AUDYT BEZPIECZEŃSTWA INFORMACJI
Transkrypt
AUDYT BEZPIECZEŃSTWA INFORMACJI
AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. W § 20 ust.2 pkt 14 tego rozporządzenia wskazano obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Stanowisko Ministerstwa Finansów - Komunikat Departamentu Audytu Sektora Finansów Publicznych Ministerstwa Finansów : ? „w tak ukształtowanym stanie prawnym audytor wewnętrzny/ usługodawca niezaleŜnie od wyników analizy ryzyka powinien corocznie objąć audytem wewnętrznym powyŜszy obszar, chyba Ŝe zostaną spełnione warunki określone w § 20 ust. 3 ww. rozporządzenia. JeŜeli realizacja zadania audytowego we wskazanym obszarze będzie konieczna ze względu na niespełnienie rzeczonych warunków, wówczas zadanie to jako obligatoryjne naleŜy ująć w rocznym planie audytu.” Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji (25 kwietnia 2013 r.) 1. Intencją projektodawcy było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. 2. Ustawa o informatyzacji działalności podmiotów realizujących zadania publicznenie nie określa sposobu, trybu, rodzaju audytu, ani też osób czy komórek organizacyjnych, którym należałoby powierzyć prowadzenie ww. audytu. 3. Decyzja co do tego, komu zostanie powierzone prowadzenie omawianego audytu, spoczywa na kierownictwie podmiotu. 4. Nie należy automatycznie przypisywać zadania audytu w zakresie bezpieczeństwa informacji komórce audytu wewnętrznego 5. Użycie w rozporządzeniu sformułowania „audyt wewnętrzny” nie miało na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym w JSFP na mocy ustawy o finansach publicznych. Jakie mamy „pole manewru” aby wypełnić obowiązek zawarty w rozporządzeniu w sprawie KRI ? WARIANT 1 Jednostka musi wdrożyć i utrzymać system zarządzania bezpieczeństwem informacji, który został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie norm: 1) PN-ISO/IEC 17799 - w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. + norma ISO 27006 - wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji + norma ISO 22301 - bezpieczeństwo informacji i ciągłość działania + norma ISO 20000 - zarządzanie usługami IT WARIANT 2 W jednostce musi być zapewniony okresowy audytu wewnętrzny w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Działania w wariancie 1 „systemowe” 1) Certyfikacja w zakresie spełniania wymagań normy PN-ISO/IEC 27001. 2) Zakup i wdrożenie norm we własnym zakresie. Włączenie bezpieczeństwa informacji do własnego systemu kontroli zarządczej ustanowionego w jednostce (bez kosztownej certyfikacji). Należy pamiętać, że w obu przypadkach mamy do czynienia PROCESEM ! Cykl - począwszy od ustalenia, wdrożenia, monitorowania, a skończywszy na ulepszeniu systemu bezpieczeństwa informacji. Działania w wariancie 2 „doraźne” Audyt sytemu bezpieczeństwa informacji może być przeprowadzony w dwóch wariantach: 1) sprawdzenie spełnienia wymagań zawartych w § 20 ust. 2* rozporządzenia 2) sprawdzenie zgodności z normą PN-ISO/IEC 27001. * Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia. Kto powinien przeprowadzać audyty bezpieczeństwa informacji ? Punktem wyjścia są zasady odnoszące się do każdego audytu (wynikające obowiązujących w naszym kraju przepisów i przyjętych standardów audytu wewnętrznego): audytorzy nie powinni audytować swojej pracy, musi być zapewniona obiektywność i bezstronność, audyt przeprowadzany jest na podstawie analizy ryzyka, za wdrożenie zaleceń odpowiada kierownictwo, powinny zostać podjęte działania poaudytowe (czynności sprawdzające). 1. - Badanie audytowe może być wykonane przez: audyt wewnętrzny odpowiednio przygotowanych własnych pracowników podmiot zewnętrzny w ramach outsourcingu tej usługi. 