Audyt bezpieczeństwa informacji
zaplanowana i systematyczna analiza poziomu bezpieczeństwa informacji w organizacji z uwzględnieniem wszelkich wpływających na nie rozwiązań technicznych i organizacyjnych oraz procesów i zachowań informacyjnych. Jego celem jest sprawdzenie, czy system zarządzania bezpieczeństwem informacyjnym w organizacji jest zgodny z wymaganiami ustalonymi przez daną organizację, z wymogami norm (np. międzynarodowych) lub wymogami prawa, ustalenie, czy sam system jest odpowiednio wdrożony, oraz zidentyfikowanie obszarów wpływających na poziom bezpieczeństwa, które wymagają udoskonalenia. Audyt powinien obejmować analizę wszystkich komponentów systemu zarządzania bezpieczeństwem informacji, w tym analizę polityki bezpieczeństwa informacji, klasyfikację i kontrolę aktywów, bezpieczeństwa osobowego, fizycznego i środowiskowego w kontekście bezpieczeństwa informacyjnego, zarządzanie systemami informatycznymi i sieciami komputerowymi oraz kontroli dostępu. Podczas badania poszczególnych elementów systemu zarządzania bezpieczeństwem informacji analizie podlega:
- polityka bezpieczeństwa informacji – sprawdzane
jest m.in.:
- czy w ogóle jest opracowana, czy dokument został udostępniony pracownikom oraz czy został przeczytany, czy sposób spisania dokumentu jest jasny, zwięzły i zrozumiały;
- czy polityka zawiera podział odpowiedzialności i kompetencje pracowników;
- czy obejmuje opis mechanizmów i terminarz wdrażania kolejnych etapów zarządzania bezpieczeństwem informacji;
- czy nie zawiera zbyt szczegółowych informacji o zastosowanych rozwiązaniach technicznych, których ujawnienie mogłoby naruszyć bezpieczeństwo informacji;
- czy dokument zawiera opis: wszystkich niezbędnych elementów infrastruktury bezpieczeństwa, odpowiedzialności, zadań poszczególnych osób, autoryzacji urządzeń do przetwarzania informacji, analizy;
- czy konieczne jest zatrudnienie kogoś z zewnątrz, współpracy między jednostkami, przeglądu stanu bezpieczeństwa, zabezpieczeń przed dostępem osób z zewnątrz organizacji, wymogów bezpieczeństwa w zawieranych umowach, przetwarzania danych przez firmy zewnętrzne.
- klasyfikacja i kontrola aktywów – konieczne jest
sporządzenie spisu inwentarzowego zawierającego wykaz:
- aktywów informacyjnych (m.in. danych, plików, nośników, procedur związanych z bezpieczeństwem informacji, planu ciągłości działania, procedur awaryjnych, materiałów szkoleniowych, kopii zapasowyche itp.);
- aktywów oprogramowania (m.in. oprogramowania, za pomocą którego zapisywane i przechowywane są dane, systemów operacyjnych, systemów biurowych, oprogramowania specjalistycznego);
- aktywów fizycznych (m.in. sprzętu komputerowego, serwerów, urządzeń peryferyjnych, np. drukarek, nośników, także pomieszczeń i mebli);
- usług (m.in. usług związanych z przekazywaniem danych i informacji, usług pomocy technicznej, np. klimatyzacji).
Po sporządzeniu spisu konieczne jest nadanie ważności zidentyfikowanym aktywom (czyli określenie, które aktywa są szczególnie istotne dla funkcjonowania organizacji), analiza potrzeb użytkowników aktywów oraz ustalenie poziomu wykorzystania aktywów (czyli kto, w jakim czasie i w jakim celu korzysta z aktywów/informacji).
