LOGNESS
Hazai vállalat, saját, innovatív megoldásokkal, a magyar biztonsági környezetre szabva... LOGNESS Mi így haladunk. A PRAUDIT Kft. 2003 óta a magyar információbiztonsági szektor elkötelezett és innovatív szereplôje. Szolgáltatásaink fejlesztésével, portfóliónk folyamatos bôvítésével igyekszünk megfelelni Ügyfeleink egyre komplexebbé váló igényeinek. Munkánk során fôleg információbiztonsági, informatikai átvilágításokat, sebezhetôségi vizsgálatokat végzünk, alakítunk ki teljes körû szabályozó környezetet, vezetünk be üzletmenetfolytonossági és biztonságtechnikai megoldásokat. Cégünk saját termékek fejlesztésévél kínál költséghatékony, a jogszabályi követelményeknek megfelelô, komplex megoldásokat a magyar piac információbiztonság iránt elkötelezett szereplôinek. Különösen nagy tapasztalattal rendelkezünk naplógyûjtésiés -elemzési rendszerek fejlesztésében, bevezetésében és a rendszerek kiszervezés keretében történô üzemeltetésében. Szakértôink magas szintû szakmai és projekt felkészültsége Cégünknél kiemelt követelmény, ezért mindegyikünk alapelve, hogy ha nyolc óránk van a feladat elvégzésére, hat órát élezzük baltáinkat. (Abraham Lincoln). Amit mástól elvárunk, annak mi is megfelelünk. Cégünk több éve rendelkezik ISO/IEC 27001 minôsítéssel az informatikai audit szolgáltatások nyújtása során hagyományos és elektronikus adathordozókon tárolt és kezelt információ, valamint a kapcsolódó információfeldolgozó eszközök védelme területén. A minôség és védelem magasfokú ötvözeteként, cégünk NATO projektek beszállítójaként is közremûködik a Honvédelmi Minisztérium döntése alapján. Cégünk sikeres nemzetbiztonsági ellenôrzés eredményeként megfelel a 143/2004. évi Kormányrendeletben foglalt biztonsági feltételeknek. A fentiekkel összhangban Cégünk a vonatkozó jogszabályok, valamint a felügyeleti szervek elvárásaiban foglaltak alapján alkalmas kiszervezett informatikai szolgáltatások nyújtására pénzügyi szervezetek részére.
4 5 Szolgáltatásaink Informatikai audit és átvilágítás, informatikai biztonsági felmérés PRAUDIT Az informatikai rendszer biztonságos mûködtetését, a kockázatarányos kontrollkörnyezet kialakítását, és annak független szakértôvel történô auditálását a pénzügyi szervezetek, hitelintézetek, biztosítók, pénztárak, államigazgatási szervek és távközlési szolgáltatók számára ágazati törvények írják elô, melyeknek történô megfelelôséget a felügyeleti szervek rendszeresen ellenôrzik. Informatikai audit és átvilágítás Kiszervezett informatikai ellenôrzések Adatvédelem Hatósági informatikai engedélyeztetés Központosított naplógyûjtés és elemzés Üzletmenetfolytonosság tervezés Informatikai kockázatelemzés Katasztrófaelhárítás tervezése, tesztelése Az informatikai auditálás és az informatikai biztonsági átvilágítás célja, a kockázatok teljes körû feltárása révén az informatikai rendszer sebezhetôségének csökkentése, a szervezet információs vagyonának védelme, valamint a jogszabályi követelményeknek, felügyeleti és piaci elvárásoknak való megfelelés biztosítása. Ügyfeleink között van, aki mélyre ható biztonságot kíván, van aki gyors megfelelôséget, van aki hiteles, szakértôi támogatást szeretne elképzelt projektjeihez. Erre alapozva kell elindulni, felmérni a szervezet informatikai kontrolljait, folyamatait és rendszereit, valamint azonosítani a hiányosságokból fakadó kockázatokat. Az audit eredményeit a célokat támogató, átlátható, könnyen értelmezhetô és megoldási javaslatokat is tartalmazó írásos dokumentációban kell rögzíteni, alapot képezve az azonnali intézkedések megtételéhez, intézkedési tervek elkészítéséhez. LOGNESS Etikus behatolás tesztelés
6 7 Kiszervezett informatikai ellenôrzések, biztonsági tevékenységek IBF kiszervezve Azoknak, akik Ügyfeleinkhez hasonlóan elkötelezték magukat a hatékony információbiztonság megvalósítása mellett, gondoskodniuk kell az informatikai rendszer biztonságos mûködtetését felügyelô informatikai ellenôrzô rendszer kiépítésérôl és annak folyamatos mûködtetésérôl. Kisebb szervezetnél erre sok esetben nincs humán erôforrás, nagyobb szervezetnél pedig a feladat összetettsége haladhatja meg az adott IT szervezet teljesítôképességét. A kontroll-követelmények bevezetése, gyakorlatban történô érvényesülésének biztosítása, a megfelelôség teljes