Doering & Partnerzy
Konsultacje

Jak audyt bezpieczeństwa wygląda w praktyce?

.

Paulina Jurkiewicz
Paulina Jurkiewicz

Czym jest audyt bezpieczeństwa?

Audyt jest sprawdzeniem, czy wszystkie procedury w organizacji i posiadane dokumenty są zgodne z obowiązującym prawem i przyjętymi standardami bezpieczeństwa systemów. Ta kontrola jest połączona z analizą zarówno miejsca, jak i całego funkcjonującego systemu w miejscu audytowanym. Kompleksowy audyt bezpieczeństwa będzie wskazywać mocne i słabe strony organizacji. Wskaże również niezgodności – jeżeli występują. Z działań audytowych powstaje raport, którego analiza, a także wdrożenie zaleceń i działań poaudytowych da realną poprawę poziomu bezpieczeństwa.

Audyty bezpieczeństwa przeprowadza się m.in. w oparciu o normę ISO/IEC 27001, Ustawę o Krajowym Systemie Cyberbezpieczeństwa oraz Krajowe Ramy Interoperacyjności.

Cel audytu bezpieczeństwa

Celem audytu jest potwierdzenie prawidłowego działania systemów bezpieczeństwa funkcjonujących w organizacji. Wszelkie raporty powstałe podczas audytu są przekazywane do osób upoważnionych oraz do instytucji państwowych, jeśli tak wymaga prawo. Ze względu na ciągle zmieniające się przepisy i coraz większe oczekiwania związane z bezpieczeństwem, a także pojawiające się zagrożenia, opłaca się cyklicznie przeprowadzić audyt i na bieżąco weryfikować stosowane zabezpieczenia.

Rodzaje audytów bezpieczeństwa

Przeprowadzenie audytu bezpieczeństwa informacji realizowane jest przez osoby z odpowiednim doświadczeniem i kompetencjami posiadające certyfikat audytora systemu. Audyt różni się zarówno przedmiotem prowadzenia audytu, jak i jego umiejscowieniem w firmie. Co to znaczy?

Otóż w przypadku przedmiotu audytu, określa się dany segment do sprawdzenia. Sprawdza się całą dokumentację z tego obszaru i przeprowadza się ewentualnie rozmowy z wybranymi osobami, które są z tym związane. Jeżeli jest taka potrzebna, to wykonuje się też testy urządzeń awaryjnych (np. agregaty) lub testy penetracyjne w poszukiwaniu luki w zabezpieczeniach.

Natomiast jeśli chodzi o audytora zależnego od jego umiejscowienia w jednostce, to sposoby dokonywania audytu są już całkiem różne. Można przeprowadzać:

·         Audyt pierwszej strony (wewnętrzny);

·         Audyt drugiej strony;

·         Audyt trzeciej strony.

Każdy z nich jest inny i ma określony własny cel. Audyt pierwszej strony jest audytem wewnętrznym i jest prowadzony przez samą organizacje lub w jej imieniu. Podczas tych działań ocenia się wdrożony system pod kątem prawidłowości i poprawności działania w chwili kontroli. Zgodnie z przyjętą zasadą, audytorzy nie mogą audytować obszarów, za które są odpowiedzialni. Audyt wewnętrzny jest audytem cyklicznym obejmującym określony obszar lub całą organizację.

Audyt drugiej strony koncentruje się na badaniu systemu zarządzania przez klienta lub zainteresowaną instytucję. Takie audyty są już wykonywane przez certyfikowanych audytorów bezpieczeństwa, którzy mogą być zarówno wewnątrz organizacji, a także z zewnątrz. Przeprowadzenie takiego audytu musi być poparte pisemnym porozumieniem, np. umową.

Audyt trzeciej strony jest przeprowadzany dla celów certyfikacji lub akredytacji, jak również dla celów prawnych i regulacyjnych. Audyty te są przeprowadzane przez niezależne organizacje audytorskie, które weryfikują poprawność funkcjonowania systemów do istniejących przepisów.

Obszary audytu bezpieczeństwa

Jest wiele miejsc, w których można wykonać audyt. Najbardziej powszechne obszary, które są wybierane przez firmy do sprawdzenia poprawności bezpieczeństwa danych, to:

Kto przeprowadza audyty?

Jak było wyżej wspominane, audyty z reguły powinny być przeprowadzane przez osoby, posiadające doświadczenie i kompetencje poparte stosowanymi certyfikatami. Audytor powinien mieć wiedzę o procesach występujących w organizacji, procedurach obowiązujących w firmie, a dodatkowo wiedzę specjalistyczną np. z zakresu IT, bezpieczeństwa informacji, stosowanych zabezpieczeniach i pojawiających się zagrożeń. Powinien znać również podstawowe wymagania prawne z danego obszaru.

