Embed Size (px)
Citation preview
Cuprins
1. iSEC
2. Portofoliu servicii
1. Servicii de consultanta
A. IT & Security GovernanceB. IT GovernanceC. Security Governance
2. Servicii de audit
a) Servicii de audit de conformitate cu reglementarile din Romaniab) Serviciile de audit de conformitate cu standardele internationale
3. Servicii de evaluare a securitatii
i. Servicii de evaluare a securitatii retelelor si a infrastructurilor de comunicatiiii. Servicii de evaluare a securitatii aplicatiilor softwareiii. Servicii de evaluare a securitatii a bazelor de dateiv. Servicii de evaluare a securitatii fizicev. Servicii de tip Penetration Testingvi. Servicii de tip Digital Forensics
3. Beneficiile obtinute prin apelarea la serviciile iSEC
iSEC este una dintre cele mai importante divizii ale ProVision IT Group, dedicata furnizarii de
servicii specializate de consultanta, audit si evaluare in domeniul securitatii informatiei.
Misiunea iSEC este de a asigura in permanenta suportul necesar clientilor sai, indiferent de
marimea sau de domeniul de activitate al acestora, pentru indeplinirea obiectivelor strategice de
Security Governance si IT Governance.
1. iSEC
Beneficiile obtinute de catre partener in urma colaborarii cu iSEC sunt de natura sa
pregateasca organizatia pentru situatii in care activitatea ar putea fi temporar inchisa sau
restransa.
Elemente reprezentative ale iSEC:
1. Obiectivitate;
2. Independenta;
3. Etica;
4. Adaptare la nevoile si obiectivele clientului;
5. Valoare adaugata;
6. Expertiza si certificare;
7. Transfer de cunostinte si bune practici;
8. Sinergie perfecta intre strategia de business a clientului si practicile si serviciile isec ;
9. Perfectionare si imbunatatire continua.
1. iSEC
2. Portofoliu servicii - Servicii de consultanta
Procesul de implementare a unui sistem de guvernare asigura suportul necesar oricarui business prin:
Standardizarea proceselor; Simplificarea si eficientizarea operatiilor; Alinierea la prioritatile si obiectivele business-ului; Prioritizarea investitiilor si reducerea costurilor.
A. IT & Security Governance
Finalitatea implementarii unui sistem de guvernare pentru client o reprezinta transformarea
operatiunilor legate de IT si de Securitatea Informatiei in procese:
repetabile,
bine definite si documentate,
masurabile si consistente pentru a conduce la o calitate predictibila a
rezultatelor procesarii si utilizarii informatiei.
Specialistii iSEC va propun servicii cu livrabile certe si rezultate cuantificabile,
etapizate corespunzator nivelurilor de maturitate a proceselor organizatiei client.
2. Portofoliu servicii - Servicii de consultanta
B. IT Governance
Procesul de IT Services Management sustine organizatiile IT in: standardizarea proceselor, simplificarea operatiilor, alinierea IT-ului la cerintele de business si managementul costurilor.
Serviciile livrate de consultantii isec acopera:
Imbunatatirea proceselor IT; Stabilirea de metrici (KPI); Masurarea nivelului de maturitate; Elaborarea de politici si proceduri; Managementul proiectelor IT; Managementul configuratiilor; Managementul schimbarii; Standardizarea serviciilor.
2. Portofoliu servicii - Servicii de consultanta
Prin serviciile de consultanta oferite de specialistii isec , clientii pot:
obtine o imagine clara asupra cerintelor de securitate,
identifica reglementari si standarde obligatorii pentru domeniul lor de activitate
primi recomandari pentru implementarea de solutii efective pentru a raspunde
atacurilor informatice.
B. IT Governance
2. Portofoliu servicii - Servicii de consultanta
C. Security Governance
Serviciile din sfera Security Governance sunt bazate pe cele mai bune practici de
reducere a riscurilor de securitate si de indeplinire a cerintelor de conformitate pentru
fiecare business.
Directiile serviciilor din sfera Security Governance:
Evaluarea diferentelor intre cerintele ISO 27001 si situatia actuala din organizatie
(Gap Analysis);
Analiza de impact asupra afacerii (Business Impact Analysis);
Evaluarea si Managementul riscurilor (Risk Assessment si Risk Management);
Implementarea unui proces de management al continuitatii afacerii
(Business Continuity Management);
Implementarea unui proces de management al raspunsului la incidente
(Incident Response Management);
Dezvoltarea de politici si proceduri specifice de securitate;
Pre-assessment in vederea auditului de certificare.
2. Portofoliu servicii - Servicii de audit
Auditul de conformitate presupune in esenta verificarea controalelor de securitate aplicate de
o organizatie in vederea alinierii la anumite cerinte legislative, reglementari specifice sau
standarde nationale si internationale.
