Przygotowanie cyberbezpieczeństwa

W ramach działań z zakresu cyberbezpieczeństwa oferujemy wykonanie:

  1. wykonanie audytu zerowego bezpieczeństwa, w tym
    1. inwentaryzacji obszarów z przetwarzaniem informacji w systemach informacyjnych wraz z otoczeniem,
    2. identyfikacja informacji i jej klasyfikacja,
    3. inwentaryzacja zasobów infrastruktury teleinformatycznej, oprogramowania i obszarów bezpiecznych,
    4. identyfikacja podatności,
    5. identyfikacja dostawców,
    6. inwentaryzacja procedur,
    7. przegląd dokumentacji,
    8. zidentyfikowaniu wszelkich niezgodności i wdrożenie działań naprawczych,
  2. wdrożenie programu systematycznej analizy ryzyka i zarządzania ryzykiem,
  3. uruchomienie sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT w czasie nieprzekraczającym 24 godzin od ich wykrycia,
  4. wdrożenie programu edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa,
  5. wdrożenie zabezpieczeń proporcjonalnych do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym,
  6. uruchomienie sprawnego procesu zarządzania podatnościami i gromadzenia wiedzy na temat zagrożeń cyberbezpieczeństwa,
  7. opracowanie i zapewnienie aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych oraz bezpieczeństwa przetwarzania informacji wykorzystywanych do świadczenia usługi kluczowej,
  8. wdrożenie systemu informatycznego umożliwiającego zarządzanie incydentami, realizacje obowiązków operatora usług kluczowych. System ma prowadzić niezbędną dokumentacje wynikająca z ustawy KSC. System zgodny z Narodowa Platforma Cyberbezpieczeństwa (NPC), który umożliwi :
    1. automatyczny mechanizm wymiany informacji o ryzykach, podatnościach pomiędzy OUK a NPC,
    2. mechanizmy wymiany informacji zapewniają OUK ochronę interesów, tajemnicy przedsiębiorstwa, ochronę wizerunku oraz innych ważnych wartości,
    3. integrację informacji o podatnościach z wielu źródeł szacowanie ryzyka i identyfikacja urządzeń, systemów wymagających natychmiastowych działań,
    4. przetwarzanie komunikatów wysłanych do OUK o stwierdzonych podatnościach zrejestrowanych NPC,
    5. system raportowania o istotnych incydentach naruszających bezpieczeństwo teleinformatyczne,
    6. spójną metodyka określająca wymogi bezpieczeństwa teleinformatycznego,
    7. wielowymiarowe obrazowanie zjawisk występujących w cyberprzestrzeni graf/mapa powiązań,
    8. interaktywny systemu monitorowania, obrazowania i ostrzegania o zagrożeniach.
  9. opracowanie dokumentacji w rozumieniu ustawy KSC i rozporządzenia w sprawie rodzajów dokumentacji w szczególności:
    1. dokumentacja o stosowanym systemie zarządzania bezpieczeństwem informacji w tym opracować procedury działania w przypadku naruszenia bezpieczeństwa systemu informacyjnego,
    2. dokumentacja ochrony fizycznej i środowiskowej infrastruktury służącej do świadczenia usługi kluczowej (w tym szacowania ryzyka),
    3. dokumentacja zapewnienia ciągłości działania (Business Continuity Management),
    4. dokumentacja techniczna systemu informacyjnego służącego do świadczenia usługi kluczowej,
  10. weryfikacja i opracowanie dokumentacji, realizacja obowiązków opisanych w art. 32 ust. 1 lit. d rodo (regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania), w art. 33 ust. 4 rodo (dokumentowanie wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze), w art. 39 rodo (pełnienie obowiązków inspektora ochrony danych).