W zależności od wymagań audyt przeprowadzany jest przez jednego audytora lub grupę audytorów. Jeżeli audyt przeprowadzany jest przez zespół audytorów, w takim przypadku należy wskazać audytora wiodącego. Jest to osoba prowadząca audyt, na którym oparta jest cała odpowiedzialność za prawidłowe przeprowadzenia tego procesu. To on m.in. określa plan audytu, wytycza zakres czynności audytu w danej firmie, a na koniec tworzy raport z audytu. Jeżeli przeprowadzamy audyt bezpieczeństwa informacji dobrze jest, aby w zespole byli również choć jeden audytor IT.

Przebieg audytu bezpieczeństwa

Dobrze wykonany audyt zaczyna się od dobrze określonego celu. Co to znaczy? Jeśli planuje się wykonać audyt bezpieczeństwa informacji, należy wyznaczyć jakie obszary będą audytowane i z jakimi dokumentami i procedurami bezpieczeństwa audytor powinien się zapoznać. W przypadku audytu IT, dodatkowo wskazuje się urządzenia teleinformatyczne, które powinny przejść weryfikację. Audytor bezpieczeństwa już na etapie planowania audytu powinien określić zakres audytu po rozmowie ze zleceniodawcami. Najważniejsze jest to, aby przeprowadzenie audytu bezpieczeństwa było zgodne z normą ISO 19011 oraz normą ISO/IEC 27001 dotyczącą systemu zarządzania bezpieczeństwem informacji. Dodatkowym wymaganiem bezpieczeństwa dla podmiotów wykonujących zadania publiczne jest ustawa KRI (Ustawa o Krajowych Ram Interoperacyjności).

Podczas przeprowadzania audytu cyberbezpieczeństwa dodatkowo zwraca się uwagę na ustawę KSC (Ustawa o Krajowym Systemie Cyberbezpieczeństwa), która może kooperować z wykonywaniem audytu bezpieczeństwa informacji, audytu bezpieczeństwa informatycznego oraz audytem bezpieczeństwa infrastruktury informatycznej. Wszelkie audyty dotyczące bezpieczeństwa powinny być dostosowane do badanego obszaru, który bierze się pod weryfikację.

W jaki sposób sprawdza się bezpieczeństwo danych w systemach IT?

W ramach sprawdzania urządzeń teleinformatycznych, prócz skupienia uwagi na procedury bezpieczeństwa systemów informatycznych i dokumentację, jest możliwość przeprowadzenia testów penetracyjnych. Takie testy są efektywnym elementem audytu bezpieczeństwa, które dodatkowo dają praktyczną weryfikację systemów teleinformatycznych. Przeprowadzane są przez specjalistów, którzy sprawdzają poziom bezpieczeństwa IT zgodnie z wymaganiami. Więcej o pentestach można przeczytać w tym artykule.

Czy wymagany jest raport z audytu?

Po wykonanych wszystkich czynnościach, audytor bezpieczeństwa powinien wszelkie uwagi, dowody oraz wnioski z przeprowadzonych działań umieścić w raporcie z audytu. Raport jest koniecznym dokumentem, aby móc ostatecznie zakończyć proces audytu. Audytor bezpieczeństwa wskazuje w wyniku audytu:

  • kryteria audytu;
  • uwagi odnośnie stosowanych zabezpieczeń systemu (w tym luki w zabezpieczeniach, możliwość wystąpienia potencjalnych zagrożeń, itp.)
  • informacja o stanie: zabezpieczeń, analizie dokumentów i świadomości pracowników odnośnie procedur bezpieczeństwa;
  • raport podatności, które zostały zidentyfikowane;
  • wnioski wyciągnięte z kontroli, w tym zdefiniowanie niezgodności;
  • zalecenia związane z poprawą bezpieczeństwa w firmie.

Jak często przeprowadza się audyty bezpieczeństwa?

Audyty bezpieczeństwa przeprowadza się zgodnie z oczekiwaniami i potrzebami organizacji, jak również wymaganiami prawnymi. Dobrą praktyką jest przeprowadzenie audytu bezpieczeństwa co najmniej raz do roku. Ustawa o KSC zobowiązuje operatorów usług kluczowych do przeprowadzania audytów bezpieczeństwa systemów teleinformatycznych raz na dwa lata. Ustawa KRI wymaga przeprowadzenia audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.

Do realizacji audytu bezpieczeństwa zobowiązane są również podmioty publiczne i prywatne, które korzystają z dofinansowania, np. z programu NFZ czy z programu Cyberbezpieczny Samorząd. Audyty te mają za zadanie potwierdzenie czy otrzymane środku z dotacji zostały właściwie wykorzystane do podniesienia poziomu bezpieczeństwa systemów teleinformatycznych.