2. Kryteriami, jakimi należy się kierować przy wyborze osób / podmiotów prowadzących audyt w zakresie bezpieczeństwa informacji są: odpowiednie kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie bezpieczeństwa informacji, a także niezależność od obszaru audytowanego. (sugestia) Patrz: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych 1. Audytor systemu zarządzania bezpieczeństwem informacji według normy PN ISO/IEC 27001 lub jej odpowiednika międzynarodowego. 2. Audytor systemu zarządzania usługami informatycznymi według normy PN ISO/IEC 20000 lub jej odpowiednika międzynarodowego. 3. Audytor systemu zarządzania jakością według normy PN ISO/IEC 9001 lub jej odpowiednika międzynarodowego. 4. Certified Information System Auditor (CISA). 5. Certified in the Governance of Enterprise IT (CGEIT). 6. Certified Internal Auditor (CIA). 7. Certified Information Systems Security Professional (CISSP). 8. Europejski Certyfikat Umiejętności Zawodowych Informatyka - EUCIP Professional specjalizacja Audytor Systemów Informacyjnych. 9. Systems Security Certified Practitioner (SSCP) Rozporządzenie KRI odnosi się wprost do norm ISO, więc jeśli funkcjonuje w jednostce audyt jakości, audyt bezpieczeństwa informacji mogą realizować audytorzy z tzw. listy audytorów wewnętrznych systemu zarządzania jakością ISO wg normy PN-EN ISO 9001 Audyt bezpieczeństwa informacji wymaga specyficznej wiedzy m.in. dlatego, że większość informacji przetwarzana jest w systemach informatycznych. Audytorzy bez specjalistycznych umiejętności i uprawnień mogą jednak z powodzeniem oceniać m.in.: wykonywanie okresowych analizy ryzyka w zakresie bezpieczeństwa informacji, zapewnienie aktualizacji regulacji wewnętrznych, utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania, posiadanie, adekwatność i aktualności uprawnień w systemach, szkolenia osób zaangażowanych w proces przetwarzania informacji. czyli bardzo istotne elementy składowe SYSTEMU bezpieczeństwa informacji. Czym jest bezpieczeństwo informacji ? System zarządzania bezpieczeństwem informacji powinien zapewniać: Poufność informacji (tylko osoby uprawnione mogą mieć dostęp do danej informacji); Dostępność informacji (informacja powinna być cały czas dostępna dla osób uprawnionych); Integralność informacji (informacje nie mogą zostać zmienione w sposób nieuprawniony, informacja ma być zgodna oczekiwaniami i kompletna). Punktem wyjścia jest polityka bezpieczeństwa informacji (PBI) - zestaw efektywnych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania. Propozycja struktury dokumentów PBI: Dobra polityka bezpieczeństwa informacji – to polityka, którą rozumiemy. Punkt wyjścia PBI / zarządzania bezpieczeństwem Zapewnienie racjonalnego bezpieczeństwa informacji. INWENTARYZACJA - Co posiadamy ? zasoby/zbiory informacji zasoby sprzętowe i programowe służące przetwarzaniu informacji. KLASYFIKACJA - Dlaczego powinniśmy to chronić ? zasoby wrażliwe zasoby kluczowe zasoby wspomagające zasoby neutralne ANALIZA RYZYKA 1. Zagrożenia 2. Podatności Ryzyka Skutki Środki zapobiegawcze Role i odpowiedzialności W systemach informacyjnych (także informatycznych) kluczowe znaczenie ma określenie WŁAŚCICIELA zasobu : Właściciel informacji: decydujący o przetwarzaniu informacji zawartej w systemie, decydujący o nadawaniu uprawnień do zasobu informacyjnego, dla którego informacja (jej przetwarzanie) stanowi podstawę funkcjonowania. Zgodnie z normą PN-ISO/IEC 17799 właściciel, w postaci wydzielonej części organizacji, jest odpowiedzialny za codzienną ochronę zasobu informacyjnego. Właścicielem nie jest administrator systemu informatycznego. W większości przypadków nie jest nim także komórka IT. Dziękuję za uwagę [email protected]