02 Audyt bezpieczeństwa - moojpanie/CyberPodstawy GitHub Wiki

Security Audit

Audyt bezpieczeństwa to przegląd kontroli bezpieczeństwa, zasad i procedur organizacji pod kątem zbioru oczekiwań. Audyty to niezależne przeglądy, które oceniają, czy organizacja spełnia kryteria wewnętrzne i zewnętrzne. Kryteria wewnętrzne obejmują określone zasady, procedury i najlepsze praktyki. Kryteria zewnętrzne obejmują zgodność z przepisami, przepisami prawa i przepisami federalnymi.

Ponadto audyt bezpieczeństwa może zostać wykorzystany do oceny ustanowionych w organizacji mechanizmów kontroli bezpieczeństwa. Przypominamy, że kontrole bezpieczeństwa to zabezpieczenia zaprojektowane w celu ograniczenia określonych zagrożeń bezpieczeństwa.

Audyty pomagają zapewnić przeprowadzenie kontroli bezpieczeństwa (tj. codzienne monitorowanie informacji dotyczących bezpieczeństwa i pulpitów zarządzania zdarzeniami) w celu zidentyfikowania zagrożeń, ryzyka i luk w zabezpieczeniach. Pomaga to w utrzymaniu stanu zabezpieczeń organizacji. Jeśli wystąpią problemy związane z bezpieczeństwem, należy wdrożyć proces zaradczy.

  1. Zewnętrzny
  2. Wewnętrzny
  • prowadzony przez zespół ludzi
    • specjlista ds. zgodności organizacji
    • menadżer ds. bezpieczeństwa
    • inni członkowie zespołu ds. bezpieczeństwa

Czynniki wpływające na audyty Czynniki determinujące rodzaje audytów wdrażanych przez organizację obejmują:

  • Typ przemysłu

  • Rozmiar organizacji

  • Powiązania z obowiązującymi przepisami rządowymi

  • Położenie geograficzne firmy

  • Decyzja biznesowa dotycząca przestrzegania określonych przepisów Rola ram i kontroli w audytach Oprócz zgodności należy wspomnieć o roli ram i kontroli w audytach bezpieczeństwa. Ramy takie jak Ramy Cyberbezpieczeństwa Narodowego Instytutu Standardów i Technologii (NIST CSF) oraz seria międzynarodowych norm bezpieczeństwa informacji (ISO 27000) mają na celu pomóc organizacjom przygotować się do audytów bezpieczeństwa zgodności z przepisami. Przestrzegając tych i innych odpowiednich ram, organizacje mogą zaoszczędzić czas podczas przeprowadzania audytów zewnętrznych i wewnętrznych. Ponadto ramy stosowane wraz z mechanizmami kontrolnymi mogą wspierać zdolność organizacji do dostosowania się do wymogów i standardów zgodności z przepisami.

  • **Cel: ** Celem audytu jest zapewnienie, że praktyki informatyczne (IT) organizacji spełniają standardy branżowe i organizacyjne. Celem jest identyfikacja i zajęcie się obszarami wymagającymi środków zaradczych i wzrostu. Audyty wyznaczają kierunek i jasność, identyfikując obecne awarie i opracowując plan ich naprawienia.

Aby chronić dane i uniknąć kar i grzywien ze strony agencji rządowych, należy przeprowadzać audyty bezpieczeństwa. Częstotliwość audytów zależy od lokalnych przepisów prawa i federalnych przepisów dotyczących zgodności.

Typowe elementy audytów wewnętrznych

1.Proces planowania

  • ustalenie zakresu audytu Zakres odnosi się do konkretnych kryteriów audytu bezpieczeństwa wewnętrznego. Zakres wymaga od organizacji identyfikacji osób, aktywów, zasady,

  • ustalenie celu audytu Cele są zarysem bezpieczeństwa organizacji lub przedstawiają co chcą osiągnąć w celu poprawy ich stanu bezpieczeństwa

    przykładowo zakres obejmuje ocenę uprawnień użytkowników: identyfikowanie istniejących kontroli, polityk, procedur, rozliczanie technologii aktualnie wykorzystywanej przez organizację. Wymienione cele bejmują wdrażanie podstawowych funkcji frameworków jak NIST CSF. Ustanowenie zasad i procedur zapewniających zgodność i wzmocnienie kontroli systemu

  • przeprowadzenie oceny ryzyka majątku firmy koncentruje się na identyfikacji potencjalnego zagrożenia, ryzyka i słabych punktów. Pomaga to organizacjom rozważyć jakie powinny być wdrażane środki bezpieczeństwa. Wdrażanie i monitorowanie celu zapewnia bezpieczeństwo majątku. Podobnie jakw przypadku ustalenia zakresu i celów, czesto przeprowadzna jest ocena ryzyka. Wypełnianie przez menedżerów lub innych interesariuszy. Możesz zostać poproszony o szczegółowe info zawarte w ocenie ryzyka - jakie rodzaje kontroli i przepisów dotyczących zgodności muszą być na miejscu żeby pomóc poprawić stan bezpieczeństwa organizacji. Ocena ryzyka podkreśla że kontrole są niewystarczające. Sprzęt na którym kiedyś były dane sklepu nie jest odpowiednio zabezpieczeony. Dostęp do prywantch informacji przechowoywanych w sieci wewnętrznej prawdodpobnie wymaga bardziej solidnych kontroli.

