Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



12.05.2017

SAP Executive Forum 2017

Jak rozwijać firmę w dobie digitalizacji? To jedno z wielu zagadnień, o których będą...
28.04.2017

100 stron w minutę

Epson WorkForce Enterprise
25.04.2017

MegaNAS-y

Netgear ReadyNAS 4360X/S
21.04.2017

Nowe pamięci

Samsung Z-SSD
18.04.2017

Dozorowanie w 4K

Panasonic True 4K
14.04.2017

Kompleksowe zarządzanie

Quest Active Administrator 8.1
11.04.2017

EMM dla Androida i IoT

Sophos Mobile 7
07.04.2017

Kontrola dostępu i...

VMware Workspace ONE, VMware AirWatch 9.1
05.04.2017

HPE Reimagine IT 2017

27 kwietnia 2017 r. w Warszawie odbędzie się HPE Reimagine IT 2017, nowa odsłona Wyzwań...

Audyt bezpieczeństwa informacji

Data publikacji: 02-11-2016 Autor: Artur Cieślik
Autor: Rys. K. Kanoniak

Po lekturze wymagań dotyczących zabezpieczeń danych wiele osób ma wątpliwości, czy stosowane przez nich zabezpieczenia są wystarczające oraz czy spełniają wymogi odpowiednich przepisów wewnętrznych, ustaw i rozporządzeń. Pytania dotyczą również tego, czy wdrożony sposób postępowania jest przestrzegany przez użytkowników i czy firma nie jest narażona na incydenty naruszenia bezpieczeństwa IT.

Jednym ze sposobów poznania odpowiedzi na powyższe pytania jest przeprowadzenie audytu bezpieczeństwa informacji. Takie działanie należy rozumieć jako działanie postępowania mający na celu zbadanie bezpieczeństwa na poziomie technicznym i weryfikację wśród użytkowników świadomości zasad zawartych w procedurach bezpieczeństwa. Jednym z elementów audytu może być również sprawdzenie skuteczności stosowanych zabezpieczeń poprzez wykonanie testów. W wyniku takiego badania powstaje raport opisujący, gdzie występują nieprawidłowości i czy badany system bezpieczeństwa jest wystarczająco szczelny.

> CO BADAMY

Planując audyt, należy zadać sobie kilka pytań. Czy naszym celem będzie zbadanie zgodności stosowania poszczególnych zabezpieczeń, czy raczej ich skuteczności. Ponadto warto zwrócić uwagę na to, czy nie mylimy audytu z technicznym testowaniem zabezpieczeń. Wprawdzie testowanie może być jednym z elementów weryfikacji skuteczności stosowanych zabezpieczeń, jednak audyt jest pojęciem szerszym i często jest realizowany zgodnie z wymaganiami wdrożonych standardów. Plan audytu powinien zawierać odpowiedzi na następujące pytania:
 

  • Co będzie celem audytu?
  • Co chcemy uzyskać?
  • Jaki będzie zakres realizacji?
  • Jakich narzędzi audytowych będziemy używać?
  • Ile czasu będzie potrzebne do zrealizowania wszystkich zadań?
  • Kto będzie odpowiedzialny za wykonanie poszczególnych zadań?
  • Jakiego zaangażowania czasowego będziemy wymagać od naszych pracowników?
  • Jaki będzie sposób raportowania wyników?


Audyt bezpieczeństwa może być realizowany za pomocą zewnętrznych specjalistów lub prowadzony przez osoby zatrudnione w weryfikowanej firmie czy instytucji. Cechą audytu zewnętrznego jest niezależność oceny. Z kolei audyt wewnętrzny gwarantuje dobrą znajomość specyfiki działalności organizacji i pozwala dokładnie analizować wybrane zabezpieczenia, ponieważ może być realizowany częściej niż audyt zewnętrzny. W obydwu przypadkach należy zapewnić brak konfliktu interesów oraz konieczne są właściwe kompetencje, szczególnie istotne w trakcie realizacji weryfikacji na poziomie technicznym.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"