Audyty bezpieczeństwa
Dział techniczny firmy ITNS Polska zatrudnia wysoko wykwalifikowaną kadrę inżynierską, posiadającą bardzo szerokie kompetencje i wieloletnie doświadczenie. Od kilku lat ITNS oferuje audyty bezpieczeństwa zasobów teleinformatycznych.
Nasza oferta w tym zakresie obejmuje:
- wykonywanie audytów bezpieczeństwa zasobów teleinformatycznych w odniesieniu do aktualnie obowiązujących norm prawnych i branżowych.
Każda organizacja, bez względu na wielkość, w mniejszym lub większym stopniu opiera swoją działalność o rozwiązania informatyczne ułatwiające zarządzanie coraz większymi zbiorami informacji.
Co do zasady wraz z upływem czasu zmniejsza się udział tradycyjnych „ręcznych”, „analogowych”, czy wręcz „papierowych” informacji i sposobów ich przetwarzania na rzecz wspomnianych rozwiązań informatycznych. Niekiedy w pełni „cyfrowych”, w których dane nigdy w czasie swojego cyklu życia (od wytworzenia po trwałe usunięcie) nie są ani razu przenoszone na tradycyjne nośniki, czyli np. nie są drukowane.
Stosowanie rozwiązań „cyfrowych”, „informatycznych” jest nieuniknione, aby organizacja mogła skutecznie funkcjonować w coraz bardziej zinformatyzowanym otoczeniu. Kontrahenci, instytucje państwowe lub samorządowe coraz częściej domagają się interakcji ze sobą za pomocą narzędzi informatycznych umożliwiających wymianę danych w postaci cyfrowej.
Jednak należy zauważyć, że „analogowe” informacje nadal stanowią część zasobów informacyjnych. Coraz mniejszą, ale z różnych przyczyn nie dającą się w pełni wyeliminować.
Celem organizacji jest zazwyczaj rozwój, a przynajmniej utrzymanie dotychczasowego sposobu działania. Zaś środkiem prowadzącym do tego celu jest ochrona informacji, które organizacja posiada. W szczególności tych informacji, które zostały wytworzone i są przetwarzane tylko na potrzeby prowadzenia własnej działalności. Ta ochrona jest niezbędna z tego powodu, że odtworzenie tych, ewentualnie utraconych, informacji jest niezwykle trudne, a niekiedy niemożliwe, zaś zawsze kosztowne, a nawet chwilowy brak tych informacji może uniemożliwić kontynuowanie dotychczasowej działalności. I dotyczy to zarówno informacji „cyfrowych”, jak i „analogowych”, choć te pierwsze zazwyczaj znajdują się w znaczącej przewadze, przynajmniej w kategoriach ilościowych.
Zatem zabezpieczenie i ochrona wszelkich informacji, a w szczególności tych niepowtarzalnych, specyficznych i to bez względu na ich formę, leży w uzasadnionym interesie każdej organizacji.
Należy zwrócić uwagę, że brak dostatecznej ochrony niektórych typów informacji, w szczególności danych osobowych, może się wiązać także z odpowiedzialnością karną!
Kierownictwa żadnej organizacji nie trzeba przekonywać o potrzebie ochrony informacji, gdyż taka potrzeba jest naturalna i wynika z oczywistych przesłanek. Nie ma zatem wątpliwości, że w każdej organizacji w jakimś zakresie ochrona informacji jest już realizowana.
Wnioski z trwających już kilka dekad obserwacji, a niekiedy bolesnych własnych doświadczeń, a także wynikające z opisów problemów innych organizacji publikowanych w środkach przekazu powinny skłaniać kierownictwo do uporządkowanego, „systemowego” zajęcia się zagadnieniem ochrony i bezpieczeństwa informacji. Gdyż tradycyjne podejście oparte na intuicji lub tylko wycinkowo wdrażanych rozwiązaniach systemowych może nie uchronić przed np. wyciekiem lub utratą informacji. I to mimo najlepszej woli kierownictwa oraz innych zaangażowanych osób!
