Információbiztonsági belső auditor
jegyzet (V.02. / 2016-03-12)
Készítette: © Dr. Horváth Zsolt László
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
Tartalomjegyzék Tartalomjegyzék ...................................................................................................................2 0 Bevezetés ......................................................................................................................4 0.1 A tárgy keretei ..........................................................................................................4 0.2 Miről lesz szó ebben a tárgyban? .............................................................................4 1 Áttekintés az auditokról ...............................................................................................5 1.1 Az auditok rendszerezése ........................................................................................5 1.2 Auditálásra vonatkozó szabvány-követelmények......................................................6 1.2.1 MSZ EN ISO 19011:2012 szabvány ..................................................................6 1.2.2 MSZ EN ISO/IEC 17021-1:2016 szabvány ........................................................6 1.3 Tanúsító auditok .......................................................................................................6 1.3.1 Az irányítási rendszerek tanúsítása ...................................................................6 1.3.2 Tanúsítási folyamata szakaszai .........................................................................8 1.4 Vevői / beszállítói audit ...........................................................................................10 1.5 Tanúsító / vevői / belső auditok összehasonlítása ..................................................11 1.6 Auditok együtt ........................................................................................................12 1.6.1 A kombinált audit.............................................................................................12 1.6.2 Az integrált audit .............................................................................................13 1.6.3 Közös vagy joint auditok ..................................................................................14 1.6.4 Csoportos audit ...............................................................................................15 1.7 Ellenőrző kérdések .................................................................................................15 2 MSZ EN ISO 19011:2012 szabvány követelményei ...................................................16 2.1 Általános bemutatás ...............................................................................................16 2.2 Fogalmak magyarázata ..........................................................................................16 2.3 Az audit alapelvei ...................................................................................................17 2.4 Az auditprogram végrehajtásának irányítása ..........................................................18 2.5 Egy audit végrehajtása ...........................................................................................21 2.6 Az auditorok felkészültsége és értékelése ..............................................................22 2.7 Ellenőrző kérdések .................................................................................................23 3 A belső auditálás folyamata .......................................................................................24 3.1 A belső audit célja és csoportosítása......................................................................24 3.2 Szereplők - szerepek..............................................................................................25 3.3 A belső auditálás folyamata (életciklusa) ................................................................25 3.3.1 Megbízás a belső auditra ................................................................................26 3.3.2 A belső audit megtervezése ............................................................................26 3.3.3 A belső audit végrehajtása ..............................................................................26 3.3.4 Helyesbítő intézkedések .................................................................................27 3.3.5 A belső audit lezárása .....................................................................................27 3.4 A belső audit auditori tevékenységei – a gyakorlatban ...........................................27 3.4.1 Auditterv elkészítése .......................................................................................27 3.4.2 Dokumentáció értékelése ................................................................................28 3.4.3 Felkészülés a helyszíni szemlére ....................................................................29 3.4.4 Nyitó értekezlet a helyszíni szemlén ................................................................29 3.4.5 Felülvizsgálatok lefolytatása a helyszíni szemlén ............................................30 3.4.6 Záró értekezlet lefolytatása a helyszíni szemlén ..............................................32 3.5 A belső audit dokumentumai ..................................................................................32 3.5.1 Az éves auditprogram .....................................................................................33 © Dr. Horváth Zsolt László
2
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) 3.5.2 Az auditori megbízás .......................................................................................33 3.5.3 Az auditterv .....................................................................................................33 3.5.4 Az audit kérdéslista .........................................................................................33 3.5.5 Az audit kézi feljegyzései ................................................................................33 3.5.6 Az auditjelentés ...............................................................................................34 3.5.7 Az eltéréslap ...................................................................................................34 3.5.8 Az intézkedési terv ..........................................................................................35 3.5.9 A céges összefoglaló auditjelentés..................................................................35 3.6 Ellenőrző kérdések .................................................................................................35 4 Az MSZ ISO/IEC 27001:2014 szabvány áttekintése...................................................37 