LOGNESS
Hazai vállalat, saját, innovatív megoldásokkal, a magyar biztonsági környezetre szabva... Mi így haladunk. A PRAUDIT Kft. 2003 óta a magyar információbiztonsági szektor elkötelezett és innovatív szereplôje. Szolgáltatásaink fejlesztésével, portfóliónk folyamatos bôvítésével igyekszünk megfelelni Ügyfeleink egyre komplexebbé váló igényeinek. Munkánk során fôleg információbiztonsági, informatikai átvilágításokat, sebezhetôségi vizsgálatokat végzünk, alakítunk ki teljes körû szabályozó környezetet, vezetünk be üzletmenetfolytonossági és biztonságtechnikai megoldásokat. Cégünk saját termékek fejlesztésévél kínál költséghatékony, a jogszabályi követelményeknek megfelelô, komplex megoldásokat a magyar piac információbiztonság iránt elkötelezett szereplôinek. Különösen nagy tapasztalattal rendelkezünk naplógyûjtésiés -elemzési rendszerek fejlesztésében, bevezetésében és a rendszerek kiszervezés keretében történô üzemeltetésében. Szakértôink magas szintû szakmai és projekt felkészültsége Cégünknél kiemelt követelmény, ezért mindegyikünk alapelve, hogy ha nyolc óránk van a feladat elvégzésére, hat órát élezzük baltáinkat. (Abraham Lincoln). PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail: praudit@praudit.hu
LOGNESS Amit mástól elvárunk, annak mi is megfelelünk. Cégünk több éve rendelkezik ISO/IEC 27001 minôsítéssel az informatikai audit szolgáltatások nyújtása során hagyományos és elektronikus adathordozókon tárolt és kezelt információ, valamint a kapcsolódó információfeldolgozó eszközök védelme területén. A minôség és védelem magasfokú ötvözeteként, cégünk NATO projektek beszállítójaként is közremûködik a Honvédelmi Minisztérium döntése alapján. A fentiekkel összhangban Cégünk a vonatkozó jogszabályok, valamint a felügyeleti szervek elvárásaiban foglaltak alapján alkalmas kiszervezett informatikai szolgáltatások nyújtására pénzügyi szervezetek részére.
4 Szolgáltatásaink PRAUDIT Informatikai audit és átvilágítás Kiszervezett informatikai ellenôrzések Hatósági informatikai engedélyeztetés Üzletmenetfolytonosság tervezés Informatikai kockázatelemzés Katasztrófaelhárítás tervezése, tesztelése Adatvédelem Központosított naplógyûjtés és elemzés Etikus behatolás tesztelés LOGNESS PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail: praudit@praudit.hu
5 Informatikai audit és átvilágítás, informatikai biztonsági felmérés Az informatikai rendszer biztonságos mûködtetését, a kockázatarányos kontrollkörnyezet kialakítását, és annak független szakértôvel történô auditálását a pénzügyi szervezetek, hitelintézetek, biztosítók, pénztárak, államigazgatási szervek és távközlési szolgáltatók számára ágazati törvények írják elô, melyeknek történô megfelelôséget a felügyeleti szervek rendszeresen ellenôrzik. Az informatikai auditálás és az informatikai biztonsági átvilágítás célja, a kockázatok teljes körû feltárása révén az informatikai rendszer sebezhetôségének csökkentése, a szervezet információs vagyonának védelme, valamint a jogszabályi követelményeknek, felügyeleti és piaci elvárásoknak való megfelelés biztosítása. Ügyfeleink között van, aki mélyre ható biztonságot kíván, van aki gyors megfelelôséget, van aki hiteles, szakértôi támogatást szeretne elképzelt projektjeihez. Erre alapozva kell elindulni, felmérni a szervezet informatikai kontrolljait, folyamatait és rendszereit, valamint azonosítani a hiányosságokból fakadó kockázatokat. Az audit eredményeit a célokat támogató, átlátható, könnyen értelmezhetô és megoldási javaslatokat is tartalmazó írásos dokumentációban kell rögzíteni, alapot képezve az azonnali intézkedések megtételéhez, intézkedési tervek elkészítéséhez.
