Audyt bezpieczeństwa informacji podstawy

AUDYT BEZPIECZEŃSTWA INFORMACJI
Podstawy
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r.
w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla
rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz
minimalnych wymagań dla systemów teleinformatycznych.
Piotr Wojczys
CISA, CICA
Obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie
bezpieczeństwa informacji, nie rzadziej niż raz na rok (§ 20 ust.2 pkt 14).
Stanowisko Ministerstwa Finansów - Komunikat Departamentu
Audytu Sektora Finansów Publicznych Ministerstwa Finansów :
?
„w tak ukształtowanym stanie prawnym audytor wewnętrzny/ usługodawca
niezależnie od wyników analizy ryzyka powinien corocznie objąć audytem
wewnętrznym powyższy obszar, chyba że zostaną spełnione warunki
określone w § 20 ust. 3 ww. rozporządzenia.
Jeżeli realizacja zadania audytowego we wskazanym obszarze będzie
konieczna ze względu na niespełnienie rzeczonych warunków, wówczas
zadanie to jako obligatoryjne należy ująć w rocznym planie audytu.”
Wspólne stanowisko Departamentu Informatyzacji MAiC
i Departamentu Audytu Sektora Finansów Publicznych MF
odnośnie zapewnienia audytu wewnętrznego w zakresie
bezpieczeństwa informacji (25 kwietnia 2013 r.)
1. Intencją projektodawcy było zobowiązanie podmiotów realizujących
zadania publiczne do realizowania okresowego audytu wewnętrznego,
bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego
przeprowadzania.
2. Ustawa o informatyzacji działalności podmiotów realizujących zadania
publiczne nie określa sposobu, trybu, rodzaju audytu, ani też osób czy
komórek organizacyjnych, którym należałoby powierzyć prowadzenie
ww. audytu.
3. Użycie w rozporządzeniu sformułowania „audyt wewnętrzny” nie miało
na celu obligatoryjnego przypisania tego obowiązku komórkom audytu
wewnętrznego, funkcjonującym w JSFP na mocy ustawy o finansach
publicznych.
Wypełnienie obowiązku zawartego w rozporządzeniu w sprawie KRI
WARIANT 1
Jednostka musi wdrożyć i utrzymać system zarządzania bezpieczeństwem
informacji, który został opracowany na podstawie Polskiej Normy PN-ISO/IEC
27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie
odbywa się na podstawie norm:
1) PN-ISO/IEC 17799 - w odniesieniu do ustanawiania zabezpieczeń;
2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem;
3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej
po katastrofie w ramach zarządzania ciągłością działania.
Ale to tylko wierzchołek „góry lodowej”:
+ norma ISO 27006 - wymagania dla jednostek prowadzących audyt i certyfikację systemów
zarządzania bezpieczeństwem informacji
+ norma ISO 22301 - bezpieczeństwo informacji i ciągłość działania
+ norma ISO 20000 - zarządzanie usługami IT
WARIANT 2
W jednostce musi być przeprowadzany okresowy „JAKIŚ audyt”
w zakresie bezpieczeństwa informacji - nie rzadziej niż raz na rok.
Działania w wariancie 1 „systemowe”
1) Certyfikacja w zakresie spełniania wymagań normy PN-ISO/IEC 27001.
2) Zakup i wdrożenie norm we własnym zakresie.
Włączenie bezpieczeństwa informacji do własnego systemu kontroli
zarządczej ustanowionego w jednostce (bez kosztownej certyfikacji).
Działania w wariancie 2 „doraźne”
Audyt sytemu bezpieczeństwa informacji może być przeprowadzony
w dwóch zakresach:
1) „wąskim” - sprawdzenie spełnienia wymagań zawartych
w § 20 ust. 2* rozporządzenia (14-15 punktów);
2) „szerokim” sprawdzenie zgodności z normą PN-ISO/IEC 27001
(obecnie 114 zabezpieczenia).
* Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach
teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia.
Kto powinien przeprowadzać audyty bezpieczeństwa informacji ?
1.
-
Badanie audytowe może być wykonane przez:
audyt wewnętrzny;
odpowiednio przygotowanych własnych pracowników*;
podmiot zewnętrzny w ramach outsourcingu tej usługi.
