Isec prezentare

1,108 views

Published on

  • Be the first to comment

  • Be the first to like this

Isec prezentare

  1. 1.
  2. 2. Cuprins<br />iSEC<br />Portofoliuservicii<br />Servicii de consultanta<br />IT & Security Governance<br />IT Governance<br />Security Governance<br />2. Servicii de audit <br />Servicii de audit de conformitate cu reglementarile din Romania<br />Serviciile de audit de conformitate cu standardeleinternationale<br />3. Servicii de evaluare a securitatii<br />Servicii de evaluare a securitatiiretelelorsi a infrastructurilor decomunicatii<br />Servicii de evaluare a securitatiiaplicatiilor software<br />Servicii de evaluare a securitatii a bazelor de date<br />Serviciide evaluare a securitatiifizice<br />Serviciide tip Penetration Testing<br />Serviciide tip Digital Forensics<br />3. Beneficiileobtinuteprinapelarea la serviciileiSEC<br />
  3. 3. 1. iSEC<br />iSEC este una dintre cele mai importante divizii ale ProVision IT Group, dedicata furnizarii de servicii specializate de consultanta, audit si evaluare in domeniul securitatii informatiei.<br />Misiunea iSEC este de a asigura in permanenta suportul necesar clientilor sai, indiferent de marimea sau de domeniul de activitate al acestora, pentru indeplinirea obiectivelor strategice de Security Governance si IT Governance.<br />Beneficiile obtinute de catre partener in urma colaborarii cu iSEC sunt de natura sa pregateasca organizatia pentru situatii in care activitatea ar putea fi temporar inchisa sau restransa. <br />
  4. 4. 1. iSEC<br />Elementereprezentative ale iSEC:<br />Obiectivitate;<br />Independenta;<br />Etica;<br />Adaptare la nevoilesiobiectiveleclientului;<br />Valoareadaugata;<br />Expertizasicertificare;<br />Transfer de cunostintesibunepractici;<br />Sinergie perfecta intrestrategia de business a clientuluisipracticilesiserviciileisec ;<br />Perfectionaresiimbunatatire continua.<br />
  5. 5. 2. Portofoliuservicii - Servicii de consultanta<br />IT & Security Governance<br />Procesul de implementare a unui sistem de guvernare asigura suportul necesar oricarui business prin:<br /><ul><li> Standardizarea proceselor;
  6. 6. Simplificarea si eficientizarea operatiilor;
  7. 7. Alinierea la prioritatile si obiectivele business-ului;
  8. 8. Prioritizarea investitiilor si reducerea costurilor.</li></ul>Finalitateaimplementariiunuisistem de guvernarepentru client oreprezintatransformareaoperatiunilor legate de IT si de SecuritateaInformatieiin procese:<br /><ul><li>repetabile,
  9. 9. bine definite sidocumentate,
  10. 10. masurabilesiconsistentepentru a conduce la ocalitatepredictibila a rezultatelorprocesariisiutilizariiinformatiei.</li></ul>Specialistii iSEC va propun servicii cu livrabile certe si rezultate cuantificabile, etapizate corespunzator nivelurilor de maturitate a proceselor organizatiei client.<br />
  11. 11. 2. Portofoliuservicii - Servicii de consultanta<br />B. IT Governance<br />Procesul de IT Services Management sustine organizatiile IT in:<br /><ul><li>standardizarea proceselor,
  12. 12. simplificarea operatiilor,
  13. 13. alinierea IT-ului la cerintele de business si managementul costurilor. </li></ul>Serviciilelivrate de consultantiiisecacopera:<br /><ul><li>Imbunatatireaproceselor IT;
  14. 14. Stabilirea de metrici (KPI);
  15. 15. Masurareanivelului de maturitate;
  16. 16. Elaborarea de politicisiproceduri;
  17. 17. Managementulproiectelor IT;
  18. 18. Managementulconfiguratiilor;
  19. 19. Managementulschimbarii;
  20. 20. Standardizareaserviciilor.</li></li></ul><li>2. Portofoliuservicii - Servicii de consultanta<br />B. IT Governance<br />Prinserviciile de consultantaoferite de specialistiiisec , clientii pot:<br /><ul><li>obtineo imagine claraasupracerintelor de securitate,
