Bezpečnostní standardy a certifikace
Kontrola provedená v rámci spouštěcích testů však nedokáže odpovědět na otázku, zda budou bezpečnostní pravidla účinná i za nestandardních, krizových či havarijních podmínek a jestli se systém s postupem času nebude odchylovat od pravidel stanovených na jeho počátku. Bezpečnostní audit již běžícího informačního systému na tuto otázku může odpovědět.
Avšak poskytnutých informací může být mnohem více. Například je možné obdržet jasný a vypovídající obraz o reálném stavu bezpečnosti ve srovnání se stavem bezpečnosti u konkurence. Tato znalost dovolí stanovit konkrétní cíle zlepšení systému bezpečnosti a současně vymezí optimální objem nutných finančních a lidských zdrojů pro jejich dosažení.
Každý audit postupuje v několika základních krocích:
1. Návrh auditu – kdo, co, jakým způsobem kdy a jak podrobně bude prověřovat
2. Popsání stavu – auditor popíše procesy a pomocí testů ověří, že systém je navržen tak, jak je popsaný ve firemní dokumentaci
3. Testování – auditor ověřuje, že popsané procesy ve skutečnosti probíhají v souladu s firemní dokumentací
4. Zhodnocení výsledků – posouzení konzistence výsledků testů a příprava závěrečné zprávy
Auditor při své práci opírá o obecné standardy informačních technologií (IT) a standardy bezpečnosti IS. Nejpopulárnějším standardem je britský Information security management BS7799, který byl přepracován do podoby mezinárodní normy ISO/IEC 17799. Od roku 2001 existuje i jako ČSN. V první části normy jsou uvedeny soubory bezpečnostní opatření, na jejichž základě je možné vytvořit testovací kriteria IS. Druhá část pak obsahuje v podstatě návod, jak vytvořit účinný systém řízení bezpečnosti. Takto vytvořený systém je pak vhodným objektem pro auditování a případnou certifikaci. Dalším použitelným dokumentem je ISO/IEC TR 13335, což je souhrn poznatků z oblasti bezpečnosti, které nebylo možné vydat jako normu. Zmíněná ISO/IEC TR 13335 je vydaná také v českém překladu jako ČSN a obsahuje užitečné návody, jak při auditu postupovat, na co se zaměřit a podobně.
Norma je rozdělena do částí:
1. Pojetí a modely bezpečnosti IT
2. Řízení a plánování bezpečnosti IT
3. Techniky pro řízení bezpečnosti IT
4. Výběr prostředků ochrany IT
Prostředky ochrany pro vnější spojení IT
V souvislosti s bezpečnostními standardy je třeba ještě zmínit ISO/TR 13569, která se zabývá informační bezpečností ve finančním sektoru. Při plánování auditu se jako etalon zvolí přednostně ten standard, který byl v organizaci použit při tvorbě systému řízení bezpečnosti. V ostatních případech je možné využít vhodnou kombinaci zmíněných standardů. Vodítkem pro samotnou práci auditora pak jsou auditní standardy, které vydává řada mezinárodních i profesních organizací auditorů, například Information system audit and control association (ISACA). Základním požadavkem auditních standardů ISACA je písemná podoba definice funkce auditu a to včetně odpovědnostní a pravomocí auditu.
Druhým nejvýznamnějším požadavkem je nezávislost osoby auditora, přičemž nezávislost musí být nejenom faktická, ale také psychologická – auditor se jednak musí sám cítit nezávislý a také musí být jakožto nezávislý vnímán svým okolím. Je důležité si uvědomit, že konečná odpovědnost za výběr testů prováděných v rámci auditu, za posuzování kvality firemních procesů i jednotlivých kontrol, za zhodnocení a posouzení zjištěných skutečností a také za návrh opatření, je věcí auditora a jeho úsudku. Nejdůležitějším předpokladem pro jakostní provedení auditu jsou odborné znalosti a bohaté zkušenosti auditora.
Požadavky na odbornou způsobilost auditorů jsou obsaženy například v normě ČSN EN ISO 19011, kde se mimo jiné uvádí: „Důvěra a spolehnutí se na proces auditů závisí na odborné způsobilosti osob vykonávajících audity.“ Pro zajištění nezávislosti auditu a jeho vysoké vypovídací schopnosti je dobré využít služby externí auditorské organizace, která disponuje týmem kvalifikovaných a zkušených auditorů.
Převzato z Relsie Žurnálu č.07/2004
Odpovědět na příspěvek