Dlaczego warto zdecydować się na audyt bezpieczeństwa u siebie w firmie?

Dbanie o bezpieczeństwo infrastruktury informatycznej w dzisiejszych czasach powinno być kwestią priorytetową. Zidentyfikowanych incydentów bezpieczeństwa przybywa i żadna z organizacji nie może się czuć w tej kwestii bezpieczna. Pamiętajmy, że im bardziej szczegółowo przeprowadza się badanie bezpieczeństwa systemów informatycznych, tym mamy większą szansę na znalezienie jakichkolwiek luk w zabezpieczeniach i doskonalenie tych systemów. Ze względu na ciągle rozwijające się zagrożenia cybernetyczne, zaleca się kontrolowanie systemów bezpieczeństwa, w tym śledzenie ujawnionych podatności systemu. Zmieniająca się rzeczywistość powoduje zmiany w przepisach. Jeśli nie mamy pewności, że wszelkie posiadane regulacje, dokumenty, czy też procedury bezpieczeństwa są zgodne z wymaganiami, to możemy śmiało poprosić o pomoc audytorów bezpieczeństwa.

Jakie są zalety audytu bezpieczeństwa?

Dzięki cyklicznym audytom bezpieczeństwa mamy pewność, że wszelkie ewentualne nieprawidłowości zostaną zidentyfikowane zanim pojawi się potencjalne zagrożenie. Pozwoli to organizacji na zminimalizowanie ryzyka utraty danych i utraty ciągłości działania organizacji. Najlepsze rezultaty przynosi audyt przeprowadzony przez niezależnych bezstronnych audytorów.

Dodatkowo pozytywny wynik przeprowadzonego audytu bezpieczeństwa informatycznego pozwala na sfinansowanie zastosowanych zabezpieczeń z innych środków niż własne.

Nasz zespół Doering & Partnerzy składa się z audytorów wiodących systemu zarządzania bezpieczeństwem informacji wg normy ISO/IEC 27001 oraz audytorów wiodących systemu ciągłości działania wg normy ISO 22301. Nasi specjaliści przeprowadzają pentesty, jak i kontrolowane ataki np. socjotechniczne.

Dotychczas audytowaliśmy ponad 70 miejsc, z czego ponad 30 jednostek samorządowych i 9 szpitali. Na podstawie audytów systematycznie wspieramy te jednostki w zakresie spełnienia wymagań oraz szkolimy pracowników.

Zapraszamy do współpracy

Zobacz więcej:

Cyberbezpieczny Samorząd. Jak zrealizować grant?

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Jak przeprowadzić szkolenie z cyberbezpieczeństwa w urzędzie? Zakres i program

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Bezpieczeństwo kanałów zgłoszeniowych dla sygnalisty

Tagi
#audyt bezpieczeństwa #B+R #bezpieczeństwo danych #bezpieczeństwo informacji #bezpieczny kanał zgłoszeniowy #cyberbezpieczeństwo #cyfrowa gmina #Doering & Partnerzy #Doering i Partnerzy #dotacje unijne #dyrektywa 2019/1937 #innowacje produktowe #innowacje technologiczne #ISO/IEC 27001 #kanały zgłoszeniowe dla sygnalisty #kodeks pracy #kodeksy branżowe #kredyt technologiczny #KRI #KSC #naruszenie danych osobowych #NASK #NIS2 #ochrona danych #ochrona sygnalisty #odo #oferta na ochronę sygnalisty #polityka whistleblowing #przetwarzania danych osobowych #R&D #RODO #RODO i kary #sygnalista #sygnalista24 #sygnalista24.info #sygnalista a ochrona konsumenta #SZBI #szkolenie dot. cyberbezpieczeństwa #UODO #ustawa o sygnalistach #wdrożenie RODO #wdrożenie sygnalisty #whistleblower PRACE B+R RODO / IOD / ODO

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Miasto-Torun_wynik
Gmina-Grzegorzew_wynik
Starostwo-Puck_wynik
Starostwo-Gniezno_wynik
Miasto-Szczytno_wynik
Gmina-Rogowo_wynik
Starostwo-Starogard-Gdanski_wynik
UKW-1
UMK
UKW-e1653484680916
ITW_wynik
TARR-1
LP
Przychodnia_wynik
EXEA
ADOP
KCW-e1653485327319
conectio_logo_1_wynik
BNI-e1653486126771
Kancelaria-MP-Legal_wynik
PPiK

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje

referencje w pdf

Usługi

KONTAKT

Dane firmy

Doering & Partnerzy sp. z o.o.
ul. Władysława Łokietka 5
87-100 Toruń
KRS 0000930066
NIP 8792735140
REGON 520316781

Prawa autorskie: Doering & Partnerzy

Skip to content