AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Transkrypt

1 AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Piotr Wojczys CISA, CICA

2 Obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok ( 20 ust.2 pkt 14). Stanowisko Ministerstwa Finansów - Komunikat Departamentu Audytu Sektora Finansów Publicznych Ministerstwa Finansów :? w tak ukształtowanym stanie prawnym audytor wewnętrzny/ usługodawca niezależnie od wyników analizy ryzyka powinien corocznie objąć audytem wewnętrznym powyższy obszar, chyba że zostaną spełnione warunki określone w 20 ust. 3 ww. rozporządzenia. Jeżeli realizacja zadania audytowego we wskazanym obszarze będzie konieczna ze względu na niespełnienie rzeczonych warunków, wówczas zadanie to jako obligatoryjne należy ująć w rocznym planie audytu.

3 Wspólne stanowisko Departamentu Informatyzacji MAiC i Departamentu Audytu Sektora Finansów Publicznych MF odnośnie zapewnienia audytu wewnętrznego w zakresie bezpieczeństwa informacji (25 kwietnia 2013 r.) 1. Intencją projektodawcy było zobowiązanie podmiotów realizujących zadania publiczne do realizowania okresowego audytu wewnętrznego, bez szczegółowego wskazywania na rodzaj audytu oraz tryb jego przeprowadzania. 2. Ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne nie określa sposobu, trybu, rodzaju audytu, ani też osób czy komórek organizacyjnych, którym należałoby powierzyć prowadzenie ww. audytu. 3. Użycie w rozporządzeniu sformułowania audyt wewnętrzny nie miało na celu obligatoryjnego przypisania tego obowiązku komórkom audytu wewnętrznego, funkcjonującym w JSFP na mocy ustawy o finansach publicznych.

4 Wypełnienie obowiązku zawartego w rozporządzeniu w sprawie KRI WARIANT 1 Jednostka musi wdrożyć i utrzymać system zarządzania bezpieczeństwem informacji, który został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie norm: 1) PN-ISO/IEC w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. Ale to tylko wierzchołek góry lodowej : + norma ISO wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji + norma ISO bezpieczeństwo informacji i ciągłość działania + norma ISO zarządzanie usługami IT WARIANT 2 W jednostce musi być przeprowadzany okresowy JAKIŚ audyt w zakresie bezpieczeństwa informacji - nie rzadziej niż raz na rok.

5 Działania w wariancie 1 systemowe 1) Certyfikacja w zakresie spełniania wymagań normy PN-ISO/IEC ) Zakup i wdrożenie norm we własnym zakresie. Włączenie bezpieczeństwa informacji do własnego systemu kontroli zarządczej ustanowionego w jednostce (bez kosztownej certyfikacji). Działania w wariancie 2 doraźne Audyt sytemu bezpieczeństwa informacji może być przeprowadzony w dwóch zakresach: 1) wąskim - sprawdzenie spełnienia wymagań zawartych w 20 ust. 2* rozporządzenia (14-15 punktów); 2) szerokim sprawdzenie zgodności z normą PN-ISO/IEC (obecnie 114 zabezpieczenia). * Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach teleinformatycznych podmiotów realizujących zadania publiczne należy ustanowić dodatkowe zabezpieczenia.

6 Kto powinien przeprowadzać audyty bezpieczeństwa informacji? 1. Badanie audytowe może być wykonane przez: - audyt wewnętrzny; - odpowiednio przygotowanych własnych pracowników*; - podmiot zewnętrzny w ramach outsourcingu tej usługi. 2. Kryteriami, jakimi należy się kierować przy wyborze osób / podmiotów prowadzących audyt w zakresie bezpieczeństwa informacji są: - odpowiednie kwalifikacje, - doświadczenie, - znajomość metodyki audytu w zakresie bezpieczeństwa informacji, - niezależność od obszaru audytowanego, - zapewniona obiektywność i bezstronność. I tu dość często zaczynają się schody. Bardzo często jedynymi osobami w organizacji, które posiadają wiedzę w zakresie stosowania norm ISO 27001/27002 są osoby odpowiedzialne za IT. Nierzadko są one także certyfikowanymi audytorami w zakresie wspomnianych norm, a sfinansowanie szkoleń i certyfikatów zawdzięczają pracodawcy Jednak trudno ich kompetencje w zakresie audytu BI skonsumować w organizacji wprost, ponieważ mamy do czynienia z oczywistym konfliktem interesów ( audytowanie samego siebie ).

