Audyt systemu zarządzania bezpieczeństwem informacji w systemie ePUAP na zgodność z wymaganiami normy PN-ISO/IEC 27001 oraz testy penetracyjne i wydajnościowe systemu ePUAP

Data projektu: 2011

Wyzwanie:

Audyt systemu zarządzania bezpieczeństwem informacji w systemie ePUAP na zgodność z wymaganiami normy PN-ISO/IEC 27001. Wykonanie testów penetracyjnych i wydajnościowych systemu ePUAP oraz opracowanie rekomendacji w zakresie przeprowadzonego audytu.

Co zrobiliśmy:

Przeprowadzono działania mające na celu ocenę bezpieczeństwa środowiska systemu ePUAP wraz z testami penetracyjnymi i zbadaniem wydajności tego środowiska.

Celem audytu było stwierdzenie zgodności systemu zarządzania bezpieczeństwem informacji w systemie ePUAP ze wskazanymi przez Zamawiającego kryteriami.

Ponadto poddano ocenie poziom rozwiązań w obszarze zapewnienia ciągłości działania w oparciu o wytyczne zawarte w rodzinie norm BS 25999.

Dodatkowo audyt służył ocenie dobrych praktyk w badanych obszarach oraz wskazaniu możliwości do doskonalenia. Zakresem audytu objęte zostały:

 • kompetencje personelu zajmującego się utrzymaniem i rozwojem systemu ePUAP,
 • procedury, polityki i zbiory zasad związane z zapewnieniem bezpieczeństwa informacji stosowane w obszarze rozwoju i utrzymania systemu ePUAP,
 • lokalizacje, w których znajdują się elementy systemu ePUAP,
 • lokalizacje, w których pracują osoby odpowiedzialne za utrzymanie platformy ePUAP.
 • Przy audycie organizacyjnym głównym kryterium były wymagania normy ISO/IEC 27001, a przy testach penetracyjnych lista OWASP Top 10.

Korzyści:

Zaproponowano rozwiązania podnoszące bezpieczeństwo środowiska i systemu ePUAP w następujących obszarach :

 • bezpieczeństwa fizycznego,
 • bezpieczeństwa osobowego,
 • bezpieczeństwa organizacyjnego,
 • bezpieczeństwa teleinformatyczne,
 • zgodności z przepisami prawa,
 • zgodności z zaleceniami i dobrymi praktykami w obszarze IT,
 • bezpieczeństwa i wydajności aplikacji.
 • Zarekomendowano rozwiązania dot. zgodności konfiguracji sprzętowej i systemowej środowiska systemu ePUAP z zaleceniami producentów i dobrymi praktykami w zakresie bezpieczeństwa IT.

Zastosowane narzędzia i modele:

 • ISO/IEC 27001
 • OWASP Top 10
 • Wytyczne NIST
 • BS 25999
 • Ustawa o ochronie danych osobowych
 • testy penetracyjne
 • testy wydajnościowe
 • skanery automatyczne i półautomatyczne
 • wytyczne dotyczące sprzętu i systemów IT zastosowanych w środowisku ePUAP

Wybrane projekty