AUDYT BEZPIECZEŃSTWA INFORMACJI

AUDYT BEZPIECZEŃSTWA INFORMACJI
Piotr Wojczys CICA
Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych
5 września 2013
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r.
w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla
rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz
minimalnych wymagań dla systemów teleinformatycznych.
W § 20 ust.2 pkt 14 tego rozporządzenia wskazano obowiązek zapewnienia
okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji,
nie rzadziej niż raz na rok.
Stanowisko Ministerstwa Finansów - Komunikat Departamentu
Audytu Sektora Finansów Publicznych Ministerstwa Finansów :
?
„w tak ukształtowanym stanie prawnym audytor wewnętrzny/ usługodawca
niezaleŜnie od wyników analizy ryzyka powinien corocznie objąć audytem
wewnętrznym powyŜszy obszar, chyba Ŝe zostaną spełnione warunki
określone w § 20 ust. 3 ww. rozporządzenia.
JeŜeli realizacja zadania audytowego we wskazanym obszarze będzie
konieczna ze względu na niespełnienie rzeczonych warunków, wówczas
zadanie to jako obligatoryjne naleŜy ująć w rocznym planie audytu.”
Wspólne stanowisko Departamentu Informatyzacji MAiC
i Departamentu Audytu Sektora Finansów Publicznych MF
odnośnie zapewnienia audytu wewnętrznego w zakresie
bezpieczeństwa informacji (25 kwietnia 2013 r.)
1. Intencją projektodawcy było zobowiązanie podmiotów realizujących
zadania publiczne do realizowania okresowego audytu wewnętrznego,
bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego
przeprowadzania.
2. Ustawa o informatyzacji działalności podmiotów realizujących zadania
publicznenie nie określa sposobu, trybu, rodzaju audytu, ani też osób czy
komórek organizacyjnych, którym należałoby powierzyć prowadzenie
ww. audytu.
3. Decyzja co do tego, komu zostanie powierzone prowadzenie omawianego
audytu, spoczywa na kierownictwie podmiotu.
4. Nie należy automatycznie przypisywać zadania audytu w zakresie
bezpieczeństwa informacji komórce audytu wewnętrznego
5. Użycie w rozporządzeniu sformułowania „audyt wewnętrzny” nie miało
na celu obligatoryjnego przypisania tego obowiązku komórkom audytu
wewnętrznego, funkcjonującym w JSFP na mocy ustawy o finansach
publicznych.
Jakie mamy „pole manewru” aby wypełnić obowiązek zawarty
w rozporządzeniu w sprawie KRI ?
WARIANT 1
Jednostka musi wdrożyć i utrzymać system zarządzania bezpieczeństwem
informacji, który został opracowany na podstawie Polskiej Normy PN-ISO/IEC
27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie
odbywa się na podstawie norm:
1) PN-ISO/IEC 17799 - w odniesieniu do ustanawiania zabezpieczeń;
2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem;
3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej
po katastrofie w ramach zarządzania ciągłością działania.
+ norma ISO 27006 - wymagania dla jednostek prowadzących audyt i certyfikację systemów
zarządzania bezpieczeństwem informacji
+ norma ISO 22301 - bezpieczeństwo informacji i ciągłość działania
+ norma ISO 20000 - zarządzanie usługami IT
WARIANT 2
W jednostce musi być zapewniony okresowy audytu wewnętrzny w zakresie
bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Działania w wariancie 1 „systemowe”
1) Certyfikacja w zakresie spełniania wymagań normy PN-ISO/IEC 27001.
2) Zakup i wdrożenie norm we własnym zakresie.
Włączenie bezpieczeństwa informacji do własnego systemu kontroli
zarządczej ustanowionego w jednostce (bez kosztownej certyfikacji).
Należy pamiętać, że w obu przypadkach mamy do czynienia PROCESEM !
Cykl - począwszy od ustalenia, wdrożenia, monitorowania, a skończywszy na
ulepszeniu systemu bezpieczeństwa informacji.
Działania w wariancie 2 „doraźne”
Audyt sytemu bezpieczeństwa informacji może być przeprowadzony w dwóch
wariantach:
1) sprawdzenie spełnienia wymagań zawartych w § 20 ust. 2* rozporządzenia
2) sprawdzenie zgodności z normą PN-ISO/IEC 27001.
* Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach
teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia.
Kto powinien przeprowadzać audyty bezpieczeństwa informacji ?
Punktem wyjścia są zasady odnoszące się do każdego audytu (wynikające
obowiązujących w naszym kraju przepisów i przyjętych standardów audytu
wewnętrznego):
audytorzy nie powinni audytować swojej pracy,
musi być zapewniona obiektywność i bezstronność,
audyt przeprowadzany jest na podstawie analizy ryzyka,
za wdrożenie zaleceń odpowiada kierownictwo,
powinny zostać podjęte działania poaudytowe (czynności sprawdzające).
