6. Audit informační bezpečnosti
Audit informační bezpečnosti zkoumá, identifikuje a porovnává shodu skutečného aktuálního stavu procesů a opatření z pohledu informační bezpečnosti nebo systému řízení informační bezpečnosti. Jeho cílem je posouzení míry dosažené shody informační bezpečnosti vhledem k plánu implementace, nebo nápravných opatření. Dalším cílem je zdokumentování nalezených rozdílů a případných nedostatků a upozornění na potenciální rizika.Audit informační bezpečnosti můžeme rozdělit na certifikační audit informační bezpečnosti a obecný audit informační bezpečnosti. Rozdíl mezi těmito typy auditu je v zásadě propozice, že certifikační audit je založen na shodě s příslušnými standardy týkající se informační bezpečnosti, kdežto obecný audit kontroluje shodu s bezpečnostní politikou dané organizace. Tato bezpečností politika ale může být vypracována na příslušném normativním základě.
Obrázek ukazuje jednotlivé fáze auditu systému řízení informační bezpečnosti, jak jsou definovány v ISO/IEC 27007 až ISO/IEC 27009.
Fáze zahájení auditu obsahuje zformování projektového týmu, definice rozsahu a cílů a vyhodnocení proveditelnosti auditu. Tato fáze je pouze přípravná a nejsou zde prováděny žádné přímé kroky s prováděním auditu. Ve fázi analýzy dokumentace se tým již zaobírá specifickou dokumentaci vytvořenou během zavádění systému řízení informační bezpečnosti a provádí hodnocení definovaných kritérií. Fáze přípravy na audit již probíhá v místě, kde je systém řízení bezpečnosti informací nasazen a obsahuje detailní přípravu plánu auditu. Fáze provedení auditu spočívá v testování kontrol, které byly identifikovány a analyzovány jako efektivní. O veškerých výsledcích realizovaných testů je vedena podrobná dokumentace. Výsledek auditu obsahuje závěrečná zpráva nebo také auditorský výrok. Tato zpráva je nejčastěji určena vedení organizace, které provede následné kroky. Ve fázi plnění kontroly je vytvořen plán sledování a ten následně pravidelně realizován.
Auditorská zpráva, která je výsledkem auditu je formální písemná komunikace mezi auditorem a vedením organizace. Je základním výstupem auditora a má za cíl:
- informovat management;
- zdůraznit dodržování politik;
- definovat rozsah a omezení závěrů;
- ukázat na zjištěné nedostatky.
7. Využití softwarových nástrojů
Pro audit informační bezpečnosti a analýzu rizik lze softwarové nástroje rozdělit do několika kategorií. Jedním typem nástrojů jsou běžné kancelářské aplikace sloužící pro analýzu dat (Microsoft Excel), vizualizaci (Microsoft Visio), plánování projektů (Microsoft Project) a tvorbu dokumentů a prezentací (Microsoft Word a Microsoft PowerPoint). Existuje samozřejmě nepřeberné množství open source projektů, mezi které patří například rodina kancelářských aplikací OpenOffice. Další skupinou softwarových nástrojů jsou nástroje sloužící pro forenzní audit informačních systémů, penetrační testování a jako sondy přímo umisťované mezi aktivní prvky IT infrastruktury. Třetí skupinou jsou specializované nástroje vytvořené s cílem pomoci například při analýze a řízení rizik. Tyto nástroje zpravidla podporují potřebné standardy, kterými je například rodina norem ISO/IEC 27000, metodiky (CobiT) a pracovní rámce (ITIL).
Jednotlivé organizace musí aplikovat rozdílné přístupy pro řešení různých aspektů analýzy rizik. Metody jako FIRM a FRAP, stejně jako například nástroj RiskPAC, se používají pro vytvoření high-level pohledu na analýzu rizik. Detailní analýzu identifikující specifická měření s následným zmírněním rizik a analýzu pravděpodobnosti ohrožení nejlépe podporují metody jako OCTAVE a Fault Tree Analysis, anebo nástroje typu RiskWatch, CRAMM a COBRA. Následující tabulka obsahuje se seznam nejpoužívanějších metod a nástrojů využívaných pro audit informační bezpečnosti a řízení rizik.