- bezpieczeństwo osobowe – należy sprawdzić m.in.:
- czy opisy obowiązków służbowych zawierają dane o zakresie dostępu do informacji;
- czy uprawnienia dostępu do informacji są dostosowane do obowiązków;
- czy dana osoba ma dostęp tylko do tych informacji, które są niezbędne do wykonywania jej obowiązków;
- czy system rekrutacji pracowników zawiera elementy sprawdzania;
- czy kandydat jest podatny na celowe lub przypadkowe naruszenia bezpieczeństwa informacji;
- czy prowadzone są szkolenia dla pracowników z zakresu bezpieczeństwa informacji;
- czy umowy zawierają klauzule o zachowaniu poufności i tajemnicy firmowej;
- czy pracownicy są świadomi sankcji za naruszenia bezpieczeństwa informacji;
- czy pracownicy wiedzą, jak reagować na naruszenia bezpieczeństwa informacji i gdzie takie naruszenia zgłaszać, jak wygląda system zgłaszania naruszeń (i czy w ogóle jest), jak wygląda procedura postępowania dyscyplinarnego w razie wykrycia naruszeń spowodowanych przez pracowników;
- bezpieczeństwo fizyczne i środowiskowe –
analizie podlega funkcjonowanie fizycznego obwodu zabezpieczającego, w tym
m.in. kart magnetycznych, alarmów, bramek z wykrywaczami metali, wzmocnionych
ścian, zabezpieczeń biometrycznych, recepcji ze strażnikiem. Należy także sprawdzić:
- czy strategiczne pomieszczenia, np. serwerownia, zawierają odpowiednie zabezpieczenia (np. kraty w oknach, wzmocnione drzwi, silne zamki lub systemy na karty, zabezpieczenia biometryczne, klimatyzację, szczelny sufit, odpowiednie wykładziny);
- czy osoby wchodzące do budynku są weryfikowane i jeśli tak, to w jaki sposób;
- czy pracownicy korzystają z identyfikatorów;
- czy w biurach mogę przebywać osoby trzecie;
- czy są specjalne pomieszczenia do przyjmowania gości;
- czy kontrolowane są urządzenia peryferyjne (np. drukarki, faksy i ksero);
- czy okna i drzwi są zamykane po opuszczeniu pomieszczenia;
- czy kopie zapasowe są przechowywane w odpowiedni sposób;
- czy pracownicy wiedzą o istnieniu obszarów bezpiecznych w organizacji;
- czy lokalizacja sprzętu jest odpowiednia (czy np. nie ma ryzyka zniszczenia);
- czy sprzęt jest nadzorowany;
- czy sprzęt jest zabezpieczony przed: kradzieżą, pożarem, zalaniem, drganiami, dymem, materiałem wybuchowym;
- czy pracownicy spożywają posiłki przy sprzęcie;
- jakie są zabezpieczenia zasilania i okablowania;
- czy jest zasilanie awaryjne;
- czy sprzęt jest odpowiednio konserwowany, czyszczony itd.;
- kto się zajmuje konserwacją, jak często;
- jak wygląda kwestia pracy w domu na sprzęcie służbowym;
- czy dane z dysków są usuwane przed sprzedażą lub utylizacją używanego sprzętu;
- czy w organizacji wprowadzono politykę czystego biurka i czystego ekranu;
- jak wygląda polityka wynoszenia sprzętu poza siedzibę firmy.
- zarządzanie systemami informatycznymi i sieciami
komputerowymi – analizuje się:
- działalność obsługi technicznej;
- czy jest prowadzona dokumentacja wszystkich zmian w systemach (np. aktualizacje);
- czy są opracowane procedury reagowania na naruszenia (np. odmowa dostępu do systemu);
- czy pojemności dysków są odpowiednie;
- czy pracownicy są przeszkoleni z użytkowania nowego systemu;
- jak wygląda ochrona przed szkodliwym oprogramowaniem (np. czy pracownicy korzystają tylko z legalnego oprogramowania, czy przeprowadzane są aktualizacje, czy na wykorzystywanym sprzęcie jest zainstalowane oprogramowanie antywirusowe, czy są przeglądy oprogramowania, czy tworzone są kopie zapasowe danych i dokumentów, kto ma dostęp do sieci oraz jak zarządza się nośnikami danych, np. gdzie przechowuje się płyty CD z danymi, jak są niszczone).
- kontrola dostępu do systemu – obejmuje
sprawdzenie m.in.:
- czy użytkownicy systemów mają określone prawa do informacji;
- jak wygląda system budowania haseł dostępu i wylogowywania użytkowników;
- jak wygląda system zabierania pracownikom uprawnień do kont (np. w razie zwolnienia);
- jak wygląda system logowania;
- jak wygląda procedura pozostawiania sprzętu bez opieki (np. podczas przerw pracowników);
- czy stosuje się podpisy cyfrowe i jeśli tak, to w jakich sytuacjach – kiedy takie podpisy są wymagane.
Każda zidentyfikowana podczas audytu niezgodność z ustalonymi wcześniej wymaganiami lub odkryte naruszenie bezpieczeństwa muszą zostać odpowiednio udokumentowane i wyjaśnione. Specyficzną odmianą audytu bezpieczeństwa informacji jest audyt certyfikacyjny (np. obejmujący analizę zgodności systemu zarządzania bezpieczeństwa informacji z normą PN-EN ISO/IEC 27001:2017-06 – wersja polska, Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania).
