Standard, dobry przewodnik
-
- Krzysztof Liderman,
- 26.01.2004
Ocena według BS 7799
Standard BS 7799 został opracowany w połowie lat 90. przez British Standards Institute i cały czas podlega aktualizacji. W części pierwszej dokumentu standaryzacyjnego (Code of practice for Information Security Management) opisano "najlepsze praktyki" budowy bezpiecznych systemów teleinformatycznych i zarządzania nimi. O jakości zaleceń opublikowanych w Code of practice... świadczy fakt, że od 1 grudnia 2000 r. zostały one przyjęte jako norma ISO/IEC 17799:2000. Na tej podstawie, w części drugiej BS 7799 (Specification for Information Security Management Systems), zdefiniowane jest 127 punktów kontrolnych.
Te szczegółowe wymagania podzielono na dziesięć tematów:
- Polityka bezpieczeństwa
- Organizacja bezpieczeństwa
- Kontrola i klasyfikacja zasobów
- Bezpieczeństwo a personel
- Bezpieczeństwo fizyczne
- Zarządzanie komputerami i siecią komputerową
- Kontrola dostępu do systemu
- Projektowanie i utrzymywanie systemu
- Planowanie ciągłości procesów biznesowych
- Zgodność z obowiązującymi regulacjami prawnymi
Warto zauważyć, że to, co w powszechnym rozumieniu kojarzy się z pojęciem bezpieczeństwa teleinformatycznego i audytu w tym zakresie, to punkty 6-8 powyższej listy. Jest to niestety powszechny i prowadzący do nieporozumień pogląd kadry kierowniczej (a więc osób zlecających i płacących za audyt), jak również części informatyków.
Słowo audyt jest kojarzone głównie z kontrolą dokumentów księgowych przedsiębiorstwa. Znajomość terminu "audyt informatyczny" - jak wynika z badań przeprowadzonych przez CBOS - deklaruje 60% małych i dużych przedsiębiorców. Większość z nich (75%) rozumie jego znaczenie jako weryfikację legalności oprogramowania używanego w firmie, zaś jako inne jego cele wskazuje kontrolę bezpieczeństwa systemu komputerowego (24%) i sprawdzenie jego efektywności (13%).
Widać z tego, że określenie audytu jakimś przymiotnikiem wcale nie przyczynia się do zlikwidowania niejasności, wręcz przeciwnie, niejasności pogłębia. Robiąc nawet pobieżny przegląd witryn internetowych firm, które w swojej ofercie mają audyt związany w jakiś sposób z informatyką, Czytelnik może natknąć się na wiele podobnie brzmiących, lecz bardzo luźno, a czasami w ogóle niepowiązanych ze sobą pojęć: audyt informacyjny (odnoszący się do strategii biznesowej), audyt informatyczny (ocena stanu informatyzacji), audyt informatyczny e-biznes (analiza możliwości wejścia firmy na rynek e-biznesu), audyt telekomunikacyjny (ocena wykorzystania infrastruktury telekomunikacyjnej) czy wreszcie audyt bezpieczeństwa (wykonanie tzw. testów penetracyjnych oraz ocena bliżej niezdefiniowanej polityki i procedur bezpieczeństwa).
W celu uniknięcia nieporozumień warto przyjąć, że audytem jest postępowanie dla oceny zgodności audytowanego obiektu z wzorcem (normą, wzorcem proceduralnym lub arbitralnie ustanowionym wektorem wartości pewnych cech) prowadzone przez stronę niezależną (firmę, osobę lub zespół). W przypadku audytu z zakresu bezpieczeństwa teleinformatycznego ta niezależność powinna być zachowana w stosunku do organizacji/zespołu budującego system zabezpieczeń, dostawców sprzętu i oprogramowania oraz organizacji podlegającej przeglądowi - w tym sensie, że w skład zespołu audytowego nie mogą wchodzić pracownicy organizacji zlecającej audyt.
Jeżeli nie jest dotrzymany któryś z ww. punktów, to można mówić co najwyżej o "przegląd zie zabezpieczeń wg listy audytowej", a nie o niezależnym audycie.
Dr inż. Krzysztof Liderman jest adiunktem w Wojskowej Akademii Technicznej w Warszawie.