4.1 A szabvány struktúrája ...........................................................................................37 4.1.1 Új, egységes szabványstruktúra a menedzsmentrendszerekre .......................37 4.1.2 Az MSZ ISO/IEC 27001:2014 felépítése .........................................................37 4.2 A szabvány követelményei .....................................................................................38 4.2.1 4. fejezet: A szervezet és környezete ..............................................................38 4.2.2 5. fejezet: Vezetés ...........................................................................................38 4.2.3 6. fejezet: Tervezés .........................................................................................39 4.2.4 7. fejezet: Támogatás ......................................................................................40 4.2.5 8. fejezet: Működés .........................................................................................41 4.2.6 9. fejezet: Teljesítményértékelés .....................................................................42 4.2.7 10. fejezet: Fejlesztés......................................................................................42 4.2.8 Az „A” melléklet: Információbiztonsági célok és intézkedések .........................43 4.3 Az információvédelmi eljárások szakmai területei ...................................................43 4.4 Ellenőrző kérdések .................................................................................................46 5 Az információbiztonsági követelmények auditálása ................................................48 5.1 Az IBIR menedzsmentrendszer auditálása .............................................................48 5.2 Az információbiztonság nem-informatikai intézkedéseinek auditálása ....................51 5.2.1 Terület- és objektumvédelem auditálása .........................................................51 5.2.2 Hagyományos (papír alapú) adatvédelem auditálása ......................................52 5.2.3 Személyvédelem auditálása ............................................................................53 5.3 Az információbiztonság informatikai intézkedéseinek auditálása ............................54 5.3.1 Az IT üzemeltetés fizikai biztonsági auditálása ................................................55 5.3.2 Az IT üzemeltetés logikai biztonsági auditálása ...............................................56 5.3.3 További informatikai biztonsági területek auditálása ........................................57 5.4 Ellenőrző kérdések .................................................................................................59 6 Az auditori viselkedés és kommunikáció alapjai ......................................................61 6.1 Az auditori viselkedés .............................................................................................61 6.2 Kérdezéstechnika ...................................................................................................62 6.3 Tranzakció-analízis ................................................................................................64 6.4 Ellenőrző kérdések .................................................................................................67 1. Melléklet. Az MSZ ISO/IEC 27001:2015 szabvány „A” mellékletének szabályozási céljai és intézkedései .........................................................................................................68
© Dr. Horváth Zsolt László
3
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
0 Bevezetés 0.1 A tárgy keretei -
Szabadon választható, évközi jegyes tárgy, elméleti „Információbiztonsági Irányítási Rendszer alapjai” c. tárgy
-
Előadásokon elméleti anyag és gyakorlat – elsősorban a vállalatoknál az információbiztonság és az ISO/IEC 27001 szabvány követelményei, értelmezése és auditálása témában, példákkal és szituációkkal
-
A félévben: 12 előadás
-
Megszerezhető (opcionális): MSZT „Információbiztonsági belső auditor” oklevél.
-
„Vizsga” – írásbeli dolgozat a szorgalmi időszakban (egyszer ismételhető) o o
előadások,
előfeltétel:
6 db kifejtős kérdés (kérdésenként 5 – 5 pont, max. 30 pont) 60 %-tól megfelelt (2: 60%, 3: 70 %, 4: 80 %, 5: 90 %)
-
Vizsgán való részvétel feltétele: előadások során 3 tesztdolgozaton (10 – 10 kérdés) való megfelelés, külön-külön min. 60 %-os eredmény (ebből 2 pótolható)
-
Előadások törzsanyaga elérhető jegyzetben! Előadásokon további példák, magyarázatok.
-
Jegyzet: www.uni-obuda.hu/users/horvath.zsolt.laszlo ftp site-on.
-
Előadó érhetőségei: o o o o
Név: Dr. Horváth Zsolt László, ÓE KVK MAI E-Mail:
[email protected] Tel: +36 70 4198599 Munkahely: KVK Tavaszmező u. „C” épület, 410-es szoba
0.2 Miről lesz szó ebben a tárgyban? A tantárgy célja: Az irányítási rendszerek ISO 19011 szabvány szerinti auditálási követelményeinek megismerése és elsajátítása, valamint annak alkalmazása az ISO/IEC 27001 szerinti információbiztonsági irányítási rendszer auditjaira. A hallgató a tantárgy befejeztével képes legyen önállóan ISO/IEC 27001 szerinti IBIR belső auditjának illetve beszállítói auditjának megtervezésére és lefolytatására. A tananyag és tematika – mintegy folytatásként ráépül – az „Információbiztonsági Irányítási Rendszer alapjai” c. szabadon választható tárgy anyagára, és így azzal együtt megfelel a Magyar Szabványügyi Testület Oktatási Központja általi Információbiztonsági belső auditori képzésnek. A sikeres vizsgát tett hallgatók – igény szerint, az MSZT általi külön vizsgadíj ellenében, - ottani szóbeli gyakorlati vizsgát tehetnek, és megszerezhetik az MSZT „Információbiztonsági belső auditori” képzettséget igazoló oklevelét. Az előadások a következő témaköröket tárgyalják: • • • • • • •
az auditálás fogalma, célja; az auditok csoportosítás, fajtái, jellemzésük; a belső auditálás folyamatának követelményei az ISO 19011 követelményei alapján; a belső auditálás folyamata, lebonyolítása, dokumentumai; az ISO/IEC 27001 szabvány struktúrája, követelményei; az egyes információbiztonsági követelmények és auditálási szempontjaik az auditori viselkedés és kommunikáció technikái; példák és (szituációs) gyakorlatok…
© Dr. Horváth Zsolt László
4
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
1 Áttekintés az auditokról 1.1 Az auditok rendszerezése Az audit meghatározása: Az audit módszeres és független, dokumentált vizsgálat annak megállapítására, hogy az audit tárgyával kapcsolatos tevékenységek és az ezekkel összefüggő eredmények megfelelnek-e az előírásoknak, teljesülnek-e az összes auditkritériumok. Ezek az auditok ilyenformán mind ún. „megfelelési auditok”, mert az audit tárgyának a meghatározott auditkritérium(ok)hoz való megfelelését vizsgálják.
