Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.06.2017

Z autotrackingiem

Aver PTC500
20.06.2017

Do budynków i na zewnątrz

Ubiquiti UAP-AC-HD
16.06.2017

Monitor 16:3

BenQ BH281
13.06.2017

Monitorowanie

Axence nVision 9.2
12.06.2017

Exatel Security Day –...

Już 20 czerwca w Warszawie rozpocznie się druga edycja Exatel Security Day. W tym roku...
09.06.2017

Automatyzacja...

Red Hat Ansible
06.06.2017

Optymalizacja wydatków

Snow for Office 365
01.06.2017

Zarządzanie końcówkami

baramundi Management Suite 2017
12.05.2017

SAP Executive Forum 2017

Jak rozwijać firmę w dobie digitalizacji? To jedno z wielu zagadnień, o których będą...

Audyt bezpieczeństwa informacji

Data publikacji: 02-11-2016 Autor: Artur Cieślik
Autor: Rys. K. Kanoniak

Po lekturze wymagań dotyczących zabezpieczeń danych wiele osób ma wątpliwości, czy stosowane przez nich zabezpieczenia są wystarczające oraz czy spełniają wymogi odpowiednich przepisów wewnętrznych, ustaw i rozporządzeń. Pytania dotyczą również tego, czy wdrożony sposób postępowania jest przestrzegany przez użytkowników i czy firma nie jest narażona na incydenty naruszenia bezpieczeństwa IT.

Jednym ze sposobów poznania odpowiedzi na powyższe pytania jest przeprowadzenie audytu bezpieczeństwa informacji. Takie działanie należy rozumieć jako działanie postępowania mający na celu zbadanie bezpieczeństwa na poziomie technicznym i weryfikację wśród użytkowników świadomości zasad zawartych w procedurach bezpieczeństwa. Jednym z elementów audytu może być również sprawdzenie skuteczności stosowanych zabezpieczeń poprzez wykonanie testów. W wyniku takiego badania powstaje raport opisujący, gdzie występują nieprawidłowości i czy badany system bezpieczeństwa jest wystarczająco szczelny.

> CO BADAMY

Planując audyt, należy zadać sobie kilka pytań. Czy naszym celem będzie zbadanie zgodności stosowania poszczególnych zabezpieczeń, czy raczej ich skuteczności. Ponadto warto zwrócić uwagę na to, czy nie mylimy audytu z technicznym testowaniem zabezpieczeń. Wprawdzie testowanie może być jednym z elementów weryfikacji skuteczności stosowanych zabezpieczeń, jednak audyt jest pojęciem szerszym i często jest realizowany zgodnie z wymaganiami wdrożonych standardów. Plan audytu powinien zawierać odpowiedzi na następujące pytania:
 

  • Co będzie celem audytu?
  • Co chcemy uzyskać?
  • Jaki będzie zakres realizacji?
  • Jakich narzędzi audytowych będziemy używać?
  • Ile czasu będzie potrzebne do zrealizowania wszystkich zadań?
  • Kto będzie odpowiedzialny za wykonanie poszczególnych zadań?
  • Jakiego zaangażowania czasowego będziemy wymagać od naszych pracowników?
  • Jaki będzie sposób raportowania wyników?


Audyt bezpieczeństwa może być realizowany za pomocą zewnętrznych specjalistów lub prowadzony przez osoby zatrudnione w weryfikowanej firmie czy instytucji. Cechą audytu zewnętrznego jest niezależność oceny. Z kolei audyt wewnętrzny gwarantuje dobrą znajomość specyfiki działalności organizacji i pozwala dokładnie analizować wybrane zabezpieczenia, ponieważ może być realizowany częściej niż audyt zewnętrzny. W obydwu przypadkach należy zapewnić brak konfliktu interesów oraz konieczne są właściwe kompetencje, szczególnie istotne w trakcie realizacji weryfikacji na poziomie technicznym.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"