körû megvalósítása és folyamatosan megfelelô szinten tartása túlságosan nagy terhet jelent a szervezetek számára. Ezen problémára kínál hatékony megoldást az informatikai ellenôrzések, informatikai tevékenységek külsô partner bevonásával történô végrehajtása. Cégünk bevonása lehetôség a hiányzó információbiztonsági szakértelem pótlására, az informatikai biztonsági felelôs törvény által rendelt feladatainak megvalósítására ott, ahol ez túl kevés vagy túl sok egy embernek. Jogszabályi megfelelôség biztosítása Folyamatba épített ellenôrzések elvégzése IT-szabályzatok elkészítése, naprakészen tartása Cégünk számos pénzügyi szervezetnél évek óta sikeresen cipeli a keresztet, mely során feltárt és könyörtelenül befoltozott minden útjába került biztonsági hiányosságot. Complience- és sérülékenység vizsgálatok Kiszervezések, ellenôrzések IT-kockázatértékelés Általános tanácsadás Biztonsági incidensek kivizsgálása Információbiztonsági oktatások
8 9 Üzletmenet-folytonosság és informatikai katasztrófaelhárítás tervezés Ez bizony az egyik legösszetettebb feladat, itt tényleg mindenkit be kell vonni: üzleti területek, IT, menedzsment, külsô szolgáltatók. Mindent át kell vizsgálni: folyamatok, informatikai rendszerek, szerzôdések, SLA-k, stb. Ugyanakkor minden szervezet legalapvetôbb érdeke az üzletmenet folyamatos fenntartása, a folyamatos mûködésre kisebb-nagyobb mértékû kockázatot jelentô eseményekre (hosszabb idejû áramkimaradás, hacker támadás, vasutassztrájk, stb.) való felkészülés. A feladat nem válaszható el az informatikai kockázatelemzéstôl, amelybôl sok, gyakorlatban használthatót nem könnyen talál a lelkes auditor a magyar piacon. Az évek során saját gyakorlatunkból megtanultuk, hogy a megfelelô szabályokat, folyamatokat, elemzéseket és terveket kizárólag alulról építkezve lehet felépíteni, koncepcionálisan szemlélve az elôttünk álló feladatokat. A tervezés hatékony megvalósítása érdekében saját módszertant alakítottunk ki, mely biztosítja a felmérések egységes és hangsúlyozottan átlátható megvalósítását. ÜZLETMENET- FOLYTONOSSÁG Üzleti folyamatok és azok függôségeinek felmérése Folyamatok osztályozása Folyamatok kiesési hatásainak elemzése Folyamatok fenyegetettségeinek elemzése Felvállalt és kezelendô kockázatok azonosítása Védelmi intézkedések tervezése Maradványkockázatok tervezése és azonosítása Üzletmenet-folytonossági tervek elkészítése Üzletmenet-folytonosság e tervek tesztelése INFORMATIKAI KATASZTRÓFA-ELHÁRÍTÁS Informatikai alkalmazáseszköz mátrix elkészítése Kritikus informatikai erôforrások azonosítása Fenyegetettségek elemzése Felvállalt és kezelendô kockázatok azonosítása Védelmi intézkedések tervezése Maradványkockázatok tervezése és azonosítása Katasztrófa-elhárítási tervek elkészítése Katasztrófa-elhárítási tervek tesztelése
10 11 Webes, általános külsô és belsô sebezhetôségi tesztelés Hatósági informatikai engedélyeztetés, vizsgálati felkészítés A webalkalmazás biztonság napjaink egyik legnagyobb kihívása. Ahogy a világ egyre nagyobb része kapcsolódik szorosan egymásba mind nagyobb sávszélességgel, ez a kihívás úgy válik inkább kritikusabbá. Azok a szervezetek, akik tûzfalakba, behatolás érzékelô rendszerekbe (IDS) és egyéb biztonsági termékekbe ruháznak be, úgy érzékelik, hogy még mindig sebezhetôek a webalkalmazásokra irányuló támadásokkal szemben. Ugyanakkor sok esetben a támadás nem is kívülrôl ér minket, vagy nem áll meg a kapuknál, hanem belsô infrastruktúránk és hálózatunk gyengeségeit kihasználva veszítünk ellene ott, ahol legjobban fáj... saját kapuinkon belül. Szakembereink szimulált támadások végrehajtásával azért dolgoznak, hogy feltárják a számítógépes rendszer vagy hálózat biztonságának hiányosságait. A webalkalmazás tesztekhez az OWASP (Open Web Application Security Project) javaslatait, mint módszertant alkalmazzuk. A belsô penetrációs tesztelés egy hálózat belsô, internet felôl nem elérhetô, elzárt részét veszi tesztelés alá. A tesztelés a hálózaton lévô gépek, munkaállomások, szerverek és más egyéb eszközök identitásának felderítésével kezdôdik, majd különféle felderítô módszerekkel folytatódik. A tesztelés célja olyan sebezhetôségek találása, amikkor nem engedélyezett, jogosultságot igénylô folyamatokat indíthatunk el, illetve privilégium szint