Auditok
Rendszerauditok
Belső audit (1 . Fél általi)
Termékauditok
Vevői audit (2. fél általi)
Folyamatauditok
Tanúsító audit (3. fél általi)
Az auditok tárgya szerint megkülönböztetünk: -
-
-
rendszerauditokat – az audit tárgya valamilyen irányítási rendszer (menedzsmentrendszer, pl. minőségirányítási rendszer, környezetközpontú irányítási rendszer, információbiztonsági irányítási rendszer, stb.), ahol az audit az adott irányítási rendszer meghatározott követelményhez (pl. az irányítási rendszer nemzetközi rendszerszabványa) való megfelelését vizsgálja; folyamatauditokat – az audit tárgya az auditált szervezet egy (vagy több) kiválasztott folyamata, ahol az audit annak a folyamatnak az elvárásokhoz illetve meghatározott követelményekhez viszonyított megfelelését vizsgálja; termékauditokat – az audit tárgya valamilyen kiválasztott termék, ahol az audit annak a terméknek adott követelményhez viszonyított megfelelését vizsgálja;
A továbbiakban csak a rendszerauditokkal foglalkozunk. Az auditok végrehajtója szerint megkülönböztetünk: -
első fél által végrehajtott auditokat: ez az ún. belső audit (a szervezet saját belső felülvizsgálata) második fél által végrehajtott auditokat: ez az ún. vevői audit vagy beszállítói audit (a szervezet vevője végzi)
© Dr. Horváth Zsolt László
5
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) harmadik fél által végrehajtott auditokat: független külső felülvizsgálat (ilyen az ún. tanúsító audit)
1.2 Auditálásra vonatkozó szabvány-követelmények 1.2.1 MSZ EN ISO 19011:2012 szabvány Címe: Útmutató irányítási rendszerek auditálásához Útmutatás -
irányítási rendszerek auditálása esetén belső és külső auditokhoz egyaránt használható irányítási rendszert üzemeltető vállalatok, tanúsító testületek, illetve akkreditáló testületek számára követelményeket határoz meg a következőkkel kapcsolatban: o az audit alapelvei o az auditprogram tervezése, végrehajtása és irányítása o az auditok lefolytatása o az auditorok képzettsége és felkészülése
1.2.2 MSZ EN ISO/IEC 17021-1:2016 szabvány Címe: Megfelelőség-értékelés. Irányítási rendszerek auditját és tanúsítását végző testületekre vonatkozó követelmények. 1. rész: Követelmények szabvány Az irányítási rendszereket tanúsító szervezetek további követelményeit tartalmazza – az akkreditáció alapja. Elveket és követelményeket fogalmaz meg -
-
tanúsító testületek számára. tanúsítási auditok végrehajtásához irányítási rendszerek auditálása esetén o minőségirányítási rendszer auditjához (ISO/IEC TS 17021-3) o környezetközpontú irányítási rendszer auditjához (ISO/IEC TS 17021-2) o egyéb, más irányítási rendszer auditjához (kiegészítések lehetségesek) az adott irányítási rendszer auditjának és tanúsításának felkészült, következetes és pártatlan végzésére.
1.3 Tanúsító auditok 1.3.1 Az irányítási rendszerek tanúsítása Az irányítási rendszerek tanúsítását független tanúsító szervezetek végzik. Ez a tanúsítás a tanúsított szervezetek számára az irányítási rendszereik működésének felülvizsgálatát, és a vonatkozó nemzetközi irányítási rendszerszabványnak való megfelelést igazolják. A tanúsító testületeknek a tevékenységeiket saját dokumentáltan szabályozott eljárásrendjük szigorú betartásával kell végezniük. Ennek a megfelelését a tanúsító szervezetek akkreditációja biztosítja. A rendszertanúsító szervezetek működésének követelményeit nemzetközi szabványok írják elő, amelyek a következők: -
MSZ EN ISO/IEC 17021-1:2016 MSZ EN ISO 19011:2012
© Dr. Horváth Zsolt László
6
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) A tanúsító szervezetek működését felülvizsgáló, ún. akkreditáló szervek felülvizsgálatának az alapját az ezen szabványok követelményei képezik. A rendszertanúsítások alapelvei: A folyamatot a tanúsító szervezet maga határozza meg és szabályozza, megfelelve az akkreditációs követelményeknek. Az egyes tanúsító szervezeteknél ezek az eljárásrendek hasonló elveken épülnek fel, azonban részleteiben, alkalmazott sablonokban eltérhetnek egymástól. Egy tanúsítási ciklus mindig 3 éves időtartamra szól, ennek megfelelően a kiállított tanúsítványok 3 évig érvényesek. A három éves tanúsítási ciklus érvényességének az alapja a ciklus elején egy teljes körű felülvizsgálat (először tanúsítási audit, majd 3 évente megújító vagy okirat-megújító auditok), közben évente egy kisebb fenntartó vizsgálat, felügyeleti audit. Ennek megfelelően a tanúsítási életciklus auditjainak elnevezése: 0. évben (induláskor): tanúsító audit 1. év után: 1. felügyeleti audit 2. év után: 2. felügyeleti audit 3. év után (a 3 éves ciklus újraindul): (okirat) megújító audit 4. év után: 1. felügyeleti audit 5. év után: 2. felügyeleti audit 6. év után (a 3 éves ciklus újraindul): (okirat) megújító audit 7. év után: 1. felügyeleti audit stb… A tanúsítás szakmai lebonyolítása a következő részekből áll: -
