Zarówno jednostki publiczne, jak i te działające w sektorze prywatnym wdrażają różne metody skutecznej ochrony przed zagrożeniami dla cennych i w większości prawnie chronionych danych. Zarządzanie bezpieczeństwem informacji powinno być zintegrowane z innymi procesami w organizacji, jednocześnie zapewniając właściwą skuteczność zabezpieczeń organizacyjnych i technicznych. Najlepszym i coraz powszechniej stosowanym rozwiązaniem jest wdrożenie i utrzymywanie Systemu Zarządzania Bezpieczeństwem Informacji (w skrócie SZBI). Określa on wymagania oraz zasady inicjowania, wdrażania, utrzymania rozwiązań organizacyjno-technicznych w celu podniesienia poziomu bezpieczeństwa przetwarzanych informacji. Skuteczne funkcjonowanie SZBI wymaga prowadzenia audytów mających na celu weryfikację poprawności stosowanych zabezpieczeń w odniesieniu do założonych wymagań.
Potrzebujemy audytu szczególnie gdy:
- dbamy i bezpieczeństwo naszych informacji, szczególnie tajemnicy przedsiębiorstwa,
- posiadamy wdrożony system zarządzania bezpieczeństwem informacji w rozumieniu normy ISO/IEC 27001,
- jesteśmy podmiotem publicznym i podlegamy pod wymagania rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych,
- jesteśmy firmą lub podmiotem publicznym, który podlega pod wymagania ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Każdy audyt bezpieczeństwa informacji składa się z 3 głównych etapów: przygotowania, realizacji działań audytowych oraz opracowania raportu z przeprowadzonego badania.
Przygotowanie audytu
Pierwszym krokiem w organizacji audytu bezpieczeństwa informacji jest zebranie niezbędnych materiałów do przygotowania programu audytu. Na proces ten składa się analiza dokumentacji aktualnie obowiązującej w organizacji oraz wyników poprzednich audytów dotyczących bezpieczeństwa informacji. Następnie wskazać należy jakie wybieramy metody audytowe:
- Przegląd zabezpieczeń systemów informatycznych.
- Analiza konfiguracji urządzeń.
- Analiza dokumentów.
- Analiza zabezpieczeń fizycznych.
W porozumieniu z audytowanym ustalamy daty realizacji działań audytowych i na podstawie zebranych informacji tworzymy programu audytu i uzgadniamy kolejności realizacji poszczególnych zadań.
Realizacja zadań audytowych
Realizację działań rozpoczynamy od rozmowy z kierownictwem organizacji, podczas której ustalamy zakres, cel i sposób przeprowadzenia audytu. Wbrew pozorom jest to bardzo istotny punkt na liście zadań, ponieważ pozwala wyjaśnić wiele kwestii i niejasności zarówno ze strony audytujących, jak i audytowanych. Spotkanie to możemy od razu wykorzystać do uzupełnień w liście kontrolnej, aby nie zajmować dodatkowo czasu kierownictwa w następujących punktach:
- Kontekst organizacji
- Przywództwo i zaangażowanie
- Wsparcie kierownictwa
- Ciągłe doskonalenie
Następnie przechodzimy do zbierania dowodów audytowych, które stanowić będą potwierdzenie dla zasad postępowania opisanych w dokumentacji, którą analizowaliśmy w poprzednim etapie. W pierwszej kolejności analizie poddajemy role, odpowiedzialności oraz uprawnienia poszczególnych osób w organizacji w zakresie bezpieczeństwa informacji. Weryfikacji poddajemy takie stanowiska jak np. Administrator Systemu Informatycznego, Inspektor Ochrony Danych czy Pełnomocnik ds. SZBI (o ile zostali powołani), badany jest również zakres odpowiedzialności kierowników komórek organizacyjnych w procesie zarządzania bezpieczeństwem informacji.
W znacznej części organizacji, w których przeprowadzaliśmy audyt dominuje przekonanie, iż za bezpieczeństwo informacji w głównej mierze odpowiada dział IT. Trudno się z tym nie zgodzić, jednak musimy pamiętać, iż mimo przetwarzania większości informacji w systemie informatycznym to nie jest on sam w sobie aktywem, a jedynie zasobem wspomagającym to przetwarzanie, w związku z czym błędnym jest przypisywanie całej odpowiedzialności za bezpieczeństwo informacji informatykom. Właścicielami aktywów informacyjnych są właściciele procesów, w których one występują, więc najczęściej są nimi kierownicy komórek organizacyjnych lub pracownicy samodzielni.