  21. 21. identificareglementarisistandardeobligatoriipentrudomeniullor de activitate
  22. 22. primirecomandaripentruimplementarea de solutiiefectivepentru a raspundeatacurilorinformatice.</li></li></ul><li>2. Portofoliuservicii - Servicii de consultanta<br />C. Security Governance<br />Serviciile din sfera Security Governance sunt bazate pe cele mai bune practici de reducere a riscurilor de securitate si de indeplinire a cerintelor de conformitate pentru fiecare business.<br />Directiile serviciilor din sfera Security Governance:<br /><ul><li>Evaluarea diferentelor intre cerintele ISO 27001 si situatia actuala din organizatie </li></ul>(Gap Analysis);<br /><ul><li>Analiza de impact asupra afacerii (Business Impact Analysis);
  23. 23. Evaluarea si Managementul riscurilor (Risk Assessment si Risk Management);
  24. 24. Implementarea unui proces de management al continuitatii afacerii </li></ul>(Business Continuity Management);<br /><ul><li>Implementarea unui proces de management al raspunsului la incidente</li></ul>(Incident ResponseManagement);<br /><ul><li>Dezvoltarea de politici si proceduri specifice de securitate;
  25. 25. Pre-assessment in vederea auditului de certificare.</li></li></ul><li>2. Portofoliuservicii - Servicii de audit<br /> <br />Auditul de conformitate presupune in esenta verificarea controalelor de securitate aplicate de o organizatie in vederea alinierii la anumite cerinte legislative, reglementari specifice sau standarde nationale si internationale.<br /> <br />Misiunea de audit are la baza verificarea respectarii cerintelor si specificatiilor cuprinse in aceste reglementari si standarde, precum si a recomandarilor din ghiduri si standarde de audit aplicabile.<br />Rolul auditorului iSEC :<br /><ul><li> de a audita efectiv sistemele si controalele implementate
  26. 26. de a comunica managementului entitatii auditate o serie de constatari si recomandari sociate, identificate in urma auditului,
  27. 27. de a il face sa inteleaga si sa accepte aspectele semnalate in urma auditului
  28. 28. de a parcurge impreuna cu managementului entitatii auditate planul de masuri de remediere, atunci cand este cazul.</li></li></ul><li>2. Portofoliuservicii - Servicii de audit<br />a) Servicii de audit de conformitate cu reglementarile din Romania<br /><ul><li>Ordinul MCTI nr. 389 din 27 iunie 2007 privind procedura de avizare a instrumentelor deplata cu acces la distanta
  29. 29. Ordinul MF nr. 1077 din 6 august 2003 privind conditiile in care se pot edita facturile fiscale intr-un singur exemplar, cu regim special de tiparire, inseriere si numerotare, utilizate in activitatea financiara si contabila
  30. 30. Legea nr. 455 din 18 iulie 2001 privind semnatura electronica
  31. 31. Normele BNR-TRANSFOND vers. 2 din 10.05.2008 privind cerintele pentru certificarea tehnica a participantilor la Sistemul Electronic de Plati (SEP)
  32. 32. Decizia ANC nr. 888 din 01 octombrie 2008 privind procedura de verificare si omologare a sistemelor informatice destinate operatiunilor de emitere a facturilor in forma electronica</li></li></ul><li>2. Portofoliuservicii - Servicii de audit<br />b) Serviciile de audit de conformitatecustandardele internationale<br />Serviciile propuse de auditorii iSEC acopera:<br /><ul><li>Standardul ISO 27001:2005
  33. 33. Standardul ISO 20000-1:2005
  34. 34. Standardul BS 25999
  35. 35. Standardul ISO 18044:2004
  36. 36. Standardul PCI DSS
  37. 37. Framework- ul COBIT</li></li></ul><li>2. Portofoliuservicii - Servicii de evaluare a securitatii<br />Servicii de evaluare a securitatiiretelelorsi a infrastructurilor de comunicatii<br />Se identificatoatecaile de acces in reteaprecumsisecuritateaacestorcai de acces, atat din exteriorulretelei cat si din interior. <br /> <br />Se evalueaza:<br /><ul><li>prezentaserviciilor care nu suntnecesare,
