IT biztonsági szakértői szolgáltatások

Szabályzatok, törvényi, jogszabályi és szabványi elvárásoknak megfelelő szabályozási környezet kialakítása, audit vizsgálatok, GDPR és Ibtv. megfelelés, adatvédelmi tisztviselő és IT biztonsági felelős biztosítása.

Szabályzatok

AZ IT biztonság területén számos nemzetközi szabvány, módszertan, ajánlás és rendelet létezik.

Ezek útmutatásként szolgálnak a hatékony, kockázatokkal arányos védelmi stratégia kialakításában és annak teljes életciklusában.

Szakértőink különböző gyártói és ISACA minősítéssel rendelkeznek és az adott szervezet igényeihez igazodva:

  • segítenek eligazodni az előírások útvesztőiben.
  • kialakítják a teljes információbiztonsági irányítási rendszert (IBIR).
  • maradéktalanul kidolgozzák a különböző szabályzatokat.

 

Röviden az IBIR-ről

AZ IBIR a vállalatirányítási rendszer azon része, amely

  • átfogja és szabályozza a teljes informatikai tevékenységet
  • kiemelten kezeli az adatbiztonsági és adatvédelmi területeket
  • Segítségével kialakítható a magas szintű információvédelem a kockázatelemzésen és kockázatkezelésen keresztül

A rendszer magába foglalja a

  • szervezeti felépítést
  • biztonságos működtetéshez szükséges szabályzatokat
  • tervezési tevékenységeket
  • felelősségi köröket
  • gyakorlatot
  • eljárásokat és folyamatokat
  • erőforrásokat.

Az IBIR tanúsítható rendszer, alapját a ISO/IEC 270001 szabvány alkotja, amely követendő épéseket ír elő:

  • az IBIR kialakítására
  • bevezetésére
  • megvalósítására
  • működtetésére
  • fenntarthatóságára
  • felülvizsgálatára
  • karbantartására
  • fejlesztésére is.

Az irányítási rendszer megvalósításához:

  • Független auditorként átvilágítjuk az érintett területek működését.
  • Az átvilágításból kiindulva kidolgozzuk a megvalósításhoz szükséges feladatokat.


Az IBIR kiépítésének főbb állomásai:

  • Az üzleti (ügymeneti) folyamatok, az informatikai infrastruktúra, valamint ezek védelmi szintjének felmérése
  • Kockázatelemzés- és értékelés
  • Informatikai Biztonsági Politika elkészítése – főbb IT biztonsági irányvonalak meghatározása
  • Informatikai Biztonsági Stratégia
  • Informatikai Biztonsági Kézikönyv elkészítése – az információbiztonsági rendszer tartalmának meghatározása
  • Az IBIR megvalósítása – szabályzatok, eljárások, egyéb dokumentumok elkészítése, valamint a technikai megoldások kivitelezése
  • Oktatás
  • Bevezetés
  • Előaudit

Komoly versenyelőnyt jelent a tanúsítvány megszerzése, hiszen a megrendelők számos esetben megkövetelik, hogy szállítóik rendelkezzenek az információs és az informatikai rendszerek biztonságát garantáló minősítésekkel.

 

NIS2

 

A NIS2 (Network and Information Security) irányelv az egész EU-ra kiterjedő kiberbiztonsági jogszabály, amely jogi intézkedéseket ír elő a kiberbiztonság általános szintjének növelésére.

Az EU-tagállamoknak 2024-től kell átültetniük jogrendszerükbe és implementálni IT rendszereikbe a NIS2 szabályozást.

 

NIS2 hatálya alá tartozó szervezetek és vállalatok

Az irányelv hatálya alá tartoznak azok a szervezetek, amelyek társadalmi és gazdasági tevékenységekhez elengedhetetlen szolgáltatásokat nyújtanak, mint például

  • közigazgatás
  • egészségügy
  • digitális szolgáltatók (közösségi hálózati platformok, adatközponti szolgáltatások)
  • szállítás
  • vízellátás
  • szennyvíz és hulladékgazdálkodás
  • banki és pénzügyi piaci infrastruktúrák
  • energia ellátók
  • kritikus termékek (pl. gyógyszerek, orvosi eszközök és vegyszerek) gyártói
  • Postai és futárszolgálat
  • Gyártó cégek

 

A Nádor Rendszerház teljes körű szolgáltatásai és széles megoldás portfóliója biztosítja, hogy az Ön szervezete, vállalkozása a NIS2 irányelv megfelelési folyamatait a legoptimálisabb feltételek mellett, a meglévő minősítési rendszereket hatékonyan felhasználva felkészítse az auditra.

 

GDPR és Ibtv.

 

Szakembereink számos szervezet és önkormányzat törvényi előírásoknak (GDPR és Ibtv.) való felkészítését végezte már el.

Szolgáltatásunk átfogja

  • az adatkezelések felmérését, nyilvántartásba vételét
  • a szabályzatok és tájékoztatók elkészítését
  • az adatvédelmi tisztviselő valamint (szervezettől függően)  adatvédelmi felelős és IT biztonsági felelős pozíció ellátását

Szakértőink az IT biztonsági szemlélet mellett megfelelő jogi háttérrel is rendelkeznek az adatvédelmi tisztviselői feladatok ellátásában.