Nie zmienia to oczywiście faktu, iż podczas przeprowadzania audytu najwięcej czasu poświęcić należy właśnie IT. Należy przeprowadzić analizę umów w zakresie bezpieczeństwa systemów informatycznych, wymagań bezpieczeństwa dla sprzętu i oprogramowania oraz regulacji wewnętrznych opisujących sposób zarządzania tymi aktywami.
Jedynym z podstawowych procesów poddawanych analizie podczas audytu zgodności z wymaganiami KRI oraz normy ISO/IEC 27001 jest zarządzanie incydentami naruszenia bezpieczeństwa informacji, w tym w szczególności sposobu ich obsługi. Podstawowymi dowodami, które podlegają w tym przypadku badaniu są:
- monitorowanie, zgłaszanie i klasyfikacja incydentów;
- rejestr incydentów;
- realizacja działań naprawczych i korygujących po wystąpieniu incydentu.
W zakresie procesu kontroli dostępu do informacji należy poddać weryfikacji regulacje wewnętrzne opisujące zarządzanie uprawnieniami użytkowników do pracy w systemach IT oraz adekwatność poziomów ich uprawnień w stosunku do zakresu czynności i posiadanych upoważnień dostępu do informacji. Ponadto sprawdzić należy działania w zakresie monitorowania dostępu do zasobów informatycznych, w tym realizowanych przeglądów.
Kolejnym dużym obszarem, który podlega wnikliwej analizie podczas audyt bezpieczeństwa informacji jest proces zarządzania ciągłością działania. Jest on również nierozerwalnie związany ze sferą IT, ponieważ jako dowody poprawnego jego działania uznawane są przede wszystkim:
- regulacje wewnętrzne, w których określono zasady tworzenia, przechowywania oraz testowania kopii zapasowych danych i systemów;
- działania związane z wykonywaniem, przechowywaniem i testowaniem kopii zapasowych danych i systemów oraz dokumentacja tych działań;
- Plany ciągłości działania.
- Działania związane z testowaniem i aktualizacją planów ciągłości działania.
Kolejnym punktem w programie audytu, którego nie może zabraknąć jest bez wątpienia sposób w jaki organizacja realizuje nadzór nad zmianą. W tym przypadku dowodami audytowymi będą wszelkie regulacje wewnętrzne i potwierdzenie ich wykonania w zakresie np. wdrażania nowych systemów informatycznych lub wprowadzania zmian w dotychczasowych, ich monitorowania pod kątem wydajności i pojemności czy realizacji działań zapobiegawczych będących wynikiem dostrzeżonych problemów podczas ich eksploatacji.
W przypadku organizacji, w których występuje proces produkcji lub rozwoju oprogramowania powinien on również podlegać audytowi
Na koniec zostaje nam ocena zabezpieczeń fizycznych serwerowni i punktów dystrybucyjnych oraz stosowanych w praktyce środków zabezpieczeń systemów informatycznych, co sprawdza się do wizji lokalnej w pomieszczeniach z infrastrukturą IT oraz przeglądu konfiguracji poszczególnych urządzeń i wykorzystywanego oprogramowania.
Podsumowanie
Badanie audytowe sumiennie przeprowadzone z zachowaniem wymienionych elementów gwarantuje otrzymanie szczegółowych wyników oraz daje nam obraz aktualnej sytuacji. Dzięki temu możemy wskazać obszary zgodne, nie wymagające działań korygujących czy naprawczych, które poddane będą jedynie regularnemu monitorowaniu oraz te, którym poświecić należy więcej uwagi i dodatkowo zabezpieczyć.
O czym warto pamiętać to jeden z zapisów KRI: „wymagania wymienione w art. 20 ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: ISO/IEC 27002, ISO/IEC 27005 oraz ISO/IEC 24762.” Wynika z niego, że wdrożenie w organizacji Systemu Zarządzania Bezpieczeństwem Informacji zgodnego z normą ISO/IEC 27001 i uzupełnionego o elementy ochrony danych osobowych wymaganych przez RODO zapewnia zgodność z przepisami prawa dotyczącymi bezpieczeństwa informacji.
Autor: Tomasz Cieślik