-
-
auditprogram tervezése (teljes 3 éves tanúsítási ciklusra vonatkozó auditok kereteinek megtervezése általában az auditvezető végzi) auditok tervezése, végrehajtása és dokumentálása (a konkrét auditok életciklusának végrehajtása a kijelölt auditcsoport végzi az auditvezető / vezető auditor irányításával és vezetésével) tanúsított szervezet megfelelésének értékelése (az auditok, mint felülvizsgálatok eredményei alapján, annak az auditkritériumokkal – vonatkozó irányítási rendszerszabvány követelményeivel – való összevetéssel a szervezetek követelményeknek való megfelelésének értékelése a tanúsító testület személyzete végzi, függetlenség az auditon részt vevő auditcsoporttól) döntés a tanúsítványról (megfelelés esetén döntés a tanúsítvány odaítéléséről, fenntartásáról vagy meghosszabbításáról, nem-megfelelés esetén a tanúsítvány felfüggesztéséről vagy visszavonásáról; változások esetén lehetséges a tanúsítvány érvényességének bővítése vagy szűkítése a tanúsító testület személyzete végzi, függetlenség az auditon részt vevő auditcsoporttól)
© Dr. Horváth Zsolt László
7
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
Az egyes auditok tartalma -
tanúsítási audit Ez a tanúsító általi első audit az adott ügyfélnél az adott irányítási rendszer felülvizsgálatára vonatkozóan. A tanúsítási audit jellemzően 2 szakaszból áll:
-
•
1. szakasz célja megállapítani, hogy az adott irányítási rendszer keretei rendben vannak-e, és a lényegről szólnak-e! Fő feladatok: dokumentáció elolvasása, nyitott kérdéseinek tisztázása! Alapvetően szükséges a helyszínen végezni, különösen nagy szervezetnél, sok részre bontott szervezetnél, sok telephelynél, kritikus területeken (pl. mezőgazdaság, élelmiszer, atomenergia, radiológia, stb…), vagy egyéb jelentős kockázatok esetén. Utána dokumentációértékeléssel összevont jelentés MINDIG KELL!
•
2. szakasz célja a folyamatok működése megfelelőségének bizonyítása. Ez a szakasz lényegében a működést ellenőrző, részletes helyszíni felülvizsgálat, audit. Utána részletes auditjelentés MINDIG KELL!
(okirat) megújító audit Ez a tanúsító általi, második vagy további 3-éves auditciklus esetén az auditciklusra vonatkozó első audit az adott ügyfélnél az adott irányítási rendszer felülvizsgálatára vonatkozóan. Ennek célja az audit során a következő 3 évre a tanúsítvány odaítéléséhez szükséges működési felülvizsgálat és megfelelés igazolása. Az okirat-megújító audit mindig teljes körű, és mindig csak egy (helyszíni) szakaszból áll. Első lépése az adott irányítási rendszerre vonatkozó szabályozó dokumentáció áttekintése és értékelése, majd az audit helyszíni szemléjének a megtervezése, lefolytatása és dokumentálása.
-
felügyeleti audit A tanúsítvány érvényességi ideje alatt kisebb, éves felülvizsgálat. Főbb jellemzői: • • • • •
Nem szükséges írott dokumentáció-értékelés (feltéve, ha lényegi változtatás nem történt a dokumentációban). Mindig csak egy (helyszíni) szakaszból áll. Nem szükséges az összes szabványelem felülvizsgálata. Elsősorban az adott irányítási rendszer működésén és a változások felülvizsgálatán van a hangsúly. Kisebb ráfordítás, mint a tanúsító vagy okirat-megújító auditnál.
1.3.2 Tanúsítási folyamata szakaszai A tanúsítás folyamatának 3 éves ciklusa mindig a következő szakaszokból tevődik össze: 1. szerződés-kötési szakasz -
Ajánlatkérési megkeresés az ügyfél részéről Kérdőív kiküldése ügyfélnek – igények, feltételek, tanúsítandó rendszer sarokpontjainak felmérésére Döntés (javaslat) 1. szakasz helyszíni szükségességéről Kitöltött kérdőív alapján tanúsítási ajánlatadás / szerződéskötés folyamata (inc. tanúsítás időigénye meghatározása!)
