Audyt Systemu Zarządzania Bezpieczeństwem Informacji

Audyt Systemu Zarządzania Bezpieczeństwem Informacji

Zapewnienie właściwej ochrony informacji w firmie lub organizacji to złożony proces. Krajowy Instytut Cyberbezpieczeństwa oferuje kompleksową usługę, w której mieści się nie tylko sam audyt SZBI, ale także opracowanie, wdrożenie, przegląd, aktualizacja dokumentacji Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), w tym między innymi wprowadzenie lub aktualizacja polityk bezpieczeństwa informacji (PBI), analizy ryzyka (w tym opracowanie i wdrożenie metodyk), audyt zgodności KRI/uoKSC przez wykwalifikowanych audytorów, (re‑) oraz certyfikacja SZBI na zgodność z normami.

Audyt systemu zarządzania bezpieczeństwem informacji

Informacja to niezbędny element funkcjonowania firmy, nic więc dziwnego, iż powinien on podlegać wyjątkowej ochronie. Zgodnie z normą ISO mowa bowiem nie tylko o klasycznej informacji zawartej na papierze, ale także tej w postaci wiedzy pracowników oraz informacji cyfrowych, różnego rodzaju plikach przechowywanych w różnych systemach. Tylko takie całościowe podejście do informacji zapewnia właściwą ochronę danych oraz umożliwia sprawne działanie organizacji w razie ataku i zminimalizowanie ewentualnych strat w wyniku zdarzenia.
Do czego tak naprawdę sprowadza się System zarządzania bezpieczeństwem informacji ? SZBI to tak naprawdę strategia, plan działania, którego celem jest zapewnienie odpowiedniej ochrony informacji znajdujących się w firmie. Działania związane z opracowaniem strategii sprowadzają się zaś do opracowania planu działań oraz procedur w celu zminimalizowania ryzyk związanych z naruszeniem poufności danych zarówno materialnych, jak i tych w chmurze. Efektem przygotowania strategii jest zmniejszenie ryzyk w razie zagrożenia i ochrona przed najmniej przyjemnymi skutkami ataku, czyli przerwaniem ciągłości prowadzenia działalności, stratami finansowymi i wizerunkowymi.

System Zarządzania Bezpieczeństwem Informacji SZBI zgodny z normą ISO 27001

Złotym standardem w obszarze ochrony informacji jest System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO/IEC 27001. Przypomnijmy, że norma ISO 27001 to wiodąca norma międzynarodowa opracowana przez wiodących ekspertów ds. bezpieczeństwa informacji. Ma ona zastosowanie w każdej branży i każdej wielkości firmy, instytucji czy organizacji. ISO 27001 oparte jest na procesie zarządzania ryzykiem: dowiedz się gdzie są zagrożenia, a następnie systematycznie przeciwdziałaj. Norma określa minimalny zestaw polityk, procedur, planów, zapisów i innych udokumentowanych informacji, które są niezbędne, aby zapewnić zgodność. SZBI opracowany zgodnie z ISO 27001 to optymalne rozwiązanie zapewniające poufność, integralność i dostępność informacji, których ochrona jest obecnie naturalnym wymogiem naszych czasów.
Nasi specjaliści służą Państwu niezbędną pomocą również w kwestii wdrożenia ISO 27001 w Państwa organizacji. Możemy zająć się wyłącznie opracowaniem dokumentacji, bądź pójść krok dalej i skutecznie wdrożyć je w życie.

Jak wygląda audyt i opracowanie dokumentacji SZBI

Audyt SZBI wykonany zgodnie z aktualną wiedzą i sztuką podzielony jest na następujące etapy:
Planowanie – ustanowienie SZBI (Planowanie) – polega na przygotowaniu niezbędnych procedur i procesów istotnych z punktu widzenia ochrony informacji w firmie.

Wdrożenie SZBI (Wykonanie) – implementacja zaplanowanych zabezpieczeń i procedur oraz korzystanie z nich w celu dalszej ochrony zasobów.

Monitorowanie i przegląd SZBI (Sprawdzanie) – to etap polegający na weryfikacji wdrożonych rozwiązań w celu oceny ich skuteczności oraz wypracowania ewentualnych poprawek doskonalących system.

Utrzymanie i doskonalenie SZBI (Doskonalenie) – działania mające na celu wyeliminowanie przyczyn wykrytych błędów. Podejmowane są one na skutek przeprowadzonego audytu, który powinien być stałym, cyklicznym działaniem. SZBI zakłada bowiem ciągłe doskonalenie procedur w zakresie ochrony firmowych danych.

Ocena bezpieczeństwa infrastruktury elementem audytu Systemu Zarządzania Bezpieczeństwem Informacji

Oceniamy bezpieczeństwo pomieszczeń serwerowych, w tym w szczególności jak wygląda procedura kontroli dostępu do nich, kwestia monitoringu i klimatyzacji. Warto jednak wiedzieć, że nie tylko klimatyzacja, a więc temperatura jest tu ważna. Niemniej istotna jest wilgotność powietrza czy skoki napięcia w sieci. Warto zwrócić również uwagę na występowanie awarii i ich pojedynczych punktów oraz poddać to analizie pod kątem zarządzania ryzykiem. Istotna jest również weryfikacja, czy sprzęt jest chroniony przed nieuprawnionym dostępem oraz czynnikami środowiskowymi.
Podczas audytu SZBI możemy również przeskanować wewnętrzną infrastrukturę. Pomoże nam to w określeniu jakie zostały wykryte podatności w systemach operacyjnych i usługach sieciowych oraz czy procedury dokumentacji SZBI w odpowiedni sposób przygotują firmę do zniwelowania lub całkowitego usunięcia wykrytych „luk”.
Praktyczna wskazówka: Przy opracowywaniu procedur w zakresie „usuwania danych osobowych” na życzenie osób, których dotyczą – musimy pamiętać, że obowiązek tzw. „zapomnienia” danych musi zawierać wykasowanie ich (lub anonimizację) ze wszystkich miejsc, w których one się znajdują czyli również z kopii zapasowych (w tym także tych zarchiwizowanych). To niezwykle ważne a naszego doświadczenia wiemy, że praktycznie w żadnej dokumentacji przez nas weryfikowanej podczas audytu takich zapisów w SZBI nie było.

Zobacz także:
Odszyfrowywanie danych – czytaj więcej
Obsługa incydentów cyberbezpieczeństwa – czytaj więcej
Polityka backupu – czytaj więcej
Testy phishingowe – socjotechniczne- czytaj więcej