  38. 38. vulnerabilitatilespecificefiecareiplatforme,
  39. 39. erori de configurare,
  40. 40. aplicarea patch-urilor de securitate,
  41. 41. practicile de mentenanta a reteleisifunctionalitateaacesteia.</li></ul> <br />
  42. 42. 2. Portofoliuservicii - Servicii de evaluare a securitatii<br />Servicii de evaluare a securitatiiretelelorsi a infrastructurilor de comunicatii<br /> Raportul finalrezultat in urmaevaluariicontine:<br /><ul><li>informatiiclaredesprefiecareproblemaexistentasaupotentialaintalnita
  43. 43. solutii de remediererecomandate de specialistiiisec. </li></ul> <br />Solutiilerecomandatesuntbazatepe:<br /><ul><li>celemaibunepractici ale furnizorilor de echipamentesitehnologii de retea,
  44. 44. celemaibunepractici de securitate,
  45. 45. rezultate din vastaexperientaacumulata in domeniultehnologiilor de infrastructuraimplementate in cadrulunorproiectecomplexe.</li></li></ul><li>2. Portofoliuservicii - Servicii de evaluare a securitatii<br />ii. Servicii de evaluare a securitatiiaplicatiilor software<br />Se realizeaza<br /><ul><li>folosindcelemairecentetipuri de atacuri
  46. 46. urmandrolurilesiprivilegiile de accesspecificeaplicatiilor respective. </li></ul> <br />Vulnerabilitatiledescoperitesuntdocumentateriguros, evidentiindposibilelecauzesiremediileasociate, impreuna cu impactul de business pe care il pot produce. <br /> <br />O abordareunica a acestuiserviciuvapermitetestareamodului in care sunt remediate acestevulnerabilitati, pentru a vaputeaoferigradul de sigurantadoritsicertitudinearezultatelorobtinuteprinutilizareaaplicatiilor de business.<br /> <br />Acestserviciuvapoatefifoarteutilsipentrudemonstrareaconformitatii<br />cu diverse standardesicerinte de reglementare.<br /> <br />
  47. 47. 2. Portofoliuservicii - Servicii de evaluare a securitatii<br />iii. Servicii de evaluare a securitatiibazelor de date<br />Rolulevaluariisecuritatiibazelor de date este de a identificaslabiciunile, amenintarilesibresele de securitatecearputeafiexploatate la un moment dat de utilizatorirauintentionati din interiorulorganizatieisau de atacatoriexterni. <br /> <br />Vulnerabilitatileastfelexploatate pot conduce la:<br /><ul><li>pierdereasaualterareainformatiilorvitale,
  48. 48. fraudefinanciaremajore
  49. 49. probleme de imagine.</li></ul> <br />
  50. 50. 2. Portofoliuservicii - Servicii de evaluare a securitatii<br />iii. Servicii de evaluare a securitatiibazelor de date<br />Procesul de evaluareconstaintr-oserie de testestandardizate, sustinute in functie de specificulfiecareibaze de date, pentrudescoperireaatat a vulnerabilitatilorce pot afectabazele de date cat si a aplicatiilor care depind de acestebaze de date. <br /> <br />In urmaprocesului de evaluareobtineti<br /><ul><li>o imagine a potentialului impactasupra business-uluipe care il pot provocaacesteslabiciuni
  51. 51. un plan de remedieresi de testarea eficienteiaplicariimasurilor de securitate</li></ul>Astfelputetidefasuraactivitatile de business in sigurantasi<br />saindeplinitimaiusorcerintele de conformitate cu diverse standardesireglementari. <br />
  52. 52. 2. Portofoliuservicii - Servicii de evaluare a securitatii<br />iv. Servicii de evaluare a securitatiifizice<br />Metodologia de evaluare a securitatiifizicecuprinde:<br /><ul><li>Evaluareasecuritatiicladirilorsi a zonelor de securitate
  53. 53. Evaluareaimplementariipoliticilor de securitateprivindpersonalulcompaniei / vizitatori /contractoriexterni
  54. 54. Evaluareasecuritatiifizice a echipamentelor IT