Misiunea de audit are la baza verificarea respectarii cerintelor si specificatiilor cuprinse in
aceste reglementari si standarde, precum si a recomandarilor din ghiduri si standarde de audit
aplicabile.
Rolul auditorului iSEC :
de a audita efectiv sistemele si controalele implementate
de a comunica managementului entitatii auditate o serie de constatari si
recomandari sociate, identificate in urma auditului,
de a il face sa inteleaga si sa accepte aspectele semnalate in urma auditului
de a parcurge impreuna cu managementului entitatii auditate planul de masuri
de remediere, atunci cand este cazul.
2. Portofoliu servicii - Servicii de audit
a) Servicii de audit de conformitate cu reglementarile din Romania
Ordinul MCTI nr. 389 din 27 iunie 2007 privind procedura de avizare a
instrumentelor de plata cu acces la distanta
Ordinul MF nr. 1077 din 6 august 2003 privind conditiile in care se pot edita
facturile fiscale intr-un singur exemplar, cu regim special de tiparire, inseriere si
numerotare, utilizate in activitatea financiara si contabila
Legea nr. 455 din 18 iulie 2001 privind semnatura electronica
Normele BNR-TRANSFOND vers. 2 din 10.05.2008 privind cerintele pentru
certificarea tehnica a participantilor la Sistemul Electronic de Plati (SEP)
Decizia ANC nr. 888 din 01 octombrie 2008 privind procedura de verificare si
omologare a sistemelor informatice destinate operatiunilor de emitere a facturilor in
forma electronica
b) Serviciile de audit de conformitate cu standardele internationale
Serviciile propuse de auditorii iSEC acopera:
Standardul ISO 27001:2005
Standardul ISO 20000-1:2005
Standardul BS 25999
Standardul ISO 18044:2004
Standardul PCI DSS
Framework- ul COBIT
2. Portofoliu servicii - Servicii de audit
i. Servicii de evaluare a securitatii retelelor si a infrastructurilor de comunicatii
Se identifica toate caile de acces in retea precum si securitatea acestor cai de acces, atat din
exteriorul retelei cat si din interior.
Se evalueaza:
prezenta serviciilor care nu sunt necesare,
vulnerabilitatile specifice fiecarei platforme,
erori de configurare,
aplicarea patch-urilor de securitate,
practicile de mentenanta a retelei si functionalitatea acesteia.
2. Portofoliu servicii - Servicii de evaluare a securitatii
i. Servicii de evaluare a securitatii retelelor si a infrastructurilor de comunicatii
Raportul final rezultat in urma evaluarii contine:
informatii clare despre fiecare problema existenta sau potentiala intalnita
solutii de remediere recomandate de specialistii isec.
Solutiile recomandate sunt bazate pe:
cele mai bune practici ale furnizorilor de echipamente si tehnologii de retea,
cele mai bune practici de securitate,
rezultate din vasta experienta acumulata in domeniul tehnologiilor de
infrastructura implementate in cadrul unor proiecte complexe.
2. Portofoliu servicii - Servicii de evaluare a securitatii
Se realizeaza
folosind cele mai recente tipuri de atacuri
urmand rolurile si privilegiile de acces specifice aplicatiilor respective.
Vulnerabilitatile descoperite sunt documentate riguros, evidentiind posibilele cauze si remediile
asociate, impreuna cu impactul de business pe care il pot produce.
O abordare unica a acestui serviciu va permite testarea modului in care sunt remediate
aceste vulnerabilitati, pentru a va putea oferi gradul de siguranta dorit si certitudinea
rezultatelor obtinute prin utilizarea aplicatiilor de business.
Acest serviciu va poate fi foarte util si pentru demonstrarea conformitatii
cu diverse standarde si cerinte de reglementare.
ii. Servicii de evaluare a securitatii aplicatiilor software
2. Portofoliu servicii - Servicii de evaluare a securitatii
Rolul evaluarii securitatii bazelor de date este de a identifica slabiciunile, amenintarile si bresele
de securitate ce ar putea fi exploatate la un moment dat de utilizatori rau intentionati din
interiorul organizatiei sau de atacatori externi.
Vulnerabilitatile astfel exploatate pot conduce la:
pierderea sau alterarea informatiilor vitale,
fraude financiare majore
probleme de imagine.
iii. Servicii de evaluare a securitatii bazelor de date
2. Portofoliu servicii - Servicii de evaluare a securitatii
Procesul de evaluare consta intr-o serie de teste standardizate, sustinute in functie de
specificul fiecarei baze de date, pentru descoperirea atat a vulnerabilitatilor ce pot afecta bazele
de date cat si a aplicatiilor care depind de aceste baze de date.
