co je bezpečnostní audit?
bezpečnostní audit je systematické hodnocení bezpečnosti informačního systému společnosti měřením toho, jak dobře odpovídá stanovenému souboru kritérií. Důkladný audit obvykle hodnotí bezpečnost fyzické konfigurace a prostředí systému, softwaru, procesů zpracování informací a uživatelských postupů.
bezpečnostní audity se často používají k určení souladu s předpisy, jako je zákon o přenositelnosti a odpovědnosti zdravotního pojištění, zákon Sarbanes-Oxley a zákon o narušení bezpečnosti v Kalifornii, který specifikuje, jak se organizace musí vypořádat s informacemi.
tyto audity jsou jedním ze tří hlavních typů diagnostiky zabezpečení, spolu s hodnocením zranitelnosti a penetračním testováním. Bezpečnostní audity měří výkonnost informačního systému podle seznamu kritérií. Hodnocení zranitelnosti je komplexní studie informačního systému, která hledá potenciální bezpečnostní slabiny. Penetrační testování je tajný přístup, při kterém bezpečnostní expert testuje, zda systém vydrží konkrétní útok. Každý přístup má vlastní silné stránky a použití dvou nebo více ve spojení může být nejúčinnějším přístupem.
organizace by měly vytvořit plán bezpečnostního auditu, který je opakovatelný a aktualizovatelný. Pro dosažení nejlepšího výsledku musí být do procesu zahrnuty zúčastněné strany.
proč bezpečnostní audit?
existuje několik důvodů, proč provést bezpečnostní audit. Patří mezi ně těchto šest gólů:
- Identifikujte bezpečnostní problémy a mezery, jakož i slabiny systému.
- Vytvořte základní bezpečnostní základnu, se kterou lze porovnat budoucí audity.
- dodržujte vnitřní bezpečnostní zásady organizace.
- dodržujte externí regulační požadavky.
- zjistěte, zda je bezpečnostní školení dostatečné.
- Identifikujte nepotřebné zdroje.
bezpečnostní audity pomohou chránit kritická data, identifikovat bezpečnostní mezery, vytvářet nové bezpečnostní politiky a sledovat účinnost bezpečnostních strategií. Pravidelné audity mohou pomoci zajistit, aby se zaměstnanci drželi bezpečnostních postupů a mohli zachytit nové zranitelnosti.
kdy je potřeba bezpečnostní audit?
jak často organizace provádí bezpečnostní audity, závisí na odvětví, ve kterém se nachází, na požadavcích její obchodní a podnikové struktury a na počtu systémů a aplikací, které musí být auditovány. Organizace, které zpracovávají mnoho citlivých údajů – jako jsou finanční služby a poskytovatelé heathcare-pravděpodobně provádějí audity častěji. Pro ty, kteří používají pouze jednu nebo dvě aplikace, bude snazší provádět bezpečnostní audity a mohou je provádět častěji. Externí faktory, jako jsou regulační požadavky, ovlivňují také frekvenci auditu.
mnoho společností provede bezpečnostní audit alespoň jednou nebo dvakrát ročně. Ale mohou být také prováděny měsíčně nebo čtvrtletně. Různá oddělení mohou mít různé plány auditu v závislosti na systémech, aplikacích a datech, které používají. Rutinní audity-ať už se provádějí každoročně nebo měsíčně – mohou pomoci identifikovat anomálie nebo vzorce v systému.
čtvrtletní nebo měsíční audity mohou být více, než má většina organizací čas nebo zdroje. Určující faktory v tom, jak často se organizace rozhodne provádět bezpečnostní audity, závisí na složitosti použitých systémů a typu a významu dat v tomto systému. Pokud jsou data v systému považována za nezbytná, pak tento systém může být auditován častěji, ale složité systémy, které vyžadují čas auditu, mohou být auditovány méně často.
organizace by měla provést zvláštní bezpečnostní audit po narušení dat, upgradu systému nebo migraci dat nebo při změnách zákonů o dodržování předpisů, při implementaci nového systému nebo při růstu podniku o více než definované množství uživatelů. Tyto jednorázové audity se mohou zaměřit na konkrétní oblast, kde událost mohla otevřít bezpečnostní chyby. Pokud například došlo k porušení dat, může audit postižených systémů pomoci určit, co se pokazilo.
typy bezpečnostních auditů
bezpečnostní audity mají dvě formy, interní a externí audity, které zahrnují následující postupy:
- interní audity. V těchto auditech podnik využívá své vlastní zdroje a oddělení interního auditu. Interní audity se používají, když organizace chce ověřit obchodní systémy pro dodržování zásad a postupů.
