Biuro konsultingowo-audytowe Andrzej Kaczmarek

Audyt zgodności Bezpieczeństwa Systemów Informatycznych z Krajowymi Ramami Interoperacyjności

Bezpieczeństwo informacji przetwarzanych przy użyciu systemów teleinformatycznych narażone jest w szczególny sposób na ryzyko utraty poufności, integralności i dostępności z uwagi na złożoność systemów teleinformatycznych i ich zależność od wielu czynników w związku z towarzyszącymi takim przetwarzaniom przepływom informacji z wykorzystaniem publicznie dostępnych sieci telekomunikacyjnych oraz błędów występujących w stosowanym oprogramowaniu systemów informatycznych. Przedmiotowe ryzyko można zmniejszyć stosując różnorodne środki techniczne i organizacyjne, których zastosowanie eliminuje lub ogranicza potencjalne skutki urzeczywistnienia się określonych ryzyk. W praktyce trudno jest jednak wskazać środki, które skutecznie zapewnią wymagane bezpieczeństwo, stąd przepisy prawa często dają w tym zakresie swobodę administratorom w ich doborze stawiając jedynie w powyższym zakresie określone minimalne wymagania. Jednym z takich wymagań są wymagania określone w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r.  w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2017 r. poz. 2247), nazywane dalej rozporządzeniem KRI. Wymagania te określają minimalne działania jakie administrator systemu powinien realizować, aby zapewnić  bezpieczeństwo przetwarzanych informacji. Jednym z nich jest coroczne przeprowadzanie audytu bezpieczeństwa, którego celem jest weryfikacja, czy określone działanie realizowane są w sposób prawidłowy.

W programie audytu bezpieczeństwa informacji weryfikacji poddawane są elementy zarządzania bezpieczeństwem określone w rozporządzeniu KRI obejmujące:

  • inwentaryzację sprzętu i oprogramowania oraz ich konfigurację,
  • przeprowadzanie okresowych analiz ryzyka naruszenia bezpieczeństwa informacji,
  • proces  nadawania uprawnień dostępu do informacji przetwarzanych w SI,
  • monitorowanie zastosowanych środków bezpieczeństwa informacji,
  • zarządzanie bezpieczeństwem informacji podczas pracy zdalnej,
  • zastosowanie środków bezpieczeństwa zapewniających nieuprawniony dostęp do informacji,
  • zapewnienie bezpieczeństwa przetwarzania w ramach zawartych umów powierzenia,
  • bezpieczeństwo informacji przetwarzanych przy użyciu urządzeń mobilnych,
  • zapewnienie dbałości o: bezpieczeństwo używanych systemów operacyjnych i plików systemowych, aktualizację oprogramowania, ochronę przed nieautoryzowanymi zmianami, ochronę kryptograficzną, redukcję ryzyk wynikających z opublikowanych podatności, minimalizację ryzyka utraty informacji w wyniku awarii, itp.,
  • rejestrowanie incydentów bezpieczeństwa,
  • bezpieczeństwo i standardy wymiany informacji w postaci elektronicznej,
  • rozliczalność działań z zakresu zarządzania bezpieczeństwem i konfiguracji systemów informatycznych przez osoby z uprawnieniami administracyjnymi. 

 

 

Sposób przeprowadzania audytu

Audyt przeprowadzany jest w następujący sposób:
 

  • Zza biurka - analiza zebranej dokumentacji (polityka bezpieczeństwa, instrukcje zarządzenia, procedury zarządzania ciągłością działania, wykonywaniem kopii bezpieczeństwa, itp.) i informacji z wypełnionych załączników (ankiety w zakresie istniejących procedur i stosowanych środków bezpieczeństwa, wykazu systemów informatycznych używanych w organizacji),
  • Na miejscu – analiza stanu faktycznego w organizacja w zakresie dotyczącym:
    • stosowania opisanych w dokumentacji środków bezpieczeństwa, w tym zarządzanie konfiguracją, zarządzania zmianami,
    • weryfikacji procesu nadawania upoważnień do przetwarzania informacji w tym danych osobowych oraz nadawania uprawnień do zdefiniowanych funkcji i raportów w użytkowanych Systemach Informatycznych,
    • weryfikacji prowadzonego rejestru incydentów naruszeń bezpieczeństwa,
    • weryfikacji zawartych umów powierzenia przetwarzania, w tym klauzul dotyczących zapewnienia bezpieczeństwa przetwarzanych informacji,
    • weryfikacji stosowanych środków technicznych i organizacyjnych w zakresie bezpieczeństwa przetwarzanych danych przed  utratą ich poufności, integralności i dostępności,
    • weryfikacja wymaganej dokumentacji w zakresie oceny ryzyka naruszenie bezpieczeństwa przetwarzanych informacji,
    • zgodności danych zawartych w wypełnionej ankiecie i wykazie systemów informatycznych, o których mowa w punkcie 1 ze stanem faktycznym.

 

Audyt wykonywany jest przez eksperta legitymującego się wymaganymi certyfikatami tj. 


Certyfikatem CISA (Certified Information Systems Auditor) wydawany przez ISACA, oraz Certyfikatem audytora wewnętrznego systemu zarządzania bezpieczeństwem informacji poświadczającym wiedzę z zakresu prowadzenia audytów wewnętrznych wg. PN-EN-ISO 19011:2012 Systemu Zarządzania Bezpieczeństwem Informacji Zgodnie z PN=ISO/IEC 270001:2014-12.


Podczas analizy stanu faktycznego „na miejscu” audytor dokonuje również oględzin używanych systemów informatycznych, ich konfiguracji, stosowanych zabezpieczeń fizycznych, organizacyjnych i technicznych. Zapoznaje się z dokumentami nadania uprawnień dostępu do systemów a także rejestrami i ewidencjami, w tym ewidencją osób upoważnionych do przetwarzania informacji w systemach informatycznych. Jeśli jest to niezbędne dla ustalenia stanu faktycznego audytor odbiera wyjaśnienia od Kierownictwa organizacji lub wskazanych przez niego osób w tym administratorów systemów informatycznych, administratora sieci oraz inspektora ochrony danych, jeśli jest wyznaczony. 
 

 

Wynik przeprowadzonego audytu

W wyniku przeprowadzonego audytu klient otrzymuje raport z audytu w obszarze Zarządzania Bezpieczeństwem Informacji, który  zawiera obiektywną (opartą na kompleksowej analizie procedur i narzędzi) ocenę poziomu spełniania przez organizację regulacji zawartych w rozporządzeniu KRI oraz wykaz praktycznych rekomendacji w tych obszarach dotyczących zarządzania bezpieczeństwem, gdzie nadal potrzebne są działania naprawcze lub doskonalące.

Jeśli jesteś zainteresowany skorzystaniem z usług bieżącego wsparcia. Zapytaj o ofertę korzystając z formularza do kontaktu.
Formularz kontaktowy

Administratorem Pani/Pana danych osobowych jest ODOekspert Biuro konsultingowo-audytowe Andrzej Kaczmarek z siedzibą w Warszawie (02-797), przy ul. Komisji Edukacji Narodowej 19/144. Pani/Pana dane osobowe będą przetwarzane w celu odpowiedzi na zadane pytania oraz w przypadku zawarcia umowy, w celu jej realizacji. Więcej informacji na temat przetwarzania Pani/Pana danych osobowych znajduje się w dokumencie Polityka prywatności.