępnionej klientom, czy wewnętrznej infrastruktury. Głównym powodem takich testów jest zabezpieczenie przed wyciekiem danych (osobowych, finansowych, strategii firmy, patentów).

Mając wiedzę, jakich ataków możemy się spodziewać, tester przystępuje do fazy pierwszej testów, czyli rekonesansu. Przy użyciu specjalistycznego oprogramowania identyfikuje potencjalne obszary zagrożeń. Między innymi skanuje adresy IP oraz porty aby ustalić jakie serwisy są używane. W zależności od scopu testy odbywają się zdalnie, lub na miejscu u klienta.

W dalszej części testów atakowany jest potencjalnie najbardziej podatny punkt zabezpieczeń. Jeśli uda się takie zabezpieczenia złamać, sprawdzamy do jakich danych udało się uzyskać dostęp. Następnie oceniamy stopień zagrożenia spowodowany przez atak w ten obszar zabezpieczeń i dajemy rekomendacje jak się obronić przed takim atakiem.