© Dr. Horváth Zsolt László
8
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
2. Auditor kijelölése, megbízása -
Adott irányítási rendszer dokumentációjának bekérése, előzetes egyeztetés a körülbelüli tanúsítási időpont igényről. Auditorok kijelölése (pártatlanság, ügyfelek elfogadják-e?) Auditorok megbízása (megbízás, dokumentáció átadása)
3. Tanúsító audit 1. szakasza – Dokumentáció (és helyszíni) felülvizsgálati szakasz -
-
3-éves auditprogram megtervezése Dokumentáció átvizsgálása és (csak első tanúsítás esetén) felkészülés az 1. szakasz helyszíni felülvizsgálatra (tanúsító általi és egyéni csekklista, kérdéslista, …) (csak első tanúsítás esetén) 1. szakaszra helyszíni felülvizsgálatra időpontegyeztetés és auditterv készítése, elküldése (csak első tanúsítás esetén)1. szakasz helyszíni felülvizsgálat lefolytatása (Folyamatot a tanúsító szervezet szabályozza) Időpont egyeztetés a 2. szakaszra (vagy okirat-megújító auditra)
4. Felkészülés a 2. szakaszra (vagy okirat-megújító auditra) – helyszíni szemlére -
1. szakaszról dokumentációértékeléssel összevont jelentés (vagy okirat-megújítás esetén csak a dokumentációértékelés) készítése, elküldése 2. szakaszra (vagy okirat-megújító auditra) auditterv elkészítése és elküldése Auditra való személyes előkészületek (tanúsító általi és egyéni csekklista, kérdéslista, …)
5. Tanúsító audit 2. szakasza (vagy okirat-megújító audit) -
Helyszíni szemle (felülvizsgálat) lefolytatása. (Folyamatot a tanúsító szervezet szabályozza.)
6. Utóaudit (opcionális) -
Utóaudit lefolytatása – a helyszínen! (Folyamatot a tanúsító testület szabályozza.)
7. Audit dokumentálása szakasz -
Audit jelentés és egyéb audittal kapcsolatos dokumentáció elkészítése és leadása a tanúsító testületnek
8. Értékelési szakasz -
-
Értékelés: tanúsító testület felülvizsgálja a folyamatot és az eredményeit (Összehasonlítja az auditálás eredményeit a követelményekkel, dönt a megfelelésről.) Tanúsítvány odaítélése, elkészítése, kiküldése Regisztráció, …
A tanúsítási ciklus közben évente felügyeleti audit lefolytatása -
Auditorok megbízása Dokumentáció változások és egyéb adatváltozások bekérése Auditra időpont-egyeztetés Felügyeleti auditra auditterv elkészítése, elküldése, egyeztetése Felkészülés a felügyeleti auditra Felügyeleti audit lefolytatása
© Dr. Horváth Zsolt László
9
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Felügyeleti audit dokumentálása (auditjelentés és a kapcsolódó dokumentációk) elkészítése, leadása a tanúsító testületnél Felügyeleti audit eredményei alapján megfelelés értékelése Döntés a tanúsítvány érvényességéről, ill. annak fenntartásáról
1.4 Vevői / beszállítói audit Vevői audit meghatározása: Vevői vagy beszállítói audit alatt azt az auditot értjük, amikor a megrendelő szervezet felülvizsgálja a saját (vagy leendő) beszállítója működését, folyamatait azért, hogy megállapítsa, azok alkalmasak-e az ő megrendelői igényeinek a kielégítésére. másképp: A beszállítói audit egy eszköz a beszállító irányítási rendszere eredményességének felügyeletéhez és igazolásához. Vevői audit célja -
-
Új szállító esetén o A megfelelő szállító kiválasztása. o A kiválasztott / kiválasztandó szállítók képességének megismerése és fejlesztése. Meglévő szállító esetén o Az együttműködés folyamatának javítása, és a szállító működésének fejlesztése. o A hibák, hiányok okainak feltárása és kijavítása / kijavíttatása (pl: romló minőségi szint esetén; magasabb vevői elvárás teljesítésének elérése érdekében).