Jak bardzo tematyka bezpieczeństwa informacji jest rozległa świadczy fakt, że międzynarodowe organizacje standaryzacyjne od wielu już lat opracowują kolejne dokumenty mające wspierać właśnie „systemowe”, „całościowe” podejście organizacji (i tych większych, ale także tych mniejszych) do problematyki bezpieczeństwa informacji. I to niewyłącznie danych cyfrowych.
Stosowanie się do wymogów opisanych w tych dokumentach pozwala przede wszystkim nie pominąć żadnego z istotnych elementów w systemie mającym służyć bezpieczeństwu informacji.
Nie da się przy wdrażaniu takiego systemu, formalnie zwanego systemem zarządzania bezpieczeństwem informacji (SZBI), uniknąć utworzenia szeregu dokumentów, które na potrzeby zainteresowanej organizacji muszą zostać utworzone, odpowiednio zakomunikowane zainteresowanym osobom oraz które powinny następnie pozostawać aktualne i w tym celu stosownie zmieniane bazując na dokonywanych obserwacjach i wyciąganych z nich wnioskach.
Jednak to nie dokumenty, ale ludzie będą realizowali poszczególne zadania wynikające z SZBI. Konieczne jest przekazanie i ciągłe przekazywanie niezbędnej wiedzy dotyczącej zadań, które muszą w ramach tego systemu realizować poszczególne osoby. Dotyczy to nie tylko pracowników, ale przede wszystkim, kierownictwa organizacji. Bowiem to przede wszystkim na kierownictwie organizacji spoczywa dbanie o stwarzanie warunków do utrzymywania wdrożonego SZBI i takie jego modyfikowanie, aby w zmieniających się warunkach nadal spełniał on swoje cele, czyli skutecznie służył bezpieczeństwu informacji. Poprawnie wdrożony i utrzymywany SZBI może stanowić przydatne narzędzie zarządcze dla kierownictwa organizacji, pozwalające np. w odpowiedni sposób planować rozwój organizacji bez konieczności narażania jej na funkcjonowanie, choćby tylko ograniczonego w czasie, w warunkach niekomfortowych kompromisów dotyczących bezpieczeństwa informacji!
Jeśli wolą kierownictwa organizacji jest wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI), to jest to pierwszy krok na drodze do wdrożenia SZBI. Jeśli wdrożenie ma się odbyć przy pomocy podmiotu zewnętrznego, to kolejnym krokiem jest wykonanie przez ten podmiot przeglądu środowiska, przede wszystkim, choć nie wyłącznie, informatycznego. Niekiedy taki przegląd jest nazywany błędnie „audytem”, ale pojęcie audyt/audit jest raczej zastrzeżone do okresowego (np. audyt wewnętrzny) lub incydentalnego (np. audyt certyfikacyjny lub audyt zewnętrzny) badania zgodności praktyk organizacji z już wdrożonym i działającym systemem zarządzania bezpieczeństwem informacji. Wspomniany „przegląd” ma na celu pozyskanie wiedzy, która dopiero ma posłużyć do stworzenia SZBI, w tym jego wszystkich dokumentów. Po utworzeniu, zweryfikowaniu, ew. poprawieniu i zaakceptowaniu dokumentów związanych z SZBI (bazą niektórych z nich mogą być już funkcjonujące w organizacji dokumenty, np. regulamin pracy zdalnej). Podczas tworzenia dokumentów SZBI zazwyczaj konieczne jest wprowadzenie szeregu, zazwyczaj drobnych, ale jednak zmian w stosunku do istniejącego status quo (np. usunięcie nieużywanych kont w systemie uwierzytelniania, wywieszenie niezbędnych tablic ostrzegawczych, zinwentaryzowanie kart dostępu do stref chronionych, czy wyznaczenie osób do kontaktów z Policją w przypadku zaistnienia poważnych incydentów itp.) tak, aby na etapie „uruchomienia” SZBI odstępstwa od stanu wynikającego z dokumentów