Az informatika rendszer biztonsága nem egy termék, hanem egy állapot. A megfelelő szint fenntartásáért rendszeresen vizsgálni kell a biztonsági helyzetet. E vizsgálatot cégünk szakemberei az alábbi tevékenységek sorozataként végzik el.

Dokumentációk megismerése

A rendszer alapdokumentumainak (üzemeltetési dokumentumok, rendszerleírások stb.) áttekintése során megismerkedünk a rendszer felépítésével, ellenőrizzük, hogy a dokumentumok valóban tükrözik a fizikai állapotot. Ezt követően gyakorlati módszerekkel ellenőrizzük a biztonsági szintet.

Munkaállomások vizsgálata

A feladat elvégzése során vizsgálatra kerülnek a munkaállomások biztonsági beállításai, a telepített szoftverek konfigurációi, szoftverfrissítések megléte.

Szerverek, szerverszolgáltatások beállításainak vizsgálata

A szerverek biztonsága elsődleges szempontú, hiszen ezeken a gépeken tárolódnak az adatok, illetve itt futnak a kiszolgáló alkalmazások. A szerverek vizsgálata során valamennyi kiszolgálón ellenőrzésre kerülnek a használt operációs rendszer és a szoftverek konfigurációi, szoftverfrissítések megléte.

Biztonsági tesztelés/sérülékenységi vizsgálat

Vizsgálataink során szimulált támadásokkal, biztonsági vizsgálatokkal derítjük fel az informatikai rendszer esetleges gyengeségeit. A rendszer hibáinak detektálását két,lényegében eltérő módszerrel vizsgáljuk. Ezek a módszerek a következők:

Belső hálózaton történő vizsgálatok

A tesztelés során a belső hálózaton elhelyezett számítógépről különböző segédprogramokkal derítjük fel az informatikai gyengeségeket: pl.: illetéktelen hozzáférés lehetőségei.

Külső hálózatról történő vizsgálatok

A külső hálózatról történő tesztelés tulajdonképpen szimulált informatikai támadás végrehajtása, melynek célja, hogy távolról, belső információk felhasználása nélkül földerítsen esetleges gyengeségeket az informatikai rendszerben. E módszer alapvetően alkalmas a hálózati határvédelem, a vírusvédelem, a web és a levelezés szolgáltatás hiányosságainak megállapítására.

Javaslattétel a változtatásokra

Biztonsági vizsgálatunk végső szakaszaként jelentést készítünk, amelyben ismertetjük a felülvizsgálat eredményeit, illetve a fellelt hibák, hiányosságok elhárítására tett javaslatainkat. Szükség esetén általános fejlesztési javaslatokat fogalmazunk meg a biztonsági szint további emelésének érdekében.

Informatikai szabályzatok elkészítése

Az informatikai szabályzatokat szakértőink a hazai és nemzetközi informatikai biztonsági ajánlások és a hazai jogi szabályozások figyelembe vételével, az informatikai csoporttal együttműködve, a rendszer megismerése után készítik el. Munkánk során a következő dokumentumok elkészítésében működünk közre:

Rendszerleírások

Munkatársaink az informatikai csoporttal együttműködve úgy készítik el / vizsgálják felül ezeket a dokumentumokat, hogy szervesen illeszkedjenek a hivatal informatikai dokumentációjába.

Informatikai Biztonsági Szabályzat

Az IBSZ meghatározza a felhasználók és az üzemeltetők számára, hogy milyen feladataik és kötelezettségeik vannak a rendszer biztonságos működésének szempontjából. A szabályzat korlátozza a felhasználók biztonságra veszélyes tevékenységét, illetve szabályozza a karbantartás/üzemeltetés/javítás feladatainak biztonsági kérdéseit.

Mentési Terv

Munkatársaink felülvizsgálják a hivatal mentési rendjét, illetve a már meglévő dokumentációt, és amennyiben szükséges, úgy változtatásokra tesznek javaslatot, mind a rendszer működésére, üzemelésére, mind a dokumentációra vonatkozóan.

Működés-folytonossági Terv készítése

A hivatal számára ajánlott, hogy az informatikai rendszer tekintetében olyan cselekvési tervek legyenek kidolgozva, amelyek lehetővé teszik azt, hogy biztonsági incidensek esetén a legkevesebb kár keletkezzen (időkiesés, adatvesztés, munkaképesség elvesztése). Ehhez, az informatikai csoporttal együttműködve felmérjük a hivatal informatikai folyamatainak összefüggéseit, kiesésük következményeit, megelőző intézkedéseket határozunk meg, ezzel csökkentjük az informatikai rendszert fenyegető veszélyek mértékét. A vállalt kockázatok esetén a különböző bekövetkező incidensek esetére kidolgozzuk az események kezelésének pontos feladatait, cselekményeit. A szabályzat tartalmazhat üzemeltetési előírásokat, valamint a katasztrófa-elhárítás informatika vonatkozású cselekvési feladatait is, amennyiben ezeket más szabályzatok nem tartalmazzák.

Felhasználók biztonsági oktatása

Biztonsági szempontból az informatikai rendszerek leggyengébb láncszeme a felhasználó. A nem számítástechnikával foglalkozók általában nem tudják, hogy felhasználói tevékenységükkel jelentősen csökkenthetik az informatikai kockázatokat, s ez abból is adódik, hogy a lehetséges veszélyforrásokat sem ismerik. Emiatt mindenképpen szükséges biztonsági oktatásban részesíteni a felhasználókat - természetesen közérthető módon, úgy, hogy képesek legyenek hasznosítani a képzés során tanultakat. Az oktatás során biztonsági tapasztalatokkal és tanítási gyakorlattal rendelkező oktatóink praktikus ismereteket adnak át a felhasználók számára.
A biztonsági oktatás része a felhasználókat érintő informatikai szabályzatok, utasítások ismertetése. Ez egyrészt szükséges lehet azért, mert e dokumentumok tartalmazhatnak olyan szakmai elemeket, amelyeket a felhasználók előtt tisztázni kell, másrészről a szabályzatot minden munkatársnak ismernie és alkalmaznia kell.