Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



18.04.2018

Dla biznesu

Monitory AOC 6x
13.04.2018

Ochrona sieci przemysłowych

Stormshield SNi40
09.04.2018

Disaster recovery

Veeam Availability Orchestrator
05.04.2018

Pamięci masowe i SDS

IBM Spectrum Storage
27.03.2018

Wydajna podstawa

Asus RS700-E9, Asus WS C621E SAGE
22.03.2018

Seria dla profesjonalistów

Toshiba E-Generation
21.03.2018

Odzyskiwanie plików - nowa...

Zachowanie bezpieczeństwa plików jest dla wielu przedsiębiorców priorytetem. Z myślą o...
19.03.2018

Superszybkie SSD

Samsung SZ985 Z-SSD
15.03.2018

EPYC w serwerach

Dell EMC PowerEdge

Audyt bezpieczeństwa informacji

Data publikacji: 02-11-2016 Autor: Artur Cieślik
Autor: Rys. K. Kanoniak

Po lekturze wymagań dotyczących zabezpieczeń danych wiele osób ma wątpliwości, czy stosowane przez nich zabezpieczenia są wystarczające oraz czy spełniają wymogi odpowiednich przepisów wewnętrznych, ustaw i rozporządzeń. Pytania dotyczą również tego, czy wdrożony sposób postępowania jest przestrzegany przez użytkowników i czy firma nie jest narażona na incydenty naruszenia bezpieczeństwa IT.

Jednym ze sposobów poznania odpowiedzi na powyższe pytania jest przeprowadzenie audytu bezpieczeństwa informacji. Takie działanie należy rozumieć jako działanie postępowania mający na celu zbadanie bezpieczeństwa na poziomie technicznym i weryfikację wśród użytkowników świadomości zasad zawartych w procedurach bezpieczeństwa. Jednym z elementów audytu może być również sprawdzenie skuteczności stosowanych zabezpieczeń poprzez wykonanie testów. W wyniku takiego badania powstaje raport opisujący, gdzie występują nieprawidłowości i czy badany system bezpieczeństwa jest wystarczająco szczelny.

> CO BADAMY

Planując audyt, należy zadać sobie kilka pytań. Czy naszym celem będzie zbadanie zgodności stosowania poszczególnych zabezpieczeń, czy raczej ich skuteczności. Ponadto warto zwrócić uwagę na to, czy nie mylimy audytu z technicznym testowaniem zabezpieczeń. Wprawdzie testowanie może być jednym z elementów weryfikacji skuteczności stosowanych zabezpieczeń, jednak audyt jest pojęciem szerszym i często jest realizowany zgodnie z wymaganiami wdrożonych standardów. Plan audytu powinien zawierać odpowiedzi na następujące pytania:
 

  • Co będzie celem audytu?
  • Co chcemy uzyskać?
  • Jaki będzie zakres realizacji?
  • Jakich narzędzi audytowych będziemy używać?
  • Ile czasu będzie potrzebne do zrealizowania wszystkich zadań?
  • Kto będzie odpowiedzialny za wykonanie poszczególnych zadań?
  • Jakiego zaangażowania czasowego będziemy wymagać od naszych pracowników?
  • Jaki będzie sposób raportowania wyników?


Audyt bezpieczeństwa może być realizowany za pomocą zewnętrznych specjalistów lub prowadzony przez osoby zatrudnione w weryfikowanej firmie czy instytucji. Cechą audytu zewnętrznego jest niezależność oceny. Z kolei audyt wewnętrzny gwarantuje dobrą znajomość specyfiki działalności organizacji i pozwala dokładnie analizować wybrane zabezpieczenia, ponieważ może być realizowany częściej niż audyt zewnętrzny. W obydwu przypadkach należy zapewnić brak konfliktu interesów oraz konieczne są właściwe kompetencje, szczególnie istotne w trakcie realizacji weryfikacji na poziomie technicznym.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"