Open Audit jest specjalistyczną firmą, która praktycznie i profesjonalnie wspiera procesy planowania, wdrażania i monitorowania mechanizmów zabezpieczeń u odbiorców naszych usług. Oferta realizowanych przez nas projektów związana jest ściśle z zagrożeniami związanymi z bezpieczeństwem w procesach biznesowych, bezpieczeństwem danych czy zabezpieczeniami systemów informatycznych (bezpieczeństwo teleinformatyczne).

Nie ograniczamy się do tematyki bezpieczeństwa w procesach IT. Wspieramy naszych klientów w realizacji wymagań prawnych, zarówno na poziomie krajowym (PL) jak i międzynarodowym (UE). Prowadzimy audyty (audit) Systemów Zarządzania Bezpieczeństwem Informacji (ang. Information Security Management System).

Nasze projekty realizujemy zgodnie z metodyką PRINCE2. Dostosowujemy się do istniejących struktur projektowych u Klientów lub budujemy takie struktury dla Klientów uwzględniając w tym procesie udział Open Audit. Najczęściej występujemy w roli Kierownika Projektu (KP) lub Kierownika Zespołu (KZ) działającego na rzecz Głównego Dostawcy (GD) w projekcie. Możemy dostosować się do innej, preferowanej przez naszych klientów metodyki. Przy małych projektach dobieramy metodykę tak, aby nie budowała barier lecz wspierała nas i naszych Klientów w optymalnej ścieżce wytworzenia zamierzonego produktu.

Nasze kompetencje skierowane są na…

obszar wymaganej zgodności prawnej

• Wsparcie we wszystkich aspektach spełniania wymagań Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego potocznie RODO). Rozporządzenie weszło w życie w dniu 26 maja 2018 r.
• Wsparcie w realizacji zarządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. dotyczącego Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych
• Wsparcie w zapewnieniu zgodności z ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000).
• Wsparcie we wdrożeniu i utrzymaniu wymagań ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dz. U. 2018 poz. 1560).
• Wsparcie we wdrożeniu i utrzymaniu wymagań Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach

obszar procesowego zarządzania bezpieczeństwem

• Organizacja (planowanie) i prowadzenie audytów systemów zarządzania pod kątem zgodności z normami grupy ISO/IEC 27000 (w szczególności ISO/IEC 27001, o takie standardy jak COBIT czy TOGAF wykorzystując (jeżeli zajdzie taka potrzeba) metodykę CISA
• Przeprowadzanie audytów systemów zarządzania pod kątem zgodności z obowiązującymi regulacjami prawnymi (krajowymi i europejskimi)
• Projektowanie i budowanie Systemów Zarządzania Bezpieczeństwem Informacji (SZBI / ISMS)
• Analiza i projektowanie procesów zarządzania bezpieczeństwem w modelu usługowym opartym o:
  • normę ISO/IEC 20000-1 i ISO/IEC 20000-2
  • Information Technology Infrastructure Library (ITIL)
• Współpraca z zespołami CSIRT i CERT (w tym z krajowym zespołami CSIRT NASK, CSIRT MON oraz CSIRT GOV) w imieniu naszych klientów
• Analiza incydentów bezpieczeństwa
• Dogłębna analiza ryzyka w obszarach związanych z bezpieczeństwem informacji oraz ciągłości działania

obszar zabezpieczeń technicznych

• Wykrywanie podatności w infrastrukturze oraz aplikacjach;
• Prowadzenie audytów bezpieczeństwa systemów teleinformatycznych pod kątem zgodności z regulacjami międzynarodowymi oraz w wewnętrznej organizacji;
• Prowadzenie testów penetracyjnych, w których eksperci interfejsem białkowym sprawdzają aplikacje pod kątem podatności na ataki;
• Prowadzenie sieciowej analizy po włamaniowej do systemów teleinformatycznych;
• Projektowanie i wdrażania zabezpieczeń sieci, systemów operacyjnych oraz systemów aplikacyjnych opartych na technologiach WEB;
• Optymalizacja systemów teleinformatycznych w obszarach zabezpieczeń.

obszar analityczny

• Analizy, projektowania i dokumentowania procesów biznesowych z wykorzystaniem notacji BPMN.
• Działań konsultacyjnych (consulting) w obszarach wymienionych powyżej, oraz:
  • w czasie opracowywaniu założeń do Specyfikacji Istotnych Warunków Zamówienia. W takiej sytuacji, nasi eksperci pomagają organizacji w przygotowaniu dokumentacji przetargowej. Sami nie bierzemy wówczas udziału w postępowaniu;
  • w czasie negocjacji z dostawcami usług, gdy dochodzi do sytuacji spornych, w których trudno jest wypracować kompromis.

wsparcie dla zespołów bezpieczeństwa

• Świadczenia profesjonalnej usługi „Secure MX in the cloud aaS”, w ramach której nasi klienci otrzymują dostęp do bezpiecznej bramy SMTP wskazanej w DNS rekordem MX. Systemy będące pierwszą bramą dla poczty firmowej są bardzo często celem ataków. Usługa jest zabezpieczana kwalifikowanym certyfikatem Wildcard SSL.
• Świadczenia profesjonalnej usługi „Advanced Incident Management System in the Cloud aaS”, w ramach której nasi Klienci otrzymują dedykowaną instancję serwisu internetowego z aplikacją „Request Tracker”, dedykowaną do zarządzania zgłoszeniami użytkowników, w tym również z rozszerzeniem profilującym system do zarządzania incydentami bezpieczeństwa. Usługa jest standardowo zabezpieczana certyfikatem SSL Wildcard.

---

Współpracujemy na podstawie krótko- i długoterminowych kontraktów. Wizytówką naszych ekspertów w czasie planowania projektów jest wiedza, doświadczenie oraz wysoki poziom kultury osobistej. Naszą misją jest zwiększanie świadomości właścicieli danych na temat zagrożeń, jakie niesie za sobą przetwarzanie danych w sieciach mnie lub bardziej rozległych.

Posiadamy wiedzę potwierdzoną międzynarodowymi certyfikatami (Patrz: zapoznaj się z naszymi kwalifikacjami).

Posiadamy doświadczenie realizując zadania w imieniu naszych klientów:

• Pełnomocnika ds. bezpieczeństwa cyberprzestrzeni
• Architekta i wdrożeniowców wymagań Krajowych Ram Interoperacyjności
• Pojedynczego punktu kontaktu dla zespołów CSIRT i CERT
• Inspektora ochrony danych (IOD / DPO)