Zalecane jest, aby audyt bezpieczeństwa informacji przeprowadzany był cyklicznie. Zgodnie z Rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych podmioty publiczne w Polsce mają obowiązek przeprowadzenia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz w roku. Rozporządzenie zezwala także podmiotom publicznym na tworzenie systemu zarządzania bezpieczeństwem informacji zgodnie z normą PN-ISO/IEC 27001.
Audyt może być prowadzony przez audytorów z firmy zewnętrznej lub powołanych do tego zadania przedstawicieli danej organizacji. Oba rozwiązania mają swoje pozytywne i negatywne strony, a ich dobór musi być ściśle powiązany z potrzebami i specyfiką organizacji. Audyt prowadzony jest zazwyczaj w kilku etapach, które obejmują inicjowanie audytu i analizę dokumentacji organizacyjnej i technicznej (czyli ustalenie stanu obowiązującego w zakresie bezpieczeństwa informacji), przygotowanie i przeprowadzenie działań audytowych (czyli ustalenie stanu faktycznego), udokumentowanie przebiegu i efektów audytu (w tym sporządzenie raportu z audytu) oraz zakończenie audytu. Co istotne, po zakończeniu audytu następuje przeprowadzenie działań poaudytowych, czyli m.in. skorygowanie odnalezionych nieprawidłowości, wdrożenie zaleceń sformułowanych podczas audytu, przeprowadzenie szkoleń dla pracowników oraz zaplanowanie dalszych działań zwiększających poziom bezpieczeństwa informacyjnego w organizacji. Podczas planowania audytu nie powinno się pomijać etapu przygotowawczego, w którym określane są cele audytu, wykorzystywane narzędzia i techniki zbierania danych, budżet finansowy i budżet czasu, a także wskazywane są osoby odpowiedzialne za prowadzenie działań audytowych. Podczas etapu przygotowawczego konieczne jest także zyskanie przychylności i poparcia wśród pracowników i kierownictwa organizacji.
Wśród metod i technik zbierania informacji podczas prowadzenia audytu znajdują się m.in. wywiady z pracownikami, badania ankietowe, prowadzenie grup fokusowych, obserwacje działań, warunków i środowiska procesów informacyjnych, analiza dokumentów (np. instrukcji, opisów procedur, licencji, sprawozdań ze spotkań, zapisów pomiarów, polityk), analiza innych informacji (np. informacji zwrotnych od klientów) oraz analiza zawartości posiadanych lub prowadzonych przez organizację baz danych i stron internetowych.
Wyniki audytu mogą zostać wykorzystane do opracowania skutecznej polityki bezpieczeństwa informacji.
J. Janczak, A. Nowak, Bezpieczeństwo informacyjne. Wybrane problemy, Wydawnictwo Akademii Obrony Narodowej, Warszawa 2013; A. Jezierska, A. Koziara, Audyt wewnętrzny a bezpieczeństwo informacji, [w:] Bezpieczeństwo informacyjne w dyskursie naukowym, H. Batorowska, E. Musiał (red.), Uniwersytet Pedagogiczny im. KEN w Krakowie, Kraków 2017; J. Łuczak, M. Tyburski, Systemowe zarządzanie bezpieczeństwem informacji ISO/IEC 27001, Wydawnictwo Uniwersytetu Ekonomicznego, Poznań 2010; A. Myśko, E. Młodzik, Bezpieczeństwo informacji – dylematy związane z realizacją obowiązku prowadzenia audytu wewnętrznego w jednostkach sektora finansów publicznych, „Finanse, Rynki Finansowe, Ubezpieczenia” 2014, nr 833 (72); norma PN-EN ISO/IEC 27001:2017-06 – wersja polska, Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania; A. Nowak, W. Scheffs, Zarządzanie bezpieczeństwem informacyjnym, Wydawnictwo Akademii Obrony Narodowej, Warszawa 2010; M. Pałęga, M. Knapiński, Audyt zgodności z normą ISO/IEC 27001:2013, jako narzędzie diagnozy i doskonalenia systemu zarządzania bezpieczeństwem informacji w przedsiębiorstwie, [w:] Innowacje w zarządzaniu i inżynierii produkcji, t. 2, R. Knosal (red.), Oficyna Wydawnicza Polskiego Zarządzania Produkcją, Opole 2016; T. Polaczek, Audyt bezpieczeństwa informacji w praktyce, Wydawnictwo Helion, Gliwice 2006.