Audit şi evaluare sisteme informatice
Scopul acestui serviciu este de a determina riscurile de securitate şi conformitatea cu cerinţele minime de securitate impuse de standardele în domeniu. În acest sens, CCT realizează un audit independent al soluţiilor informatice prin intermediul cărora clientul îşi desfaşoară activitatea. În urma activităţilor de audit, CCT emite o opinie de audit însoţită de raportul de audit. Auditul urmăreşte existenţa unor măsuri concrete în ceea ce priveşte:
- confidenţialitatea şi integritatea comunicaţiilor;
- confidenţialitatea şi nonrepudierea tranzacţiilor;
- confidenţialitatea şi integritatea datelor;
- autenticitatea părtilor care participă la tranzacţii;
- protecţia datelor cu caracter personal;
- trasabilitatea tranzacţiilor;
- continuitatea serviciilor oferite clienţilor;
- împiedicarea, detectarea şi monitorizarea accesului neautorizat în sistem;
Audit şi evaluare sisteme de Internet banking
Sistemele de plăţi cu acces la distanţă sunt sisteme bancare care permit accesul electronic, de la distanţă, la conturile bancare, în vederea vizualizării de situaţii şi operării de tranzacţii. Astfel de sisteme sunt reprezentate de:
- Internet Banking – conexiunile la sistem se realizează prin internet, folosind un browser internet;
- Home Banking – accesul se face prin internet sau prin dial-up printr-o aplicaţie client dedicată, instalată pe calculatorul clientului;
- Mobile Banking – accesul se face folosind un terminal de telefonie mobilă.
Conform ordinului MCTI nr. 389/2007, aceste sisteme trebuie să fie avizate anual de către Ministerul Comunicaţiilor şi Societăţii Informaţionale, pâna la 30 iunie.
Conform ordinului nr. 389/2007, emis de Ministerul Comunicaţiilor şi Tehnologiei Informaţiei privind procedura de avizare a instrumentelor de plată cu acces la distanţă, de tipul aplicaţiilor.
Ethical hacking şi social engineering
Prin intermediul acestui serviciu, ne propunem să verificăm gradul de protecţie a sistemelor şi aplicaţiilor clientului împotriva atacurilor din internet, dar şi a celor din interior. Spre deosebire de un audit general al sistemelor informaţionale, care are ca scop obţinerea unui grad rezonabil de asigurare privind managementul securităţii, testele de penetrare presupun verificarea posibilităţii de a ocoli măsurile tehnice de securitate implementate folosind scenarii realiste.
Testele se realizează atât din postura „black box” – atacator extern fără acces la informaţii despre sistem cât şi din postura „gray/white box” – folosind informaţii la care are în mod normal acces un angajat. pre deosebire de scanările de vulnerabilităţăi, testele de penetrare merg dincolo de a identifica porturi deschise, patch-uri lipsa şi eventuale riscuri teoretice, ajungând până la a trece efectiv de barierele de securitate prin tentative de a exploata vulnerabilităţile sistemului, inclusiv prin intermediul tehnicilor de social engineering.
Implementarea sistemelor de management al securităţii informatice
CCT acordă servicii de consultanţă pentru implementarea sistemului de management al securităţii informaţiei (SMSI) conform ISO 27001:2005. Aceste servicii se derulează conform metodologiei PDCA (Plan-Do-Check-Act), în următoarele etape:
Planificarea sistemului
- Analiza şi documentarea principalelor procese ale clientului;
- Analiza proceselor sistem comparativ cu ISO27001:2005 şi crearea unui roadmap pentru alinierea proceselor
- Analiza practicilor existente în companie
- Pregătirea declaraţiei de aplicabilitate (SoA)
- Elaborarea planului de implementare
- Asistenţă în iniţierea proceselor de sistem Auditul intern şi Analiza managementului
Implementări servicii de securitate a informaţiei
CCT acordă servicii de consultanţă pentru implementarea sistemului de management al securităţii informaţiei (SMSI) conform PCI DSS.
Despre standardul PCI DSS.
PCI DSS reprezintă un set de cerinţe cuprinzătoare pentru îmbunătăţirea securitătii datelor în cazul tranzacţiilor electronice. Standardul a fost dezvoltat de către PCI Security Standards Council ce include American Express, Discover Financial Services, JCB International, MasterCard Worldwide and Visa Inc. Inc. International.
Codul etic al auditorilor CCT
Auditorii CCT au aderat la următorul cod etic:
- Sprijină şi încurajează conformitatea cu standardele, procedurile şi controalele aplicabile pentru sistemele informatice;
- Dau dovadă de obiectivitate şi de profesionalism în îndeplinirea activităţii de auditor;
- Se ghidează după interesele clientului, păstrând standarde înalte de conduită şi comportament, şi nu se vor implica în activităţi care ar putea să îi discrediteze pe ei, pe organizaţiile pe care le reprezintă sau pe beneficiar;
- Menţin caracterul privat şi confidenţial al informaţiilor obţinute în timpul auditului; aceste informaţii nu pot fi folosite în scopuri personale sau ale unor terţi, exceptând cazurile impuse de lege;
- Îşi menţin un înalt nivel de competenţe pe ariile lor de specializare şi nu se implică decât în activităţi pe care le pot completa într-un mod competent din punct de vedere profesional;