Rozważania dotyczące audytu systemów informacyjnych

Replies to This Discussion

Permalink Reply by Jacek Andrzejewski on May 26, 2010 at 4:56pm

Na początku może przytoczę definicje i cele audytu. Audyt jest systematycznym, niezależnym i udokumentowanym procesem zbierania dowodów z audytu oraz jego obiektywnej oceny w celu określenia stopnia spełnienia kryteriów audytu. Krótko mówiąc celem audytu jest wykazanie poprawności działania systemu wdrożonego w firmie.

Zapis z normy PN-ISO/IEC 17799:2007 mówi iż celem owych rozważań jest "maksymalizacja skuteczności audytu systemu informacyjnego i minimalizowanie zakłóceń z niego wynikających".
W odpowiedzi na pytania dotyczące środków, na samym początku należy starannie, dokładnie zaplanować audyt i uzgodnić wymagania audytu oraz działania związane ze sprawdzaniem eksploatowanych systemów. Środki te pomogą w dokładnym przeprowadzeniu audytu oraz pozwolą uniknąć niedoskonałości oraz błędów.

Innym zabezpieczeniem jest ochrona dostępu do narzędzi audytu systemów informacyjnych, po to by uniknąć wszelkich nadużyć oraz naruszeń bezpieczeństwa.
Następnym zabezpieczeniem jest oddzielenie narzędzi do audytu systemów informacyjnych takich jak: oprogramowania czy pliki danych, od eksploatowanych i rozwijanych systemów.

W celu uniknięcia ryzyka związanego z nadużyciem narzędzi audytu bądź gdy w audyt jest zaangażowana strona trzecia, należy natychmiast podjąć odpowiednie działania np. zmiana haseł ujawnionych audytorom.

Permalink Reply by Marta Wrembel on January 24, 2011 at 10:49pm

 

Odpowiadając na postawione w temacie pytanie, zdecydowanie zgadzam się ze swoim przedmówcą. Jeśli chodzi o ewentualność wykorzystania narzędzi audytu należy zmienić hasła dostępu. Drugim rozwiązaniem może być zmiana haseł dostępu na czas audytu, a po jego zakończeniu powrót do pierwotnych haseł, znanych nam wcześniej.

Audyt jest procesem sprawdzenia, kontroli przyjętych wcześniej wytycznych zawartych w normie.

Siłą rzeczy osoba sprawdzająca ma za zadanie sprawdzić, cz aby na pewno nie nastąpiły pewne zaniechania, co do przyjętych ustaleń. Z tego powodu ujawnienie haseł może w niektórych przypadkach być nieodzownym elementem procesu audytowania. Z doświadczenia wiem (przynajmniej nie spotkałam się jeszcze z sytuację, aby audytor wymagał ujawnienia haseł ), iż podczas wizyty firmy audytującej pracownik danej organizacji (zazwyczaj Pełnomocnik ds ISO) przedstawia, omawia wszystkie procedury, czy też etapy, o których mowa w przyjętej normie i które zobowiązuje się przestrzegać. Po "prześledzeniu" zostaje przedstawiona wstępna opinia, czy rzeczywiście firma wywiązuje się z przyjętej przez siebie normy, czy też nie. Po określonym czasie otrzymuje się potwierdzenie pisemne o występujących zgodnościach oraz o braku niezgodności. Natomiast, w momencie odnawiania certyfikatów ISO, audyt jest zdecydowanie bardziej szczegółowy, a na pozytywny wynik mogą mieć wpływ nawet - dla organizacji mało istotne niedociągnięcia.