In urma procesului de evaluare obtineti
o imagine a potentialului impact asupra business-ului pe care il pot provoca
aceste slabiciuni
un plan de remediere si de testare a eficientei aplicarii masurilor de securitate
iii. Servicii de evaluare a securitatii bazelor de date
2. Portofoliu servicii - Servicii de evaluare a securitatii
Astfel puteti defasura activitatile de business in siguranta si
sa indepliniti mai usor cerintele de conformitate cu diverse standarde si reglementari.
Metodologia de evaluare a securitatii fizice cuprinde:
Evaluarea securitatii cladirilor si a zonelor de securitate
Evaluarea implementarii politicilor de securitate privind personalul companiei /
vizitatori /contractori externi
Evaluarea securitatii fizice a echipamentelor IT
Evaluarea securitatii datelor clasificate
iv. Servicii de evaluare a securitatii fizice
2. Portofoliu servicii - Servicii de evaluare a securitatii
Serviciul se desfasoara cu autorizarea reprezentantilor organizatiei client si se finalizeaza cu
un raport ce contine sugestii de remediere dar si informatii utile pentru instruirea
angajatilor astfel incat sa conduca la o atitudine proactiva si la implicarea intregului personal
in tratarea acestui aspect important pentru activitatea oricarei organizatii.
Obiectivul principal al unui test de penetrare este de a identifica felul in care poate fi
exploatata orice vulnerabilitate de securitate a unui sistem, acesta fiind evaluat din perspectiva
unui hacker.
Testul determina daca se pot exploata cu succes vulnerabilitatile descoperite si daca da, ce
impact pot produce asupra bunului mers al organizatiei.
Analiza se realizeaza intr-un mediu controlat, cu aplicatii si activitati specializate folosite in
general de hackeri.
Testele propuse de isec sunt realizate de specialisti cu standarde inalte de etica
profesionala, certificati pe plan international (Certified Ethical Hacker) de catre International
Council of E-Commerce.
V. Servicii de tip Penetration Testing
2. Portofoliu servicii - Servicii de evaluare a securitatii
Analiza riscului de penetrare cuprinde: teste de penetrare la nivel de retea - al caror obiectiv este de a testa
infrastructura de retea si a serverelor, teste de penetrare la nivel de aplicatii - al caror obiectiv este de a evalua modul in
care pot in mod rauvoitor serviciile active ale aplicatiilor.
Testele pot fi efectuate atat in interiorul organizatiei cat si din exteriorul acesteia (prin Internet),
avand cunostinte anterioare legate de infrastructura (white box testing) sau fara nici o informatie
legata de sistemul testat (black box testing).
In urma serviciilor de Penetration Testing efectuate de specialistii isec veti avea o imagine clara
asupra vulnerabilitatilor existente in sistemele dumneavoastra, a felului in care ele pot fi
exploatate, ajutandu-va astfel sa elaborati o strategie de management ce va avea ca scop final
remedierea problemelor de securitate existente si evitarea aparitiei altora.
V. Servicii de tip Penetration Testing
2. Portofoliu servicii - Servicii de evaluare a securitatii
Investigarea fraudelor necesita o buna cunoastere a naturii umane, a gandirii unui hacker, dar
si cunostinte si practici specifice investigatiilor digitale care tin de:
Detectarea comportamentelor si activitatilor suspecte; Izolarea si pastrarea integritatii datelor electronice asociate unei tentative de
frauda
(log-uri de acces, date privind actiunile efectuate, modificari neautorizate,
tranzactii,
comunicatii, date salvate/transferate pe medii de stocare mobile, etc.); Replicarea corespunzatoare a datelor de mai sus pentru investigatii specializate; Documentarea si evidentierea actiunilor neautorizate intreprinse; Elaborarea unui raport de analiza care cuprinde: activitatile efectuate,
vulnerabilitatile
exploatate, impactul si prejudiciul produs, precum si recomandari de actiuni
corective sau preventive.
Specialistii iSEC va pun la dispozitie competentele lor atat pentru implementarea unor
procese eficiente de tratare a incidentelor de securitate, cat si pentru elaborarea de
materiale de training al angajatilor ca masura proactiva pentru eliminarea unor asemenea
situatii pe viitor.
Vi. Servicii de tip Digital Forensics
2. Portofoliu servicii - Servicii de evaluare a securitatii
3. Beneficii
Alegand iSEC veti obtine:
1. O valoare adaugata reala
2. Rezultate predictibile
3. Focus pe riscurile semnificative
4. Independenta si responsabilitate
5. Garantie si suport:
6. Transfer de cunostinte
Apeland la serviciile iSEC veti obtine mai mult decat servicii la cel mai inalt nivel de
profesionalism, veti obtine un aliat valoros in lupta continua pentru asigurarea securitatii
informatiilor vitale pentru organizatia dumneavostra.