Vevői audit csoportosítása Az audit célja / sűrűsége szempontjából: -
-
Egyszeri esemény o pl. beszállító kiválasztásakor o pl. új követelmény (termék, körülmény, feltétel színre lépésekor) o pl. hiba, probléma esetén Többszöri (folyamatos) esemény o Folyamatos beszállítói ellenőrzés vagy együttműködés keretén belül o Két beszállítói audit között eltelt idő (pl. lehet 1 év, vagy kevesebb)
Audit tárgya szempontjából: -
Rendszeraudit (egész irányítási rendszerre vagy csak egy részére) Folyamataudit (egy bizonyos folyamatra vagy folyamatcsoportra) Termékaudit (bizonyos termékekre vagy azok bizonyos jellemzőire; kapcsolódhat az eljáráshoz a folyamataudit is)
–
itt
Vevői audit életciklusa 1. Az audit egyeztetése – contracting
© Dr. Horváth Zsolt László
10
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
2. Az audit előkészítése, tervezése 3. Az audit lefolytatása 4. Utóélet – az eredmények felügyelete
1.5 Tanúsító / vevői / belső auditok összehasonlítása Szempont
Tanúsító audit
Vevői audit
Belső audit
Kategória
3. Személy általi audit
2. Személy általi audit
1. Személy általi audit
Megbízó
Auditált szervezet vezetője *
Auditált szervezet ügyfele
Auditált szervezet vezetője *
Auditor
Külső, harmadik fél (a tanúsító) alkalmazottja vagy alvállalkozója
Auditált szervezet ügyfelének alkalmazottja, vagy általa megbízott alvállalkozó
Auditált szervezet saját alkalmazottja, vagy általa megbízott alvállalkozó
Audit célja
Kifelé a megfelelőség igazolása
Beszállító kiválasztása Beszállító alkalmasságának igazolása Beszállító fejlesztése
Befelé fejlesztési lehetőségek feltárása, Követelménynek való megfelelés
Eredmény (output)
3 évig tanúsítvány + tanúsítási jelhasználat
Beszállítói nyilvántartásba vétel, „megfelelő” beszállítói státusz
Befelé egy részletes auditjelentés Input a fejlesztési tervekhez, javító / helyesbítő / megelőző intézkedésekhez
Tanúsítási (megbízási) ciklus
3 éves tanúsítási ciklusra szól
Egyénileg meghatározott, a megbízó határozza meg
Általában: 1 éves ciklus teljes körű felülvizsgálatra szól Soron kívüli auditokra esemény-generáltan ad- hoc
Audit-kritériumok
Adott ISO irányítási rendszerszabvány
Adott ISO irányítási rendszerszabvány és/vagy más vevő általi követelmények és/vagy más belső követelmények, elvárások
Audit lefolytatására kötelező előírások
ISO 19011 szabvány ISO/IEC 17021 szabvány IAF MD1, MD5 ajánlások Más irányítási rendszerre vonatkozó kiegészítések
… ajánlott előírások
Tanúsító szervezet (vagy anyavállalata) belső értelmezései, irányelvei
ISO 19011 szabvány – csak ajánlás, nem kötelező Vállalat / Megrendelő saját belső auditálási eljárásrendje, módszere
Auditálás lépései, dokumentumai
Kötött, a kötelező szabványok és a tanúsító szabályozott eljárásai és sablonjai alapján
A szervezet sokféle eljárásrendet (audit, önértékelés, egyéni módszerek, …) választhat magának. A saját eljárása határozza meg az auditálás módszerét, a dokumentálás formáját és kötöttségét!
Audit alapvető menete, lépések
---
Adott ISO irányítási rendszerszabvány 9.2 fejezete
Auditprogram tervezése Auditok tervezése, végrehajtása, értékelése Auditáltnak eltérések javítása
© Dr. Horváth Zsolt László
11
Jegyzet Szempont
Információbiztonsági belső auditor V.02. (2016-03-12)
Tanúsító audit
Vevői audit
Belső audit
Auditált szervezet hozzáállása
Kifelé megfelelést bizonyítani! „szépnek látszani”
Fő cél a vevőnek való megfelelés! Mindent meg kell tenni ezért!
Befelé az igazmondás, valóság kiderítése! Cél a problémák feltárása és kijavítása! „tükörbe nézés”
Mottó
Hazudni nem szabad, de amit az auditor nem kérdez, arra nem kell válaszolni!
Fő cél a vevőnek való megfelelés!
Nem az a belső audit eredményes, ami nem tárt fel hibát, hanem ami után nem maradt hiba!
1.6 Auditok együtt Egy tanúsító – több irányítási rendszer -
Külön tanúsítási eljárások – auditok egymástól függetlenül, más-más időpontban lefolytatva Külön tanúsítási eljárások, de auditok egyidőben, összevontan lefolytatva kombinált audit Közös (összevont) tanúsítási eljárás, auditok együtt egy eljárásban lefolytatva, átfedések kihasználásával optimalizálva integrált audit
Több tanúsító – egy (vagy több) irányítási rendszer -
Ugyanarra az irányítási rendszerre egyszerre több tanúsító általi tanúsítási eljárás külön-külön Ugyanarra az irányítási rendszerre egyszerre több tanúsító általi tanúsítási eljárás együtt, egy közös audit eljárásban joint audit (közös audit) Több irányítási rendszer esetén a fentivel kombinálható (tetszőlegesen)
Egy tanúsító – több tanúsított cég együtt csoportos audit
1.6.1 A kombinált audit A kombinált audit olyan audit, ahol az auditprogram egynél több irányítási rendszerszabvány szerinti auditeljárás lefolytatását és értékelését tartalmazza külön-külön, de egy-időben. Pl.: MIR+KIR, MIR + IBIR, MIR + KIR + MEBIR, stb. A kombinált audit lefolytatásakor -
-
az auditok helyszíni felülvizsgálata egy-időben, párhuzamosan történik; mindegyik auditot külön-külön kijelölt auditor(ok) végzi(k) egy-időben, külön-külön eljárásrend (vizsgálat, dokumentáció, ráfordítás, …) szerint; közös a nyitó- és záró értekezlet, de ott külön-külön mindegyik irányítási rendszerre az azt tanúsító auditor(ok) mindazt elvégzik, ami a saját rendszerük tanúsításához feladat, a szükséges auditidő ráfordításnál mindegyik audit ráfordítási idejét külön-külön kell kalkulálni, és az együttes auditidő (munkaidő) ráfordítás ezek összessége.