7 Kto powinien przeprowadzać audyty bezpieczeństwa informacji cd? Teoretycznie JST mogą poprosić wojewodów USTAWA O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE (Art. 25 ust. 1 pkt 3) Kontroli działania systemów teleinformatycznych, używanych do realizacji zadań publicznych albo realizacji obowiązków wynikających z art. 13 ust. 2, dokonuje: a) w jednostkach samorządu terytorialnego i ich związkach oraz w tworzonych lub prowadzonych przez te jednostki samorządowych osobach prawnych i innych samorządowych jednostkach organizacyjnych - właściwy wojewoda, z zastrzeżeniem ust. 3, b) w podmiotach publicznych podległych lub nadzorowanych przez organy administracji rządowej - organ administracji rządowej nadzorujący dany podmiot publiczny, c) w podmiotach publicznych niewymienionych w lit. a i b - minister właściwy do spraw informatyzacji - pod względem zgodności z minimalnymi wymaganiami dla systemów teleinformatycznych lub minimalnymi wymaganiami dla rejestrów publicznych i wymiany informacji w postaci elektronicznej. KONTEKST! Zwróćmy uwagę na niemal identyczne do zapisów Ustawy sformułowanie tytułu rozporządzenia w sprawie KRI: Rozporządzenie w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. W obu przypadkach użyte są TE SAME POJĘCIA tj.: - minimalne wymagania dla systemów teleinformatycznych - minimalne wymagania dla rejestrów publicznych - Minimalne wymagania wymianmy informacji w postaci elektronicznej Zatem w zakresie KRI mogą nas skontrolować, nawet na nasz wniosek, służby wojewody ponieważ: (Art. 25 ust. 3) W stosunku do organów i jednostek, o których mowa w ust. 1 pkt 3 lit. a, kontrola może dotyczyć wyłącznie systemów teleinformatycznych oraz rejestrów publicznych, które są używane do realizacji zadań zleconych z zakresu administracji rządowej. W pozostałych przypadkach kontrola przeprowadzana jest na wniosek.

8 USTAWA O INFORMATYZACJI DZIAŁALNOŚCI PODMIOTÓW REALIZUJĄCYCH ZADANIA PUBLICZNE (Art. 28) Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wykaz certyfikatów uprawniających do prowadzenia kontroli w rozumieniu art. 25, ( ) ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych 1. Audytor systemu zarządzania bezpieczeństwem informacji według normy PN ISO/IEC lub jej odpowiednika międzynarodowego. 2. Audytor systemu zarządzania usługami informatycznymi według normy PN ISO/IEC lub jej odpowiednika międzynarodowego. 3. Audytor systemu zarządzania jakością według normy PN ISO/IEC 9001 lub jej odpowiednika międzynarodowego. 4. Certified Information System Auditor (CISA). 5. Certified in the Governance of Enterprise IT (CGEIT). 6. Certified Internal Auditor (CIA). 7. Certified Information Systems Security Professional (CISSP). 8. Europejski Certyfikat Umiejętności Zawodowych Informatyka - EUCIP Professional specjalizacja Audytor Systemów Informacyjnych. 9. Systems Security Certified Practitioner (SSCP)

9 Rekomendacja D Komisji Nadzoru Bankowego dotycząca zarządzania obszarami technologii informacyjnej bezpieczeństwa środowiska teleinformatycznego w bankach. Rekomendacja 22 Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów Osoby odpowiedzialne za przeprowadzanie audytów obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinny posiadać odpowiednie kwalifikacje. Audyty powinny być przeprowadzane z wykorzystaniem uznanych standardów międzynarodowych i dobrych praktyk w obszarach technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, jak np.: standardy dotyczące audytowania systemów informatycznych ISACA (Information Systems Audit and Control Association), COBIT (Control Objectives for Information and related Technology), GTAG (Global Technology Audit Guide) oraz GAIT (Guide to the Assessment for IT Risk), normy ISO (International Organization for Standardization).

