Czym jest audyt bezpieczeństwa?

Audyt bezpieczeństwa to całokształt przedsięwzięć, których celem jest uzyskanie pełnych informacji o stanie bezpieczeństwa jednostki organizacyjnej. W konsekwencji umożliwia podniesienie poziomu bezpieczeństwa we wszystkich sferach działalności organizacji oraz stworzenie warunków skutecznego reagowania na potencjalne zagrożenia i sytuacje kryzysowe.

Audyt ocenia zgodność zastosowanych rozwiązań – tu, teraz i w przeszłości. Jego odmianą jest inspekcja, która ocenia jedynie zgodność rozwiązań zastosowanych w przeszłości.

Zgodnie z definicją kryteria audytu mogą zawierać odniesienia dotyczące:

  • polityki bezpieczeństwa,
  • procedur, norm,
  • wymagań prawnych,
  • wymagań odnoszących się do systemów zarządzania,
  • wymagań kontraktowych,
  • praktyk charakterystycznych dla danego sektora,
  • innych wymagań biznesowych.

Wyróżnia się następujące rodzaje audytów:

  • audyt wewnętrzny – kiedy audytuje się własny system bezpieczeństwa,
  • audyt zewnętrzny – kiedy audytuje się dostawcę lub jest się audytowanym przez odbiorcę systemu bezpieczeństwa,
  • audyt zewnętrzny certyfikujący – kiedy jest się audytowanym przez niezależną organizację certyfikującą.

Podstawy normatywne audytu

Podstawy prowadzenia audytu zostały opisane w normie PN-EN ISO 19011:2012 Wytyczne dotyczące audytowania systemów zarządzania. Norma ta zawiera wskazówki dotyczące dobrych praktyk oraz planowania i prowadzenia audytów systemów zarządzania. Należy wspomnieć także o normie zawierającej wymagania dotyczące jednostek prowadzących audyty certyfikujące systemy zarządzania, tj. o normie PN-ISO/IEC 27006:2014 Technika informatyczna – Techniki bezpieczeństwa – Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji.

Dodatkowo przy przygotowaniu oraz prowadzeniu audytu warto wykorzystać normy dotyczące bezpieczeństwa informacji, zwłaszcza w przypadku audytu bezpieczeństwa obiektów. Audytowanie bezpieczeństwa obiektu należy traktować jako audytowanie całego zasobu informacji niezbędnych do realizacji procesów statutowych jednostki i biznesowych, np. procesu zarządzania bezpieczeństwem organizacyjno-technicznym. Jest to jeden z wielu procesów zarządzania obiektem, w tym zarządzania bezpieczeństwem obiektu. Bezpieczeństwo obiektu składa się z wielu aspektów technicznych, do których należy m.in.: zarządzanie eksploatacją, serwisem, podatnościami technicznymi, wszelkimi zmianami organizacyjno-technicznymi czy też ryzykiem.
 

Ważne

Norma służąca do certyfikacji systemów zarządzania bezpieczeństwem informacji i zawarte w niej wymagania i kryteria są niezbędne do sprawdzenia, czy wdrożony system zarządzania spełnia wymagania dotyczące szeroko rozumianego bezpieczeństwa informacji. W celu przeprowadzenia audytu bezpieczeństwa obiektu można również stosować kryteria zawarte w normie ISO/IEC 27001:2013, oczywiście po uwzględnieniu i uzupełnieniu wymagań branżowych określonych w technicznych normach alarmowych.


Połączenie wymagań zawartych w normie ISO/IEC 27001:2013 oraz wymagań zawartych w normach alarmowych daje audytorowi bardzo skuteczne narzędzia do badania bezpieczeństwa zarządzania oraz poprawności funkcjonowania infrastruktury bezpieczeństwa w audytowanym obiekcie.

Podstawy zarządzania bezpieczeństwem informacji – normy

Przy opracowywaniu kryteriów audytu bezpieczeństwa, należy zapoznać się z normami zarządzania bezpieczeństwem informacji, to jest:

  • ISO/IEC 27001:2013 (wydanie PN-ISO/IEC 27001:2014) Technika informatyczna – Techniki bezpieczeństwa – Sys­temy zarządzania bezpieczeństwem informacji – Wymagania. Norma jest uwzględniana podczas certyfikowania sys­temów zarządzania bezpieczeństwem informacji.
     