były możliwie jak najmniejsze. Następnie wszyscy zainteresowani powinni zostać skutecznie powiadomieni o wdrożeniu SZBI w organizacji i zapoznani z treściami dokumentów składających się nań, zaś niezbędnymi na zajmowanych przez siebie stanowiskach. Zazwyczaj odbywa się to w formie szkolenia lub cyklu szkoleń. Jest to także okazja do uzupełninia dokumentacji pracowniczej o brakujące lub zmienione oświadczenia woli wynikające z SZBI (np. zapoznanie się z regulaminem pracy zdalnej, jego akceptacja i przyjęcie do realizacji). Jeśli organizacja będzie pretendowała do formalnego uznania zgodności wdrożonego SZBI z odpowiednią normą, to dodatkowo musi poddać się audytowi certyfikacyjnemu w akredytowanej jednostce certyfikującej. W dokumentach SZBI powinny zostać wskazane okresy (zazwyczaj jest to jeden rok), w których powinny zostać wykonane audyty (czyli ocena zgodności praktyk z obowiązującym SZBI) wewnętrzne. Audyt wewnętrzny jest zazwyczaj wykonywany przez pracownika organizacji, ale nic nie stoi na przeszkodzie, aby taki audyt został zlecony firmie zewnętrznej. Dzieje się tak w szczególności, gdy organizacja jest zbyt mała, aby posiadała wykwalifikowanych audytorów wśród własnych pracowników. Dobrą praktyką jest zlecanie przez organizację, niezależnie od harmonogramu audytów wewnętrznych, audytu zewnętrznego, tj. audytu przeprowadzanego przez niezwiązanego z organizacją audytora. Przeprowadzane audyty mają na celu wyrywkową ocenę zgodności stosowanych rzeczywiście w organizacji praktyk z wdrożonym SZBI. Audyt może, ale nie musi wykryć niezgodności, nigdy jednak nie stwierdza „ponad wszelką wątpliwość”, że obowiązujące praktyki są zgodne z obowiązującym w organizacji SZBI.
Wdrożenie SZBI powinno w szczególności interesować podmioty z sektorów, które zostały uznane przez dyrektywę Unii Europejskiej NIS 2 jako należące do kluczowych lub ważnych sektorów.
Sektory i podmioty uznane za kluczowe w dyrektywie NIS 2, to energetyka, transport, bankowość, infrastruktura rynków finansowych, opieka zdrowotna, woda pitna, ścieki, zarządzanie usługami ICT (między przedsiębiorstwami), dostawcy usług zarządzanych, dostawcy usług zarządzanych w zakresie bezpieczeństwa, podmioty administracji publicznej, przestrzeń kosmiczna, infrastruktura cyfrowa, dostawcy punktu wymiany ruchu internetowego, dostawcy usług DNS z wyłączeniem operatorów głównych serwerów nazw, rejestry nazw TLD, dostawcy usług chmurowych, dostawcy usług ośrodka przetwarzania danych, dostawcy sieci dostarczania treści, dostawcy usług zaufania, dostawcy publicznych sieci łączności elektronicznej, dostawcy publicznie dostępnych usług łączności elektronicznej.
Sektory i podmioty uznane za ważne w dyrektywie NIS 2, to usługi pocztowe i kurierskie, gospodarowanie odpadami, dostawcy usług cyfrowych, dostawcy internetowych platform handlowych, dostawcy wyszukiwarek internetowych, dostawcy platform usług sieci społecznościowych, badania naukowe, produkcja, wytwarzanie i dystrybucja chemikaliów, produkcja, przetwarzanie i dystrybucja żywności, produkcja wyrobów medycznych i wyrobów medycznych do diagnostyki in vitro, produkcja komputerów, wyrobów elektronicznych i optycznych, wyrobów elektronicznych i optycznych, produkcja urządzeń elektrycznych, produkcja maszyn i urządzeń gdzie indziej niesklasyfikowana, produkcja pojazdów samochodowych, przyczep i naczep, produkcja pozostałego sprzętu transportowego.