Információbiztonsági tanácsadás és támogatás

Az információbiztonsági előírások teljesítése gyakran kihívást jelent a vállalatok számára. Ugyan számos szabvány és ajánlás létezik, de ezek hatékony alkalmazása véleményünk szerint kizárólag akkor lehetséges, ha a vállalat működését, üzleti folyamatait, stratégiáját, a vezetők elvárásait figyelembe véve, testreszabottan kerülnek kialakításra az információbiztonsági intézkedések. Információbiztonsági szakembereink különféle szabályozási és ipari szabványokkal kapcsolatos tapasztalatai biztosítják, hogy a megfelelés kialakítása testreszabottan, kockázatarányosan és az üzleti célokat támogatva történjen meg. Egy teljes körű és átgondolt információbiztonsági rendszer kialakítása és fenntartása támogatja az üzleti folyamatok és információk bizalmasságát, sértetlenségét és rendelkezésre állását.

ISO 27001

Amennyiben vállalkozásnak az adatbiztonságot a bevált nemzetközi gyakorlatoknak megfelelően kell kezelnie, vagy ha információs dokumentációját egységes struktúrában kívánja rendszerezni, kezelni, ellenőrizni, akkor az egyik legjobb választás az ISO 27001 rendszer megvalósítása és karbantartása. Az alábbi feladatok elvégzésével segíthetjük a rendszer professzionális kialakítását és fenntartását:

  • GAP analízis elvégzésével megállapítjuk a szabvány implementáláshoz szükséges intézkedéseket, amely alapján a bevezetés költsége és időszükséglete tervezhető;
  • meghatározzuk a szabvány implementáláshoz szükséges intézkedéseket;
  • elkészítjük a szükséges szabályzatokat, eljárásrendeket, utasításokat, egyéb kötelezően alkalmazandó dokumentációkat;
  • támogatjuk a kialakítandó védelmi intézkedések megtervezését, hatékony bevezetését;
  • elvégezzük az első és második szintű auditokat;
  • támogatjuk a külső vagy belső auditokra történő felkészülést;
  • elvégezzük a belső auditra kijelölt, vagy a szabvány implementálásáért és a megfelelőség fenntartásáért felelős kollégák képzését;
  • tanácsadási szolgáltatás keretében folyamatosan támogatjuk partnerünket a megfelelőség fenntartásában.

PCI-DSS

A Payment Card Industry Data Security Standard egy olyan biztonsági irányelv, amely biztosítja, hogy azok a kereskedők és szolgáltatók, akik hitelkártya-információkat tárolnak, dolgoznak fel és továbbítanak, biztonságos folyamatokat és infrastruktúrát alakíthassanak ki és ezeket gördülékenyen tarthassák fenn. A folyamat során átfogó értékelésekkel és megfelelőség vizsgálatokkal feltárjuk az esetleges hiányosságokat, majd javaslatokat dolgozunk ki a hibák javítására. Megközelítésünk magában foglalja a hatókör meghatározását, a kártyatulajdonos környezetének azonosítását, a biztonsági kontrollok értékelését és a helyreállítási terv jelentését. Csapatunk az alábbi feladatok elvégzésében tud rendelkezésére állni:

  • átfogó GAP elemzés készítése;
  • az önértékelési kérdőív (SAQ) és a megfelelőség igazolás (AoC) elkészítésének támogatása;
  • a szükséges szabályzatok elkészítése, eljárások, utasítások és egyéb kötelező dokumentumok kidolgozása;
  • tanácsadási szolgáltatásunk részeként folyamatosan támogatjuk partnereinket a megfelelés fenntartásában;
  • a szükséges sebezhetőségi vizsgálat és a penetration teszt elvégzése.

