Audit bezpečnosti

Bezpečnostní audit znamená významný preventivní krok ke komplexnímu řešení bezpečnosti organizace. Cílem auditu je odhalení, konkretizace a kategorizace hrozeb a slabin spojených s užíváním citlivých dat různých kategorií. Praktické zkušenosti ukazují, že žádné bezpečnostní opatření se neobejde bez technických a procesních kontrolních mechanismů, posuzování kvality a vyhodnocování účinnosti opatření s následným návrhem přiměřených opatření pro zlepšování. Takové postupy jsou neoddělitelnou součástí bezpečnostního procesu z pohledu aplikace ISO norem.

Audit bezpečnosti v organizaci

  • objektivně prověří současný stav bezpečnosti
  • posoudí soulad s platnými interními předpisy i obecně platnými normami
  • navrhne následné kroky a odpovídající opatření pro vybudování základů informační bezpečnosti v organizaci nebo ke zvýšení úrovně bezpečnosti, a to s přihlédnutím k dostupným zdrojům organizace

Audit bezpečnosti informačních systémů

  • zjistí možné zranitelnosti v informačním systému, které by mohly vést k jeho ohrožení,
  • prověří dostatečnost ochrany ve vztahu k novým poznatkům v oblasti bezpečnosti ICT a ve vztahu k uznávaným standardům, vychází z obecně platných předpisů a legislativních norem, dále z metodik vycházejících z ISO/IEC TR 13335 a ISO/IEC 27001
  • pokud byla některá z metodik využita při nasazení bezpečnostních prvků, pak i audit bude této metodice podřízen
  • posoudí dodržování vlastních bezpečnostních opatření

Rámcový audit informační bezpečnosti se zaměřuje na oblasti:

  • organizace bezpečnosti
  • bezpečnost počítačových sítí a řízení provozu
  • řízení přístupů do systémů
  • havarijní a krizové plánování
  • vývoj systémů a změnová řízení

Audit probíhá v prostorech organizace v následujících krocích:

  • interview s pracovníky zodpovědnými za bezpečnost organizace
  • studium relevantní dokumentace vztahující se k informační bezpečnosti a souvisejícím procesům v organizaci
  • formální posouzení všech materiálů bezpečnostní politiky organizace; zkoumá se přiměřenost definice hrozeb i cílů politiky a ověřuje se, zda navrhovaná bezpečnostní opatření dostatečným způsobem eliminují definovaná rizika na požadovanou hladinu
  • kontrola správnosti implementace přijaté bezpečnostní politiky
  • v případě auditu informačního systému se zmapuje topologie celého systému a ověří se, zda konfigurace všech částí systému zabezpečuje požadavky na bezpečnost a zda jsou aplikovány potřebné bezpečnostní záplaty, nové verze produktů a podobně
  • ověření souladu nejdůležitějších bezpečnostních nastavení klíčových aplikací s platnými předpisy/směrnicemi organizace
  • ověření stavu prostředků fyzické bezpečnosti a kontrol prostředí

Přínosy auditu bezpečnosti organizace a informační bezpečnosti:

  • nezávislé a objektivní posouzení bezpečnosti a funkčnosti jednotlivých prvků bezpečnosti a informačního systému a jejich vzájemných vazeb
  • odhalení bezpečnostních slabin a potenciálních hrozeb, které na něj mohou působit
  • porovnání systému informační bezpečnosti organizace a existujících bezpečnostních opatření s organizacemi podobného typu a s mezinárodně uznávanými normami a postupy pro bezpečnost informačních systémů
  • návrh přiměřených bezpečnostních opatření (technických, organizačních) pro zvýšení úrovně bezpečnosti používaných informačních technologií v organizaci a zabezpečení ochrany důvěrnosti, integrity a dostupnosti zpracovávaných dat v souladu se standardy, při zohlednění dostupných zdrojů, velikosti a typu organizace
  • optimalizace investic do bezpečnosti – identifikace kritických míst
  • zvýšení důvěryhodnosti a dobrého jména organizace
  • redukce bezpečnostních rizik

Závěrečná zpráva uvádí přehled o současném stavu informační bezpečnosti v organizaci včetně managementu, návrh doporučení a přiměřených opatření pro zlepšení informační bezpečnosti, prezentování výsledků auditu pro management organizace a zainteresovaných zaměstnanců.

:: © I3C Consultants s.r.o. :: K Trninám 945/34, 163 00 Praha 6 ::