Formální model | Automatický model | Kvalitativní analýza | Kvantitativní analýza | Popis | |
FRAP | x | Podnikové procesy | |||
FIRM | x | Autorizováno ISF | |||
Citicus | x | x | Zjednodušený FIRM | ||
OCTAVE | x | x | Autorizováno SEI | ||
Fault Tree Analysis | x | Intuitivní, pragmatický | |||
Securtree | x | x | Automatizovaná metoda Fault Tree Analysis | ||
RiskWatch | x | x | x | ISO/IEC 27000 | |
RiskPAC | x | x | x | ISO/IEC 27000 | |
COBRA | x | x | x | ISO/IEC 27000 | |
CRAMM | x | x | x | x | ISO/IEC 27000 |
Buddy System | x | x | x | Řízení rizik |
Posledním typem softwarových nástrojů jsou aplikace a systémy sloužící pro správu informační technologie se zabudovanou podporou compliance managementu. Zástupci jsou například EMC eGRC, rodina IBM Tivoli či VMware vSphere. Tyto nástroje se používají zejména ve spojení s IaaS, PaaS a SaaS. Cílovou skupinou jsou bankovní a státní organizace mající tuto povinnost danou legislativou či mezinárodními dohodami (SOX, HIPAA, DISA, ISO, BASEL II, PCI DSS, NIST). Neslouží přímo pro audit informační bezpečnosti, ale pro jeho podporu a automatickou kontrolu.
Použité zdroje
[1] DOSEDĚL , Tomáš. Počítačová bezpečnost a ochrana dat. Libor Pácl. Brno : Computer press, c2004. 187 s. ISBN 80-251-0106-1.
[2] DOUCEK, P., NOVOTNÝ, O.: Standardy řízení podnikové informatiky, Standardy řízení podnikové informatiky. E+M. Ekonomie a Management, 2007, roč. X, č. 3, s. 132–146. ISSN 1212-3609
[3] DOUCEK, P.: Bezpečnost informační systémů a její prosazování v České republice, In: Informatika 2003, pp. 141 – 146, Bratislava 2003, ISBN 80-233-0491-7.
[4] HANÁČEK, Petr a STAUDEK, Jan. Bezpečnost informačních systémů, Úřad pro státní bezpečnostní systém 2000
[5] ISO/IEC 27000:2009 Information security management systems – Overview and vocabulary, ISO
[6] ISO/IEC 27001:2005 Information security management systems – Requirements, ISO
[7] ISO/IEC 27002:2005 Info Code of practice for information security management, ISO
[8] ISO/IEC 27003:2010 Information security management system implementation guidance, ISO
[9] ISO/IEC 27005:2008 Information security risk management, ISO
[10] ISO/IEC 27011:2008 Info Information security management guidelines for telecommunications organizations based on ISO/IEC 27002, ISO
[11] ISO/IEC 27035 Security incident management, ISO
[12] ISO/IEC 9001:2004 Quality management systems – Requirements, ISO
[13] KOPÁČIK, Ivan, et al. Management and audit of Information security : Manual for Manager. Brtatislava, Slovensko : Sineal s.r.o., 2007. 322 s. ISBN 978-80-969747-0-2.
[14] Management služeb IT Komentované vydání souboru ISO/IEC/DIS 20000:2004 (Ing. Marie Šebestová, Ing. Vladimír Váňa, Mgr. Miroslav Sedláček), Český normalizační institut
[15] ŠABATOVÁ, I.: Systémy správy identity a řízení přístupu, In: VOŘÍŠEK, Jiří (ed.). Systems
Všechny články:
1. Informační bezpečnost
2. Normy a legislativa
3. Analýza a řízení rizik
4. Systém řízení informační bezpečnosti (ISMS)
5. Metodiky a pracovní rámce
6. Audit informační bezpečnosti
7. Využití softwarových nástrojů
Pingback: Audit informační bezpečnosti – systém řízení informační bezpečnosti (ISMS) | brichacek.net
Pingback: Audit informační bezpečnosti – informační bezpečnost | brichacek.net