W dzisiejszym krótkim opisie przybliżę Państwu pojęcie audytu bezpieczeństwa w świetle wymagań normy ISO/IEC 27001.
Przechodząc do sedna:
Czym jest audyt bezpieczeństwa, o którym mowa w wymaganiach normy ISO/IEC 27001 a dokładnie rzecz biorąc w załączniku A do normy ISO/IEC 27001?
Ważne aby nie mylić tego rodzaju audytu z audytem wewnętrznym Systemu Zarządzania Bezpieczeństwem Informacji. Oczywiście audyt bezpieczeństwa może być jedną z części audytu SZBI, jednak jego zakres obejmuje również inne czynności audytowe. W przypadku audytu SZBI chodzi o to, aby przekrojowo sprawdzić wszystkie wymagania SZBI stawiane przez normę ISO/IEC 27001 oraz stopień spełnienia tych wymagań.
Celem audytu bezpieczeństwa jest sprawdzenie na ile Nasza sieć, strona internetowa itd. jest zabezpieczona fizycznie przed nieautoryzowanym dostępem.
Metodyk wykonywania audytów bezpieczeństwa jest tyle ile osób się tym zajmuje, ponieważ każdy wypracowuje własną skuteczną metodą pozwalającą prześwietlić sieć, oprogramowanie, strony www itd. firmy zlecającej przeprowadzenie takiego audytu. Dzięki takiemu audytowi bezpieczeństwa jesteśmy w stanie określić słabe i mocne strony naszych zabezpieczeń, a co za tym idzie przedsięwziąć kroki pozwalające zniwelować ułomności w stosowanych przez nas zabezpieczeniach. Audyt taki może zostać wykonany zarówno przez nas samych lub możemy zlecić jego przeprowadzenie wyspecjalizowanym firmom doświadczonym w przeprowadzeniu tego rodzaju audytu.
Audyt bezpieczeństwa jest więc bardzo ważnym narzędziem ze względu na wielkość i wrażliwość danych, którew dzisiejszych czasach są przetwarzane z wykorzystaniem różnego rodzaju aplikacji lub oprogramowania. Ponadto jest on również bardzo pomocny przy określaniu zagrożeń jakie mogą spotkać naszą firmę oraz podjęcie prewencyjnych działań zmierzających do niedopuszczenia, aby coś złego stało się z informacjami przetwarzanymi przez naszą firmę i jej personel. Taki audyt daje nam również bardzo dobry przykład ciągłego doskonalenia systemu i wykorzystania nowych trendów w dziedzinie zabezpieczeń aplikacji, sieci, stron www itp. Oczywiście jeśli chodzi o korzystanie z najnowszych rozwiązań bezpieczeństwa, to my musimy ocenić, czy jesteśmy w stanie ponieść taki koszt oraz czy faktycznie bez tego dalej nasza firma nie może funkcjonować. W myśl zasady, którą się kierujemy i przekazujemy również naszym klientom, iż: Koszty poniesione na zabezpieczenia powinny być wprost proporcjonalne do kosztów utracenia informacji. W innym wypadku będzie to strata pieniędzy oraz przerost formy nad treścią.
Autor: Marcin Pietrucha
