Strona główna » Cyberbezpieczeństwo » Audyt (przegląd) urządzeń kryptograficznych (HSM/PKI) [HSM/PKI Healthcheck]
Audyt konfiguracji urządzeń kryptograficznych [HSM/PKI Healthcheck]
Przegląd urządzeń kryptograficznych, takich jak HSM i PKI, wymaga specjalistycznego podejścia, które różni się od standardowych audytów serwerów czy urządzeń sieciowych. Różnica ta wynika z kluczowej roli, jaką pełnią te urządzenia w utrzymaniu bezpieczeństwa organizacji oraz z ich specyficznych cech. HSM (Hardware Security Module) operuje na poziomie sprzętowym i korzysta z zaawansowanych technologii kryptograficznych, aby generować, przechowywać i zarządzać cyfrowymi kluczami kryptograficznymi.
Jest to najprościej mówiąc zasobnik na klucze do danych i uprawnień (głównie kluczy kryptograficznych) o krytycznym znaczeniu dla każdej organizacji. Przeciętny HSM przechowuje i chroni Tzw. Klejnoty koronne – czyli klucze szyfrujące i różne poświadczenia o krytycznym znaczeniu. Ich utrata, bądź utrata dostępu lub udostępnienie osobom nieuprawnionym może mieć krytyczne znaczenia dla bezpieczeństwa i istnienia firmy.
Dlaczego audyt HSM jest konieczny?
Czy pierwotna konfiguracja jest w dalszym ciągu zgodna z wymaganiami?
Weryfikacja dostępu do najważniejszych danych oraz uprawnień, również w sytuacji awarii urządzenia przechowywującego klucze dostępu
Pewność bezpiecznej konfiguracji a w ramach potrzeby rekonfiguracji
Jakie obszary uwzględnia audyt HSM/PKI realizowany przez ISCG?
- Pierwotne założenia, które były powodem inwestycji w HSM
- Weryfikację pierwotnych założeń projektu – również w kontekście celu. Czy cel i wymagane funkcjonalności zostały skutecznie zrealizowane? Jeśli nie, to co było tego powodem?
- Czy warunki dostępu spełniają wymagania i polityki bezpieczeństwa w organizacji, aktualne normy i wymagania urzędów kontrolnych i regulacyjnych
- Czy w projekcie przewidziano długi czas eksploatacji oraz zmiany technologiczne i prawne
- Czy obecnie eksploatowany HSM będzie spełniał wymagania technologiczne i prawne w kolejnych latach? Czy będzie możliwość konfiguracji i integracji z innymi urządzeniami w infrastrukturze IT?
- Czy polityki przewidują jasne procedury w przypadku rotacji pracowników, przekazywania obowiązków i poświadczeń?
- Czy istnieje polityka wykonywania i przechowywania kopii zapasowych? Czy w organizacji istnieją procedury testów odtwarzania z kopii zapasowych?
- Czy w organizacji wyodrębnione są polityki na przypadek awarii?
Jaki jest efekt usługi?
- Centrum Operacji Bezpieczeństwa ISCG SOC
- Analiza zagrożeń cybernetycznych as a Service [Threat Intelligence]
- Audyty i przeglądy bezpieczeństwa
- Audyt i konsultacje NIS2 DORA
- Zarządzane Usługi Bezpieczeństwa [MSS]
- Audyt (przegląd) urządzeń kryptograficznych (HSMPKI)
- Szyfrowanie danych [Data Encryption]
ISCG sp. z o.o.
Al. Jerozolimskie 178, 02-486 Warszawa
NIP: 5262798378
KRS: 0000220621
Telefon