+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Bezpieczeństwo IT - oficjalny blog 4 IT SECURITY

11 marca 2017

Audyt Systemu Zarządzania Bezpieczeństwem Informacji

Bezpieczeństwo informacji jest kwestią niezwykle ważną w kontekście działań biznesowych. Coraz więcej firm skupia się na zapewnieniu bezpieczeństwa ważnych dla organizacji informacji, wprowadzając procedury i polityki bezpieczeństwa w oparciu o przyjęte normy dotyczące tego zakresu. Najczęściej stosowaną normą jest norma ISO/IEC 27001 "Technika Informatyczna. Techniki Bezpieczeństwa. Systemy Zarządzania Bezpieczeństwem Informacji. Wymagania." ISO/IEC 27001 jest międzynarodowym standardem systemu zarządzania bezpieczeństwem informacji. System ten określa wymagania, oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w organizacji, oraz zawiera najlepsze praktyki celów stosowania zabezpieczeń.

Skuteczne funkcjonowanie SZBI w organizacji wymaga prowadzenia audytów mających na celu weryfikację poprawności stosowanych zabezpieczeń w odniesieniu do założonych wymagań. Audyt jest procesem, w którym niezależna jednostka gromadzi i ocenia dowody o różnicach między wartością wskaźników mierzalnych a ustalonymi kryteriami.

Jak badamy?

Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu, aby określić, czy cele stosowania zabezpieczeń, same zabezpieczenia, procesy i procedury są:

  • zgodne z zaleceniami stansardów i odpowiednimi ustawami i przepisami,
  • zgodne z zidentyfikowanymi wymaganiami bezpieczeństwa informacji,
  • skutecznie wdrożone i utrzymywane,
  • zgodne z oczekiwaniami.

Audyty wewnętrzne umożliwiają audytowanym uzyskanie wiedzy na temat tego, jak ich zabezpieczenia postrzegają osoby z innych komórek organizacyjnych (osoby z zewnątrz).

Program audytu należy zaplanować, biorąc pod uwagę status i ważność procesów oraz ulokowanie obszarów wskazanych do audytu, jak również wyniki poprzednich audytów. Kryteria audytu, zakres, częstotliwość i metody powinny być zdefiniowane. Każdy audyt musi mieć wyznaczony cel (czyli co należy osiągnąć w następstwie audytu), kryteria (przepisy prawne, zarządzenia, procedury SZBI), zakres (obejmuje jednostki organizacyjne, fizyczne lokalizacje, procesy, działania) oraz termin wykonania.

Beztronność audytu

Wybór audytorów i sposób przeprowadzenia audytu powinny zapewnić obiektywność i beztronność procesu audytowego. Co oczywiste, nigdy audytorzy nie powinni audytować swojej własnej pracy. Audytor nie powinien także audytować obszaru, co do którego istnieje podejrzenie, że będzie miał trudności z zachowaniem obiektywizmu. Sytuacja taka może wystąpić wtedy, gdy w badanej komórce organizacyjnej pracuje osoba mocno zaprzyjaźniona z audytorem lub osoba, której audytor z jakich powodów jest bardzo nieprzychylny. Jest to ważne, bowiem celem audytora jest uzyskanie dowodów z audytu i wydanie obiektywnej oceny, która pozwoli określić stopnień spełnienia kryteriów. Celem audytorów jest szukanie zgodności, a nie poszukiwanie potknięć audytowanego. Audytorzy nie mogą kierować się negatywnymi emocjami wobec audytowanego. Audytorzy muszą pamiętać, że audyt nie jest kontrolą. Nie mogą zapominać, że audyty wewnętrzne podejmowane są dobrowolnie przez organizację i ich celem jest doskonalenie systemu.Audyt bezpieczeństwa może być realizowany zarówno przez osoby zatrudnione w weryfikowanej organizacji jak i za pomocą zewnętrznych specjalistów. Cechą audytu zewnętrznego jest niezależność oceny. Z kolei audyt wewnętrzny gwarantuje dobrą znajomość specyfiki organizacji i pozwala dokładnie analizować wybrane zabezpieczenia ponieważ może być realizowany częściej niż audyt zewnętrzny. Aby dobrze wykonać zadanie audytorzy powinni rozumieć obszar audytowany i działalność audytowanego. W normie PN-EN ISO 19011 podkreślono, że aby audyt stał się wiarygodnym i miarodajnym narzędziem musi opierać się na sześciu zasadach: rzetelności, uczciwym przedstawieniu wyników, należytej staranności zawodowej, niezależności, podejściu opartym na dowodach i poufności.

Wymagania i odpowiedzialność za planowanie i przeprowadzenie audytów oraz raportowanie wyników i utrzymywanie zapisów powinny być zdefiniowane w udokumentowanej procedurze.

