Rodzaje audytu
Audytem nazywane są czynności mające na celu zweryfikowanie stanu faktycznego ze szczegółowo określonymi wymaganiami/założeniami. Audyt zawsze dotyczy uprzednio określonego obszaru. Można rozróżnić dwa rodzaje audytu:
- wewnętrzny,
- zewnętrzny.
Audyt wewnętrzny
Audyt wewnętrzny charakteryzuje się tym, że jest przeprowadzany cyklicznie i polega na weryfikowaniu poprawności realizowania założeń oraz polityki zdefiniowanej przez wewnętrzne przepisy danej jednostki organizacyjnej. W/w przepisy rozumiane jako zatwierdzone przez kierownictwo, stanowią najczęściej: wytyczne, założenia, normy, procedury, decyzje, zarządzenia itp. Zwykle audyt wewnętrzny przeprowadzany jest przez specjalną komórkę lub osoby pełniące funkcje audytorów wewnętrznych w danej firmie. Audyt wewnętrzny może być również zlecony zewnętrznej firmie specjalizującej się w przeprowadzaniu audytów. Wynikiem przeprowadzenia audytu wewnętrznego będzie raport określający poziom zgodności stanu faktycznego z przyjętymi przez firmę założeniami.
Audyt zewnętrzny
Natomiast audyt zewnętrzny w odróżnieniu od audytu wewnętrznego charakteryzuje się tym, że weryfikowana jest poprawność realizowania założeń i polityki zdefiniowanej przez normy, standardy określone przez zewnętrzną organizację lub instytucję przeprowadzającą audyt (najczęściej spotykane). Audyt zewnętrzny jest zawsze przeprowadzany przez osoby, instytucje lub organizacje niepodlegające danej jednostce organizacyjnej, a celem audytu zewnętrznego jest uzyskanie określonego certyfikatu, świadectwa.
Audyt bezpieczeństwa systemu TI przetwarzającego informacje niejawne (prowadzony przez ABW lub SKW)
W przypadku starania się o uzyskanie akredytacji bezpieczeństwa teleinformatycznego (zwanej dalej akredytacją), rozumianej jako dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych, mamy do czynienia z audytem zewnętrznym. Zgodnie z definicją ustawy o ochronie informacji niejawnych – audytem bezpieczeństwa systemu teleinformatycznego (zwanego dalej audytem) jest weryfikacja poprawności realizacji wymagań i procedur, określonych w dokumentacji bezpieczeństwa systemu teleinformatycznego. Ogólnie rzecz biorąc jest to weryfikacja stanu faktycznego z zapisami zatwierdzonej dokumentacji bezpieczeństwa, którą stanowią szczególne wymagania bezpieczeństwa – w skrócie SWB i procedury bezpiecznej eksploatacji – w skrócie PBE, opracowane dla systemu teleinformatycznego. Audyt jest ostatnim etapem akredytacji i może nastąpić po zatwierdzeniu przez odpowiednią służbę (w sferze cywilnej ABW, w sferze wojskowej SKW) dokumentacji bezpieczeństwa. Audyt jest zawsze przeprowadzany w przypadku akredytacji systemu teleinformatycznego organizowanego w celu przetwarzania informacji niejawnych oznaczonych klauzulą „tajne” i „ściśle tajne”, natomiast w przypadku klauzuli „poufne” ustawa o ochronie informacji niejawnych (art. 48 ust. 8) stanowi że ABW albo SKW może odstąpić od przeprowadzenia audytu. Natomiast w przypadku systemów teleinformatycznych organizowanych w celu przetwarzania informacji niejawnych oznaczonych klauzulą „Zastrzeżone” audytów nie przeprowadza się. Podstawą przeprowadzenia audytu jest wniosek o audyt (wniosek WA) dostępny do pobrania ze strony internetowej służby udzielającej akredytacji. Czynności przeprowadzane przez audytorów w ramach procedury akredytacji polegają w szczególności na sprawdzeniu:
- dokumentów potwierdzających wyznaczenie użytkowników oraz osób odpowiedzialnych za bezpieczeństwo przetwarzanych informacji niejawnych (tj. pełnomocnik do spraw ochrony informacji niejawnych, inspektor bezpieczeństwa teleinformatycznego, administrator systemu),
- dokumentów potwierdzających odbycie wymaganych szkoleń przez w/w osoby,
- posiadania przez w/w osoby poświadczeń bezpieczeństwa lub upoważnień do dostępu do informacji niejawnych,
- dokumentów potwierdzających zapoznanie się w/w osób z PBE (procedurami bezpiecznej eksploatacji),
- dzienników, ewidencji jak również planu ochrony – opisywanych w zatwierdzonej dokumentacji bezpieczeństwa,
- fizycznego oznakowania i zabezpieczenia nośników i komponentów systemu teleinformatycznego,
- lokalizacji i ukompletowania urządzeń systemu teleinformatycznego zgodnie z zatwierdzoną dokumentacją bezpieczeństwa,
- wdrożonych środków ochrony fizycznej w odniesieniu do opisanych w zatwierdzonej dokumentacji bezpieczeństwa, tj.:
- ochrony osobowej,
- systemu kontroli dostępu (SKD),
- systemu przeciw pożarowego (p.poż),
- systemu telewizji przemysłowej (CCTV),
- systemu sygnalizacji włamania i napadu (SSWiN),
- drzwi, zamków, okien, zabezpieczenia przed podglądem itd.
- wdrożonych zabezpieczeń komponentów systemu teleinformatycznego (stacji roboczych, serwerów, urządzeń sieciowych itp.) w odniesieniu do opisanych w zatwierdzonej dokumentacji bezpieczeństwa, w szczególności dotyczących:
- konfiguracji BIOS-u,
- ustawień systemu operacyjnego (konfiguracja zabezpieczeń, uprawnienia użytkowników itp.),
- konfiguracji aplikacji,
- zapewniania ochrony przed złośliwym oprogramowaniem.
- wdrożonych środków ochrony elektromagnetycznej
- wdrożonych środków ochrony kryptograficznej.
W trakcie audytu niezbędne jest posiadanie przez podmiot audytowany, zatwierdzonej dokumentacji oraz dokumentów wymienionych w dokumentacji bezpieczeństwa (np. certyfikatów, świadectw) wydanych na przykład dla: drzwi, zamków, SSWiN itp.
W wyniku przeprowadzonego audytu ABW albo SKW wydaje świadectwo akredytacji bezpieczeństwa systemu teleinformatycznego. Gdy w wyniku przeprowadzonego audytu zostaną stwierdzone niezgodności, ABW albo SKW może przedstawić wymagania lub zalecenia do wdrożenia lub może nawet odmówić udzielenia akredytacji. W przypadku przedstawienia wymagań lub zaleceń może być przeprowadzony ponowny audyt weryfikujący poprawność ich wdrożenia.
Za udzielenie akredytacji w tym za przeprowadzone audyty pobierane są opłaty (wysokość jest uzależniona od złożoności systemu, w tym czasu poświęconego na udzielenie akredytacji). Od wspomnianych opłat zwolnione są jednostki organizacyjne będące jednostkami budżetowym oraz (zgodnie z art. 53 ust. 3 ustawy o ochronie informacji niejawnych) przedsiębiorcy obowiązani na podstawie odrębnych ustaw do wykonywania zadań publicznych na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego, w przypadku akredytacji bezpieczeństwa teleinformatycznego systemów teleinformatycznych niezbędnych do wykonania tych zadań.