Bezpečnostní audit ICT
Plán auditu

Dobře naplánovaný audit by měl zahrnovat následující prvky:

  • Cíl auditu: Cílem může být kontrola dodržování vlastních požadavků organizace, ISO 27001, dodržování smluvních dohod a / nebo dodržování zákonných povinností, jako je GDPR nebo zákon o kybernetické bezpečnosti.
  • Rozsah: Mělo by být zřejmé, jaké činnosti spadají do stanoveného rozsahu. Například, která oddělení, zda i dodavatelé, ve kterých lokalitách apod. Je samozřejmě možné vzít v úvahu celou organizaci, ale ujistěte se, že je jasné, co se myslí „celou organizací“, protože společnosti s holdingovou strukturou mají složitou hierarchii.
  • Kritéria a dokumentace: Kritéria mohou být stanovena normou, například ISO 27001.
  • Místa: Chcete-li se vyhnout logistickým problémům a zajistit, aby náklady na audit byly odhadnuty správně, určete včas, která místa budou během auditu navštívena.
  • Data: Musí být jasné, kdy přesně bude audit proveden a co bude auditem požadováno.
  • Tým: Auditorský tým musí být objektivní, nestranný a musí mít požadované dovednosti a odborné znalosti k provedení auditu. Musí být jasné, jaká je role každé osoby v týmu.

Ze stanovení cílů pak vyplývá i základní typologie „Bezpečnostního auditu ICT“, které můžeme dělit na:

  • Procesní: Cílem je ověřit, zda procesy zajišťující bezpečnost ICT ve firmě jsou nastaveny správně;
  • Technický: Cílem je ověřit, zda bezpečnostní charakteristiky ICT systémů jsou nastaveny správně.

Obě hlavní větve ICT auditů lze dále členit dle zaměření a míry detailu, na který je audit zaměřen. Obecně nabízíme tyto typy auditů

Procesní:

  • Audit ISMS
  • Audit Incident response procesů
  • Audit Bezpečnostní politiky
  • Audit Disaster Recovery a Business Continuity plánů

Technický:

  • Audit stavu hardwaru a softwaru
  • Audit konfigurace firewallu, serverů, stanic, Wi-Fi sítí
  • Audit vzdálených přístupů
  • Audit bezpečnosti e-mailových řešení
  • Audit zabezpečení mobilních zařízení
  • Audit Antimalwarové ochrany

Audit počítačové bezpečnosti lze také rozdělit na manuální nebo pomocí měřitelných automatizovaných technik sloužících k posouzení systému nebo aplikace. Manuální hodnocení zahrnuje pohovory se zaměstnanci, prověřování zranitelnosti zabezpečení, kontrolu řízení přístupu k aplikacím a operačním systémům a analýzu fyzického přístupu k systémům. Automatizovaná hodnocení zahrnují systémově generované auditní zprávy, hlášení změn v souborech a nastaveních v systému. Systémy mohou zahrnovat osobní počítače, servery, sálové počítače, síťové routery, switche, apod.