Audyt bezpieczeństwa IT

Skuteczne przeprowadzenie audytu bezpieczeństwa infrastruktury informatycznej, oraz systemów IT przy wykorzystaniu najnowszych narzędzi oraz technologii testów skuteczności zabezpieczeń (w tym testów penetracyjnych) pozwala na wykrycie każdej znanej luki w systemach. Dzięki naszej usłudze będziesz mieć pewność, że działania systemu informatycznego w Twojej firmie będą zgodne z procedurami bezpieczeństwa opisanymi w międzynarodowych standardach i normach (np. ISO 27001:2022).

Zakres audytu może objąć w zależności od potrzeb:

• Audyt procesów zapewnienia bezpieczeństwa.
• Audyt infrastruktury informatycznej.
• Audyt skuteczności funkcjonowania zabezpieczeń.
• Audytu bezpieczeństwa sieciowego.
• Audyt bezpieczeństwa aplikacji.

W zależności od rynku, na jakim działa Klient nasz audyt może koncentrować się na konkretnych wymaganiach prawnych obowiązujących klienta.
Dla przykładu: Audyt bezpieczeństwa na zgodność z wymaganiami KNF, Audyt Cyberbezpieczeństwa KSC, Audyt bezpieczeństwa KRI, Audyt zgodności systemów IT z RODO.

Wszystkie podmioty nadzorowane przez Komisję Nadzoru Finansowego są zobligowane do regularnego przeprowadzenia audytu pozwalającego zweryfikować stan bezpieczeństwa systemu informatycznego i prawidłowość procedur zarządzania systemami IT wraz z poziomem ich zgodności z obowiązującymi normami i standardami. Audyt pozwala także na niezależną ocenę bezpieczeństwa informatycznego w świetle aktualnej wiedzy technicznej oraz standardów bezpieczeństwa. Prowadzone przez nas audyty pełnią także rolę audytu wewnętrznego w przypadku, gdy Klient nie posiada własnych zasobów lub kompetencji w tym zakresie.

Realizowane przez nas działania audytowe weryfikują zgodność z wytycznymi IT KNF (Rekomendacja „D”) oraz wskazaniami norm ISO/IEC 27001 oraz ISO/IEC 22301, a przeprowadzane są w odniesieniu do obiektywnych uwarunkowań i specyfiki podmiotu nadzorowanego, obowiązujących przepisów prawa i aktualnego stanu technologii.

Nasze audyty prowadzimy także w zakresie opisanym w komunikacie Urzędu Komisji Nadzoru Finansowego z 23 stycznia 2020 roku dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Z naszych obserwacji wynika, że wiele podmiotów, w tym także banków, nie wdrożyło prawidłowo zaleceń KNF w przypadku przetwarzania informacji w chmurze obliczeniowej. Ponieważ działalność każdego podmiotu nadzorowanego coraz częściej opiera się na usługach realizowanych w chmurze, wybierając dostawcę usług chmury i dokonując wdrożenia chmury obliczeniowej, należy pamiętać o rekomendacjach nadzoru finansowego w tym zakresie.

Po przeprowadzeniu każdego audytu sporządzamy dla Państwa raport wskazujący na niezgodności i zagrożenia w funkcjonującym systemie bezpieczeństwa systemu informatycznego. Raport zawiera także nasze rekomendacje w zakresie rozwiązań mających podnieść poziom bezpieczeństwa IT oraz zapewnienia zgodności z wymaganiami KNF, normami oraz prawem.

Wkrótce w zakres naszego audytu dla podmiotów nadzorowanych z terenu Unii Europejskiej włączymy także obowiązki w wynikające z rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego (DORA).

Ustawa o krajowym systemie cyberbezpieczeństwa (ustawa KSC) oraz związane z nią rozporządzenia, wprowadziły szereg obowiązków dla przedsiębiorstw, które dostarczają tzw. „usługi kluczowe” dla polskiej gospodarki, dostawców usług cyfrowych, wybranych instytucji publicznych oraz spółek wykonujących zadania o charakterze użyteczności publicznej. Dla operatorów usług kluczowych, którzy zaniedbują swoje obowiązki są przewidziane kary finansowe regulowane przez art. 73 wynoszące do miliona zł.

Dla podmiotów, które zostały właśnie wyznaczone do świadczenia usługi kluczowej Audytel realizuje tzw. „audyt zerowy”, na podstawie którego przekazujemy informacje na temat stanu przygotowania do spełnienia obowiązków wynikających z ustawy o KSC. Realizujemy również audyty bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Zgodnie z ustawą KSC audyt taki winien być wykonywany przez podmiot po roku od otrzymania decyzji wyznaczającej na operatora usługi kluczowej a następnie nie rzadziej jak raz na dwa lata.

