Audit informační bezpečnosti je systematický proces získávání objektivních kvalitativních a kvantitativních hodnocení současného stavu informační bezpečnosti automatizovaného systému podle určitých kritérií a bezpečnostních ukazatelů.
Informační bezpečnost [1] je stav zachování informačních zdrojů a ochrany zákonných práv jednotlivce a společnosti v informační sféře .
Audit umožňuje posoudit aktuální zabezpečení fungování informačního systému , posoudit a předvídat rizika, řídit jejich dopad na podnikové procesy společnosti, správně a rozumně přistupovat k problematice zajištění bezpečnosti jejích informačních aktiv, strategického rozvoje plány, marketingové programy, finanční a účetní výkazy, obsah podnikových databází. V konečném důsledku dobře provedený audit bezpečnosti informačního systému maximalizuje návratnost investic do budování a údržby firemního bezpečnostního systému.
Hlavní směry auditu bezpečnosti informací jsou podrobně popsány v následujícím: atestace; kontrola bezpečnosti informací; speciální studie technických prostředků a provedení předmětů v chráněném vzoru [2] .
Rozlišujte mezi externím a interním auditem.
Externí audit je zpravidla jednorázová akce prováděná z podnětu vedení organizace nebo akcionářů. Externí audit se doporučuje (a u řady finančních institucí a akciových společností vyžaduje) provádět pravidelně.
Interní audit je soustavná činnost, která se provádí na základě dokumentu, obvykle nazývaného „Předpisy o interním auditu“ a v souladu s plánem, jehož zpracování provádí útvar interního auditu a schvaluje vedení organizace. Audit bezpečnosti informačních systémů je jednou ze součástí IT auditu.
Cíle bezpečnostního auditu jsou: — Získání objektivních důkazů, analýza rizik spojených s možností implementace bezpečnostních hrozeb proti IP zdrojům; — posouzení současné úrovně zabezpečení IS; — lokalizace úzkých míst v systému ochrany IP; - posouzení souladu IS se stávajícími standardy v oblasti informační bezpečnosti; — vypracování doporučení pro zavedení nových a zlepšení účinnosti stávajících bezpečnostních mechanismů IS.
Hlášení o incidentech SIS předkládaná auditorovi musí obsahovat dokumentaci o tzv. "slabá místa" NIB.
Mezi další úkoly, které před interním auditorem stojí, může kromě pomoci externím auditorům patřit také: - tvorba bezpečnostních politik a dalších organizačních a administrativních dokumentů pro ochranu informací a účast na jejich implementaci do práce organizace; - stanovení úkolů IT pracovníků souvisejících se zajištěním ochrany informací; — účast na školení uživatelů IS a personálu údržby v otázkách bezpečnosti informací; — účast na analýze incidentů souvisejících s narušením bezpečnosti informací; - další úkoly.
Audit zabezpečení IP zahrnuje řadu po sobě jdoucích fází, které obecně odpovídají fázím komplexního IT auditu automatizovaného systému, který zahrnuje:
Ve fázi zahájení auditu by měly být vyřešeny následující organizační problémy:
Ve fázi zahájení auditu by měly být stanoveny hranice průzkumu. Plán a hranice auditu jsou projednávány na pracovní schůzce, které se účastní auditoři, vedení společnosti a vedoucí strukturálních divizí.
Fáze shromažďování auditních informací je nejsložitější a zdlouhavější. Je to způsobeno především nedostatkem potřebné dokumentace k informačnímu systému a potřebou úzké interakce mezi auditorem a mnoha funkcionáři organizace.
Kompetentní závěry o stavu ve společnosti s informační bezpečností může auditor učinit pouze tehdy, jsou-li k dispozici všechna potřebná výchozí data pro analýzu. První položka auditního šetření začíná získáním informací o organizační struktuře uživatelů IS a servisních jednotek. Účel a principy fungování IS do značné míry určují stávající rizika a bezpečnostní požadavky na systém. Auditor dále potřebuje podrobnější informace o struktuře IP. To umožní pochopit, jak se provádí distribuce bezpečnostních mechanismů podle strukturních prvků a úrovní fungování IS.
Metody analýzy dat používané auditory jsou určeny zvolenými auditorskými přístupy, které se mohou výrazně lišit.
První přístup , nejsložitější, je založen na analýze rizik. Na základě metod analýzy rizik auditor stanoví pro zkoumaný IS individuální soubor bezpečnostních požadavků, který nejlépe zohledňuje vlastnosti tohoto IS, jeho provozní prostředí a bezpečnostní hrozby v tomto prostředí existující.
Druhý přístup , nejpraktičtější, se opírá o použití standardů bezpečnosti informací. Standardy definují základní soubor bezpečnostních požadavků pro širokou třídu IS, který se tvoří jako výsledek zobecnění světové praxe. Standardy mohou definovat různé sady bezpečnostních požadavků v závislosti na úrovni zabezpečení IP, která má být poskytnuta, jeho vlastnictví (komerční organizace nebo vládní agentura) a účelu (finance, průmysl, komunikace atd.). Auditor je v tomto případě povinen správně určit soubor požadavků normy, jejichž dodržování musí být zajištěno.
Třetí přístup , nejúčinnější, zahrnuje kombinaci prvních dvou. Základní soubor bezpečnostních požadavků na IS definuje norma. Další požadavky, které v maximální míře zohledňují zvláštnosti fungování tohoto IS, jsou tvořeny na základě analýzy rizik.
Doporučení vydaná auditorem na základě výsledků analýzy stavu DV jsou dána použitým přístupem, vlastnostmi zkoumaného DV, stavem informační bezpečnosti a mírou podrobnosti použité při auditu. V každém případě by doporučení auditora měla být konkrétní a aplikovatelná na tento IS, ekonomicky odůvodněná, odůvodněná (podložená výsledky analýzy) a seřazená podle důležitosti. Opatření k zajištění ochrany organizační úrovně mají přitom téměř vždy přednost před konkrétními softwarovými a hardwarovými způsoby ochrany. Zároveň je naivní očekávat od auditora jako výsledek auditu vydání technického projektu subsystému bezpečnosti informací, případně podrobná doporučení k implementaci konkrétních softwarových a hardwarových nástrojů ochrany informací. To vyžaduje podrobnější studium konkrétních otázek organizace ochrany, ačkoli interní auditoři se mohou na těchto pracích aktivně podílet.
Auditní zpráva je hlavním výsledkem auditu. Jeho kvalita charakterizuje kvalitu práce auditora. Měl by obsahovat alespoň popis cílů auditu, popis zkoumaného IS, vyznačení hranic auditu a použitých metod, výsledky rozboru dat auditu, závěry shrnující tyto výsledky a obsahující posouzení úrovně zabezpečení AU nebo jeho souladu s požadavky norem a samozřejmě doporučení auditora k odstranění stávajících nedostatků a zlepšení systému ochrany.