Jak powinien wyglądać raport z audytu bezpieczeństwa informacji?

Audyt bezpieczeństwa informacji może być zdefiniowany jako ocena poziomu dojrzałości bezpieczeństwa organizacji, gdzie analizie podlegają polityki i procedury bezpieczeństwa i dla których weryfikowany jest stopień zgodności. Ponadto wdraża się środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa. Zobaczmy bardziej szczegółowo, na czym polega audyt cyberbezpieczeństwa i jakie są jego cechy.

Cele audytu bezpieczeństwa cybernetycznego

Audyty bezpieczeństwa cybernetycznego wykrywają słabe punkty i luki w zabezpieczeniach, które mogą zostać wykorzystane przez złośliwych użytkowników lub napastników, powodując znaczne szkody dla organizacji. Służą one również zapobieganiu kradzieży informacji i nieuczciwej konkurencji.

Audyty mają również na celu zebranie wszelkich informacji pozwalających na ustalenie przyczyn, które spowodowały wystąpienie incydentu komputerowego.

Szkolenie bezpieczeństwo informacji

Rodzaje audytów bezpieczeństwa IT

Istnieją różne rodzaje audytów, biorąc pod uwagę różne kategorie. Ponadto, jeśli audyty będą przeprowadzane nie tylko zgodnie z normą ISO 27001, ale też standardem TISAX czy normą 22301, ich specyfika będzie znacząco się różniła.

W zależności od tego, kto przeprowadza audyt, możemy podzielić audyty na dwa rodzaje:

  • – wewnętrzne: są przeprowadzane przez własny personel organizacji przy wsparciu lub bez wsparcia personelu zewnętrznego.
  • – zewnętrzne: są przeprowadzane przez personel zewnętrzny i niezależny od organizacji.

W zależności od metodologii stosowanej podczas kontroli można rozróżnić audyty na:

  • – audyty zgodności: audyty, które weryfikują zgodność z określoną normą bezpieczeństwa (np. ISO 27001) lub z wewnętrznymi politykami i procedurami bezpieczeństwa organizacji.
  • – audyty techniczne: audyty lub przeglądy bezpieczeństwa technicznego, których zakres jest ograniczony do systemu(-ów) informatycznego(-ych) będącego(-ych) przedmiotem przeglądu.

W zależności od celu, w jakim przeprowadzany jest audyt, możemy mówić o takich audytach jak:

  • – audyt śledczy (forensic audit): po wystąpieniu incydentu bezpieczeństwa komputerowego, ten rodzaj audytu ma na celu zebranie wszystkich powiązanych informacji w celu określenia przyczyn incydentu, zakresu incydentu (dotknięte systemy i/lub informacje), jak również cyfrowych dowodów incydentu.
  • – aplikacje webowe: audyt próbuje zidentyfikować potencjalne luki w tego typu aplikacjach, które mogłyby zostać wykorzystane przez atakujących. W ramach tego typu audytów wyróżnia się dwa rodzaje: dynamiczną analizę aplikacji (DAST – Dynamic Application Security Testing, czyli przeglądanie aplikacji w czasie rzeczywistym na samej stronie internetowej) oraz statyczną analizę aplikacji (SAST – Static Application Security Testing, czyli poszukiwanie ewentualnych podatności na ataki w kodzie).
  • – Ethical hacking lub testy penetracyjne: jest to audyt, podczas którego techniczne środki bezpieczeństwa organizacji (np. zapory sieciowe, systemy IDS/IPS itp.) są testowane w taki sam sposób, w jaki zrobiłby to potencjalny napastnik, w celu zidentyfikowania możliwych do wykorzystania słabości lub podatności, które należy poprawić.
  • – kontrola dostępu fizycznego: platformy i środki bezpieczeństwa, które składają się na system fizycznego zabezpieczenia perymetrycznego organizacji (kamery, mechanizmy otwierania drzwi, oprogramowanie kontroli dostępu itd.) są poddawane audytowi w celu sprawdzenia ich prawidłowego funkcjonowania.
  • – sieć: sprawdzane są wszystkie urządzenia podłączone do sieci i weryfikowane jest ich bezpieczeństwo (aktualizacje oprogramowania sprzętowego, sygnatury antywirusowe, reguły zapory sieciowej, kontrola dostępu do sieci, segmentacja sieci na sieci VLAN, bezpieczeństwo sieci Wi-Fi itp.)

Wszystkie audyty bezpieczeństwa muszą zakończyć się przygotowaniem szczegółowego raportu, który powinien zawierać następujące aspekty: zakres audytu, zastosowaną metodologię, wyniki oceny celów kontroli, wykryte ustalenia, ryzyko związane z ustaleniami oraz zalecenia dotyczące ich korekty poprzez określenie i wdrożenie planu działań naprawczych.

Szkolenie bezpieczeństwo informacji

Szkolenie z bezpieczeństwa informacji

Aby móc wykonywać różnego rodzaju audyty i przygotowywać z nich raporty, osoby powinny przejść odpowiednie szkolenie z bezpieczeństwa informacji. Tego rodzaju kursy są organizowane przez jednostki i centra certyfikujące specjalizujące się w tym zakresie.