Cyberbezpieczny Samorząd

Audyt CERT

Posted on 18 July 2022 by imhoteba

Osoba odpowiedzialna za bezpieczeństwo IT w jednostce wraz z odpowiednimi kompetencjami

Zabezpieczenie teleinformatyczne urzędu, zadzwoń aktualny numer na stronie KONTAKT

Dokumentacja potwierdzająca wykonane działania wskazanego w ustawie o krajowym systemie cyberbezpieczeństwa

  • Czy zostały zidentyfikowane usługi publiczne, których świadczenie zależy od bezpieczeństwa systemów informacyjnych?
  • Czy zostały wskazane osoby (podmioty) odpowiedzialne za zarządzanie incydentami?
  • Czy podmiot publiczny realizuje zadania publikowania informacji pozwalających na zrozumienie zagrożeń cyberbezpieczeństwa oraz możliwych, skutecznych sposobów zabezpieczania się przed tymi zagrożeniami, tj. zadań zawartych w art. 22 ust. 1 pkt 4 ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560 z późn. zm.)?
  • Czy została wyznaczona i zgłoszona do właściwego CSIRT, osoba kontaktowa, o której mowa w art. 21 oraz art. 22 ust. 1 pkt 5 ustawy o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560 z późn. zm.)?

Opis identyfikacji systemu informacyjnego wspierającego zadanie publiczne

  • Czy wszystkie elementy składowe systemu informatycznego zostały zinwentaryzowane?
  • Czy dla każdego systemu informatycznego utrzymywana jest aktualna lista osób odpowiedzialnych za jego bezpieczną eksploatację?

Dokumentacja Systemu Informacyjnego wspierającego zadanie publiczne

  • Czy istnieją raporty z audytów systemów informacyjnych wspierających zadanie publiczne?
  • Czy istnieje dokumentacja architektury zastosowanych zabezpieczeń?
  • Czy istnieje dokumentacja architektury sieci?
  • Czy istnieje baza danych konfiguracji urządzeń aktywnych?
  • Czy istnieje dokumentacja zmian w systemach informacyjnych?
  • Czy istnieje dokumentacja dotycząca monitorowania w trybie ciągłym?
  • Czy są dostępne umowy z dostawcami (wsparcie techniczne)?
  • Czy są zawierane umowy z dostawcami usług z zakresu bezpieczeństwa teleinformatycznego?
  • Czy są wymagane wyniki audytów u dostawców usług bezpieczeństwa teleinformatycznego?
  • Czy jest dostępna i aktualna dokumentacja zabezpieczeń fizycznych i środowiskowych?
  • Czy jest prowadzony rejestr dostępu do dokumentacji systemu informacyjnego?

Dokumentacja procesu zarządzania incydentami

  • Czy wdrożone jest monitorowanie i wykrywanie incydentów? Kto za nie odpowiada? (stanowiska, funkcje itp. – bez danych osobowych)
  • Czy istnieje procedura informowania o wykrytych incydentach?
  • Czy istnieją procedury reagowania na incydenty?

Aspekty techniczne do weryfikacji

Wyniki audytu serwisów WWW z uwzględnieniem:

  • wersji serwera HTTP;
  • wersji systemu CMS (o ile występuje);
  • bezpieczeństwa komunikacji (aktualność certyfikatów X.509, wersja TLS, stosowane algorytmy kryptograficzne itp.);
  • dostępności kompetentnego personelu do utrzymania serwisów.

Wyniki audytu serwisów pocztowych z uwzględnieniem:

  • poprawności wdrożenia mechanizmów SPF, DKIM i DMARC;
  • poprawności i bezpieczeństwa wdrożenia mechanizmów TLS;
  • dostępności kompetentnego personelu do utrzymania serwisów.

Wyniki audytu lokalnych sieci teleinformatycznych z uwzględnieniem:

  • wdrożenia systemów ochrony przed kodem szkodliwym w sposób zapewniający ich automatyczną aktualizację;
  • stosowania mechanizmów segmentacji sieci;
  • izolacji urządzeń końcowych użytkowników;
  • procesu tworzenia i okresowego odtwarzania kopii zapasowych przetwarzanych informacji;
  • monitorowania ruchu wewnątrz sieci w zakresie wykrywania symptomów naruszeń bezpieczeństwa;
  • dostępności kompetentnego personelu do utrzymania infrastruktury sieciowej.

Wyniki audytu połączenia z siecią Internet z uwzględnieniem:

  • monitorowania ruchu wchodzącego i wychodzącego;
  • stosowanych zabezpieczeń przed atakami DDoS;
  • stosowanych zabezpieczeń przed wyciekiem informacji (DLP);
  • stosowanych zabezpieczeń punktu styku (FW, IDS, IPS, WAF itp.);
  • dostępności kompetentnego personelu do utrzymania punktu styku z siecią Internet.

Aspekty organizacyjne do weryfikacji

Wyniki audytu organizacji zarządzania bezpieczeństwem teleinformatycznym z uwzględnieniem:

  • regularnego identyfikowania znanych podatności w eksploatowanych systemach IT;
  • terminowego wprowadzania danych do systemów zarządzania tożsamością i uprawnieniami użytkowników;
  • prowadzenia okresowego przeglądu uprawnień użytkowników;
  • prowadzenia okresowych szkoleń użytkowników podnoszących ich świadomość zagrożeń.

Wyniki audytu procesów planowania z uwzględnieniem:

  • posiadania planów przywracania usług IT na wypadek awarii;
  • prowadzenia przeglądów oraz doskonalenia planów przywracania usług IT;
  • cyklu życia systemów IT i eksploatacji produktów nieposiadających wsparcia producenta.

Konfiguracja firewall oraz urządzeń sieciowych, wdrażanie polityk bezpieczeństwa sieci
zadzwoń: tel. aktualny numer na stronie KONTAKT