NIST 800-53

Az NIST 800-53 ajánlás egy nagyszerű kiindulópont az információbiztonsági védelmi intézkedések tervezéséhez és kialakításához. Az All-round Security munkatársai mély ismeretekkel rendelkeznek az ajánlás előírásairól, és nagy tapasztalattal az ajánlásban szereplő védelmi intézkedések kialakításáról, működésük hatékonyságvizsgálatáról. Megbízásunk esetén:

  • GAP analízis elvégzésével megállapítjuk az ajánlás implementáláshoz szükséges intézkedéseket, amely alapján a bevezetés költsége és időszükséglete tervezhető;
  • meghatározzuk az ajánlás implementáláshoz szükséges intézkedéseket;
  • elkészítjük a szükséges szabályzatokat, eljárásrendeket, utasításokat, egyéb kötelezően alkalmazandó dokumentációkat;
  • támogatjuk a kialakítandó védelmi intézkedések megtervezését, hatékony bevezetését;
  • tanácsadási szolgáltatás keretében folyamatosan támogatjuk partnerünket a megfelelőség fenntartásában.

GDPR

Az (EU) 2016/679 általános adatvédelmi rendelet (GDPR) az Európai Unió (EU) és az Európai Gazdasági Térség (EGT) adatkezeléséről és adatvédelméről szóló uniós jogszabályok rendelete. Ezenkívül foglalkozik a személyes adatoknak az EU és az EGT területén kívüli továbbításával is. A GDPR-t 2016. április 14-én fogadták el, majd 2018. május 25-én helyezték hatályba. Az All-round Security jóvoltából végzett GDPR felmérés és megfelelőség kialakítás az alábbiak szerint épül fel:

  • GAP analízis elvégzésével megállapítjuk a rendelet implementáláshoz szükséges intézkedéseket, amely alapján a bevezetés költsége és időszükséglete tervezhető;
  • meghatározzuk a rendeletnek való megfelelőséghez szükséges intézkedéseket;
  • elkészítjük a szükséges szabályzatokat, nyilvántartásokat;
  • támogatjuk partnerünket az intézkedések kialakításában.

Törvényi megfelelés kialakítása

Azon partnereinknek, akik a 2013. évi L. törvény hatálya alá tartozó állami vagy önkormányzati szervezetek, vagy a 42/2015. (III. 12.) Korm. rendeletben meghatározott pénzügyi közvetítőrendszer tagjai, a vonatkozó jogszabályi előírásoknak és a Magyar Nemzeti Bank 7/2017 ajánlás előírásainak megfelelően gondoskodniuk kell az informatikai rendszereik védelméről. Számukra vállaljuk ezen törvényi megfelelőség kialakításának támogatását, a hiányosságok felmérését, továbbá az információbiztonsági felelős pozíció ellátását. Számos törvényi megfelelőségi vizsgálatban szerzett tapasztalatunk segít minket abban, hogy a szükséges védelmi intézkedések a felügyeleti szervek elvárásainak megfelelően, kockázatarányos és költséghatékony módon kerüljenek kialakításra.

Minősített adatkezelés

Amennyiben partnerük a 92/2010. (III. 31.) Korm. rendelet alapján minősített szerződés végrehajtásában kíván közreműködni, és úgy dönt, hogy vállalkozása számára megteremti a minősített adat fizikai, adminisztratív és elektronikus biztonsági feltételeit, úgy az alábbi szolgáltatásokkal vagyunk képesek támogatni ennek megvalósításában:

  • minősített adatot tartalmazó projektek szakmai koordinálása, beruházói, beszerzői támogatás;
  • papír alapú és elektronikus minősített adatkezeléssel kapcsolatos szabályzatok elkészítése, a minősített adatkezelés nyilvántartásainak elkészítése;
  • projektbiztonsági utasítás elkészítése;
  • szaktanácsadás, közreműködés minősített adatkezeléssel kapcsolatos engedélyek megszerzésében (telephely biztonsági tanúsítvány, egyszerűsített telephely biztonsági tanúsítvány, dokumentáció készítése);
  • a biztonsági vezető és a titkos ügykezelő szakmai támogatása.