Krajowe Ramy Interoperacyjności
Usługa obejmuje opracowanie dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami ust. 1 i 2 § 20 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012r w sprawie Krajowych Ramach Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012r. poz. 526)
Pracujemy w oparciu o system zarządzania bezpieczeństwem informacji, opracowanym na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą.
Kompleksowa analiza wszystkich zapisów Krajowych Ram Interoperacyjności obejmuje:
- weryfikację aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia,
- inwentaryzację sprzętu i oprogramowania służącego do przetwarzania informacji,
- weryfikację przeprowadzonej analizy ryzyka utraty integralności, dostępności lub poufności informacji oraz określenie działań minimalizujących to ryzyko,
- sprawdzenie, czy osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych zadań,
- weryfikację zabezpieczeń przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami,
- analizę ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez weryfikację: monitorowania dostępu do informacji, czynności zmierzających do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji,
- weryfikację spełnienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość,
- analiza zapisów w umowach serwisowych podpisanych ze stronami trzecimi gwarantujących odpowiedni poziom bezpieczeństwa,
- sprawdzenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych,
Weryfikacja poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
- dbałości o aktualizację oprogramowania,
- minimalizowaniu ryzyka utraty informacji w wyniku awarii,
- ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
- stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
- zapewnieniu bezpieczeństwa plików systemowych,
- redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
- niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
- kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.