 

Permalink Reply by Natalia Boch on June 15, 2010 at 7:17pm

W celu utrzymania i podwyższania poziomu bezpieczeństwa systemów informatycznych należy systemy te stale monitorować i poddawać działaniom sprawdzającym ich stan zabezpieczenia. Wykonywanie audytów może być jednym ze sposobów kontrolowania funkcjonujących w jednostce systemów.
Jak czytamy w przewodniku audytora systemów informatycznych (ftp://ftp.helion.pl/online/przasi/przasi-11.pdf):
Dokumentacja audytu systemów informatycznych jest zapisem przeprowadzonych
przez audytora czynności oraz dowodem potwierdzającym sformułowane wnioski i rekomendacje. Nie należy również zapominać o odpowiednim zabezpieczeniu i przechowywaniu dokumentacji. W tym celu powinna zostać opracowana oraz wdrożona polityka i procedury właściwego zarządzania (zabezpieczania, przechowywania, odzyskiwania) dokumentacją, dlatego że mogą znajdować się w niej dane poufne.
Myślę, że w momencie gdy decydujemy się na przeprowadzenie audytu i udostępnienie osobom trzecim informacji ogólnie niedostępnych, należy najpierw podjąć pewne działania i chronić się przed a nie po „wszystkim”.
Jakie działania powinny być podejmowane? Takich środków dostarcza nam m.in.:

Ustawa o ochronie informacji niejawnych
Art. 1.
1. Ustawa określa zasady ochrony informacji, które wymagają ochrony przed nieuprawnionym ujawnieniem, jako stanowiące tajemnicę państwową lub służbową, niezależnie od formy i sposobu ich wyrażania, także w trakcie ich opracowania, zwanych dalej "informacjami niejawnymi", a w szczególności:

1) organizowania ochrony informacji niejawnych;
2) klasyfikowania informacji niejawnych;
3) udostępniania informacji niejawnych;
4) postępowania sprawdzającego, w celu ustalenia, czy osoba nim objęta daje rękojmię zachowania tajemnicy, zwanego dalej "postępowaniem sprawdzającym";
5) szkolenia w zakresie ochrony informacji niejawnych;
6) ewidencjonowania, przechowywania, przetwarzania i udostępniania danych uzyskiwanych w związku z prowadzonymi postępowaniami o ustalenie rękojmi zachowania tajemnicy, w zakresie określonym w ankiecie bezpieczeństwa osobowego oraz w kwestionariuszu bezpieczeństwa przemysłowego;
7) organizacji kontroli przestrzegania zasad ochrony informacji niejawnych;
8) ochrony informacji niejawnych w systemach i sieciach teleinformatycznych;
9) stosowania środków fizycznej ochrony informacji niejawnych.

Czy też:
Ustawa o ochronie baz danych,
Ustawy o ochronie danych osobowych.

Bardzo ważne jest także, aby została odpowiednio wybrana osoba przeprowadzająca audyt, taka która ma wiedzę, doświadczenie i jest polecana przez innych, którzy korzystali już z jej usług oraz jak już wspomniał Jacek dokładne zaplanowanie audytu, uzgodnienie wymagań i działań związanych ze sprawdzaniem eksploatowanych systemów.

Permalink Reply by Marta Olejniczak on January 22, 2011 at 10:57am

A co po audycie, kiedy wiemy już co należało by poprawić?

 

Myślę, że najlepszym sposobem byłoby stworzenie jakiegoś planu działania, bo wiadomo że nie da się zrobić wszystkiego od razu. Dlatego rozpisanie dokładnie w punktach co należy zmienić, oczywiście od najistotniejszych rzeczy zaczynając i przypisanie im terminu do którego to zrobimy pomoże doprowadzić nam zabezpieczenia do ładu. I należy w tym być konsekwentnym, krok po kroku poprawiać niedoskonałości.

 

Wydaje mi się, że tu znowu należy poruszyć temat poufnych danych i ich bezpieczeństwa, ubytki w naszym systemie zabezpieczeń mogą stwarzać ogromne zagrożenia, dlatego te informacje należy dobrze chronić, aby nie wpadły w niepowołane ręce.

