Audyt cyberbezpieczeństwa

.

Audyt cyberbezpieczeństwa polega na przeprowadzeniu oceny i weryfikacji zabezpieczeń informatycznych i systemów cybernetycznych w celu identyfikacji luk w zabezpieczeniach i zagrożeń oraz opracowania działań naprawczych.

Przeprowadzenie audytu cyberbezpieczeństwa np. w szpitalu, ma na celu ochronę poufności, integralności i dostępności danych pacjentów oraz zapewnienie ochrony przed cyberatakami.

Podczas audytu cyberbezpieczeństwa w szpitalu mogą być uwzględniane następujące aspekty:

  1. Ocena zabezpieczeń sieciowych: Skanowanie i ocena sieci komputerowej, w tym infrastruktury sieciowej, zabezpieczeń firewall, systemów wykrywania i zapobiegania intruzom (IDS/IPS) oraz monitoringu sieciowego.
  2. Badanie zabezpieczeń aplikacji: Ocena bezpieczeństwa aplikacji, w tym zarządzania uwierzytelnieniem, zarządzania uprawnieniami, zabezpieczeń przeciwko atakom typu SQL Injection czy Cross-Site Scripting (XSS).
  3. Analiza zabezpieczeń fizycznych: Ocena kontroli dostępu do serwerowni, centrum danych i innych fizycznych obszarów, w tym monitoringu CCTV, systemów kontroli dostępu i procedur zarządzania kluczami.
  4. Weryfikacja zgodności z przepisami: Ocena zgodności z przepisami prawnymi i regulacjami dotyczącymi ochrony danych osobowych, takimi jak RODO, oraz innymi przepisami branżowymi i standardami, takimi jak ISO 27001.
  5. Testowanie podatności: Przeprowadzanie testów penetracyjnych w celu identyfikacji słabości i podatności systemów, w tym testowanie zewnętrzne i wewnętrzne.
  6. Ocena procedur zarządzania incydentami: Analiza procedur i planów reagowania na incydenty cybernetyczne, w tym ocena gotowości i skuteczności w zakresie wykrywania, reagowania i odzyskiwania po atakach.

Audyt cyberbezpieczeństwa a prawo

Często audyt jest związany z obowiązkiem, które narzuca ustawodawca do cyklicznego sprawdzenia organizacji. Bezpieczeństwo informacji i odpowiedzialność za te dane wynika głównie z poniższych aktów prawnych.  I tak:

  1. Rozporządzenie KRI z 12.04.2012 r.
  2. Dyrektywa NIS z 2016 r. Ustawa KSC z 5.07.2018 r.
  3. Rozporządzenie RODO z 27.04.2016 r.
  4. Ustawa ODO z 10.05.2018 r.

Oczywiście na podstawie własnego zakresu i planu kontroli, organizacja może zlecić audyt w celu potwierdzenia poziomu bezpieczeństwa.

Audyt KRI - kogo dotyczy rozporządzenie?

Zgodnie z Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych nakłada obowiązek zapewnienia bezpieczeństwa informacji oraz okresowego audytu w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Rozporządzenie zawiera wytyczne w zakresie bezpieczeństwa informacji w jednostce samorządowej, zaś wymagany co roczny audyt ma być weryfikacją wdrożonych procedur i rozwiązań zapewniających bezpieczeństwo danych. Audyt powinien zawierać zalecenia i wytyczne zmian oraz modyfikacji infrastruktury, mające zapewnić właściwy poziom bezpieczeństwa danych.

Kogo dotyczy audyt KRI?

Rozporządzenie KRI dotyczy podmiotów publicznych, w których przetwarzane są rejestry publiczne w postaci teleinformatycznej. Powinny się dostosować do niego:

  • Urzędy Gmin i Miast
  • Starostwa Powiatowe
  • Powiatowe Urzędy Pracy
  • jednostki organizacyjne, np. szkoły, przedszkola, Gminne i Miejskie Ośrodki Pomocy Społecznej GOPS/MOPS, Centra Usług Wspólnych CUW, Powiatowe Centra Pomocy Rodzinie PCPR, biblioteki, ośrodki kultury, spółki miejskie
  • podmioty publiczne, np. stowarzyszenia, kluby sportowe, organizacje rządowe, inne instytucje
  • sądy

Audyt KRI i audyt RODO

Dla pełnej oceny jednostki audyt KRI powinien być rozszerzony o audyt bezpieczeństwa danych osobowych – wymóg art.24 pkt.1 i art.32 pkt.1 RODO. Połączone audyty KRI i RODO dają pełen obraz zarządzania bezpieczeństwem informacji.