10 Rekomendacja D Komisji Nadzoru Bankowego dotycząca zarządzania obszarami technologii informacyjnej bezpieczeństwa środowiska teleinformatycznego w bankach. Ciąg dalszy - Rekomendacja Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinien być przeprowadzany regularnie oraz każdorazowo po wprowadzeniu zmian mogących znacząco wpłynąć na poziom bezpieczeństwa środowiska teleinformatycznego. Częstotliwość i zakres audytów powinny wynikać z poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz wyników ich wcześniejszych przeglądów Zlecanie dodatkowych audytów profesjonalnym instytucjom zewnętrznym specjalizującym się w badaniu obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego jest czynnikiem, który może wzmocnić w istotny sposób kontrolę nad ryzykiem związanym z tym obszarem. W związku z tym, bank powinien przeanalizować zasadność i na tej podstawie podjąć odpowiednią decyzję dotyczącą uzupełnienia działań audytu wewnętrznego przez audyty zewnętrzne przeprowadzane przez tego rodzaju podmioty, w szczególności w zakresie obszarów o wysokim poziomie ryzyka.

11 Audyt bezpieczeństwa informacji wymaga specyficznej wiedzy m.in. dlatego, że większość informacji przetwarzana jest w systemach informatycznych. Audytorzy bez specjalistycznych umiejętności i uprawnień mogą jednak z powodzeniem oceniać m.in.: wykonywanie okresowych analiz ryzyka w zakresie bezpieczeństwa informacji, zapewnienie aktualizacji regulacji wewnętrznych, utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania, posiadanie, adekwatność i aktualności uprawnień w systemach, szkolenia osób zaangażowanych w proces przetwarzania informacji. czyli bardzo istotne elementy składowe SYSTEMU bezpieczeństwa informacji.

12 1. Audytorzy wewnętrzni ZASOBY KOMPETENCJE KOSZTY 2. Inni specjaliści z wewnątrz (zwłaszcza auditorzy ISO) 3. Specjaliści z zewnątrz 4. Kombinacja powyższych (system!)

13 Punkt wyjścia PBI / zarządzania bezpieczeństwem Klasyczne podejście do racjonalnego zapewnienia bezpieczeństwa informacji. INWENTARYZACJA - Co? zasoby/zbiory informacji zasoby sprzętowe i programowe służące przetwarzaniu informacji. KLASYFIKACJA - Dlaczego? zasoby wrażliwe zasoby kluczowe zasoby wspomagające zasoby neutralne ANALIZA RYZYKA - Jak? 1. Zagrożenia 2. Podatności Ryzyka Skutki Środki zapobiegawcze

14 Role i odpowiedzialności podejście tradycyjne W systemach informacyjnych (także informatycznych) kluczowe znaczenie ma określenie WŁAŚCICIELA (zasobu / procesu lub po prostu ryzyka) : Np. właściciel informacji: decydujący o przetwarzaniu informacji zawartej w systemie, decydujący o nadawaniu uprawnień do zasobu informacyjnego, dla którego informacja (jej przetwarzanie) stanowi podstawę funkcjonowania. Przedmiotem własności może być: a) proces biznesowy*; b) określony zbiór działań; c) aplikacja; d) określony zbiór danych. Klasyfikowanie informacji z uwzględnieniem: - ich wartości; - wymagań prawnych; - wrażliwości i krytyczności. UWAGA. W najnowszej edycji norm ISO serii 27000:2013 pojęcie właściciel zasobów/aktywów zastąpiono pojęciem właściciel ryzyka. * w dobrze opisanych procesach dobrze widać wartość i krytyczność informacji!

15 Dziękuję za uwagę