Audit a testování bezpečnosti informací v malých firmách

Abstract

Tato práce se zabývá bezpečnostním auditem, mapuje normy a způsoby nasazení a ukazuje na konkrétním příkladě, jak muže takový audit vypadat, jak probíhá a co přináší. Jako model pro moji práci posloužila firma Fashion Arena Outlet Centrum (FAOC), s. r.o., konkrétně na jejich oddělení Fashion Arena Center Management, která působí v oblasti obchodování a je největší outletové centrum v České republice. V rámci snižování rizika byly u dvou ze čtyř bezpečnostních incidentů s nejzávažnějším dopadem zjištěny nedostatky, které se ovšem i přesto nedají označit za fatální. Díky auditu byly také odhaleny nevhodné postupy, které vedly k nedostatečnému povědomí o tak závažných věcech, jako je oprávnění přístupu k serverům, kdy přístupem do technologické místnosti management centra disponovali všichni zaměstnanci společnosti. Mimo úprav stávajících bezpečnostních opatření bylo mnou navrženo několik nových, jedním z takových opatření by mohlo být např. automatizovaná pravidelná kontrola serverů.

This work deals with the security audit , mapping standards and methods of deployment and shows a concrete example of how the audit should look like and what it brings. As a model for my work served the company Fashion Arena Outlet Center ( FAOC ) Ltd. , specifically the Department of Fashion Management Center Arena, which is engaged in trading and it is the largest outlet center in the Czech Republic. To reduce the risk there were two of four security incidents with the most impact identified shortcomings, although they could have not been classified as a fatal. Thanks audit which also revealed improper practices that have led to a lack of awareness about such weighty matters as authorized access to the servers where access to technology room management center possess all employees. Apart from modifications of existing security measures there have been proposed several new alternations, one such measure could be automated as regular checks servers.