Tytuł praktyki
Audyt bezpieczeństwa informacji

Samorząd
Miasto Gdańsk

Tematyka
administracja i finanse

Typ rozwiązania
sformalizowany

Podstawa prawna
podstawa prawna: ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U.2012.526)

Dokumenty wewnętrzne
Zarządzenie Nr 1578 Prezydenta Miasta Gdańska z dnia 22 października 2010  w sprawie wprowadzenia Karty Audytu Wewnętrznego w Urzędzie Miejskim w Gdańsku oraz ustalenia zasad współpracy pomiędzy Urzędem Miejskim i jednostkami organizacyjnymi Miasta w zakresie audytu wewnętrznego

Opis praktyki
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U.2012.526) obliguje podmioty realizujące zadania publiczne do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Jednocześnie rozporządzenie to nie wskazuje na rodzaj oraz tryb jego przeprowadzania co oznacza, że to kierownictwo danego podmiotu musi podjąć decyzję o sposobie jego realizacji.

WARIANT 1
Jednostka musi wdrożyć i utrzymać system zarządzania bezpieczeństwem informacji, który został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie norm:
1) PN-ISO/IEC 17799 - w odniesieniu do ustanawiania zabezpieczeń;
2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem;
3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
+ norma ISO 27006 - wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji
+ norma ISO 22301 - bezpieczeństwo informacji i ciągłość działania
+ norma ISO 20000 - zarządzanie usługami IT

Działania w wariancie 1.
1) Certyfikacja w zakresie spełniania wymagań normy PN-ISO/IEC 27001.
2) Zakup i wdrożenie norm we własnym zakresie.
Włączenie bezpieczeństwa informacji do własnego systemu kontroli zarządczej ustanowionego w jednostce (bez kosztownej certyfikacji).
Ad 1) W normach ISO, jeśli jest obowiązek audytu - musi być przeprowadzany cyklicznie (minimum raz w roku, aby ocenić funkcjonowanie systemu zarządzania). Audyt certyfikacyjny (3-letni cykl) , a potem audyty nadzoru, które zajmują 1/3 czasu są wpisane w przepisach dotyczących norm. Co roku nie trzeba wykonywać całościowego
audytu.
Ad 2 ) System zarządzania bezpieczeństwem informacji oparty o normę ISO zakłada cykliczne przeglądy tego systemu – audyty. Nie ma więc konieczności dokonywania dodatkowych audytów wewnętrznych w stosunku do tych, które wynikają z wdrożonej normy. Przepis rozporządzenie w sprawie KRI wskazuje jedynie, że jeżeli SZBI został opracowany na podstawie norm to jest wypełnienie wymogów zarządzania bezpieczeństwem informacji.

Uzupełnienie
ISO 27006 - zawiera załącznik D, opisujący jak audytować. Mogą to być wskazówki dla audytorów.
Uwaga na różnice pomiędzy wdrożeniem normy ISO 27001 (wypełnianiem wymogów normy), a certyfikacją w tym zakresie (stwierdzeniem niezależnych audytorów wypełnianiu warunków normy). Norma ISO 27001  jest standardem systemu zarządzania bezpieczeństwem informacji, który jest rozpoznawalny na całym świecie. Norma ta nie zakłada uzyskania doskonałości już na wstępie, lecz określa, w jaki sposób proces zarządzania bezpieczeństwem informacji można doskonalić i zapewniać lepszą ochronę aktywów informacyjnych. ISO 27001 dostarcza kompletną listę 133 zabezpieczeń dla bezpieczeństwa informacji. KRI zawiera zaś 14 punktów określających typy zabezpieczeń, które są jedynie skrótem z normy ISO 27001, a więc nie można ich określić jako kompletne. Wdrożenie normy ISO 27001 daje pewność, że wszystkie aspekty zabezpieczenia zostały wzięte pod uwagę, zaś system bazuje na wynikach procesu zarządzania ryzykiem. Przyjęcie takiego rozwiązania ułatwia, w razie potrzeby, zmianę firmy doradczej ponieważ działając według przyjętych schematów następny wykonawca podejmie pracę w punkcie, w którym zakończył poprzednik.
Najważniejszymi korzyściami z certyfikacji są: wyznaczenie celu dla organizacji, niezależna ocena wdrożenia normy, wzmocnienie wizerunku organizacji, wzmocnienie zaufania do organizacji ograniczenie sporów sądowych (argument, że organizacja dołożyła wszelkich starań, tj. certyfikowała się i postępowała zgodnie z wymogami normy ISO 27001). ISO 27001 wymaga wprowadzenia miar sukcesów wprowadzenia zabezpieczeń. Jako źródło takich miar wskazać można COBIT.

WARIANT 2
W jednostce musi być zapewniony okresowy audytu wewnętrzny w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Audyt sytemu bezpieczeństwa informacji może być przeprowadzony w dwóch wariantach:
1)   sprawdzenie spełnienia wymagań zawartych w §20 ust. 2 i §21 ust. 1 i 2 Rozporządzenia
2)   sprawdzenie zgodności z normą PN-ISO/IEC 27001.

Wdrożenie norm, ani tym bardziej uzyskanie certyfikatu zgodności z wybraną normą w tym zakresie nie jest obowiązkowe. Zakup norm nie jest koniecznością, gdyż nie ma obowiązku badania na zgodności z normą. Audyty mogą być prowadzone na podstawie rozporządzenia.
Zapewnienie audytu wewnętrznego nie rzadziej niż raz w roku – działanie to powinno bazować na analizie ryzyka. Nie jest wymagane, żeby co roku dokonywać całościowego przeglądu systemu zarządzania bezpieczeństwem informacji. Jednak warto aby pierwszy audyt był dokonany w szerokim zakresie, aby ustalić co (chociaż na dużym poziomie ogólności) funkcjonuje w jednostce. Kolejny audyt może skupiać się bardziej na wcześniej wydanych rekomendacjach.