*Ocena kontroli pytania

  • jaki cel ma osiągnąć audyt? Które aktywa są najbardziej zagrożone?
  • czy obecne kontrole są wystarczające aby ochronić aktywa?
  • Jeśli nie to jakie kontrole i przepisu dot zgoności należy wdrożyć?

Dokładny przegląd istniejącyhch kontroli w organizacji. ocenę potencjalnego ryzyka dla tych aktywów,aby zapewnić skuteczność kontroli wewnętrznej i procesów.Aby to zrobić, analitycy na poziomie podstawowym mogą otrzymać zadanie klasyfikacjikontrole na następujące kategorie: kontrole administracyjne,kontrole techniczne i kontrole fizyczne.

  • Kontrole administracyjne są powiązane z ludzkim elementem cyberbezpieczeństwa.Obejmują zasady i procedury, które definiują sposób działania organizacjizarządza danymi, na przykład wdrażając politykę haseł.
  • Kontrole techniczne to rozwiązania sprzętowe i programowe stosowane w celu ochrony aktywów, np jak wykorzystanie systemów wykrywania włamań (IDS) i szyfrowanie.
  • Kontrole fizyczne odnoszą się do środków wprowadzonych w celu zapobiegania fizycznymdostęp do chronionych zasobów, takich jak kamery monitorujące i zamki.

ocena zgodności organizacja nie przestrzega niezbędnych przepisów dotyczących zgodności.Przypominamy, że przepisy dotyczące zgodności to przepisy, które:organizacje muszą przestrzegać, aby zapewnić bezpieczeństwo prywatnych danych.W tym przykładzie organizacja prowadzi działalność na terenie Unii Europejskiej iakceptuje płatności kartami kredytowymi.Muszą więc przestrzegać RODO iStandard bezpieczeństwa danych kart płatniczych, czyli PCI DSS.

  • Komunikacja (przekazywanie wyników zainteresowanym stronom) Ostatnim wspólnym elementem audytu bezpieczeństwa wewnętrznego jest komunikacja.Po zakończeniu wewnętrznego audytu bezpieczeństwa jego wyniki izalecenia należy przekazać zainteresowanym stronom.Ogólnie rzecz biorąc, ten rodzaj komunikacji podsumowuje zakres icele audytu.Następnie sporządza listę istniejących zagrożeń i wskazuje, jak szybko należy się nimi zająć.Dodatkowo identyfikuje regulacje complianceorganizacja musi przestrzegać i przedstawia zalecenia dotyczącepoprawę stanu bezpieczeństwa organizacji.

AUDYT wewnętrzny to świtny sposób na identyfikację luk w organizacji. Pozwalają ustalić jakie środki bezpieczeństwa organizacja już posiada i w jakich obszarach należy ją uzupełnić 2. procedury i technologie mogące mieć wpływ na stan bezpieczeństwa organizacji.

LISTA KONTROLNA AUDYTU

Przed przeprowadzeniem audytu konieczne jest utworzenie listy kontrolnej audytu. Lista kontrolna składa się zazwyczaj z następujących obszarów zainteresowania:

Określ zakres audytu

Audyt powinien:

Wymień zasoby, które zostaną ocenione (np. zapory sieciowe są poprawnie skonfigurowane, informacje umożliwiające identyfikację użytkownika są bezpieczne, zasoby fizyczne są zablokowane itp.)

Zwróć uwagę, w jaki sposób audyt pomoże organizacji osiągnąć pożądane cele

Wskaż, jak często należy przeprowadzać audyt

Uwzględnij ocenę zasad, protokołów i procedur organizacji, aby upewnić się, że działają zgodnie z zamierzeniami i są wdrażane przez pracowników

Dokończ ocenę ryzyka

Ocena ryzyka służy do oceny zidentyfikowanych ryzyk organizacyjnych związanych z budżetem, kontrolami, procesami wewnętrznymi i standardami zewnętrznymi (tj. przepisami).

Przeprowadź audyt

Przeprowadzając audyt wewnętrzny, ocenisz bezpieczeństwo zidentyfikowanych aktywów objętych zakresem audytu.

Utwórz plan łagodzący

Plan łagodzenia to strategia opracowana w celu obniżenia poziomu ryzyka i potencjalnych kosztów, kar lub innych problemów, które mogą negatywnie wpłynąć na stan bezpieczeństwa organizacji.

Przekaż wyniki zainteresowanym stronom

Końcowym rezultatem tego procesu jest przedstawienie szczegółowego raportu z ustaleń, sugestii ulepszeń niezbędnych do obniżenia poziomu ryzyka organizacji oraz przepisów i standardów zgodności, których organizacja musi przestrzegać.

Kluczowe wnioski W tej lekturze dowiedziałeś się więcej o audytach bezpieczeństwa, w tym o tym, czym są; dlaczego są prowadzone; oraz rola ram, kontroli i zgodności w audytach.

Chociaż na temat audytów bezpieczeństwa można dowiedzieć się znacznie więcej, to wprowadzenie ma na celu pomóc Ci w przeprowadzeniu własnego audytu w ramach zadania z zakresu autorefleksji w dalszej części tego kursu.

Zasoby, w których można uzyskać więcej informacji Zasoby, które możesz wykorzystać, aby lepiej zrozumieć audyty w przestrzeni cyberbezpieczeństwa, to:

Zasoby oceny i audytu

Plan odzyskiwania danych po awarii IT