Audyt w rozumieniu ustawy KSC jest kompleksowy i obejmuje analizę dokumentacji z zakresu bezpieczeństwa IT, analizę skuteczności funkcjonowania mechanizmów kontrolnych, analizę ryzyka, zarządzanie incydentami oraz badanie zabezpieczeń fizycznych, środowiskowych i sieciowych. Stąd audyt przeprowadzamy fizycznie w miejscu funkcjonowania systemów informacyjnych, ale dążymy do tego by wiele elementów było wykonywane w formie zdalnej, przy zachowaniu bezpiecznych standardów ochrony przesyłanych informacji. Takie „hybrydowe” podejście do audytu sprawia, że czynności audytowe nie utrudniają wykonywaniu bieżącej działalności audytowanego podmiotu. Wszystkie prace audytowe wykonują nasi audytorzy posiadający kompetencje, doświadczenie oraz certyfikaty zgodne z art. 15 ust.2 ustawy KSC.

Audyt KRI jest jednym z wymogów rozporządzenia Rady Ministrów z dnia 12.04.2012 r. w sprawie Krajowych Ramach Interoperacyjności. Rozporządzeniem objęte są: urzędy miejskie, urzędy gminne, starostwa powiatowe, organy administracji rządowej, sądy, prokuratury, organy kontroli państwowej i wiele innych podmiotów publicznych. Audyt w tych jednostkach należy wykonać przynajmniej raz w roku i może być przeprowadzony przez komórki audytu wewnętrznego lub z pomocą zewnętrznej firmy. Audyt wewnętrzny przeprowadzany przez osoby nie posiadające wymaganych kwalifikacji lub powiązane z codzienną pracą jednostki może być jednak nieobiektywny lub nieprawidłowy. Może to prowadzić do incydentów związanych z bezpieczeństwem informacji lub ochroną danych. Incydentów możemy uniknąć przy dokładnej weryfikacji zabezpieczeń prowadzonej przez fachowy zespół audytorów zewnętrznych.

Przedmiotem audytu „krajowych ram” jest weryfikacja bezpieczeństwa informacji i systemów informatycznych. Wbrew pozorom zakresu tego audytu jest bardzo szeroki, gdyż §20 ust. 3 Rozporządzenia stanowi, że system zarządzania bezpieczeństwem informacji w jednostce publicznej jest zgodny z KRI jeśli został opracowany na podstawie Polskiej Normy PN-ISO 27001, a ustanowione zabezpieczenia, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą. W praktyce oznacza to, że audyt powinien objąć swoim zakresem normy ISO 27002, ISO 27005 oraz ISO 22301.

Prawidłowo przeprowadzony audyt bezpieczeństwa KRI daje kierownictwu jednostki publicznej szereg korzyści. Do najważniejszych zaliczamy: sprawdzenie bezpieczeństwa działania systemów teleinformatycznych pod kątem bezpieczeństwa informacji w celu ewentualnego podjęcia czynności eliminujących zagrożenia oraz zwiększenie odporności na ataki hakerskie, prowadzące do utraty danych, wycieku danych osobowych lub nawet utraty środków finansowych.

Case study:

W ramach audytu bezpieczeństwa systemu obiegu informacji finansowych, wykonywanego na rzecz naszego Klienta, pod uwagę wzięliśmy zabezpieczenia techniczne oraz organizacyjne wszystkich komponentów tego systemu. Zakres przeprowadzanych prac obejmował wykonanie testów penetracyjnych komponentów systemu automatyzacji obiegu informacji finansowej oraz analizę ruchu sieciowego pomiędzy tymi komponentami. Dodatkowo audytem objęto procesy związane z utrzymaniem oraz zarządzaniem bezpieczeństwem systemu. Przeprowadzone przez nas prace ujawniły szereg podatności technicznych oraz niezgodności z ustawą KSC oraz normami z obszaru bezpieczeństwa. Wykryte podatności stanowiły istotne zagrożenie dla bezpieczeństwa ale mogły zostać łatwo wyeliminowane poprzez wgranie odpowiednich poprawek czy zmianę konfiguracji usług i zabezpieczeń. W raporcie z audytu opisaliśmy sposób usunięcia wykrytych podatności oraz zapewnienia zgodności z wymaganiami ustawy KSC.