- externí audity. S těmito audity je přivedena externí organizace k provedení auditu. Externí audity se také provádějí, když organizace potřebuje potvrdit, že vyhovuje průmyslovým normám nebo vládním předpisům.
existují dvě podkategorie externích auditů: audity druhé a třetí strany. Audity druhé strany provádí dodavatel auditované organizace. Audity třetích stran provádí nezávislá, nezaujatá skupina a zúčastnění auditoři nemají žádnou souvislost s organizací, která je předmětem auditu.
jaké systémy zahrnuje audit?
během bezpečnostního auditu může být každý systém, který organizace používá, vyšetřen na zranitelnost v následujících oblastech:
- zranitelnosti sítě. Auditoři hledají slabiny v jakékoli síťové komponentě, kterou by útočník mohl využít pro přístup k systémům nebo informacím nebo způsobit poškození. Informace, které se pohybují mezi dvěma body, jsou obzvláště zranitelné. Bezpečnostní audity a pravidelné monitorování sítě sledují síťový provoz, včetně e-mailů, rychlých zpráv, souborů a další komunikace. Dostupnost sítě a přístupové body jsou také zahrnuty v této části auditu.
- bezpečnostní kontroly. V této části auditu se auditor podívá na to, jak efektivní jsou bezpečnostní kontroly společnosti. To zahrnuje vyhodnocení toho, jak dobře organizace zavedla zásady a postupy, které zavedla k ochraně svých informací a systémů. Auditor může například zkontrolovat, zda si společnost zachovává administrativní kontrolu nad svými mobilními zařízeními. Auditor testuje kontroly společnosti, aby se ujistil, že jsou účinné a že společnost dodržuje své vlastní zásady a postupy.
- šifrování. Tato část auditu ověřuje, že organizace má zavedené kontroly pro správu procesů šifrování dat.
- Softwarové Systémy. Zde jsou zkoumány softwarové systémy, aby se zajistilo, že fungují správně a poskytují přesné informace. Jsou také kontrolovány, aby se zajistilo, že jsou zavedeny kontroly, aby se zabránilo neoprávněným uživatelům získat přístup k soukromým datům. Zkoumané oblasti zahrnují zpracování dat, vývoj softwaru a počítačové systémy.
- možnosti správy architektury. Auditoři ověřují, že správa IT má zavedené organizační struktury a postupy pro vytvoření efektivního a kontrolovaného prostředí pro zpracování informací.
- telekomunikační kontroly. Auditoři kontrolují, zda telekomunikační kontroly fungují jak na straně klienta, tak na straně serveru, stejně jako na síti, která je spojuje.
- audit vývoje systémů. Audity pokrývající tuto oblast ověřují, že všechny vyvíjené systémy splňují bezpečnostní cíle stanovené organizací. Tato část auditu se také provádí s cílem zajistit, aby vyvíjené systémy dodržovaly stanovené standardy.
- zpracování informací. Tyto audity ověřují, že jsou zavedena bezpečnostní opatření pro zpracování dat.
organizace mohou také kombinovat konkrétní typy auditů do jednoho celkového kontrolního kontrolního auditu.
kroky související s bezpečnostním auditem
těchto pět kroků je obecně součástí bezpečnostního auditu:
- dohodněte se na cílech. Zahrňte všechny zúčastněné strany do diskusí o tom, čeho by mělo být auditem dosaženo.
- Definujte rozsah auditu. Seznam všech aktiv, která mají být auditována, včetně počítačového vybavení, interní dokumentace a zpracovaných údajů.
- provést audit a identifikovat hrozby. Seznam potenciálních hrozeb souvisejících s každou hrozbou může zahrnovat ztrátu dat, zařízení nebo záznamů v důsledku přírodních katastrof, malwaru nebo neoprávněných uživatelů.
- vyhodnoťte bezpečnost a rizika. Posoudit riziko každé z identifikovaných hrozeb a jak dobře se organizace může proti nim bránit.
- určete potřebné ovládací prvky. Určete, jaká bezpečnostní opatření musí být provedena nebo vylepšena, aby se minimalizovala rizika.
další informace o dalších typech auditů
osvědčené postupy pro přípravu zálohovacího auditu
audit plánu kontinuity podnikání
připravte kontrolní seznam auditu shody, který auditoři chtějí vidět
jak provést audit IoT pro dodržování předpisů
Test vs. assessment vs. audit
audity jsou samostatným konceptem od jiných postupů, jako jsou testy a hodnocení. Audit je způsob, jak ověřit, že organizace dodržuje postupy a bezpečnostní politiky stanovené interně, stejně jako ty, které stanoví skupiny standardů a regulační agentury. Organizace mohou provádět audity samy nebo k nim přizvat třetí strany. Osvědčené postupy bezpečnostního auditu jsou k dispozici od různých průmyslových organizací.
test, jako je penetrační test, je postup pro kontrolu, zda konkrétní systém funguje tak, jak má. IT profesionálové provádějící testování hledají mezery, které by mohly otevřít zranitelnosti. Například pomocí testu perem bezpečnostní analytik proniká do systému stejným způsobem, jakým by mohl aktér hrozby určit, co útočník může vidět a získat přístup.
hodnocení je plánovaný test, jako je posouzení rizika nebo zranitelnosti. Podívá se na to, jak by měl systém fungovat, a poté to porovná se současným provozním stavem systému. Například posouzení zranitelnosti počítačového systému kontroluje stav bezpečnostních opatření chránících tento systém a zda reagují tak, jak by měly.
bezpečnostní audity jsou jednou z částí celkové strategie ochrany IT systémů a dat. Zjistěte nejnovější myšlení o osvědčených postupech a postupech kybernetické bezpečnosti.