emelést tudunk elôidézni. Domain Contro trollel r (PR-Au -Audit dit) Pol icy A Pe nt eszt ren dszer PR-Audit Kft ft. Internet A penteszter PenTeszt szerveren do lgo zik A hatósági informatikai engedély megszerzésénél kiemelkedôen nagy hangsúly esik az adott szervezet informatikai rendszerének felkészültségére, fejlôdési irányára. A jogszabályi rendelkezéseknek történô megfelelôséget a felügyeleti szervek minden esetben mélyre hatóan értékelik. A jogszabályi elôírásoknak nem megfelelôen mûködô informatikai rendszerrel a minôsítés megszerzése, valamint a mûködés fenntartása elképzelhetetlen. A felkészítés során elvégezzük Ügyfeleink informatikai rendszerének átvilágítását, az informatikai rendszer hiányosságainak és az ezekbôl fakadó biztonsági kockázatok teljes körû feltárását. A hiányosságok javaslataink alapján történô kijavításával egyidôben meghatározzuk a szervezet ekvivalens mûködéséhez szükséges kockázatarányos kontrollkörnyezetet, valamint az informatikai engedélyeztetéshez szükséges módosítások, fejlesztések és beszerzések pontos körét, tekintettel a szervezet erôforrásaira. Távoli aszta ztal (RPD) Terminal Services (RD P) SSH klien ens SSH Gatewa eway (PR-Audit dit) SSH Tunnel SSH Gateway (megrendelô oldal) PenTeszt szerver (megrendelô oldal) Pen Teszt zter Az RDP szerveren a policyk mia tt csak az SSH klienst lehet et eli ndítani. Adatok kimásolásár sára m ég copy-paste szinten n sincs lehetôség. Az SSHS kliens módosítva lett, t, kizárólag a PenTeszt Szer- verhez lehet kapcsolódni az SSH tunn el helyi portján ke- resztül. SSH privát kulcs PR-Audit Megrendelô SSH publikus kulcs A megrendelô INTRANET-je
4 Központosított naplóelemzés a magyar piaci igényekre szabva PSZÁF által többszörösen auditált megoldás! Központosított naplógyûjtési és értékelési rendszerek kialakítása 5 Az ajánlatkérô célja a log gyûjtô és log elemzô szoftver bevezetésével megvalósítani alkalmazások és rendszerek naplóinak egységes gyûjtését, elemezhetôségét elsôsorban biztonsági szempontból, az alábbiak szerint: naplóállományok hiteles gyûjtése, tárolása, a rendszerek adataihoz való hozzáférések, tevékenységek visszakereshetôségének biztosítása, az adatok illetéktelenekhez való jutásának felderíthetôsége, riasztások biztosítása, biztonsági incidensek azonnali feltárása, biztonsági vizsgálatok hatékony támogatása, riportok generálása a naplóállományok alapján, információvédelmi incidensek biztonsági vizsgálatának gyorsítása adminisztrációs kötelezettségek nyomon követhetôsége, a hiányosságok, anomáliák gyors feltárása. törvényi megfelelôség biztosítása. Cégünk által, a magyar piaci igények maximális figyelembe vételével fejlesztett LOGNESS naplóértékelô keretrendszer könnyen implementálható, költséghatékony megoldást kínál a fenti ajánlatkérô által szinte tökéletesen meghatározott, érdemi naplóértékelést célul kitûzô szervezetek számára. Viszont be A PRAUDIT a piacon egyedülálló módon a naplógyûjtés és naplóértékelés teljes körû, koncepcionális megvalósítását kínálja. Szolgáltatásaink nem csupán a vonatkozó jogszabályok egyes rendelkezéseinek való megfelelést szolgálják, hanem Ügyfeleink és a piac elvárásainak megfelelve lefedik a naplógyûjtés és értékelés koncepcionális meghatározását, a szabályozó környezet, a hiteles naplógyûjtési és tárolási rendszer kialakítását, valamint az érdemi értékelés megvalósítását. Az érdemi értékelés kialakítása során kiemelt célkitûzésünk a riportok, elemzések és riasztások eredményeinek integrálása Ügyfeleink kontrollfolyamatai közé. Segítséget nyújtunk: is kell vezetni! a naplózásba bevont rendszerek meghatározásához, a naplózandó események és szükséges audit beállítások tételes definiálásához, a kritikus események és kritikussági szintek meghatározásához, a korelációs szabályok, sablonok és riasztások kialakításához, a naplóelemzési riportstruktúra felépítéséhez, elôre definiált törvényi megfelelôséget (Hpt., ISO 27001, SOX) biztosító naplóelemzési riportok elkészítéséhez, naplóelemzés kontrollkörnyezetbe illesztéséhez. A követelményeknek megfelelô LOGNESS keretrendszer koncepcionális bevezetése, a naplóértékelés tudatos és célzott használata nagymértékben járul hozzá a szervezet információbiztonságának növeléséhez. LOGNESS
Telefon: +36 (1) 789-9323 web: www.praudit.hu