Audyt prawno-techniczny NIS2

Weryfikacja stosowania dyrektywy NIS2

W tym etapie zostanie sprawdzona konieczność stosowania przepisów dyrektywy NIS2 do Spółki, także w kontekście projektu polskiej ustawy wdrożeniowej dyrektywę NIS2.

Audyt techniczny i prawny - NIS2

W ramach audytu weryfikacji poddawane są następujące zagadnienia, takie jak:

• polityki i procedury dotyczące analizy ryzyka i bezpieczeństwa systemów informatycznych
• procedury wykrywania i obsługi incydentów
• procedury ciągłości działania, takie jak zarządzanie kopiami zapasowymi i odtwarzanie danych po awarii oraz zarządzanie kryzysowe
• bezpieczeństwo łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczących relacji między podmiotem a jego bezpośrednimi dostawcami lub usługodawcami
• bezpieczeństwo utrzymania sieci i systemów informatycznych, w tym postępowanie z lukami w zabezpieczeniach i ich wykrywanie
• polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w zakresie cyberbezpieczeństwa
• zastosowanie dobrych praktyk w zakresie bezpieczeństwa i podnoszenia świadomości pracowników odnośnie zagrożeń dla danych
• polityki i procedury dotyczące stosowania kryptografii
• bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania zasobami IT
• zastosowanie (w uzasadnionych przypadkach) uwierzytelniania wieloskładnikowego lub rozwiązań z zakresu uwierzytelniania ciągłego, zabezpieczonej komunikacji głosowej, wideo i tekstowej oraz zabezpieczonych systemów łączności awaryjnej
• bezpieczeństwo fizyczne dostępu do kluczowych dla bezpieczeństwa pomieszczeń i infrastruktury IT

Dodatkowo w ramach audytu zostaną wykonane techniczne testy:

• bezpieczeństwa infrastruktury IT z zewnątrz
• bezpieczeństwa infrastruktury IT wewnątrz
• możliwości podsłuchania lub modyfikacji danych w sieci wewnętrznej (symulacja ataku MITM)

Testy zewnętrznego bezpieczeństwa infrastruktury IT

Testy obejmują:

• zdalne zbieranie informacji o publicznym zakresie adresów IP należących do firmy
• testy bezpieczeństwa usług wystawionych do sieci publicznej
• testy autoryzacji dostępu do aplikacji/interfejsów dostępnych z sieci publicznej
• testy bezpieczeństwa poczty e-mail
• skany podatności infrastruktury IT dostępnej z sieci publicznej

Testy wewnętrznego bezpieczeństwa infrastruktury IT

Testy obejmują:

• analizę struktury i architektury sieci
• bezpieczeństwo połączeń z internetu do sieci wewnętrznej oraz komunikacji pomiędzy elementami systemu IT
• konfigurację sieci WiFi, VOIP, separacja podsieci/VLAN
• autoryzację dostępu do kluczowych urządzeń sieciowych (firewalle, routery, switche)
• konfigurację systemów zabezpieczających (systemy AV, IPS/IDS i DLP)
• skanowanie portów/usług dostępnych na wskazanych urządzeniach
• wykrywanie znanych podatności
• ataki MITM (podsłuchiwanie ruchu sieciowego)
• weryfikację dokumentacji, polityk i procedur
• dodatkowo weryfikacji zostanie poddany system monitoringu

Testy penetracyjne aplikacji web

Testy obejmują:

• testy penetracyjne zgodne z metodologią OWASP (wykrywanie ataków SQL injection, command injection, XSS, LFI, RFI, CSRF, directory traversal i innych z listy OWASP)
• używanie domyślnych danych dostępowych
• błędy przetwarzania danych (modyfikacja zmiennych i parametrów)
• niepoprawną obsługa błędów
• bezpieczeństwo systemu zarządzania użytkownikami (polityki podziału na grupy i role, poziomy dostępu do danych, przechwytywanie sesji i kradzież tożsamości)
• skanowanie portów/usług dostępnych na wskazanych urządzeniach
• dystrybucję i metody dostępu do aplikacji
• niewłaściwe przechowywanie danych (analiza formatu plików i ich szyfrowania)
• błędy w obsłudze plików tymczasowych po stronie użytkownika (np. pliki cookies)
• modyfikację adresów URL
• modyfikację parametrów przesyłanych przez GET i POST
• przesyłanie danych wrażliwych bez szyfrowania
• bezpieczeństwo captcha
• bezpieczeństwo funkcji odzyskiwania zapomnianego hasła
• błędy w użyciu SSL i TLS