6 Kiszervezett informatikai ellenôrzések, biztonsági tevékenységek Azoknak, akik Ügyfeleinkhez hasonlóan elkötelezték magukat a hatékony információbiztonság megvalósítása mellett, gondoskodniuk kell az informatikai rendszer biztonságos mûködtetését felügyelô informatikai ellenôrzô rendszer kiépítésérôl és annak folyamatos mûködtetésérôl. Kisebb szervezetnél erre sok esetben nincs humán erôforrás, nagyobb szervezetnél pedig a feladat összetettsége haladhatja meg az adott IT szervezet teljesítôképességét. A kontroll-követelmények bevezetése, gyakorlatban történô érvényesülésének biztosítása, a megfelelôség teljes körû megvalósítása és folyamatosan megfelelô szinten tartása túlságosan nagy terhet jelent a szervezetek számára. Ezen problémára kínál hatékony megoldást az informatikai ellenôrzések, informatikai tevékenységek külsô partner bevonásával történô végrehajtása. Cégünk bevonása lehetôség a hiányzó információbiztonsági szakértelem pótlására, az informatikai biztonsági felelôs törvény által rendelt feladatainak megvalósítására ott, ahol ez túl kevés vagy túl sok egy embernek. Cégünk számos pénzügyi szervezetnél évek óta sikeresen cipeli a keresztet, mely során feltárt és könyörtelenül befoltozott minden útjába került biztonsági hiányosságot. PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail: praudit@praudit.hu
7 IBF kiszervezve IT-szabályzatok elkészítése, naprakészen tartása Folyamatba épített ellenôrzések elvégzése Jogszabályi megfelelôség biztosítása Complience- és sérülékenység vizsgálatok Kiszervezések, ellenôrzések IT-kockázatértékelés Általános tanácsadás Biztonsági incidensek kivizsgálása Információbiztonsági oktatások
8 Üzletmenet-folytonosság és informatikai katasztrófaelhárítás tervezés Ez bizony az egyik legösszetettebb feladat, itt tényleg mindenkit be kell vonni: üzleti területek, IT, menedzsment, külsô szolgáltatók. Mindent át kell vizsgálni: folyamatok, informatikai rendszerek, szerzôdések, SLA-k, stb. Ugyanakkor minden szervezet legalapvetôbb érdeke az üzletmenet folyamatos fenntartása, a folyamatos mûködésre kisebb-nagyobb mértékû kockázatot jelentô eseményekre (hosszabb idejû áramkimaradás, hacker támadás, vasutassztrájk, stb.) való felkészülés. A feladat nem válaszható el az informatikai kockázatelemzéstôl, amelybôl sok, gyakorlatban használthatót nem könnyen talál a lelkes auditor a magyar piacon. Az évek során saját gyakorlatunkból megtanultuk, hogy a megfelelô szabályokat, folyamatokat, elemzéseket és terveket kizárólag alulról építkezve lehet felépíteni, koncepcionálisan szemlélve az elôttünk álló feladatokat. A tervezés hatékony megvalósítása érdekében saját módszertant alakítottunk ki, mely biztosítja a felmérések egységes és hangsúlyozottan átlátható megvalósítását. PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail: praudit@praudit.hu
9 ÜZLETMENET- FOLYTONOSSÁG Üzleti folyamatok és azok függôségeinek felmérése Folyamatok osztályozása Folyamatok kiesési hatásainak elemzése Folyamatok fenyegetettségeinek elemzése Felvállalt és kezelendô kockázatok azonosítása Védelmi intézkedések tervezése Maradványkockázatok tervezése és azonosítása Üzletmenet-folytonossági tervek elkészítése Üzletmenet-folytonosság tervek tesztelése INFORMATIKAI KATASZTRÓFA-ELHÁRÍTÁS Informatikai alkalmazáseszköz mátrix elkészítése Kritikus informatikai erôforrások azonosítása Fenyegetettségek elemzése Felvállalt és kezelendô kockázatok azonosítása Védelmi intézkedések tervezése Maradványkockázatok tervezése és azonosítása Katasztrófa-elhárítási tervek elkészítése Katasztrófa-elhárítási tervek tesztelése
