Krok po kroku

Błędnie wykonany audyt bezpieczeństwa teleinformatycznego to nie tylko fałszywe poczucie bezpieczeństwa i niewłaściwe inwestycje, ale realne zagrożenie dla funkcjonowania firmy czy instytucji.

Błędnie wykonany audyt bezpieczeństwa teleinformatycznego to nie tylko fałszywe poczucie bezpieczeństwa i niewłaściwe inwestycje, ale realne zagrożenie dla funkcjonowania firmy czy instytucji.

Na wstępie przytoczmy definicję audytu: jest nim postępowanie mające ocenić zgodność audytowanego obiektu z wzorcem (normą, wzorcem proceduralnym lub arbitralnie ustanowionym zbiorem wartości pewnych cech), prowadzone przez stronę niezależną (firmę, osobę lub zespół).

Jaki jest cel?

Logicznym punktem wyjścia do zamawiania audytu bezpieczeństwa teleinformatycznego jest ustalenie przez zamawiającego celu, jaki ma zostać osiągnięty. W praktyce audyt dla celów bezpieczeństwa teleinformatycznego przeprowadza się, aby:

  1. Wykazać, że system bezpieczeństwa spełnia wymagania norm, standardów i ustaw w tym zakresie, np. PN ISO/IEC-17799, COBIT, Ustawa o ochronie informacji niejawnych, Ustawa o ochronie danych osobowych.

  2. Wykazać, że informacja i system teleinformatyczny zostały zabezpieczone zgodnie z ustaleniami pomiędzy zleceniodawcą a zespołem budującym system bezpieczeństwa. "Zleceniodawca" i "zespół budujący" to w tym przypadku terminy umowne. Często zdarza się, że "zleceniodawcą" jest np. zarząd firmy, a "zespołem budującym" dział informatyki lub dział bezpieczeństwa firmy.

  3. Wystawić ocenianemu systemowi certyfikat bezpieczeństwa lub certyfikat zgodności.

  4. Ocenić jakość systemu bezpieczeństwa i przedstawić ocenę zleceniodawcy do decyzji - jakie zmiany w systemie bezpieczeństwa są niezbędne.
Audyt bezpieczeństwa informatycznego dla osiągnięcia ostatniego z wymienionych celów jest często używany jako pierwszy krok do ustalenia polityki bezpieczeństwa i budowy kompleksowego systemu bezpieczeństwa. W takim przypadku wynik audytu pozwala również na zmierzenie skuteczności wprowadzonych zmian w systemie bezpieczeństwa. Porównując wyniki z wynikami audytu przeprowadzonego po wprowadzeniu zmian organizacyjnych i inwestycjach w techniczne środki zabezpieczeń, zamawiający jest w stanie stwierdzić, jaki jest faktyczny, mierzalny skutek zmian i inwestycji.

Potrzebna miarka

Zgodnie z podaną wcześniej definicją audyt bezpieczeństwa IT to porównanie bieżącego stanu bezpieczeństwa z jakimś wzorcem. Porównywanie z konkretnym wzorcem, a nie z bliżej nieokreślonym i w zasadzie niemierzalnym stanem wiedzy sprawdzającego jest najważniejszą cechą audytu. Naturalnie, czasami jest wskazane ocenienie jakiegoś podsystemu przez zespół ekspertów, ale wtedy jest to po prostu ocena bezpieczeństwa, a nie audyt.

Zamawiający, dysponując normą czy zbiorem zasad na zgodność, z którymi jest porównywany system bezpieczeństwa, jest w stanie stosunkowo łatwo sprawdzić, czy audytor wypełnił cały zakres zadań związany z tym wzorcem. Jeśli ocena bezpieczeństwa jest przeprowadzana zgodnie ze stanem wiedzy eksperta, to zamawiający nie jest w stanie sprawdzić, czy taka ocena została przeprowadzona rzetelnie (bo nie jest ekspertem).

Przy kompleksowej ocenie całości systemu bezpieczeństwa instytucji, sprawdzenie arbitralne, bez istnienia uzgodnionego między wykonawcą a zamawiającym wzorca, jest w praktyce niemożliwe do przeprowadzenia w sposób rzetelny.

Dostępne wzorce

Należy pamiętać, że bezpieczeństwo teleinformatyczne nie zależy tylko od jednego elementu. W szczególności nie zależy tylko i wyłącznie od właściwego stanu zabezpieczeń technicznych, ale również od właściwych rozwiązań organizacyjnych, przyjętych procedur i standardów. Często popełnianym błędem jest rozumienie systemu bezpieczeństwa informatycznego jednostronnie - tylko i wyłącznie jako zestawu środków technicznych. Z wielu badań wynika niestety, że najsłabszym ogniwem jest zwykle człowiek, a przesadna fascynacja techniką nie prowadzi do budowy dobrze działającego mechanizmu, jakim jest system bezpieczeństwa. Dlatego też sprawdzanie poziomu bezpieczeństwa teleinformatycznego powinno być kompleksowe i obejmować wszystkie aspekty.