2. Kryteriami, jakimi należy się kierować przy wyborze osób / podmiotów
prowadzących audyt w zakresie bezpieczeństwa informacji są:
- odpowiednie kwalifikacje,
- doświadczenie,
- znajomość metodyki audytu w zakresie bezpieczeństwa informacji,
- niezależność od obszaru audytowanego,
- zapewniona obiektywność i bezstronność .
I tu dość często „zaczynają się schody”. Bardzo często jedynymi osobami
w organizacji, które posiadają wiedzę w zakresie stosowania norm ISO 27001/27002
są osoby odpowiedzialne za IT. Nierzadko są one także certyfikowanymi audytorami w
zakresie wspomnianych norm, a sfinansowanie szkoleń i certyfikatów zawdzięczają
pracodawcy …
Jednak trudno ich kompetencje w zakresie audytu BI skonsumować w organizacji
wprost, ponieważ mamy do czynienia z oczywistym konfliktem interesów
(„audytowanie samego siebie”).
Kto powinien przeprowadzać audyty bezpieczeństwa informacji cd ?
Teoretycznie JST mogą poprosić wojewodów 
USTAWA O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE
(Art. 25 ust. 1 pkt 3)
Kontroli działania systemów teleinformatycznych, używanych do realizacji zadań publicznych albo realizacji obowiązków
wynikających z art. 13 ust. 2, dokonuje:
a)
w jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki
samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych - właściwy wojewoda,
z zastrzeżeniem ust. 3,
b)
w podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej - organ administracji
rządowej nadzorujący dany podmiot publiczny,
c)
w podmiotach publicznych niewymienionych w lit. a i b - minister właściwy do spraw informatyzacji
- pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub minimalnymi
wymaganiami dla rejestrów publicznych i wymiany informacji w postaci elektronicznej.
KONTEKST !
Zwróćmy uwagę na niemal identyczne do zapisów Ustawy sformułowanie tytułu rozporządzenia w sprawie KRI:
„Rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów
publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów
teleinformatycznych”.
W obu przypadkach użyte są TE SAME POJĘCIA tj.:
- minimalne wymagania dla systemów teleinformatycznych
- minimalne wymagania dla rejestrów publicznych
- Minimalne wymagania wymianmy informacji w postaci elektronicznej
Zatem w zakresie KRI mogą nas skontrolować, nawet na nasz wniosek, służby wojewody ponieważ:
(Art. 25 ust. 3) W stosunku do organów i jednostek, o których mowa w ust. 1 pkt 3 lit. a, kontrola może dotyczyć
wyłącznie systemów teleinformatycznych oraz rejestrów publicznych, które są używane do realizacji zadań zleconych
z zakresu administracji rządowej. W pozostałych przypadkach kontrola przeprowadzana jest na wniosek.
USTAWA O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE
(Art. 28) Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia,
wykaz certyfikatów uprawniających do prowadzenia kontroli w rozumieniu art. 25, (…)
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i
systemów teleinformatycznych
1. Audytor systemu zarządzania bezpieczeństwem informacji według normy
PN ISO/IEC 27001 lub jej odpowiednika międzynarodowego.
2. Audytor systemu zarządzania usługami informatycznymi według normy
PN ISO/IEC 20000 lub jej odpowiednika międzynarodowego.
3. Audytor systemu zarządzania jakością według normy PN ISO/IEC 9001
lub jej odpowiednika międzynarodowego.
4. Certified Information System Auditor (CISA).
5. Certified in the Governance of Enterprise IT (CGEIT).
6. Certified Internal Auditor (CIA).
7. Certified Information Systems Security Professional (CISSP).
8. Europejski Certyfikat Umiejętności Zawodowych Informatyka - EUCIP Professional
specjalizacja Audytor Systemów Informacyjnych.
9. Systems Security Certified Practitioner (SSCP)
Rekomendacja „D” Komisji Nadzoru Bankowego dotycząca zarządzania
obszarami technologii informacyjnej bezpieczeństwa środowiska
teleinformatycznego w bankach.
Rekomendacja 22
Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego
banku powinny być przedmiotem systematycznych, niezależnych audytów.
22.2. Osoby odpowiedzialne za przeprowadzanie audytów obszarów technologii informacyjnej
i bezpieczeństwa środowiska teleinformatycznego powinny posiadać odpowiednie
kwalifikacje.
