Audyty bezpieczeństwa usług i aplikacji

Audyt bezpieczeństwa

W dzisiejszym świecie kwestia bezpieczeństwa sieciowego staje się coraz bardziej istotna, szczególnie w kontekście postępującej nieuchronnie, choć powoli, informatyzacji kraju. Przykładowo wdrożenie możliwości załatwiania spraw urzędowych przez Internet czy też wprowadzenie podpisu elektronicznego wymaga zbudowania odpowiednich mechanizmów bezpieczeństwa, chroniących dane obywateli.

W podnoszeniu poziomu bezpieczeństwa już wdrożonych usług czy aplikacji pomagają audyty bezpieczeństwa. Można je określić jako przegląd i ocenę polityki zabezpieczeń systemów informatycznych stosowanych w konkretnej jednostce. Wyniki audytu bezpieczeństwa nie tylko pozwalają wyeliminować istniejące zagrożenia, ale umożliwiają wypracowanie odpowiednich sposobów postępowania na przyszłość. Tematyka audytów bezpieczeństwa podejmowana jest w ramach MIC przez 2 zadania, ukierunkowane odpowiednio na jednostki administracji samorządowej oraz firmy komercyjne (ze szczególnym uwzględnieniem sektora małych i średnich przedsiębiorstw - MŚP).

Audyty bezpieczeństwa dla jednostek administracji samorządowej ukierunkowane są głównie na aplikacje utworzone z wykorzystaniem technologii .NET. Audyty obejmować będą szczegółową weryfikację założeń projektowych oraz kodu źródłowego badanych aplikacji. Zamierzonym efektem będzie podniesienie jakości i bezpieczeństwa kodu aplikacji oraz wzmocnienie wizerunku platformy .NET jako środowiska umożliwiającego tworzenie bezpiecznego oprogramowania.

W odniesieniu do audytów przeprowadzanych w przedsiębiorstwach nacisk zostanie położony na usługi oferowane przy pomocy rozwiązań opracowanych przez firmę Microsoft (np. udostępnianie aplikacji na żądanie - applications on demand). Audyty skupiać się będą na weryfikacji poprawności wdrożenia oraz skuteczności zabezpieczeń stosowanych w przedsiębiorstwie. Efektem finalnym będzie podniesienie poziomu bezpieczeństwa świadczonych usług.

Rok 2006

We wstępnym etapie działania MIC zostały przygotowane niezbędne procedury oraz narzędzia pomocne przy przeprowadzaniu audytów. We współpracy z firmą Microsoft ustalono także listę jednostek, dla których będą wykonane pilotowe audyty bezpieczeństwa. Zostały również wypracowane niezbędne procedury organizacyjne i dokonano wstępnych ustaleń pomiędzy przedstawicielami Centrum Innowacji oraz reprezentantami audytowanych jednostek.

Rok 2007
  • W przeciągu bieżącego roku wykonane będą pilotowe audyty bezpieczeństwa dla kilku ustalonych wcześniej jednostek należących do poszczególnych grup docelowych. W ramach posiadanych zasobów możliwe jest rozszerzenie listy audytobiorców o nowe organizacje czy przedsiębiorstwa. Planowane są również audyty odbywane cyklicznie w konkretnych jednostkach (co pozwoli na weryfikację efektów pierwszego audytu). Audyty bezpieczeństwa wykonywane będą na rzecz wymienionych podmiotów nieodpłatnie, przez doświadczonych specjalistów z Zespołu Bezpieczeństwa Poznańskiego Centrum Superkomputerowo-Sieciowego.
  • Zespół Bezpieczeństwa PCSS planuje również przeprowadzenie audytu bezpieczeństwa niektórych rozwiązań programistycznych firmy Microsoft, w szczególności komponentów infrastruktury klucza publicznego (PKI) udostępnianych w systemie operacyjnym Windows XP oraz serwera Internet Information Services 7.0.

W przypadku zainteresowania programem bezpłatnych audytów prosimy o poinformowanie osób kontaktowych bądź Zespołu Bezpieczeństwa PCSS.

Korzyści:

  • Audytowane jednostki administracji samorządowej oraz firmy uzyskają możliwość nieodpłatnej eliminacji błędów bezpieczeństwa swojej infrastruktury informatycznej,
  • Wśród audytobiorców zwiększona zostanie świadomość problematyki bezpieczeństwa,
  • Wykryte błędy bezpieczeństwa pomogą w wypracowaniu dobrych praktyk niezbędnych do wdrażania nowoczesnych, odpornych na ataki technologii,
  • Zabezpieczenie usług i aplikacji zwiększy zaufanie klienta końcowego do używania nowoczesnych technologii.