Penetrační testy a bezpečnostní audity

G+
linkedin


Technické hodnocení bezpečnosti

KRUCEK | Cybersecutiry poskytuje služby technického hodnocení bezpečnosti webových aplikací i infrastruktury prostřednictvím penetračních testů a bezpečnostních auditů.

Technické hodnocení bezpečnosti může být zaměřeno na shodu s požadavky normativů nebo nejlepší bezpečnostní praxe, jako jsou GDPRISO/IEC 27001, ZoKB  nebo OWASP.


Přezkoumání technické shody dle Obecného nařízení o ochraně osobních údajů GDPR


GDPR
Článek 32 | Zabezpečení zpracování – POVINNOSTI
S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku.
GDPR
Článek 32 | Zabezpečení zpracování – TESTOVÁNÍ
Případné zajištění pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
GDPR
Článek 32 | Zabezpečení zpracování – POSUZOVÁNÍ
Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.

Přezkoumání technické shody dle ČSN ISO/IEC 27001:2014


ČSN ISO/IEC 27001:2014
A.18.2.3 – Přezkoumání technické shody
Informační systémy musí být pravidelně přezkoumávány, zde jsou v souladu s politikami a normami bezpečnosti informací organizace.
ČSN ISO/IEC 27002:2014
A.18.2.3 – Přezkoumání technického souladu: využití automatizovaných nástrojů …
Technický soulad by měl být přezkoumán nejlépe pomocí automatizovaných nástrojů, které vytvářejí technické zprávy pro následnou interpretaci technickým specialistou.
ČSN ISO/IEC 27002:2014
A.18.2.3 – Přezkoumání technického souladu: penetrační testování …
Přezkoumání souladu také zahrnuje penetrační testování a posouzení zranitelností, které by mohlo být prováděno nezávislými odborníky speciálně pro tento účel smluvně najatými… Penetrační testování a posouzení zranitelností poskytuje přehled o systému v určitém stavu a v určitém čase.

Přezkoumání technické shody dle zákona 181/2014 Sb., o kybernetické bezpečnosti 


Vyhláška 316/2014 SB., o bezpečnostních opatřeních
§12 Akvizice, vývoj a údržba
§12 (2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále (c) provádí bezpečnostní testování změn informačního systému kritické informační infrastruktury nebo komunikačního systému kritické informační infrastruktury před jejich zavedením do provozu.
Vyhláška 316/2014 Sb., o bezpečnostních opatřeních
§ 15 Kontrola a audit
§ 15 odst. (3) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále pro informační systém kritické informační infrastruktury a komunikační systém kritické informační infrastruktury provádí kontrolu zranitelnosti technických prostředků pomocí automatizovaných nástrojů a jejich odborné vyhodnocení a reaguje na zjištěné zranitelnosti.
Vyhláška 316/2014 SB., o bezpečnostních opatřeních
§ 24 Aplikační bezpečnost
§24 (1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona provádí bezpečnostní testy zranitelnosti aplikací, které jsou přístupné z vnější sítě, a to před jejich uvedením do provozu a po každé zásadní změně bezpečnostních mechanismů.

Přezkoumání technické shody dle OWASP Testing Guide / OWASP Top 10 


OWASP Top 10
A1 – Injektování | A2 – Chybná autentizace a správa relace ...
A1 – Injektování | A2 – Chybná autentizace a správa relace | A3 – Cross-Site Scripting (XSS) | A4 – Nezabezpečený přímý odkaz na objekt | A5 – Nezabezpečená konfigurace
OWASP TOP 10
OWASP Top 10 představuje široký konsensus o nejkritičtějších chybách zabezpečení ...
OWASP Top 10 představuje široký konsensus o nejkritičtějších chybách zabezpečení webových aplikací. OWASP Foundation apeluje na všechny společnosti, aby přijaly doporučení dokumentu OWASP TOP 10 ve své organizaci a zahájily procesy tak, aby webové aplikace neobsahovaly tyto nedostatky.
OWASP Top 10
A6 – Expozice citlivých dat | A7 – Chyby v řízení úrovní přístupu ...
A6 – Expozice citlivých dat A7 – Chyby v řízení úrovní přístupu A8 - Cross-Site Request Forgery (CSRF) A9 – Použití známých zranitelných komponent A10 – Neošetřené přesměrování a předávání

Kybernetická bezpečnost je odpovědností každého z nás. Chraňme náš společný kyberprostor.

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*