Audyt informatyczny
Audyt informatyczny – proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane[1].
Audyt jest prowadzony w celu stwierdzenia stopnia zgodności ocenianego systemu z określonym standardem lub normą wybraną jako punkt odniesienia. W przypadku audytu informatycznego są to normy dotyczące zarządzania procesami IT (ISO/IEC 20000, COBIT), zarządzania jakością (ISO 9001) lub bezpieczeństwem informatycznym (ISO/IEC 27001, PCI DSS, FIPS[2]). Normy te są zwykle zbudowane w postaci list kontrolnych, co ułatwia systematyczną weryfikację wszystkich punktów.
Częścią audytu mogą być inne, nierzadko bardzo rozbudowane procedury badania systemów informatycznych – jak analiza ryzyka czy test penetracyjny.
Normą zawierającą wytyczne odnośnie do prowadzenia audytów oraz doboru audytorów jest norma ISO/IEC 19011:2002 (dotyczy głównie audytów systemu zarządzania jakością i/lub systemów zarządzania środowiskowego). Jedną z metodyk prowadzenia audytu jest LP-A[1].
CISA certyfikat audytorów wewnętrznych IT
edytujAudyt informatyczny przeprowadzany jest przez audytorów posiadających uprawnienia w tym zakresie m.in. certyfikat CISA.
CISA (Certified Information Systems Auditor) to jedna z najbardziej znanych i prestiżowych kwalifikacji dających międzynarodowe uprawnienia audytora wewnętrznego z zakresu IT. Potwierdza, że jego posiadacz zdobył wiedzę i umiejętności pozwalające na ocenę słabych stron systemu informatycznego, firmy, planów ciągłości działania systemu informatycznego oraz zarządzania IT.
Organem wydającym Certyfikat CISA jest Information Systems Audit and Control Association (ISACA).[3]
Rodzaje audytów informatycznych
edytujAudyt informatyczny może obejmować różne obszary funkcjonowania systemu. Zasadniczo rozróżniamy 3 rodzaje audytu informatycznego:
- audyt legalności oprogramowania;
- audyt sprzętu;
- audyt bezpieczeństwa.[4]
Audyt legalności oprogramowania.
edytujPolega na weryfikacji legalności oprogramowania, zainstalowanego na urządzeniach firmowych i namierzeniu oprogramowanie nielegalnego (pirackiego). W trakcie audytu sprawdzane są m.in. jakie licencje na oprogramowanie posiada firma. Dokumenty porównywane są ze stanem faktycznym (oprogramowaniem zainstalowanym na wszystkich komputerach firmowych). Audyt pozwala m.in. uniknąć kar finansowych związanych z wykorzystaniem nielegalnego oprogramowania w firmie. [5]
Audyt sprzętu.
edytujDostarcza informacji na temat rodzajów, typów i stanie funkcjonowania sprzętu znajdującego się na wyposażeniu firmy. W trakcie audytu na każdym komputerze firmowym uruchamiane jest oprogramowanie, które pozwala na sprawdzenie konfiguracji danego sprzętu. Na podstawie tych danych można określić stan urządzeń firmowych, a także dokonywać niezbędnych ulepszeń.[6]
Audyt bezpieczeństwa
edytuj(zwany również audytem zabezpieczeń lub audytem bezpieczeństwa informacji). To rozbudowany audyt, który ma sprawdzić wszystkie mechanizmy kontroli i zabezpieczeń informacji w firmowej sieci.
Audyt bezpieczeństwa dotyczy różnych aspektów funkcjonowania firmy.
- bezpieczeństwa sieci (sprawdzenie i konfiguracja urządzeń sieciowych, routery, LAN i WLAN, oraz punktów dostępu, przełączników),
- bezpieczeństwa informacji (metody uwierzytelniania, autoryzacja, szyfrowanie, zarządzanie certyfikatami cyfrowymi),
- bezpieczeństwa aplikacji web (zabezpieczenia witryny internetowej, platform SaaS, ochrona poczty e-mail itd.)[7]
Zobacz też
edytujPrzypisy
edytuj- ↑ a b Krzysztof Liderman, Adam E. Patkowski: Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego. WAT, 2003.
- ↑ Paweł Krawczyk: Audyt wewnętrzny w zakresie bezpieczeństwa.
- ↑ CISA Certification | Certified Information Systems Auditor [online], ISACA [dostęp 2021-09-03] .
- ↑ Audyt bezpieczeństwa infrastruktury IT - IT NEWS 24 [online] [dostęp 2021-09-03] (pol.).
- ↑ Audyt bezpieczeństwa infrastruktury IT [online], TechPolska.pl, 26 lipca 2021 [dostęp 2021-09-03] (pol.).
- ↑ Audyt bezpieczeństwa infrastruktury sprzętowej IT [online], Sebitu, 2 czerwca 2021 [dostęp 2021-09-03] (pol.).
- ↑ Audyt bezpieczeństwa aplikacji – testy penetracyjne [online], Sebitu, 3 września 2021 [dostęp 2021-09-03] (pol.).