audyt bezpieczeństwa informacji

Audyt bezpieczeństwa informacji – poddaj próbie swoje zabezpieczenia

Audyt bezpieczeństwa informacji

Czym jest audyt, w jakim celu się go przeprowadza i czy warto audytować swoją organizację – na te pytania odpowiedziałem w artykule pt. „Audyt informatyczny IT/ICT – znajdź problemy zanim one spotkają Ciebie”. Audyt bezpieczeństwa informacji jest procesem przeprowadzanym w celu zidentyfikowania zagrożeń mogących skutkować utratą poufności, integralności lub dostępności informacji. Dedykowany jest szczególnie organizacjom, dla których informacja ma charakter krytyczny. Mogą to być np. firmy będące w posiadaniu tajnych procedur, technologii, receptur lub danych, od których poufności zależy powodzenie ich biznesu, jak i organizacje przetwarzające np. dane medyczne lub wrażliwe dane osobowe czy też finansowe.

Warto, czy trzeba?

W przypadku tych ostatnich konieczność przeprowadzenia audytu bezpieczeństwa informacji może wynikać wprost z przepisów prawa. Mówi o tym np. „Rekomendacja D” stworzona przez Komisję Nadzoru Finansowego na mocy ustawy Prawo Bankowe:

22.3. Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska
teleinformatycznego powinien być przeprowadzany regularnie oraz każdorazowo po
wprowadzeniu zmian mogących znacząco wpłynąć na poziom bezpieczeństwa
środowiska teleinformatycznego. Częstotliwość i zakres audytów powinny wynikać
z poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz
wyników ich wcześniejszych przeglądów.

Audyt bezpieczeństwa informacji jest również wymogiem prawnym stawianym instytucjom publicznym. Mówi o tym rozporządzenie z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności:

§ 20 ust.2 pkt 14:
Obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie
bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Jednak nawet tam, gdzie nie jest to wymogiem prawnym warto przeprowadzać audyt bezpieczeństwa informacji, jeżeli jej utrata skutkować może poważnymi konsekwencjami. Na potrzeby takich organizacji opracowana została m.in. norma ISO 27001 ustanawiająca System Zarządzania Bezpieczeństwem Informacji. O potrzebie przeprowadzania audytów mówi punkt 9.2 normy:

Organizacja powinna zaplanować, ustanowić, wdrożyć i utrzymywać program audytów, w tym częstość audytów, metody, odpowiedzialność, wymagania dotyczące planowania oraz raportowanie.

Co obejmuje audyt?

Ponieważ na bezpieczeństwo informacji oddziaływać może wiele czynników, od bezpieczeństwa fizycznego czy bezpieczeństwa personelu po bezpieczeństwo systemów informatycznych, audyt bezpieczeństwa informacji charakteryzuje się dosyć szerokim zakresem prac. Wspomniany już System Zarządzania Bezpieczeństwem Informacji wg normy ISO 27001 stanowi chyba najlepszą wykładnię kompleksowego podejścia do zagadnienia ochrony danych. W załączniku A normy zdefiniowano ponad 100 zabezpieczeń technicznych i organizacyjnych, których obecność jest wymagana w organizacji w celu zapewnienia bezpieczeństwa. Zabezpieczenia te zostały podzielone na następujące kategorie:

  • Polityki bezpieczeństwa informacji
  • Organizacja bezpieczeństwa informacji
  • Urządzenia mobilne i telepraca
  • Bezpieczeństwo zasobów ludzkich (przed, podczas i po zakończeniu zatrudnienia)
  • Odpowiedzialność za aktywa
  • Klasyfikacja informacji
  • Postępowanie z nośnikami
  • Zarządzanie dostępem użytkowników
  • Odpowiedzialność użytkowników
  • Kontrola dostępu do systemów i aplikacji
  • Zabezpieczenia kryptograficzne
  • Bezpieczeństwo fizyczne i środowiskowe
  • Obszary bezpieczne
  • Sprzęt
  • Procedury eksploatacyjne i odpowiedzialność
  • Ochrona przed szkodliwym oprogramowaniem
  • Kopie zapasowe
  • Rejestrowanie zdarzeń i monitorowanie
  • Nadzór nad oprogramowaniem produkcyjnym
  • Zarządzanie podatnościami technicznymi
  • Zarządzanie bezpieczeństwem sieci
  • Przesyłanie informacji
  • Wymagania związane z bezpieczeństwem systemów informacyjnych
  • Bezpieczeństwo w procesach rozwoju i wsparcia
  • Dane testowe
  • Relacje z dostawcami
  • Zarządzanie usługami świadczonymi przez dostawców
  • Zarządzanie incydentami związanymi z bezpieczeństwem informacji
  • Ciągłość bezpieczeństwa informacji
  • Nadmiarowość
  • Zgodność z wymaganiami prawnymi i umownymi
  • Przeglądy bezpieczeństwa informacji

Tak szeroki zakres prac jest niezbędny w organizacjach, dla których bezpieczeństwo informacji stanowi najwyższy priorytet lub chcących przejść certyfikację na zgodność z normą ISO 27001. W pozostałych przypadkach obszary poddawane audytowi mogą podlegać indywidualnym ustaleniom. Na przykład wspomniane wcześniej rozporządzenie o Krajowych Ramach Interoperacyjności jako niezbędne wymienia jedynie 14 aspektów bezpieczeństwa stanowiących pewien wycinek normy.

Bezpieczeństwo informacji a bezpieczeństwo systemów IT

Obecnie bezpieczeństwo informacji zależne jest w głównej mierze od bezpieczeństwa nowych technologii informatycznych. Ich szybki rozwój sprawia, że często możliwe jest naruszenie integralności lub poufności danych pomimo wdrożenia wszelkich zalecanych zabezpieczeń o charakterze technicznym i organizacyjnym. Świadczy o tym chociażby ilość incydentów polegających na wycieku danych, z którymi spotykamy się nawet w organizacjach o wysokiej kulturze bezpieczeństwa.

W takiej sytuacji wskazane może być poszerzenie zakresu audytu o szczegółową, techniczną analizę bezpieczeństwa systemów IT. Testy te, zwane testami penetracyjnymi mają na celu ujawnienie podatności technicznych, z których skorzystać mogą intruzi w celu przełamania naszych zabezpieczeń. Więcej na ten temat napisałem w artykule: testy penetracyjne – wynajmij sobie hackera.

Podsumowanie

Niezależnie od tego czy wynika to z przepisów prawa, czy z potrzeby zapewnienia bezpieczeństwa procesom biznesowym audyt bezpieczeństwa informacji jest narzędziem, które pomaga uniknąć nieprzyjemnych konsekwencji o charakterze prawnym, finansowym lub wizerunkowym. Regularne wykonywanie audytów bezpieczeństwa informacji pozwala zarządzać ryzykiem i udoskonalać zabezpieczenia stosownie do zidentyfikowanych zagrożeń. Może też ułatwić spełnienie wymogów prawa, takich jak np. ochrona danych osobowych. Warto zatem niezależnie od rodzaju prowadzonej działalności przynajmniej raz na jakiś czas przeprowadzić w swojej organizacji audyt bezpieczeństwa informacji.

Zachęcam również do zapoznania się z artykułem poświęconym audytom informatycznym (IT/ICT), których celem jest ocena pracy osób odpowiedzialnych za infrastrukturę teleinformatyczną.

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.