  • ISO/IEC 27002:2013 (wydanie PN-ISO/IEC 27002:2014) Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania informacji. Norma jest przeznaczona dla firm oraz innych organizacji jako podstawa wyboru zabezpieczeń w ramach procesu wdrażania systemu zarządzania bezpieczeństwem informacji (SZBI) z uwzględnieniem ISO/IEC 27001 lub jako wytyczne dla przedsiębiorstw wdrażających powszechnie akceptowane zabezpieczenia informacji. Norma jest również przeznaczona do stosowania w ramach rozwoju branżowych wytycznych dotyczących zarządzania bezpieczeństwem informacji z uwzględnieniem środowiska, w którym występują specyficzne zagrożenia dla bezpieczeństwa informacji, np. przy projektowaniu i instalacji systemów alarmowych.
     

Prawidłowe zarządzanie bezpieczeństwem informacji nie może być realizowane bez przeprowadzenia szacowania ryzyka, które musi być realizowane systematycznie i zgodnie z przyjętą metodyką zarządzania bezpieczeństwem w jednostce organizacyjnej.

Zarządzanie systemem bezpieczeństwa informacji wymaga zastosowania przynajmniej niżej wymienionych norm:

  • PN-ISO 31000 Zarządzanie ryzykiem – Zasady i wytyczne. Norma podaje zasady i ogólne wytyczne dotyczące zarządzania ryzykiem. Norma jest zbiorem wskazówek dotyczących zarządzania ryzykiem w systemie bezpieczeństwa informacji.
  • PN-ISO/IEC 27005:2010 Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji. Norma określa dobre praktyki oraz daje wskazówki dotyczące planowania i wdrażania systemu bezpieczeństwa.

Stosowanie norm jest podstawą zarządzania bezpieczeństwem dla każdego podmiotu gospodarczego i administracji w ciągu całego okresu jego działalności, szczególnie w odniesieniu do każdego typu ryzyka, bez względu na jego charakter oraz konsekwencje.

Definicje i terminy stosowane przy organizacji bezpieczeństwa informacji

Przygotowując się do audytu bezpieczeństwa, trzeba zrozumieć zasady funkcjonowania systemów bezpieczeństwa informacji oraz poznać terminy i definicje opisujące i okreś­lające system bezpieczeństwa. Stanowią one spójny opis procesów i zasobów mających wpływ na bezpieczeństwo.

  • Aktywa (zasoby) – to wszystko, co ma wartość dla przedsiębiorstwa, jednostki organizacyjnej. Informacja określana jest i traktowana jako aktyw (zasób), który (podobnie jak inne ważne aktywa biznesowe) ma dla jednostki organizacyjnej, instytucji czy organizacji wartość i dlatego należy go odpowiednio chronić.
     
  • System zarządzania bezpieczeństwem informacji (SZBI) – część systemu zarządzania stosowana w związku z ryzykiem biznesowym (utraty zasobów) w celu ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji.
     
  • Zagrożenie – potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla sys­temu lub instytucji.
     
  • Podatność – słabość aktywu lub grupy aktywów, która może przyczynić się do zaistnienia (zmaterializowania się) zagrożenia.
     
  • Zdarzenie związane z bezpieczeństwem informacji – to określony stan systemu (w tym alarmowego), usługi lub sieci, który wskazuje na możliwe naruszenie polityki bezpieczeństwa informacji, błąd zabezpieczenia lub nieznaną dotychczas sytuację, która może być związana z bezpieczeństwem.
     
  • Incydent związany z bezpieczeństwem informacji – pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań, zagrażają bezpieczeństwu informacji i mogą w konsekwencji spowodować znaczne straty lub wręcz przerwać proces biznesowy.
     
  • Skutki – rezultat niepożądanego incydentu.
     
  • Prawdopodobieństwo – stopień pewności, że incydent (zdarzenie) się zdarzy.
     
  • Ryzyko – prawdopodobieństwo, że podatność aktywu lub aktywów oraz istniejące zagrożenie spowodują w efekcie straty (materialne i niematerialne) albo zniszczenie aktywów.
     
  • Zabezpieczenie – praktyka, procedura lub inny mecha­nizm redukujący ryzyko.