Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



11.12.2017

Dla biznesu

BenQ MH760
07.12.2017

Pamięć masowa SDS

SUSE Enterprise Storage 5
05.12.2017

Bezpieczna platforma

Red Hat OpenStack Platform 12
30.11.2017

ITewolucja w bezpieczeństwie....

9 listopada w katowickim hotelu Novotel odbyła się kolejna odsłona konferencji z cyklu...
28.11.2017

Smukle i elegancko

HP Spectre 13 i x360
23.11.2017

Z IEEE 802.3bz

Przełączniki Netgear
21.11.2017

4K z USB-C

EIZO FlexScan EV2785
16.11.2017

Wielofunkcyjne MFP

Canon imageRUNNER ADVANCE C256i, C356i oraz C356P
14.11.2017

Fabryka Przyszłości w drodze...

W dniach 25 i 26 października we Wrocławiu odbyła się czwarta edycja konferencji...

Audyt bezpieczeństwa informacji

Data publikacji: 02-11-2016 Autor: Artur Cieślik
Autor: Rys. K. Kanoniak

Po lekturze wymagań dotyczących zabezpieczeń danych wiele osób ma wątpliwości, czy stosowane przez nich zabezpieczenia są wystarczające oraz czy spełniają wymogi odpowiednich przepisów wewnętrznych, ustaw i rozporządzeń. Pytania dotyczą również tego, czy wdrożony sposób postępowania jest przestrzegany przez użytkowników i czy firma nie jest narażona na incydenty naruszenia bezpieczeństwa IT.

Jednym ze sposobów poznania odpowiedzi na powyższe pytania jest przeprowadzenie audytu bezpieczeństwa informacji. Takie działanie należy rozumieć jako działanie postępowania mający na celu zbadanie bezpieczeństwa na poziomie technicznym i weryfikację wśród użytkowników świadomości zasad zawartych w procedurach bezpieczeństwa. Jednym z elementów audytu może być również sprawdzenie skuteczności stosowanych zabezpieczeń poprzez wykonanie testów. W wyniku takiego badania powstaje raport opisujący, gdzie występują nieprawidłowości i czy badany system bezpieczeństwa jest wystarczająco szczelny.

> CO BADAMY

Planując audyt, należy zadać sobie kilka pytań. Czy naszym celem będzie zbadanie zgodności stosowania poszczególnych zabezpieczeń, czy raczej ich skuteczności. Ponadto warto zwrócić uwagę na to, czy nie mylimy audytu z technicznym testowaniem zabezpieczeń. Wprawdzie testowanie może być jednym z elementów weryfikacji skuteczności stosowanych zabezpieczeń, jednak audyt jest pojęciem szerszym i często jest realizowany zgodnie z wymaganiami wdrożonych standardów. Plan audytu powinien zawierać odpowiedzi na następujące pytania:
 

  • Co będzie celem audytu?
  • Co chcemy uzyskać?
  • Jaki będzie zakres realizacji?
  • Jakich narzędzi audytowych będziemy używać?
  • Ile czasu będzie potrzebne do zrealizowania wszystkich zadań?
  • Kto będzie odpowiedzialny za wykonanie poszczególnych zadań?
  • Jakiego zaangażowania czasowego będziemy wymagać od naszych pracowników?
  • Jaki będzie sposób raportowania wyników?


Audyt bezpieczeństwa może być realizowany za pomocą zewnętrznych specjalistów lub prowadzony przez osoby zatrudnione w weryfikowanej firmie czy instytucji. Cechą audytu zewnętrznego jest niezależność oceny. Z kolei audyt wewnętrzny gwarantuje dobrą znajomość specyfiki działalności organizacji i pozwala dokładnie analizować wybrane zabezpieczenia, ponieważ może być realizowany częściej niż audyt zewnętrzny. W obydwu przypadkach należy zapewnić brak konfliktu interesów oraz konieczne są właściwe kompetencje, szczególnie istotne w trakcie realizacji weryfikacji na poziomie technicznym.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"