10 Webes, általános külsô és belsô sebezhetôségi tesztelés A webalkalmazás biztonság napjaink egyik legnagyobb kihívása. Ahogy a világ egyre nagyobb része kapcsolódik szorosan egymásba mind nagyobb sávszélességgel, ez a kihívás úgy válik inkább kritikusabbá. Azok a szervezetek, akik tûzfalakba, behatolás érzékelô rendszerekbe (IDS) és egyéb biztonsági termékekbe ruháznak be, úgy érzékelik, hogy még mindig sebezhetôek a webalkalmazásokra irányuló támadásokkal szemben. Ugyanakkor sok esetben a támadás nem is kívülrôl ér minket, vagy nem áll meg a kapuknál, hanem belsô infrastruktúránk és hálózatunk gyengeségeit kihasználva veszítünk ellene ott, ahol legjobban fáj... saját kapuinkon belül. Szakembereink szimulált támadások végrehajtásával azért dolgoznak, hogy feltárják a számítógépes rendszer vagy hálózat biztonságának hiányosságait. A webalkalmazás tesztekhez az OWASP (Open Web Application Security Project) javaslatait, mint módszertant alkalmazzuk. A belsô penetrációs tesztelés egy hálózat belsô, internet felôl nem elérhetô, elzárt részét veszi tesztelés alá. A tesztelés a hálózaton lévô gépek, munkaállomások, szerverek és más egyéb eszközök identitásának felderítésével kezdôdik, majd különféle felderítô módszerekkel folytatódik. A tesztelés célja olyan sebezhetôségek találása, amikkor nem engedélyezett, jogosultságot igénylô folyamatokat indíthatunk el, illetve privilégium szint emelést tudunk elôidézni. Domain Contro trollel r (PR-Au -Audit dit) Pol icy A Pe nt eszt ren dszer PR-Audit Kft ft. Internet A penteszter PenTeszt szerveren do lgo zik Távoli aszta ztal (RPD) Terminal Services (RD P) SSH klien ens SSH Gatewa eway (PR-Audit dit) SSH Tunnel SSH Gateway (megrendelô oldal) PenTeszt szerver (megrendelô oldal) Pen Teszt zter PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail: praudit@praudit.hu Az RDP szerveren a policyk mia tt csak az SSH klienst lehet et eli ndítani. Adatok kimásolásár sára m ég copy-paste szinten n sincs lehetôség. Az SSHS kliens módosítva lett, t, kizárólag a PenTeszt Szer- verhez lehet kapcsolódni az SSH tunn el helyi portján ke- resztül. SSH privát kulcs PR-Audit Megrendelô SSH publikus kulcs A megrendelô INTRANET-je
11 Hatósági informatikai engedélyeztetés, vizsgálati felkészítés A hatósági informatikai engedély megszerzésénél kiemelkedôen nagy hangsúly esik az adott szervezet informatikai rendszerének felkészültségére, fejlôdési irányára. A jogszabályi rendelkezéseknek történô megfelelôséget a felügyeleti szervek minden esetben mélyre hatóan értékelik. A jogszabályi elôírásoknak nem megfelelôen mûködô informatikai rendszerrel a minôsítés megszerzése, valamint a mûködés fenntartása elképzelhetetlen. A felkészítés során elvégezzük Ügyfeleink informatikai rendszerének átvilágítását, az informatikai rendszer hiányosságainak és az ezekbôl fakadó biztonsági kockázatok teljes körû feltárását. A hiányosságok javaslataink alapján történô kijavításával egyidôben meghatározzuk a szervezet ekvivalens mûködéséhez szükséges kockázatarányos kontrollkörnyezetet, valamint az informatikai engedélyeztetéshez szükséges módosítások, fejlesztések és beszerzések pontos körét, tekintettel a szervezet erôforrásaira.