Permalink Reply by Marta Janus on May 3, 2011 at 6:52pm

Audyt możemy podzielić na trzy główne etapy :

- czynności przygotowawcze (przygotowanie dokumentacji roboczej i list kontrolnych; dobór członków zespołu audytorskiego przez audytora wiodącego;  planowanie audytu i poszczególnych zadań dla każdego członka zespołu )

-czynności na miejscu audytu (zbieranie i analizowanie dowodów z audytu- poszukiwanie faktów, a nie opinii; wykonywanie powierzonych zadań; dokumentowanie poszczególnych wyników audytu- zapisywanie dowodów obiektywnych )

-czynności po zakończeniu audytu (zabezpieczenie dokumentów związanych z audytem, udział w opracowaniu raportu z audytu)

 

Audyty są jednym z podstawowych źródeł pozyskiwania informacji w ramach systemu zarządzania, na podstawie których „projektowane są” działania doskonalące.

Niezgodności to informacje o potencjalnych, przyszłych problemach. Poprawa systemu polega na:

-wykryciu przyczyn podstawowych

-ustaleniu potrzebnych działań korygujących

-zrealizowaniu działań korygujących

- sprawdzeniu czy działania korygujące były skuteczne 

Permalink Reply by Martyna Chojnacka on June 6, 2011 at 4:33pm

Bezpieczeństwo fizyczne informacji niejawnych to system powiązanych ze sobą przedsięwzięć organizacyjnych, osobowych, technicznych i fizycznych służących ochronie tych informacji przed nieuprawnionym dostępem lub utratą. Kompleksowe podejście do bezpieczeństwa fizycznego informacji wymaga wzajemnego uzupełniania się przyjętych rozwiązań.

Elementy składowe bezpieczeństwa fizycznego:

• działania organizacyjne – opracowanie planów, instrukcji, regulaminów i procedur  ( znanych pracownikom budynku )

 

• ochrona osobowa (ochrona czynna) - zorganizowanie wewnętrznej służby ochrony lub skorzystanie z usług koncesjonowanej agencji ochrony ( bardzo często stosowane rozwiązanie w przedsiębiorstwach, jednakże o ich jakości można byłoby dyskutować )

 

 

• ochrona bierna – wydzielenie, zorganizowanie i wdrożenie zabezpieczeń architektoniczno-budowlanych w postaci: ogrodzeń, zapór, bram, przegród, a w szczególności ścian i stropów stref chronionych, przed nieuprawnionym wtargnięciem;

 

• strefy ochronne - wyznaczenie, zorganizowanie i zabezpieczenie obszarów podlegających kontroli wejścia, wyjścia oraz kontroli przebywania (obustronna kontrola dostępu);

 

 

• elektroniczne – zabezpieczenie i nadzór nad odpowiednimi strefami ochronnymi przy wykorzystaniu systemów włamania i napadu, systemów kontroli dostępu, systemów telewizji dozorowej CCTV, systemów sygnalizacji pożaru, systemów zasilania awaryjnego i innych zintegrowanych elektronicznych systemów bezpieczeństwa;

 

• mechaniczne – zastosowanie do zabezpieczenia odpowiednich stref ochronnych technicznych środków ochrony w postaci: tripodów, śluz, bramek magnetycznych, certyfikowanych: drzwi, krat, żaluzji, zamków, kłódek, szaf stalowych.

 

Każde przedsiębiorstwo bądź też jednostka fizyczna powinna rozpocząć zabezpieczanie danych sposobem fizycznym od tych, które w danej sytuacji osiągnęłyby najwyższą skuteczność.

Z racji tego, iż studiujemy inżynierię bezpieczeństwa, powinniśmy być przekonani, iż bezpieczeństwo, przede wszystkim człowieka,  jest najważniejsze i nienależny na nim oszczędzać, a tym bardziej z niego rezygnować.