Czy wymóg audytu dotyczy każdego podmiotu publicznego ?

Kierownictwo jednostki ma obowiązek zapewnienia okresowego audytu w zakresie bezpieczeństwa informacji. Z wymogu audytu KRI nie są zwolnione nawet małe podmioty publiczne. Należy jednostkę dostosować do wymogów rozporządzenia i jest za to odpowiedzialne kierownictwo.

Jaki obowiązki nakłada Rozporządzenie Krajowe Ramy Interoperacyjności?

Podmiot realizujący zadania publiczne ma obowiązek opracowania i ustanowienia, wdrożenia i eksploatowania, monitorowania i przeglądania oraz utrzymania i doskonalenia systemu bezpieczeństwa informacji zapewniającego poufność, dostępność i integralność informacji oraz do weryfikacji dostosowania się do Rozporządzenia. Więcej obowiązków zawiera par.20 pkt.1, 2, 3 i 4.

Jak często i z czego wynika obowiązek przeprowadzenia audytu?

Rozporządzenie w par. 20 ust.2 pkt 14 mówi o obowiązku “zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok”.

Koszt audytu cyberbezpieczeństwa

Koszt audytu cyberbezpieczeństwa np. w szpitalu może zależeć od rozmiaru szpitala, zakresu audytu, złożoności infrastruktury informatycznej oraz od wybranej firmy audytorskiej lub konsultingowej. Ważnym jest również czy szpital został wyznaczony jako operator kluczowy i w jakich obszarach oraz jaka jest podstawa audytu, np. organizacyjna czy wynikająca z określonego prawa.

Koszt audytu w każdej jednostce zależy od wielkości sieci, infrastruktury ICT, ilości sprzętu, budynków i adresów. Ważna jest również ilości zatrudnionych pracowników jako użytkowników sieci, stosowanego oprogramowania i sposobu jego użytkowania, praca zdalna i dostęp VPN, a także sposób zapewnienia ciągłości działania.

Główne aspekty cyberbezpieczeństwa obejmują:

  1. Bezpieczeństwo sieci:
    • Zabezpieczenie sieci komputerowej przed nieautoryzowanym dostępem, atakami hakerskimi i zagrożeniami związanych z sieciami.
    • Zastosowanie zabezpieczeń, takich jak zapory ogniowe, detekcja intruzów, filtry sieciowe, VPN (Virtual Private Network) itp.
    • Regularne aktualizacje oprogramowania i urządzeń sieciowych w celu usuwania luk w zabezpieczeniach.
  2. Bezpieczeństwo systemów operacyjnych:
    • Zapewnienie bezpieczeństwa systemów operacyjnych poprzez stosowanie aktualizacji, łatek i zabezpieczeń systemowych.
    • Ograniczenie uprawnień użytkowników i administratorów do minimalnej potrzebnej ilości.
    • Monitorowanie i analiza logów systemowych w celu wykrywania nieprawidłowości i podejrzanej aktywności.
  3. Zabezpieczenia aplikacji:
    • Zapewnienie bezpieczeństwa aplikacji poprzez tworzenie bezpiecznego kodu, unikanie podatności, takich jak ataki SQL injection i cross-site scripting (XSS), oraz regularne testowanie aplikacji pod kątem podatności.
    • Wykorzystanie mechanizmów uwierzytelniania i autoryzacji w celu ochrony danych użytkowników.
    • Regularne aktualizacje i łatki dla aplikacji w celu usuwania luk w zabezpieczeniach.
  4. Zarządzanie tożsamością i dostępem:
    • Wdrożenie odpowiednich rozwiązań zarządzania tożsamością i dostępem (Identity and Access Management – IAM), takich jak jednolite uwierzytelnianie, zarządzanie uprawnieniami użytkowników i monitorowanie dostępu.
    • Używanie silnych haseł, wieloetapowego uwierzytelniania i zabezpieczonych protokołów uwierzytelniania.
  5. Świadomość i szkolenia pracowników:
    • Szkolenie pracowników w zakresie cyberbezpieczeństwa, w tym rozpoznawania zagrożeń, identyfikowania phishingu, korzystania z bezpiecznych haseł itp.
    • Tworzenie polityk bezpieczeństwa i procedur dla pracowników oraz regularne przypominanie o zasadach bezpiecznego korzystania z systemów informatycznych.
  6. Monitorowanie i reagowanie na incydenty:
    • Wdrożenie skutecznego systemu monitorowania zagrożeń i incydentów, w tym analiza logów, wykrywanie nieprawidłowości i podejrzanej aktywności.
    • Opracowanie planów reagowania na incydenty, w tym procedur zgłaszania, izolacji, naprawy i powrotu do normalnej działalności po ataku.
  7. Regularne audyty i oceny