  55. 55. Evaluareasecuritatiidatelorclasificate</li></ul>Serviciulse desfasoara cu autorizareareprezentantilororganizatiei client si se finalizeazacu un raportcecontinesugestii de remedieredarsiinformatii utile pentruinstruireaangajatilorastfelincatsaconduca la oatitudineproactivasi la implicareaintregului personal in tratareaacestui aspect important pentruactivitateaoricareiorganizatii.<br />
  56. 56. 2. Portofoliuservicii - Servicii de evaluare a securitatii<br />V. Servicii de tip Penetration Testing<br />Obiectivul principal al unui test de penetrareeste de a identificafelul in care poatefiexploatataoricevulnerabilitate de securitate a unuisistem, acestafiindevaluat din perspectivaunui hacker. <br />Testuldeterminadaca se pot exploata cu succesvulnerabilitatiledescoperitesidacada, ce impact pot produce asuprabunuluimers al organizatiei. <br />Analizase realizeazaintr-un mediucontrolat, cu aplicatiisiactivitatispecializatefolosite in general de hackeri.<br /> <br />Testelepropuse de isecsuntrealizate de specialisti cu standardeinalte de eticaprofesionala, certificatipe plan international (Certified Ethical Hacker) de catre International Council of E-Commerce.<br /> <br />
  57. 57. 2. Portofoliuservicii - Servicii de evaluare a securitatii<br />V. Servicii de tip Penetration Testing<br />Analizariscului de penetrarecuprinde:<br /><ul><li>teste de penetrare la nivel de retea- al carorobiectiveste de a testainfrastructura de reteasi a serverelor,
  58. 58. teste de penetrare la nivel de aplicatii - al carorobiectiveste de a evaluamodul in care pot in mod rauvoitorserviciile active ale aplicatiilor.</li></ul>Testelepot fiefectuateatatininteriorulorganizatieicat sidin exteriorulacesteia(prin Internet), avandcunostinteanterioare legate de infrastructura (white box testing) saufaranici o informatielegata de sistemultestat (black box testing).<br /> <br />In urmaserviciilor de Penetration Testing efectuate de specialistiiisecvetiavea o imagine claraasupravulnerabilitatilorexistente in sistemeledumneavoastra, a felului in care ele pot fiexploatate, ajutandu-vaastfelsaelaborati o strategie de management cevaavea ca scop final remediereaproblemelor de securitateexistentesievitareaaparitieialtora.<br />
  59. 59. 2. Portofoliuservicii - Servicii de evaluare a securitatii<br />Vi. Servicii de tip Digital Forensics<br />Investigareafraudelornecesitao bunacunoastere a naturiiumane, a gandiriiunui hacker, darsicunostintesipracticispecificeinvestigatiilordigitale care tin de:<br /><ul><li>Detectareacomportamentelorsiactivitatilorsuspecte;
  60. 60. Izolareasipastrareaintegritatiidatelorelectroniceasociateunei tentative de frauda</li></ul> (log-uri de acces, date privindactiunileefectuate, modificarineautorizate, tranzactii,<br />comunicatii, date salvate/transferatepemedii de stocare mobile, etc.);<br /><ul><li>Replicareacorespunzatoare a datelor de maisuspentruinvestigatiispecializate;
  61. 61. Documentareasievidentiereaactiunilorneautorizateintreprinse;
  62. 62. Elaborareaunuiraport de analiza care cuprinde: activitatileefectuate, vulnerabilitatile</li></ul>exploatate, impactulsiprejudiciulprodus, precumsirecomandari de actiunicorectivesau preventive.<br />SpecialistiiiSEC va pun la dispozitiecompetenteleloratatpentruimplementareaunorproceseeficiente de tratare a incidentelor de securitate, cat sipentruelaborarea de materiale de training al angajatilor ca masuraproactivapentrueliminareaunorasemeneasituatiipeviitor.<br />
  63. 63. 3. Beneficii<br />AlegandiSEC vetiobtine:<br /> O valoareadaugatareala<br />2. Rezultatepredictibile<br /> Focus periscurilesemnificative<br />4. Independentasiresponsabilitate<br />Garantiesisuport: <br />6. Transfer de cunostinte<br />Apeland la serviciileiSEC vetiobtinemaimultdecatservicii la celmaiinaltnivel de profesionalism, vetiobtine un aliatvaloros in lupta continua pentruasigurareasecuritatiiinformatiilorvitalepentruorganizatiadumneavostra.<br />

×