Open Audit jest specjalistyczną firmą, która praktycznie i profesjonalnie wspiera procesy planowania, wdrażania i monitorowania mechanizmów zabezpieczeń u odbiorców naszych usług. Oferta realizowanych przez nas projektów związana jest ściśle z zagrożeniami związanymi z bezpieczeństwem w procesach biznesowych, bezpieczeństwem danych czy zabezpieczeniami systemów informatycznych (bezpieczeństwo teleinformatyczne).
Nie ograniczamy się do tematyki bezpieczeństwa w procesach IT. Wspieramy naszych klientów w realizacji wymagań prawnych, zarówno na poziomie krajowym (PL) jak i międzynarodowym (UE). Prowadzimy audyty (audit) Systemów Zarządzania Bezpieczeństwem Informacji (ang. Information Security Management System).
Nasze projekty realizujemy zgodnie z metodyką PRINCE2. Dostosowujemy się do istniejących struktur projektowych u Klientów lub budujemy takie struktury dla Klientów uwzględniając w tym procesie udział Open Audit. Najczęściej występujemy w roli Kierownika Projektu (KP) lub Kierownika Zespołu (KZ) działającego na rzecz Głównego Dostawcy (GD) w projekcie. Możemy dostosować się do innej, preferowanej przez naszych klientów metodyki. Przy małych projektach dobieramy metodykę tak, aby nie budowała barier lecz wspierała nas i naszych Klientów w optymalnej ścieżce wytworzenia zamierzonego produktu.
Nasze kompetencje skierowane są na…
obszar wymaganej zgodności prawnej
- Wsparcie we wszystkich aspektach spełniania wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego potocznie RODO). Rozporządzenie weszło w życie w dniu 26 maja 2018 r.
- Wsparcie w realizacji zarządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. dotyczącego Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
- Wsparcie w zapewnieniu zgodności z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000).
- Wsparcie we wdrożeniu i utrzymaniu wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. 2018 poz. 1560).
- Wsparcie we wdrożeniu i utrzymaniu wymagań Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach
obszar procesowego zarządzania bezpieczeństwem
- Organizacja (planowanie) i prowadzenie audytów systemów zarządzania pod kątem zgodności z normami grupy ISO/IEC 27000 (w szczególności ISO/IEC 27001, o takie standardy jak COBIT czy TOGAF wykorzystując (jeżeli zajdzie taka potrzeba) metodykę CISA
- Przeprowadzanie audytów systemów zarządzania pod kątem zgodności z obowiązującymi regulacjami prawnymi (krajowymi i europejskimi)
- Projektowanie i budowanie Systemów Zarządzania Bezpieczeństwem Informacji (SZBI / ISMS)
- Analiza i projektowanie procesów zarządzania bezpieczeństwem w modelu usługowym opartym o:
- normę ISO/IEC 20000-1 i ISO/IEC 20000-2
- Information Technology Infrastructure Library (ITIL)
- Współpraca z zespołami CSIRT i CERT (w tym z krajowym zespołami CSIRT NASK, CSIRT MON oraz CSIRT GOV) w imieniu naszych klientów
- Analiza incydentów bezpieczeństwa
- Dogłębna analiza ryzyka w obszarach związanych z bezpieczeństwem informacji oraz ciągłości działania
obszar zabezpieczeń technicznych
- Wykrywanie podatności w infrastrukturze oraz aplikacjach;
- Prowadzenie audytów bezpieczeństwa systemów teleinformatycznych pod kątem zgodności z regulacjami międzynarodowymi oraz w wewnętrznej organizacji;
- Prowadzenie testów penetracyjnych, w których eksperci interfejsem białkowym sprawdzają aplikacje pod kątem podatności na ataki;
- Prowadzenie sieciowej analizy po włamaniowej do systemów teleinformatycznych;
- Projektowanie i wdrażania zabezpieczeń sieci, systemów operacyjnych oraz systemów aplikacyjnych opartych na technologiach WEB;
- Optymalizacja systemów teleinformatycznych w obszarach zabezpieczeń.
obszar analityczny
- Analizy, projektowania i dokumentowania procesów biznesowych z wykorzystaniem notacji BPMN.
- Działań konsultacyjnych (consulting) w obszarach wymienionych powyżej, oraz:
- w czasie opracowywaniu założeń do Specyfikacji Istotnych Warunków Zamówienia. W takiej sytuacji, nasi eksperci pomagają organizacji w przygotowaniu dokumentacji przetargowej. Sami nie bierzemy wówczas udziału w postępowaniu;
- w czasie negocjacji z dostawcami usług, gdy dochodzi do sytuacji spornych, w których trudno jest wypracować kompromis.
wsparcie dla zespołów bezpieczeństwa
- Świadczenia profesjonalnej usługi „Secure MX in the cloud aaS”, w ramach której nasi klienci otrzymują dostęp do bezpiecznej bramy SMTP wskazanej w DNS rekordem MX. Systemy będące pierwszą bramą dla poczty firmowej są bardzo często celem ataków. Usługa jest zabezpieczana kwalifikowanym certyfikatem Wildcard SSL.
- Świadczenia profesjonalnej usługi „Advanced Incident Management System in the Cloud aaS”, w ramach której nasi Klienci otrzymują dedykowaną instancję serwisu internetowego z aplikacją „Request Tracker”, dedykowaną do zarządzania zgłoszeniami użytkowników, w tym również z rozszerzeniem profilującym system do zarządzania incydentami bezpieczeństwa. Usługa jest standardowo zabezpieczana certyfikatem SSL Wildcard.
Współpracujemy na podstawie krótko- i długoterminowych kontraktów. Wizytówką naszych ekspertów w czasie planowania projektów jest wiedza, doświadczenie oraz wysoki poziom kultury osobistej. Naszą misją jest zwiększanie świadomości właścicieli danych na temat zagrożeń, jakie niesie za sobą przetwarzanie danych w sieciach mnie lub bardziej rozległych.
Posiadamy wiedzę potwierdzoną międzynarodowymi certyfikatami (Patrz: zapoznaj się z naszymi kwalifikacjami).
Posiadamy doświadczenie realizując zadania w imieniu naszych klientów:
- Pełnomocnika ds. bezpieczeństwa cyberprzestrzeni
- Architekta i wdrożeniowców wymagań Krajowych Ram Interoperacyjności
- Pojedynczego punktu kontaktu dla zespołów CSIRT i CERT
- Inspektora ochrony danych (IOD / DPO)