Audyt cyberbezpieczeństwa w organizacji - przykład

  1. Testowanie penetracyjne:
    • Przeprowadź test penetracyjny, aby ocenić stopień podatności systemów na ataki z zewnątrz. Skoncentruj się na testowaniu sieci, aplikacji internetowych i systemów operacyjnych.
    • Sprawdź, czy istnieją jakiekolwiek słabe punkty w infrastrukturze sieciowej, takie jak otwarte porty, niezabezpieczone protokoły komunikacyjne itp.
    • Przetestuj aplikacje internetowe pod kątem podatności, takich jak ataki SQL injection, cross-site scripting (XSS) itp.
    • Wykonaj testy penetracyjne na systemach operacyjnych, aby upewnić się, że nie ma luk w zabezpieczeniach, które mogłyby umożliwić nieautoryzowany dostęp.
  2. Testowanie bezpieczeństwa fizycznego:
    • Sprawdź, czy fizyczne zabezpieczenia w miejscu pracy są odpowiednie. To obejmuje kontrole dostępu, monitorowanie obszarów wrażliwych, oznakowanie i zabezpieczenie urządzeń itp.
    • Przetestuj procedury obsługi wizytujących, aby upewnić się, że tylko uprawnione osoby mają dostęp do pomieszczeń lub danych poufnych.
  3. Ocena zgodności:
    • Sprawdź, czy organizacja przestrzega odpowiednich przepisów, standardów i regulacji z zakresu bezpieczeństwa, takich jak ogólne rozporządzenie o ochronie danych (RODO) lub standardy branżowe.
    • Przeanalizuj dokumentację związana z politykami bezpieczeństwa, procedurami kontroli dostępu, zarządzaniem hasłami itp., aby sprawdzić, czy są one w pełni zgodne z wymaganiami.
  4. Szkolenia związane z bezpieczeństwem:
    • Przeprowadź ocenę, aby ocenić skuteczność szkoleń związanych z bezpieczeństwem w organizacji.
    • Sprawdź, czy pracownicy są odpowiednio przeszkoleni w zakresie rozpoznawania zagrożeń, korzystania z bezpiecznych haseł, rozpoznawania prób phishingu itp.
  5. Audyt logów i monitorowanie:
    • Przeanalizuj logi zdarzeń systemowych, logi bezpieczeństwa, logi aplikacji itp., aby upewnić się, że są one odpowiednio konfigurowane i monitorowane.
    • Sprawdź, czy istnieje skuteczny system monitorowania zagrożeń, który jest w stanie wykryć nieprawidłowe lub podejrzane aktywności.
  6. Ocena zarządzania incydentami:
    • Przetestuj procedury zarządzania incydentami, sprawdzając, jak organizacja reaguje na różne scenariusze ataków.
    • Oceń skuteczność planów kontynuacji działania w przypadku incydentów, takich jak cyberatak, awaria systemu itp.

Kogo audytowaliśmy w zakresie cyberbezpieczeństwa? Zobacz nasze referencje

Dotychczas audytowaliśmy ponad 30 jednostek samorządowych i 9 szpitali. Na podstawie audytów systematycznie wspieramy te jednostki w zakresie spełnienia wymagań oraz szkolimy ich pracowników.

Skontaktuj się z nami

Skip to content