W Gdańsku zdecydowano się na przeprowadzenie audytu w wariancie 2-1 tj.  sprawdzenie spełnienia wymagań zawartych w §20 ust. 2 i §21 ust. 1 i 2 Rozporządzenia w sprawie KRI
W związku z tym zakres przedmiotowy audytu określono w 14 punktach:

1. Aktualizacja regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia.
2. Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
3. Okresowe analizy ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowanie działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy.
4. Działania zapewniające, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji.
5. Bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4.
6. Szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
a) zagrożenia bezpieczeństwa informacji,
b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.
7. Ochrona przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
a) monitorowanie dostępu do informacji,
b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.
8. Podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracę na odległość.
9. Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie.
10. Zapisy w umowach serwisowych, podpisanych ze stronami trzecimi, gwarantujące odpowiedni poziom bezpieczeństwa informacji.
11. Zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych.
12. Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
a) dbałości o aktualizację oprogramowania,
b) minimalizowaniu ryzyka utraty informacji w wyniku awarii,
c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
e) zapewnieniu bezpieczeństwa plików systemowych,
f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.
13. Zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.
14. Rozliczalność działań użytkowników lub obiektów systemowych w systemach teleinformatycznych - oparta na dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach).

Za wyborem takiego wariantu audytu, stała potrzeba oceny przede wszystkim rzeczywistego poziomu bezpieczeństwa informacji. Normy ISO pokazują model zarządzania bezpieczeństwem informacji i obszerny katalog zabezpieczeń. Należy jednak pamiętać, że każda Jednostka powinna budować system bezpieczeństwa informacji dostosowany do własnych potrzeb (analiza ryzyka!). Adaptacja norm nie może być automatyczna i bezkrytyczna – wybrane powinny być te elementy norm i w takim zakresie, jaki jest uzasadniony obszarem merytorycznym działania Jednostki i jej zasobami.
Potencjalny problem w dokonaniu rzetelnej oceny wynika z często bardzo ogólnych sformułowań Rozporządzenia. W przypadku jednak znacznym ułatwieniem był fakt posiadania przez audytorów w Gdańsku kompetencji zarówno w zarządzaniu jak  i audycie IT.

Zaangażowanie partnerów
Miejski Ośrodek Pomocy Rodzinie w Gdańsku
Zarząd Dróg i Zieleni w Gdańsku

Ciekawostki
1. Zgodność z normami dotyczącymi systemu zarządzaniem bezpieczeństwem informacji nie zapewnia wprost „bezpieczeństwa informacji”. Innymi słowy: możemy mieć doskonały system zarządzania bezpieczeństwem informacji ale bardzo słabo zabezpieczone informacje. Jeden z wielu przykładów praktycznej kompromitacji audytów zgodności z normami serii 27000 w kategoriach rzeczywistego bezpieczeństwa przedstawia artykuł w S.C. Magazine:
http://www.scmagazine.com.au/News/263792,lazy-auditors-lay-australias-security-bare.aspx
2. W standardach i praktykach audytu IT, na które wskazują np. publikacje ISACA czy NIST, rekomenduje się podejście do zagadnień bezpieczeństwa w oparciu o zidentyfikowane ryzyka, a nie dotychczas powszechny model zgodności tylko z formalnymi regulacjami.

Główne problemy przed którymi warto przestrzegać:
1. Normy ISO a zwłaszcza PN-ISO/IEC 27001 / 17799 przedstawiają bardzo wszechstronny i szeroki model systemu bezpieczeństwa informacji. Dla mniejszych jednostek organizacyjnych jest to model referencyjny nie zawsze możliwy, a przynajmniej łatwy do „zmapowania”. Zapisy Rozporządzenia w sprawie Krakowych Ram Interoperacyjności (§ 20,21,23) stanowią syntezę podstawowych wymagań norm ISO - i dlatego mogą być z powodzeniem traktowane jako zakres przedmiotowy audytu.
2. Możliwe problemy w komunikacji podczas przeprowadzania audytu wynikające z użycia specyficznego zakresu pojęciowego, którymi posługują się normy ISO.
3. Trudności w przełożeniu na zrozumiały dla audytowanych język punktów normy PN-ISO/IEC 27001. Sformułowanie właściwych pytań, oddających sens zabezpieczeń przewidzianych przez tę normę, bez znajomości normy towarzyszącej tj. PN-ISO/IEC 17799 jest praktycznie niemożliwe. Dodatkowe utrudnienie może tu stanowić także słabe rozeznanie audytorów wewnętrznych w tematyce informatycznej.
4. Przedstawiciele komórek informatycznych często w sferze bezpieczeństwa poruszają się na poziomie czysto technicznym. Mogą nie postrzegać audytu wskazującego na zagadnienia formalno-organizacyjne za istotny z punktu widzenia bezpieczeństwa infrastruktury teleinformatycznej.

Metryczka praktyki
kontakt do osoby koordynującej:
Piotr Wojczys
58 323-68-19
piotr.wojczys@gdansk.gda.pl
Zespół Audytorów Wewnętrznych UM Gdańsk
www.gdansk.pl

Załączniki
Audyt bezpieczeństwa informacji
Zarządzenie Prezydenta Miasta Gdańska nr 1578/10