Cel audytu

Audyt polega na zbadaniu aktualnego stanu zabezpieczenia zasobów informacyjnych pod względem:  poufności,  integralności  i  dostępności,  wskazaniu  niezgodności oraz przygotowaniu rekomendacji związanych z wprowadzeniem mechanizmów służących do uzyskania bezpieczeństwa informacji, zgodnego z normą. W praktyce audyt bezpieczeństwa informacji w oparciu o normę ISO/IEC 27001 ma na celu określenie zgodności istniejącego systemu zarządzania bezpieczeństwem informacji (SZBI) z wymaganiami zawartymi w normie. 

Kryteria audytu

Audyt zawsze musi odnosić się do założonych kryteriów. Kryteria audytu są to wymagania jakie organizacja ma do spełnienia w zakresie bezpieczeństwa informacji.

Kryteria audytu obejmują następujące wymagania:

  • zobowiązania wynikające z zawartych umów,
  • wymagania zawarte w przepisach prawa,
  • dokumentacja systemowa,
  • normy (ISO/IEC 27001).

Podczas audytu bezpieczeństwa wykonywanego przed wdrożeniem systemu zarządzania bezpieczeństwem informacji oceniamy zgodność zabezpieczeń z wymaganiami prawnymi i technicznymi, dobrymi praktykami oraz normami takimi jak ISO/IEC 27002.

Działania audytowe

Właściwie przeprowadzony  audyt  powinien  być  zaplanowany  i  przeprowadzony  w sposób bardzo przemyślany.

Rys. Działania audytowe wg. normy ISO 19011. 

 

Dla ułatwienia sobie zadania należy wykonać cztery działania, określane przez normę jako kluczowe:

  • planowanie,
  • wykonywanie.
  • raportowanie.
  • działania poaudytowe

Faza planowania jest bardzo istotna dla sprawnego przeprowadzenia audytu. Przed rozpoczęciem właściwych prac audytowych audytor powinien skupić się na przeanalizowaniu celu audytu, założonych kryteriów, a także zasięgu audytu, co pozwoli określić granice, w ramach których prowadzony będzie audyt. Na etapie planowania dokonywany jest wybór audytora wiodącego, określany skład zespołu audytowego i podział prac audytowych. Audytor wiodący musi zaplanować również czas potrzebny na wykonanie każdego zadania, jak również czas na spotkania przeglądowe i wymianę informacji pomiędzy członkami zespołu. Niezbędne jest również zaplanowanie spotkań z osobą ze strony audytowanego, odpowiedzialną za przebieg audytu, w celu bieżącego przekazywania informacji odnośnie prowadzonych prac.

Niezwykle ważną kwestią, od której rozpoczyna się właściwy audyt w siedzibie audytowanego, jest spotkanie otwierające. Głównym celem spotkania otwierającego jest przedstawienie zespołu audytowego przedstawicielom audytowanej organizacji i upewnienie się, że audytowany rozumie cel audytu i ogólne zasady oceny. Na spotkanie otwierającym, oprócz potwierdzenia zakresu audytu i przedstawienia metodyki jego prowadzenia, są omówione również kwestie organizacyjne i techniczne związane z przebiegiem audytu.

Prace audytowe, rozdzielone przez audytora wiodącego w fazie planowania, prowa- dzone są przez członków zespołu, zgodnie z założonym harmonogramem. Prace audytowe przeprowadzane są metodą próbkowania, w oparciu o przygotowane listy kontrolne. Oznacza to, że nie jest szczegółowo badany cały obszar, lecz wybrane jego elementy. Próbki powinny być potwierdzone dowodami z uwagi na to, że na etapie raportowania, posłużą do sformułowania wykrytych niezgodności.W celu uzupełnienia informacji audytor przeprowadza wywiady z wybranymi pracownikami organizacji oraz przeprowadza wizje lokalne.

Na koniec każdego audytu powinien powstać dokument lub zestaw dokumentów podsumowujących przeprowadzoną weryfikację

Po zakończeniu prac audytowych audytor wiodący organizuje spotkanie zespołu, omawiane są wszystkie zidentyfikowane niezgodności i przygotowany raport podsumowujący audyt. Celem przygotowania raportu podsumowującego jest zebranie wszystkich faktów razem tak, aby na spotkaniu zamykającym mogły być zaprezentowane audytowanemu. Odbiorcą raportu jest zwykle Zarząd organizacji, w której audyt był prowadzony, dlatego zapisy w raporcie powinny być jasne i zrozumiałe dla odbiorcy. Sformułowane w raporcie niezgodności powinny być poparte dowodami i odnosić się do punktów normy.  Raport podsumowujący powinien zawierać wyraźną interpretację faktów, aby przedstawić audytowanemu wnioski z audytu i upewnić się, że są one dla niego zrozumiałe.

 

 

Komentarze (0)

Dodaj

Popularne wpisy