1.
-
Badanie audytowe może być wykonane przez:
audyt wewnętrzny
odpowiednio przygotowanych własnych pracowników
podmiot zewnętrzny w ramach outsourcingu tej usługi.
2. Kryteriami, jakimi należy się kierować przy wyborze osób / podmiotów
prowadzących audyt w zakresie bezpieczeństwa informacji są: odpowiednie
kwalifikacje, doświadczenie, znajomość metodyki audytu w zakresie
bezpieczeństwa informacji, a także niezależność od obszaru audytowanego.
(sugestia)
Patrz: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 10
września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia
kontroli projektów informatycznych i systemów teleinformatycznych
1. Audytor systemu zarządzania bezpieczeństwem informacji według normy PN ISO/IEC
27001 lub jej odpowiednika międzynarodowego.
2. Audytor systemu zarządzania usługami informatycznymi według normy PN ISO/IEC
20000 lub jej odpowiednika międzynarodowego.
3. Audytor systemu zarządzania jakością według normy PN ISO/IEC 9001 lub jej
odpowiednika międzynarodowego.
4. Certified Information System Auditor (CISA).
5. Certified in the Governance of Enterprise IT (CGEIT).
6. Certified Internal Auditor (CIA).
7. Certified Information Systems Security Professional (CISSP).
8. Europejski Certyfikat Umiejętności Zawodowych Informatyka - EUCIP Professional
specjalizacja Audytor Systemów Informacyjnych.
9. Systems Security Certified Practitioner (SSCP)
Rozporządzenie KRI odnosi się wprost do norm ISO, więc jeśli funkcjonuje w jednostce
audyt jakości, audyt bezpieczeństwa informacji mogą realizować audytorzy z tzw. listy
audytorów wewnętrznych systemu zarządzania jakością ISO wg normy PN-EN ISO 9001
Audyt bezpieczeństwa informacji wymaga specyficznej wiedzy m.in. dlatego,
że większość informacji przetwarzana jest w systemach informatycznych.
Audytorzy bez specjalistycznych umiejętności i uprawnień mogą jednak
z powodzeniem oceniać m.in.:
wykonywanie okresowych analizy ryzyka w zakresie bezpieczeństwa
informacji,
zapewnienie aktualizacji regulacji wewnętrznych,
utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania,
posiadanie, adekwatność i aktualności uprawnień w systemach,
szkolenia osób zaangażowanych w proces przetwarzania informacji.
czyli bardzo istotne elementy składowe SYSTEMU bezpieczeństwa informacji.
Czym jest bezpieczeństwo informacji ?
System zarządzania bezpieczeństwem informacji powinien zapewniać:
Poufność informacji
(tylko osoby uprawnione mogą mieć dostęp do danej informacji);
Dostępność informacji
(informacja powinna być cały czas dostępna dla osób uprawnionych);
Integralność informacji
(informacje nie mogą zostać zmienione w sposób nieuprawniony, informacja
ma być zgodna oczekiwaniami i kompletna).
Punktem wyjścia jest polityka bezpieczeństwa informacji (PBI) - zestaw
efektywnych, udokumentowanych zasad i procedur bezpieczeństwa wraz
z ich planem wdrożenia i egzekwowania.
Propozycja struktury dokumentów PBI:
Dobra polityka bezpieczeństwa informacji – to polityka, którą rozumiemy.
Punkt wyjścia PBI / zarządzania bezpieczeństwem
Zapewnienie racjonalnego bezpieczeństwa informacji.
INWENTARYZACJA - Co posiadamy ?
zasoby/zbiory informacji
zasoby sprzętowe i programowe służące przetwarzaniu informacji.
KLASYFIKACJA - Dlaczego powinniśmy to chronić ?
zasoby wrażliwe
zasoby kluczowe
zasoby wspomagające
zasoby neutralne
ANALIZA RYZYKA
1. Zagrożenia
2. Podatności
Ryzyka
Skutki
Środki zapobiegawcze
Role i odpowiedzialności
W systemach informacyjnych (także informatycznych) kluczowe znaczenie
ma określenie WŁAŚCICIELA zasobu :
Właściciel informacji:
decydujący o przetwarzaniu informacji zawartej w systemie,
decydujący o nadawaniu uprawnień do zasobu informacyjnego,
dla którego informacja (jej przetwarzanie) stanowi podstawę funkcjonowania.
Zgodnie z normą PN-ISO/IEC 17799 właściciel, w postaci wydzielonej części
organizacji, jest odpowiedzialny za codzienną ochronę zasobu informacyjnego.
Właścicielem nie jest administrator systemu informatycznego.
W większości przypadków nie jest nim także komórka IT.
Dziękuję za uwagę
[email protected]