RSS
| Bezpečnostní audit krok za krokem |
|
Autor: Tomáš Přibyl, externí redaktor ICT SECURITY Na dveře klepe bezpečnostní audit. Je lhostejno, zdali k němu přistupujeme dobrovolně, z nutnosti či dokonce z donucení. Prostě je tady a my se s ním musíme nějak vypořádat. Na co se máme v takovém případě připravit? Především si musíme stanovit jasný cíl auditu. Hlavním úkolem bezpečnostního auditu je zpravidla porovnání bezpečnostní politiky s realitou. Jde tedy o to, které její požadavky a podmínky jsou plněné - a proč. A které plněné nejsou – a proč. Jen tak můžeme zjistit, zdali je vše v pořádku a zdali byly při navrhování bezpečnostní politiky vzaty v potaz všechny skutečnosti, které jsou relevantní. Stejně tak zjišťujeme, zdali nedochází k situacím, které sice vypadají dobře na papíře, ale v realitě jsou nesmyslné nebo neproveditelné. Z výše uvedeného by mohlo vyplývat, že bezpečnostní audit je o pouhé kontrole. Teoreticky tomu tak být může, prakticky jde ale o mnohem širší otázku. Nicméně musíme si ji ujasnit předem, tedy stanovit si rozsah auditu. Jistě, může jít právě a jen o provedení kontroly, zdali se vše drží ve vyhrazených mantinelech. Ale to se může stát promarněnou příležitostí, protože s vynaložením jen o trochu většího úsilí můžeme získat mnohem více. Můžeme např. provést aktualizaci souladu požadavků n Obecně se dá říci, že by mělo platit pravidlo, že má být průběžně sledovaná každá změna či zásah do systému. Prakticky to ale není možné, navíc se často zdánlivě bezvýznamné změny ukazují jako zásadní pro chod celého systému – a naopak, zdánlivě radikální řezy nezmění z hlediska bezpečnosti téměř nic. Navíc změn bývá v každodenní praxi tolik, že naprosto není možné je všechny donekonečna promítat do bezpečnostní politiky. Nevyužít bezpečnostní audit pro jejich „pitvu“ je věčná škoda. Po stanovení cíle a rozsahu auditu je na řadě další krok, kterým je vlastní zahájení bezpečnostního auditu. Což znamená shromažďování informací, protože bez nich by byl audit jen prázdným administrativním úkonem. Uvědomme si, že v této fázi se rozhoduje o tom, jak kvalitní konečný výstup z auditu bude. Zkrátka: tvoříme základy. Budou-li bytelné, bude solidní i výstup. Ale běda, budou-li prachbídné… Část věnovaná zahájení bezpečnostního auditu bývá časově nejnáročnější a její skutečná doba trvání závisí na tom, jaké jsme si v předchozích bodech stanovili cíle a rozsah auditu. Stejně tak bývá nejnáročnější technicky: představuje shromažďování dat, dotazníků, informací o procesech… Ve srovnání s tím je vlastní provedení auditu už jen procházkou růžovým sadem. Všechny podkladu jsou (měly by být…) v této fázi k dispozici, teď jde jen o to analyzovat je, propojit relevantní data atd. Od fáze zajišťování stop jsme přešli k detektivní rutině a hledání pomyslné jehly v kupce sena. Úspěch či nezdar této fáze závisí na schopnostech a zkušenostech osoby, která audit provádí. Nakolik je schopná absorbovat informace, vyřadit ty nepodstatné, vidět věci v souvislostech, uvědomovat si podobné případy z minulosti… Následuje další fáze bezpečnostního auditu, kterou je zpracování zjištění. Tedy předvedení zjištěných informací do nějaké souhrnné, přehledné a srozumitelné podoby. Jde o to, aby výsledek bezpečnostního auditu nevypadal tak, jako by byl psaný klingonsky. (Ano, stejně jako jakékoliv jiné činnosti lze bezpečnostní audit provést kvalitně nebo ho jen a prostě provést.) Dále je zapotřebí připravit výstupy tak, aby byly srozumitelné pro různé příjemce. Jiné množství a podání informací bude vyžadovat management, jiné jsou zapotřebí na úrovni CIO, jiné pro technické pracovníky, jiné pro interního auditora… Pomalu se blížíme do velkého finále a jako další úkol je před námi odsouhlasení zjištění a zapracování připomínek. Výsledek bezpečnostního auditu by neměl být slepě přijatým dokumentem, ale podkladem pro další diskusi. Zdali závěry odpovídají skutečnosti, zdali navržené změny nepřinesou v konkrétních podmínkách více škod než užitku, zdali bylo pracováno se všemi skutečně podstatnými informacemi apod. Veškeré procesy použité v celém bezpečnostním auditu by přitom měly být transparentní a přesně popsané, protože jen tak může být celý proces maximálně důvěryhodný a přijímaný všemi skupinami. Předposlední fází bezpečnostního auditu je vypracování souhrnné zprávy včetně návrhu opatření. Pokud by k výstupům auditu nebyla provedena diskuse nebo připomínky, bylo by ji možné sloučit s fází předchozí. Tento stav je ale spíše výjimkou než pravidlem, proto je nutné po odsouhlasení zjištění a zapracování připomínek vypracovat finální dokument (resp. dokumenty), který bude obsahovat jednat výstupy z auditu upravené právě na základě připomínek zodpovědných osob. Poslední fází bezpečnostního auditu je ukončení projektu. Tedy nejen zhodnocení stavu ICT, ale i vlastního bezpečnostního auditu – nezasahoval zbytečně do chodu organizace? Odpovídaly výstupy představám? Nešlo jen o administrativní úkon bez provázanosti s následnou praxí? Atd. Nepočítejte ale s tím, že jde o ukončení bezpečnostního auditu jednou provždy. Je velmi pravděpodobné, že už v průběhu jeho tvorby se informační systém začal pomalu měnit vlivem nenápadných drobných změn – a až se jich nashromáždí větší než malé množství, bezpečnostní audit nám opět nekompromisně zaklepe na dveře. Tomáš Přibyl |
