Ochrana dat & informační bezpečnost
Jakákoliv informace, kterou lze označit jako „identifikující“ nebo „identifikovatelnou”, se považuje za osobní údaj. Může to být jméno, adresa, číslo karty, ale i IP adresa nebo cookie ID. Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (v angl. General Dara Protection Regulation, zkr. GDPR) se snaží najít rovnováhu mezi tím, jak zaručit jednotlivcům silnou a skutečnou ochranu, a jak zároveň zohlednit legitimní obchodní nebo veřejný zájem. Zpracování osobních údajů podléhá vždy požadavkům GDPR.
Ochrana údajů je definována jako "právní kontrola přístupu k osobním údajům a jejich používání". Konkrétněji se GDPR týká "ochrany fyzických osob v souvislosti se zpracováním osobních údajů". Jedná se v podstatě o soubor zákonů, předpisů a osvědčených postupů týkajících se shromažďování a používání osobních údajů o fyzických osobách. Bezpečnost informací je definována jako praxe ochrany informací (fyzických i digitálních dat) před neoprávněným přístupem, použitím, úpravou nebo narušením.
V xitee nabízíme služby, které zaručí bezpečnost i ochranu Vašich údajů.
V poslední době narůstá počet kybernetických útoků na kritické infrastruktury jako jsou např. nemocnice nebo banky. Abychom na Vašem projektu snížili vznik možných rizik na minimum, provádíme tzv. penetrační testování. Používáme hackerské metody, díky kterým identifikujeme kritická místa způsobující kompromitaci systému, únik důvěrných informací, nebo která narušují dostupnost služeb.
Kromě toho Vám doporučujeme a poskytujeme GAP analýzu, která zhodnotí Vaše procesy, činnosti a postupy s ohledem na požadavky normy ISO/IEC 27001 a identifikuje veškerá nezbytná opatření k dosažení shody s právními požadavky i volitelnou certifikací.
Revize kódu
Cílem naší služby revize zdrojového kódu je odhalit případné skryté zranitelnosti, chyby v návrhu a ověřit, zda jsou implementovány klíčové bezpečnostní kontroly. Používáme kombinaci automatických skenovacích nástrojů a ručního přezkumu, abychom zkontrolovali postupy kódování, problémy s výkonem, bezpečnostní chyby, jako jsou cross site scripting, pravidla konfigurace zabezpečení, integrované knihovny atd.
Prvním krokem procesu revize kódu je provedení analýzy daného řešení a vytvoření tzv. profilu hrozeb.
Na tuto činnost navazuje kontrola rozvržení kódu s cílem vytvořit konkrétní plán revize kódu pro každé řešení zvlášť.
Následně obvykle používáme hybridní přístup k provádění automatického skenování i ruční revize kódu.
Po přezkoumání kódu vám poskytneme závěrečnou zprávu obsahující nalezené nedostatky a navrhovaná řešení / kroky ke zlepšení.
Gap analýza
Gap analýza odhaluje strategické a operativní nedostatky ve Vaší společnosti, které by měly být zlepšeny. Audit určuje vyspělost Vašeho zabezpečení informací na základě požadavků nejlepší praxe ISO/IEC 27001.
Provádíme audity nazvané GAP analýza, které vyhodnotí Vaše procesy, činnosti a postupy s ohledem na požadavky normy ISO/IEC 27001:2013 a určí veškerá nezbytná opatření k dosažení shody s právními požadavky i volitelné certifikace. Díky našemu strukturovanému modelu osvědčených postupů chráníme důvěrná data, zajišťujeme integritu Vašich provozních dat a zvyšujeme dostupnost Vašeho IT. Závěrečná zpráva pak obsahuje konkrétní doporučení.
Vybrané klíčové oblasti auditu podle normy ISO/IEC 27001:2013:
- Kontext a vedení organizace (odpovědnost vedení, řízení, směrnice)
- Plánování (včetně řízení rizik)
- Podpora (včetně zdrojů, kompetencí, komunikace a dokumentace)
- Provoz (provozní plánování a kontrola)
- Hodnocení výkonnosti (monitorování, interní audity, hodnocení vedením)
- Řízení přístupu, šifrování a fyzické zabezpečení a zabezpečení prostředí
- Vývoj a údržba informačních systémů
- Řízení bezpečnostních incidentů
- Řízení kontinuity provozu
- Dodržování předpisů
- Průběžné zlepšování
Penetrační testování
Penetrační test je simulovaný kybernetický útok na počítačový systém klienta, jehož cílem je zjistit jeho zneužitelné zranitelnosti. V kontextu zabezpečení webových aplikací se penetrační testování běžně používá jako doplněk brány firewall webových aplikací (WAF). Výsledkem testu je zpráva o výsledku a doporučení kroků ke zlepšení.
Složité IT systémy shromažďují a zpracovávají data, která by mohla být potenciálně zneužita. Protože obvykle existuje alespoň nějaká část systému vystavená veřejnosti, např. webový server, je nutné zajistit, aby se systémem mohli pracovat pouze oprávnění uživatelé a aby bezpečnostní opatření neumožnila neoprávněné osobě přístup k některému z prvků systému.
Bezpečnost systému se posuzuje provedením simulovaného útoku na počítačový systém. Tímto testem lze identifikovat zranitelná místa a dopady případného narušení bezpečnosti. Typickými hrozbami jsou například nefunkčnost nebo přetížení systému způsobené nadměrným využíváním jeho částí dostupných z veřejné sítě (API, webové formuláře...), únik citlivých a osobních údajů nebo neoprávněný přístup k omezeným funkcím aplikace. Mezi hlavní typy penetračních testů patří externí, interní a fyzické penetrační testy.
Náš přístup k metodice testování:
- PLÁNOVÁNÍ - Definování předmětu a rozsahu bezpečnostního auditu
- SCANNING - Provedení úvodního workshopu s osobami odpovědnými za IT, bezpečnost informací a provoz příslušných IT systémů
- ZÍSKÁNÍ PŘÍSTUPU - Provedení penetračního testování podle osvědčených a zavedených standardů, jako je například průvodce testováním OWASP. Použití osvědčených a aktuálních nástrojů a provedení doplňkových manuálních analýz/kontrol (falešně pozitivní výsledky)
- ANALÝZA A REPORTING - Zpráva o výsledcích a prezentace s prioritními doporučenými opatřeními
- VOLITELNĚ - Provedení následné kontroly
Výhody penetračního testování:
- Testování a poradenství od zkušených odborníků v oboru
- Lepší posouzení aktuální úrovně ochrany používaných IT systémů
- Posouzení zavedených ochranných opatření
- Snížení rizik odpovědnosti, která vyplývají z nedostatečného zabezpečení Vašich systémů
- Doklad o splnění regulačních požadavků zavedených norem, jako je ISO/IEC 27001, oborových bezpečnostních norem a GDPR