© Dr. Horváth Zsolt László
12
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
1.6.2 Az integrált audit Az integrált audit egy olyan kombinált audit, ahol egy szervezet irányítási rendszerének érettsége és az audit csoport felkészültsége lehetővé teszi az audit idő csökkentését a lehetőségek következtében, hogy az audit még hatékonyabban folytatódjék le. Az integrált audit lefolytatása -
egy, közös integrált audit-eljárás alapján történik, egy audit-team végzi; mindegyik folyamat auditálására csak egyszer kerül sor, de az egyszerre figyelembe veszi mindegyik vonatkozó szabvány követelményeit; közös audit-dokumentáció, ami megfelel mindegyik szabvány elvárásainak; a szükséges auditidő csökkenthető a szinergiák kihasználásával.
További előnyök: átláthatóság
Idő és ráfordítás megtakarítása, átfedések csökkentése, jobb
Mitől függ az, hogy az audit integrált lehessen? -
egy szervezet irányítási rendszerének érettségétől, azaz az irányítási rendszerek integráltságának fokától; az audit csoport felkészültségétől;
Követelmények az auditcsoporttal szemben: -
-
Auditvezető: o Auditvezetői kinevezés mindegyik érintett irányítási rendszerből o Szakmai kompetencia a tanúsítások érvényességi területén (érvényes EA Scope-ok), de legalább a fő üzleti / érvényességi területeken o Tapasztalat integrált audit lefolytatásában, irányításában Auditorok – akik a tervezéskor egy folyamat során egyszerre több szabvány követelményeit vizsgálják: o Auditori kinevezés a vizsgált szabványokra, érvényesen a vizsgált területre (EA scope)
Integrált auditnál figyelembe venni -
-
-
Audit tervezése: o auditorok szakmai ismereteinek, képzettségeinek és képességeinek ismerete, o a feladatok megosztásakor auditor specialitások figyelembevétele, Az auditálás folyamata: o felelősségek tisztázása, megosztása, o feljegyzések készítésének összhangja, o irányítási rendszerek szakma-specifikus követelményeinek igazolása, o záró-értekezleten az audit értékelésének munkamegosztása. Az audit dokumentálása: o munkamegosztás a jelentés készítésben, o a határidők tartása
Integrált audit végrehajtásának feltétele még – az ügyfél oldalon – egy integrált irányítási rendszer megléte és működése.
© Dr. Horváth Zsolt László
13
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
Mit is jelent az integrált irányítási rendszer? Az integrált irányítási rendszer egy olyan rendszer, amely politikát és célokat határoz meg, és ezeket a célokat több irányítási terület integrált működtetésével éri el ahelyett, hogy több rendszert működtetne párhuzamosan. Integrált rendszer (érettségének) kritériumai: -
integrált politika, integrált szervezet (felelősségek meghatározása, elosztása, működtetése), integrált menedzsment-elemek (közös belső audit, vezetőségi átvizsgálás, kontrolling, …) integrált folyamat-szabályozás és dokumentáció (közös kézikönyv, folyamatszabályozások egyszerre tartalmazzák mindegyik vonatkozó szabvány követelményeit)
Az integrált irányítási rendszer előnyei -
közös menedzsment elemek közös használata, nincsenek párhuzamos és fölösleges tevékenységek, felelősségek áttekinthetőbbek, egyértelműek, ráfordítások, erőforrások felhasználásának csökkentése, optimalizálása, dokumentációs rendszer mennyiségének csökkentése, könnyebb illesztés a vállalati stratégiához és célokhoz, vállalat hatékonyságának növelése,
Integrált rendszer – integrált auditok „problémái” A számos előnyük mellett nehezen terjednek el, mert nehéz a feltételek teljesítése: -
-
Az auditálandó szervezet részéről: o nehezebb, mert több szakmai felkészülést és képzettséget igényel; o belső érdekellentétek lehetnek (kiskirályságok megszüntetése, folyamatok átláthatóbbá tétele, …); o nehéz megfelelő kompetenciájú tanácsadót választani; o nehéz megfelelő kompetenciájú tanúsítót választani; A tanúsító szervezet részéről: o több szervezést igényel; o nehezebb a különböző (3-éves) tanúsítási ciklusok egyeztetése; o az audit-idő csökkentés és ár-kedvezmények miatt bevétel csökkenés; o nagyon kevés a megfelelő kompetenciájú auditor.
