Audyt systemu zarządzania bezpieczeństwem informacji w systemie ePUAP na zgodność z wymaganiami normy PN-ISO/IEC 27001 oraz testy penetracyjne i wydajnościowe systemu ePUAP

Data projektu: 2011

Wyzwanie:

Audyt systemu zarządzania bezpieczeństwem informacji w systemie ePUAP na zgodność z wymaganiami normy PN-ISO/IEC 27001. Wykonanie testów penetracyjnych i wydajnościowych systemu ePUAP oraz opracowanie rekomendacji w zakresie przeprowadzonego audytu.

Co zrobiliśmy:

Przeprowadzono działania mające na celu ocenę bezpieczeństwa środowiska systemu ePUAP wraz z testami penetracyjnymi i zbadaniem wydajności tego środowiska.

Celem audytu było stwierdzenie zgodności systemu zarządzania bezpieczeństwem informacji w systemie ePUAP ze wskazanymi przez Zamawiającego kryteriami.

Ponadto poddano ocenie poziom rozwiązań w obszarze zapewnienia ciągłości działania w oparciu o wytyczne zawarte w rodzinie norm BS 25999.

Dodatkowo audyt służył ocenie dobrych praktyk w badanych obszarach oraz wskazaniu możliwości do doskonalenia. Zakresem audytu objęte zostały:

  • kompetencje personelu zajmującego się utrzymaniem i rozwojem systemu ePUAP,
  • procedury, polityki i zbiory zasad związane z zapewnieniem bezpieczeństwa informacji stosowane w obszarze rozwoju i utrzymania systemu ePUAP,
  • lokalizacje, w których znajdują się elementy systemu ePUAP,
  • lokalizacje, w których pracują osoby odpowiedzialne za utrzymanie platformy ePUAP.
  • Przy audycie organizacyjnym głównym kryterium były wymagania normy ISO/IEC 27001, a przy testach penetracyjnych lista OWASP Top 10.

Korzyści:

Zaproponowano rozwiązania podnoszące bezpieczeństwo środowiska i systemu ePUAP w następujących obszarach :

  • bezpieczeństwa fizycznego,
  • bezpieczeństwa osobowego,
  • bezpieczeństwa organizacyjnego,
  • bezpieczeństwa teleinformatyczne,
  • zgodności z przepisami prawa,
  • zgodności z zaleceniami i dobrymi praktykami w obszarze IT,
  • bezpieczeństwa i wydajności aplikacji.
  • Zarekomendowano rozwiązania dot. zgodności konfiguracji sprzętowej i systemowej środowiska systemu ePUAP z zaleceniami producentów i dobrymi praktykami w zakresie bezpieczeństwa IT.

Zastosowane narzędzia i modele:

  • ISO/IEC 27001
  • OWASP Top 10
  • Wytyczne NIST
  • BS 25999
  • Ustawa o ochronie danych osobowych
  • testy penetracyjne
  • testy wydajnościowe
  • skanery automatyczne i półautomatyczne
  • wytyczne dotyczące sprzętu i systemów IT zastosowanych w środowisku ePUAP

Wybrane projekty