Quis custodiet ipsos custodet?

Avagy: ki őrzi az őrzőket a korrupció elleni harcban?

Navracsics Tibor 2023.05.18.

Egy szabvány változásai

Elköteleződés az információbiztonság iránt.

Muha Lajos 2022.11.29.

A kockázatelemzés rejtett számai

Mennyire kritikus egy adott infrastruktúra?

Kiss Adrienn 2022.11.15.

Németország és az Isztambuli Egyezmény esete

Pozitívumok és hiányosságok.

Schmidt Laura 2022.10.17.

Resztoratívan a gyűlölet ellen

Teljesítmény, ha a felek le tudnak egymással ülni.

Schmidt Laura 2022.09.02.

CYBERBLOG

Baglyos Sándor

hallgató, Nemzeti Közszolgálati Egyetem

2022.06.23.

2022.06.23.

Az információbiztonsági auditálás fontossága

Az audit az „előírások teljesítésére vonatkozó megfelelőségi vizsgálat, ellenőrzés”. ¹

Az auditoknak külön típusai, ezáltal külön módszertanai vannak. Az audit szervezeti és személyi szereplői lehetnek az ügyfél, aki az auditot kérte, az auditált szervezet, amelyben az ellenőrzés történik, valamint az auditor (auditcsoport), aki / akik megfelelő tanúsítványokkal, tapasztalattal, objektív munkával végzik a folyamatokat. Egy audit során megkülönböztetünk auditkritériumokat, ahol az előirányzatokkal és követelményekkel találkozhatunk, valamint auditbizonyítékokat, amelyek olyan ténymegállapítások, amelyek a megfelelőség mértékének megállapításához szükséges.

Az auditokat csoportosíthatjuk aszerint is, hogy ki végzi; és hogy mi a vizsgálat tárgya. Az auditált és az auditot végző személy szerinti felosztást három részre bonthatjuk. Első a belső audit, amikor az adott szervezet saját magát auditálja egy saját (esetleges külső) auditorral egy nemzetközi vagy egy vállalati szabvány alapján. Második a beszállítói audit, amikor a beszállítót auditálja a szervezet egy saját (esetleg külső) auditorral, valamilyen vállalati szabvány alapján. A harmadik pedig a külső (3rd party) audit, itt egy független fél alkotja a vizsgálatot végző személyét, minden esetben külső auditorral, nemzetközi szabványokat alkalmazva.²

Az auditor felkészültségét különböző nemzetközi képesítésekkel, valamint vizsgákkal lehet elérni. Magyarországon is elérhető a „Certified Information Systems Auditor” (CISA) vizsga, amit az ISACA Budapest Chapter szervezésében lehet megszerezni. Hasonló-IT képesítések még:

certified information systems security professional – architecture (CISSP),
certification in risk and information systems control (CRISC),
security 5 certification,
IT information library foundations certification (ITIL),
certified information security manager (CISM),
certified internal auditor (CIA),
certified information systems security professional (CISSP),
ISO/IEC 27001 Lead Auditor

Az audit tárgya lehet (a felsorolás nem teljes):

Az információbiztonsági audit a szervezetek informatikai infrastruktúrájának átfogó felülvizsgálatát jelenti. Ezek a fajta auditok biztosítják, hogy a megfelelő irányelveknek, eljárásoknak, jogszabályoknak eleget tettek és ezáltal hatékonyan működnek. A vizsgálatok célja, hogy olyan sebezhető pontokat azonosítsanak, amelyek adatvédelmi incidenseket idézhetnek elő. Ezek lehetnek azok a sebezhetőségek, amelyeket a támadók kihasználhatnak a jogosulatlan hozzáféréshez. Az információbiztonsági audit elvégzésének fő oka a biztonsági és megfelelőségi hiányosságok azonosítása, valamint azok kezelése. Egy alapos felméréssel a szervezet átfogó képet kaphat a rendszereiről, és betekintést nyerhet a sebezhetőségek kezelésének legjobb módszereibe. A szervezeteknek nem csak az üzleti tevékenység megszakadásának és a hatósági bírságoknak a veszélye miatt kell aggódniuk, mivel egy biztonsági incidens (különösen, ha az megelőzhető lett volna a megfeleléseknek eleget téve) valószínűleg a beszállítók és az ügyfelek bizalmát is csökkentheti. Ha az incidens elég súlyos volt, ezek az érdekeltek akár úgy is dönthetnek, hogy nem kívánnak továbbra is együtt dolgozni az adott szervezettel.

Ugyanez vonatkozik a szabályozási hibákra is. Ha a szervezet bizonyítani tudja, hogy megfelelő lépéseket tett az adatvédelemmel kapcsolatban, a szabályozó hatóságok nem fognak jelentős bírságokat kiszabni. Ha azonban az incidens gondatlanságból következett be, a szervezetekre súlyosabb büntetések várhatnak. Ha ezek a büntetések nem is közelítik meg a GDPR által megengedett maximumot (20 millió euró vagy a szervezet éves globális forgalmának 4%-a), egy viszonylag enyhe bírság is katasztrofális lehet a szervezet jövőjére nézve.

Az információbiztonsági audit során az eddig említetteken túl, vizsgálják még:

az adatbiztonságot: hálózati hozzáférés, adattitkosítás;
a működési biztonságot: irányelvek, eljárások, ellenőrzések;
a hálózati biztonságot: vírusvédelem, hálózatfelügyelet;
a rendszerbiztonságot: javítás, privilegizált fiókok kezelés;
valamint a fizikai biztonságit: külső, belső területvédelem, eszközök, vagyontárgyak védelme.³

Irodalomjegyzék

¹ Krasznay Csaba: Információbiztonsági audit, 2020.
² Irwin, Luke: „What Is a Cyber Security Audit and Why Is It Important? | IT Governance”. IT Governance UK Blog, 2022. május 17.
³ Wolters Kluwer Hungary Kft.: „2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról – Hatályos Jogszabályok Gyűjteménye”. Elérés: 2022. június 20.

Nyitókép forrása: rawpixel.com

Témakörök: audit, incidens, információbiztonság, kiberbiztonság, megelőzés