4 Központosított naplóelemzés a magyar piaci igényekre szabva Az ajánlatkérô célja a log gyûjtô és log elemzô szoftver bevezetésével megvalósítani alkalmazások és rendszerek naplóinak egységes gyûjtését, elemezhetôségét elsôsorban biztonsági szempontból, az alábbiak szerint: naplóállományok hiteles gyûjtése, tárolása, a rendszerek adataihoz való hozzáférések, tevékenységek visszakereshetôségének biztosítása, az adatok illetéktelenekhez való jutásának felderíthetôsége, riasztások biztosítása, biztonsági incidensek azonnali feltárása, biztonsági vizsgálatok hatékony támogatása, riportok generálása a naplóállományok alapján, információvédelmi incidensek biztonsági vizsgálatának gyorsítása adminisztrációs kötelezettségek nyomon követhetôsége, a hiányosságok, anomáliák gyors feltárása. törvényi megfelelôség biztosítása. Viszont be Cégünk által, a magyar piaci igények maximális figyelembe vételével fejlesztett LOGNESS naplóértékelô keretrendszer könnyen implementálható, költséghatékony megoldást kínál a fenti ajánlatkérô által szinte tökéletesen meghatározott, érdemi naplóértékelést célul kitûzô szervezetek számára. A követelményeknek megfelelô LOGNESS keretrendszer koncepcionális bevezetése, a naplóértékelés tudatos és célzott használata nagymértékben járul hozzá a szervezet információbiztonságának növeléséhez. PR-AUDIT Kft. 1145 Budapest, Szent Tamás u. 4. Tel.: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail: praudit@praudit.hu
5 Központosított naplógyûjtési és értékelési rendszerek kialakítása A PRAUDIT a piacon egyedülálló módon a naplógyûjtés és naplóértékelés teljes körû, koncepcionális megvalósítását kínálja. Szolgáltatásaink nem csupán a vonatkozó jogszabályok egyes rendelkezéseinek való megfelelést szolgálják, hanem Ügyfeleink és a piac elvárásainak megfelelve lefedik a naplógyûjtés és értékelés koncepcionális meghatározását, a szabályozó környezet, a hiteles naplógyûjtési és tárolási rendszer kialakítását, valamint az érdemi értékelés megvalósítását. Az érdemi értékelés kialakítása során kiemelt célkitûzésünk a riportok, elemzések és riasztások eredményeinek integrálása Ügyfeleink kontrollfolyamatai közé. Segítséget nyújtunk: is kell vezetni! a naplózásba bevont rendszerek meghatározásához, a naplózandó események és szükséges audit beállítások tételes definiálásához, a kritikus események és kritikussági szintek meghatározásához, a korelációs szabályok, sablonok és riasztások kialakításához, a naplóelemzési riportstruktúra felépítéséhez, elôre definiált törvényi megfelelôséget (Hpt., ISO 27001, SOX) biztosító naplóelemzési riportok elkészítéséhez, naplóelemzés kontrollkörnyezetbe illesztéséhez. LOGNESS
www.praudit.hu 2010 Ezen in for má ci ós anyag tar tal ma a PR-AUDIT Kft. szel le mi ter mé ke. Má so lá sa, sok szo ro sí tá sa vagy elekt ro ni kus mé di ák ba tör ténô át vé te le egé szé ben és ki vo na to san is csak a jogtulajdonosok engedélyével történhet.
1145 Budapest, Szent Tamás u. 4. Telefon: +36 (1) 789-9323 Fax: +36 (1) 220-4610 E-mail: praudit@praudit.hu web: www.praudit.hu