TISAX®minősítés

 

A TISAX® (Trusted Information Security Assessment eXchange) az egyetlen iparág-specifikus biztonsági keretrendszer az információbiztonság értékeléséhez a beszállítók, az OEM-ek és az autóipari ellátási láncban működő egyéb cégek számára.  Az autóiparban, a TISAX Label megszerzése egyre szélesebb körben válik előírássá a beszállítók számára, ugyanakkor jelen pillanatban egyértelmű versenyelőnyt jelent a minősített szállítók részére.

A TISAX® az ISO 27001 információbiztonsági szabvány alapvető követelményein alapul, meghatározza a vállalaton belüli információbiztonságot garantáló követelményeket, szabályokat és módszereket, amely minden alkalmazottat érint, aki kapcsolatba kerül az autóipar érzékeny információival. Egyúttal egy bizonyos érettségi szint elérését, célra való alkalmasságot ír elő.

Túlmutatva az IT rendszerek védelmén, kiterjed a vállalat minden (védelemre érdemes) eszközére, a telephelyekre, a biztonsági ellenőrzésekre és az archívumokra. Követelményei ötvözik az ipar és az ügyfelek szabványait.


A TISAX® minősítés előírásai szerint kialakított szolgáltatásaink
– melyek globálisan lefedik a megfeleltetéshez szükséges folyamatokat:

  • Állapotfelmérés rövid határidővel, a VDA ISA kérdőív alapján
  • ISO 27001 információbiztonsági rendszer kiépítése és integrációja
  • Meglévő ISO rendszer kiegészítve a TISAX® által elvárt kontrollokkal és folyamatokkal
  • Szükséges szabályzatok elkészítése, oktatások lebonyolítása
  • Felkészítés a TISAX® mindhárom értékelési szintjére
  • Vállalkozás felkészítése az egyedi vagy kombinált auditra, hogy mindkét információbiztonsági értékelés egyidejűleg, kis többletráfordítással elvégezhető legyen
  • VDA ISA kérdőív elkészítése és a vállalkozás átadása auditra a minősítő szervnek
  • Kiterjesztett támogatás a minősítés teljes folyamata alatt: a felkészítéstől, az auditon át, a minősítés megszerzéséig


Audit

Ma már a vállalatok és szervezetek számára is nélkülözhetetlen az informatikai eszközök és szolgáltatások alkalmazása, melynek során a kritikus üzleti folyamatok és adatok számos veszélynek vannak kitéve.

 

Az információt fenyegető veszélyek széles körűek, ilyen például a külső támadás (hackelés), adatvesztés, a bizalmasság megsértése vagy akár a terrorizmus.

A támogató informatikai háttér is számos kockázatot hordoz, melyek megfelelő szabályozásokkal és védelmi intézkedések bevezetésével elfogadható szintre csökkenthetők.

 

Az informatikai rendszerek folyamatos, elvárt szintű és minőségű működéséhez időről időre felül kell vizsgálni a rendszerbe épített kontrollok jóságát, megfelelőségét.

 

Egy jó audit sok mindent befolyásolhat:

  • Kijelöli azokat a területeket, ahol mélyebb vizsgálódások válhatnak szükségessé.
  • Feltárja a hiányosságokat, kockázatokat.
  • Javaslatokat ad ezek elkerülésére, mérséklésére preventív, korrektív, detektív kontrollok segítségével.


Amit kínálunk:

Az általunk végzett audit vizsgálat feltárja a különböző törvényi, jogszabályi, szabvány és iparági legjobb gyakorlatokhoz viszonyított megfelelőséget.

Az audit során szükség szerint végzett vizsgálatok:

  • ISO 2700x megfelelőségi vizsgálat
  • GDPR megfelelőségi vizsgálat
  • 2013. évi L. tv. megfelelőségi vizsgálat
  • Információ biztonsági szabályzatnak megfelelő működés vizsgálat

Kockázatelemzés

Saját módszertanra épülő, a biztonsági rendszer kialakításában és konfigurálásában alapul szolgáló elemző és értékelő vizsgálat.

A saját módszertanon alapuló kockázatelemzés során az informatikai szervezet tagjaival, valamint a szervezet főbb területi vezetőivel, adatgazdáival, jogosultság kiosztóival személyes beszélgetés során ismerjük meg

  • a szervezet információ biztonsági érettségét
  • az adatok sértetlenségét, bizalmasságát
  • az adatok rendelkezésre állását veszélyeztető folyamatokat.

 

A feltárt kockázatokat priorizáljuk és egy audit jelentésbe foglaljuk össze, csökkentésükre javaslatot teszünk.

IT biztonságtudatossági oktatás

Ügyféligényekhez igazodó, különböző szintű és mélységű tartalommal készült tantermi és e-learning képzési típusok.

Informatív, valós példákkal tűzdelt tananyagok a naprakész információbiztonsági tudáshoz, akár egyedi tematikával.

Napjainkban az információ biztonsága, a magánszemélyek adatainak védelme központi kérdés.

Nemzetközi adatok azt mutatják, hogy az adatvesztés, adat-kompromittálódás legtöbbször emberi tényezőkre vezethető vissza.

A munkatársak odafigyelésével, a szabályok betartásával sok esetben megelőzhető az incidens.

 

Ezért komoly hangsúlyt fektetünk a felhasználók biztonsági szemléletének kialakítására és a bevezetésre kerülő szabályok és eszközök gyakorlati alkalmazhatóságára.

 

Ennek megfelelően szolgáltatásainkhoz és megoldásaink integrálásához kapcsolódóan az igényeknek megfelelő szintű és mélységű oktatásokat biztosítunk.