Permalink Reply by Marta Stempniak on May 8, 2012 at 2:10pm

Audyt bezpieczeństwa systemów to skuteczne narzędzie, które pomaga zidentyfikować zagrożenia wynikające z błędów w konfiguracji, niezainstalowanych poprawek bezpieczeństwa czy też braku odpowiednich zabezpieczeń... http://www.macsoft.waw.pl/audyt.html

"Utrzymanie wysokiego poziomu bezpieczeństwa systemu informatycznego oraz prawidłowego funkcjonowania zabezpieczeń wymaga zaprojektowania i wdrożenia odpowiednich środków ochrony, merytorycznego przygotowania kadry IT oraz bieżącego i okresowego audytowania stanu bezpieczeństwa." http://www.clico.pl/uslugi/audyt-bezpieczenstwa

Jak podaje jedna z firm zajmująca się bezpieczeństwem systemów teleinformatycznych „Petrosin” Spółka z o.o., wyróżnia się następujące obszary audytu:

Organizacja bezpieczeństwa
Klasyfikacja i kontrola aktywów
Bezpieczeństwo osobowe
Bezpieczeństwo fizyczne i środowiskowe
Zarządzanie systemami i sieciami
Kontrola dostępu do systemu
Zarządzanie ciągłością działania
Zgodność z przepisami prawa

Obszary te zostały szczegółowo opisane na stronie internetowej: http://www.petrosin.pl/bezp_konsulting.html

Do zabezpieczeń audytu systemów informacyjnych odwołuje się wyraźnie punkt 15.3.1 normy PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. Copyright by PKN, Warszawa 2007:

"Aby zminimalizować ryzyko zakłóceń procesów biznesowych, zaleca się staranne planowanie i uzgadnianie wymagań audytu oraz działań związanych ze sprawdzaniem eksploatowanych systemów.

Zaleca się zwrócenie uwagi na następujące wytyczne:

a) uzgadnianie z odpowiednim kierownictwem potrzeb związanych z audytem;
b) uzgadnianie i kontrolowanie zakresu sprawdzania;
c) sprawdzanie polega na dostępie do oprogramowania i danych jedynie w trybie odczytu;
d) zezwolenie na dostęp inny niż tylko w trybie odczytu jedynie w przypadku odizolowanych kopii plików systemowych, które zaleca się skasować po zakończeniu audytu lub zapewnić im odpowiednią ochronę, jeśli istnieją zobowiązania do przechowywania takich plików związane z wymaganiami dokumentowania audytu;
e) wyraźne określenie i udostępnienie zasobów informacyjnych niezbędnych do prowadzenia kontroli;
f) określenie i uzgodnienie wymagań związanych z specjalnym lud dodatkowym przetwarzaniem;
g) monitorowanie i logowanie każdego dostępu w dziennikach zdarzeń, aby pozostawić ślad odniesienia; dla krytycznych danych lub systemów należy rozważyć oznaczenie czasu dla tych śladów;
h) udokumentowanie wszystkich procedur, wymagań i odpowiedzialności;
i) niezależność osoby (osób) prowadzącej audyt do audytowanych działań."

Poza tym, o zabezpieczeniach chroniących eksploatowane systemy i narzędzia audytu podczas prowadzenia audytów systemów informacyjnych, o czym wspominali już moi poprzednicy, a do czego konkretnie odnosi się punkt 15.3.2 Ochrona narzędzi audytu systemów informacyjnych czytamy:

"'Zaleca się oddzielenie narzędzi do audytu systemów informacyjnych, np. oprogramowania lub plików danych, od eksploatowanych i rozwijanych systemów oraz nie zaleca się przechowywania ich w bibliotekach taśmowych lub obszarach użytkowników, chyba że stosowany jest odpowiedni poziom dodatkowej ochrony.

Jeśli w audyt zaangażowane są osoby trzecie, to może pojawić się ryzyko nadużycia przez nie narzędzi audytu i udostępnionych informacji. W celu odniesienia się do tego ryzyka mogą być rozważone zabezpieczenia takie, jak 6.2.1 (szacowanie ryzyka) i 9.2.1 (ograniczenie dostępu fizycznego), oraz zaleca się podjęcie działań takich, jak natychmiastowa zmiana haseł ujawnionych audytorom."