Normą kompleksowo traktującą bezpieczeństwo informatyczne jest norma ISO 17799 i jej polski odpowiednik - PN ISO/IEC 17799 "Zasady zarządzania bezpieczeństwem informacji". Dokument ten opisuje "najlepsze praktyki", które powinny być stosowane w budowie i zarządzaniu bezpiecznych systemów teleinformatycznych.

Innym często stosowanym wzorcem jest standard COBIT promowany przez ISACA (Stowarzyszenie do Spraw Audytu i Kontroli Systemów Informatycznych). Należy jednak zaznaczyć, że standard ten stworzony jest dla celów zarządzania, kontroli i audytu informatycznego, a nie wyłącznie dla celów związanych z bezpieczeństwem informatycznym.

Zakres działań

Oferty na audyt bezpieczeństwa teleinformatycznego zwykle trudno jest porównać. Przede wszystkim - jeśli zamawiający nie narzuci pewnych swoich wymogów - to poszczególni oferenci inaczej mogą definiować zakres proponowanych usług.

Jeśli zamawiający decyduje się na audyt wg określonej normy czy standardu, to powinien również przemyśleć kwestie: jak dokładnie i jakimi środkami powinno być badane bezpieczeństwo w poszczególnych zakresach. Proces audytu sprowadza się zwykle do sporządzenia listy kontrolnej (checklist) zgodnie z zakresem danego standardu i wypełnieniem jej zgodnie ze stanem rzeczy. Problem polega na tym, jak ten "stan rzeczy" będzie rozpoznawany. Jako minimum można przyjąć przeprowadzanie wywiadów i zbieranie tzw. oświadczeń woli, czyli - operując terminologią policyjną - "zeznań" podpisanych przez odpowiednich "przesłuchiwanych" pracowników zamawiającego. Na drugim biegunie szczegółowości audytu stoi wyciąganie wniosków na podstawie badań heurystycznych. Należy do nich zaliczyć zarówno badanie procedur, dokumentacji czy też struktury organizacyjnej, jak i badanie konfiguracji systemów oraz testy empiryczne (np. testy penetracyjne). Przykładowo, wnioski na temat zarządzania hasłami użytkowników (punkt 9.2.3 normy PN-ISO/IEC-17799) można wyciągać na podstawie:

  • zapisów w planie bezpieczeństwa;

  • oświadczeń administratorów;

  • sprawdzenia konfiguracji wybranych lub wszystkich systemów informatycznych;

  • (dodatkowo) testów penetracyjnych.
Żeby nie przywiązywać czytelnika do przykładów związanych tylko i wyłącznie z komputerem, podajmy przykłady dotyczące innych aspektów bezpieczeństwa teleinformatycznego:

Wnioski dotyczące oznaczania i postępowania z informacją (punkt 5.2.2 powyższej normy) można wyciągać na podstawie:

  • zapisów w planie bezpieczeństwa i stosownych instrukcjach;

  • oświadczeń osób odpowiedzialnych;

  • wyrywkowej kontroli.
Wnioski dotyczące fizycznego zabezpieczenia wejścia (punkt 7.1.2 powyższej normy) można wyciągać na podstawie:
  • zapisów w planach bezpieczeństwa i stosownych instrukcjach;

  • oświadczeń osób odpowiedzialnych;

  • oglądu rejestrów wejścia na teren chroniony;

  • obserwacji;

  • eksperymentów (test penetracyjny, którego celem jest przeniknięcie intruza na teren firmy czy do strefy chronionej).
W powyższych przykładach widać znaczącą różnicę w szczegółowości badań. Na pewno nie można z góry przesądzać, która metoda jest lepsza. Jeśli audytowana firma ma dużą kulturę organizacyjną, to wyciągnięcie wniosków na podstawie procedur może być wystarczająco dobre.

Oferty audytorów, którzy w różny sposób podchodzą do stopnia szczegółowości badań, są w praktyce nie do porównania. W rezultacie zleceniodawca może wybrać ofertę najtańszą z dostępnych i formalnie poprawną, a później może być rozczarowany rezultatem zamówienia, chociaż wszystkie ustalenia zapisane w ofercie i umowie zostały dotrzymane. Tak więc dla uniknięcia nieporozumień kwestie związane ze szczegółowością badań w poszczególnych zakresach należy uzgadniać jeszcze przed podpisaniem umowy na audyt. Chcę tutaj jeszcze raz podkreślić, że zdefiniowanie rodzaju badań nie może być zbyt szczegółowe. Rodzaje możliwych badań powinien zasugerować audytor po poznaniu audytowanej organizacji, systemu informatycznego, kultury informatycznej i organizacyjnej itp. W praktyce nie da się tego zrobić przed przystąpieniem do prac audytowych. Szczegóły te ustala się na etapie przygotowawczym.


TOP 200