Audyty powinny być przeprowadzane z wykorzystaniem uznanych standardów
międzynarodowych i dobrych praktyk w obszarach technologii informacyjnej
i bezpieczeństwa środowiska teleinformatycznego, jak np.:
– standardy dotyczące audytowania systemów informatycznych ISACA
(Information Systems Audit and Control Association),
– COBIT (Control Objectives for Information and related Technology),
– GTAG (Global Technology Audit Guide) oraz GAIT (Guide to the Assessment for IT
Risk),
– normy ISO (International Organization for Standardization).
Rekomendacja „D” Komisji Nadzoru Bankowego dotycząca zarządzania
obszarami technologii informacyjnej bezpieczeństwa środowiska
teleinformatycznego w bankach.
Ciąg dalszy - Rekomendacja 22
22.3. Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska
teleinformatycznego powinien być przeprowadzany regularnie oraz każdorazowo po
wprowadzeniu zmian mogących znacząco wpłynąć na poziom bezpieczeństwa
środowiska teleinformatycznego. Częstotliwość i zakres audytów powinny wynikać
z poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz
wyników ich wcześniejszych przeglądów.
22.4. Zlecanie dodatkowych audytów profesjonalnym instytucjom zewnętrznym
specjalizującym się w badaniu obszarów technologii informacyjnej i bezpieczeństwa
środowiska teleinformatycznego jest czynnikiem, który może wzmocnić w istotny
sposób kontrolę nad ryzykiem związanym z tym obszarem. W związku z tym, bank
powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję
dotyczącą uzupełnienia działań audytu wewnętrznego przez audyty zewnętrzne
przeprowadzane przez tego rodzaju podmioty, w szczególności w zakresie obszarów
o wysokim poziomie ryzyka.
Audyt bezpieczeństwa informacji wymaga specyficznej wiedzy m.in. dlatego,
że większość informacji przetwarzana jest w systemach informatycznych.
Audytorzy bez specjalistycznych umiejętności i uprawnień mogą jednak
z powodzeniem oceniać m.in.:
 wykonywanie okresowych analiz ryzyka w zakresie bezpieczeństwa informacji,
 zapewnienie aktualizacji regulacji wewnętrznych,
 utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania,
 posiadanie, adekwatność i aktualności uprawnień w systemach,
 szkolenia osób zaangażowanych w proces przetwarzania informacji.
czyli bardzo istotne elementy składowe SYSTEMU bezpieczeństwa informacji.
ZASOBY
1. Audytorzy wewnętrzni
2. Inni specjaliści z wewnątrz
(zwłaszcza auditorzy ISO)
3. Specjaliści z zewnątrz
4. Kombinacja powyższych
(system !)
KOMPETENCJE
KOSZTY
Punkt wyjścia PBI / zarządzania bezpieczeństwem
„Klasyczne” podejście do racjonalnego zapewnienia bezpieczeństwa informacji.
INWENTARYZACJA - Co ?


zasoby/zbiory informacji
zasoby sprzętowe i programowe służące przetwarzaniu informacji.
KLASYFIKACJA - Dlaczego ?




zasoby wrażliwe
zasoby kluczowe
zasoby wspomagające
zasoby neutralne
ANALIZA RYZYKA - Jak ?
1. Zagrożenia
2. Podatności
Ryzyka
Skutki
Środki zapobiegawcze
Role i odpowiedzialności – „podejście tradycyjne”
W systemach informacyjnych (także informatycznych) kluczowe znaczenie
ma określenie WŁAŚCICIELA (zasobu / procesu lub po prostu ryzyka) :
Np. właściciel informacji:
 decydujący o przetwarzaniu informacji zawartej w systemie,
 decydujący o nadawaniu uprawnień do zasobu informacyjnego,
 dla którego informacja (jej przetwarzanie) stanowi podstawę funkcjonowania.
Przedmiotem własności może być:
a) proces biznesowy*;
b) określony zbiór działań;
c) aplikacja;
d) określony zbiór danych.
Klasyfikowanie informacji z uwzględnieniem:
- ich wartości;
- wymagań prawnych;
- wrażliwości i krytyczności.
UWAGA.
W najnowszej edycji norm ISO serii 27000:2013 pojęcie „właściciel zasobów/aktywów”
zastąpiono pojęciem „właściciel ryzyka”.
* w dobrze opisanych procesach dobrze widać wartość i krytyczność informacji !
Dziękuję za uwagę
[email protected]
[email protected]