1.6.3 Közös vagy joint auditok Egy auditálási folyamatban egyszerre két (vagy több) tanúsító vesz részt. Mikor van erre igény? -
Ha az ügyfélkör vagy anyavállalat (pl. multi esetében) ugyanannak az irányítási rendszernek több tanúsító általi tanúsítását kívánja egyszerre megszerezni; Ha az elvárt tanúsító az adott országban önállóan nincs jelen, és csak mással közösen tud tanúsítani; Ha integrált irányítási rendszer esetén az elvárt tanúsító nem tudja mindegyik irányítási rendszert tanúsítani. (joint kombinált audit);
© Dr. Horváth Zsolt László
14
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
Közös audit lefolytatása: -
Közös az auditprogram, tervezés, eljárás; Munka-, feladat- és felelősség- megosztás; Kompetenciák tisztázása; Dokumentálás tisztázása (közös vagy külön-külön)
1.6.4 Csoportos audit Egy tanúsító – több tanúsított cég együtt csoportos audit -
Jellemző igény: holding, közös tulajdonoshoz tartozó (közös irányítású) cégcsoport, multi több leányvállalata egyidejű auditálásakor Közös menedzsment elemek, közös vezetés és MIR vezetés, audit lefolytatása is együtt Egy tanúsítási eljárás / egy tanúsítási, regisztrációs számon fut Egy közös tanúsítvány (cégcsoport felsorolásával) + al-tanúsítványok cégenként Eljárás hasonlít a több-telephelyes audithoz Tanúsítási auditnál minden tanúsított cég; felügyeleti auditkor (központ kivételével) egyes cégek kimaradhatnak Külön szabályok tervezéskor az audit-ráfordításokra, telephelyek kiválasztására, …
1.7 Ellenőrző kérdések -
-
Hogyan csoportosíthatjuk az auditokat az audit tárgya illetve a végrehajtója szerint? Jellemezze röviden az egyes csoportokat! Mutassa be, hogy a tanúsítás során milyen auditokat hajt végre a tanúsító szervezet, és jellemezze röviden ezeket az auditokat! Mutassa meg, hogy milyen lépésekből (szakaszokból) áll a tanúsítás folyamata! Mi a tartalma a tanúsítási audit első és második szakaszának? Hogyan csoportosítja a vevői auditokat? Hasonlítsa össze a tanúsító, a vevői és a belső auditokat az auditok célja, megbízója, végrehajtója, jellemző ciklusideje szempontjából! Hasonlítsa össze a tanúsító, a vevői és a belső auditokat az auditok végrehajtási követelményei, alapvető lépései és elvárt eredményei szempontjából! Milyen audittípusokat ismer egy vagy több tanúsító – egy vagy több irányítási rendszer auditjai esetére, és mutassa meg, hogy mit jelentenek ezek az audit típusok! Hasonlítsa össze a kombinált auditot és az integrált auditot. Mit jelent az integrált irányítási rendszer? Mik a főbb jellemzői, és a főbb előnyei?
© Dr. Horváth Zsolt László
15
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
2 MSZ EN ISO 19011:2012 szabvány követelményei 2.1 Általános bemutatás Címe: Útmutató irányítási rendszerek auditálásához Útmutatás: -
Irányítási rendszerek auditálása esetén Belső és külső auditokhoz egyaránt használható Irányítási rendszert üzemeltető vállalatok, tanúsító testületek, illetve akkreditáló testületek számára Követelmények a következőkkel kapcsolatban: o az audit alapelvei o az auditprogram tervezése, végrehajtása és irányítása o az auditok lefolytatása o az auditorok képzettsége és felkészülése
Az MSZ EN ISO 19011:2012 szabvány struktúrája
1. 2. 3. 4. 5. 6. 7.
Előszó Bevezetés Alkalmazási terület Rendelkező hivatkozások Szakkifejezések és meghatározások Az auditálás alapelvei Az auditprogram irányítása Egy audit végrehajtása Az auditorok felkészültsége és értékelése Mellékletek
2.2 Fogalmak magyarázata -
audit: Módszeres, független és dokumentált folyamat auditbizonyíték megszerzésére és objektív értékelésére annak meghatározása céljából, hogy az auditkritériumok milyen mértékben teljesülnek. MEGJEGYZÉS: A belső auditokat, amelyeket néha első fél által végzett auditoknak neveznek, maga a szervezet végzi, vagy az ő megbízásából végzik, vezetőségi átvizsgáláshoz és más belső célokra (pl. az irányítási rendszer eredményességének bizonyítására vagy információk megszerzésére az irányítási rendszer fejlesztéséhez). A belső auditok alapul szolgálhatnak ahhoz, hogy egy szervezet saját megfelelőségi nyilatkozatot tegyen. Sok esetben, különösen kis szervezetek esetében, a függetlenség bizonyítható az auditált tevékenységért viselt felelősségtől való függetlenséggel vagy elfogulatlansággal és az összeférhetetlenség elkerülésével. MEGJEGYZÉS: A külső auditok magukban foglalják a második és harmadik fél által végzett auditokat. Második fél által végzett auditokat olyan felek hajtanak végre, amelyek érdekeltek a szervezetben, mint pl. annak vevői vagy az általuk megbízott más személyek. Harmadik fél által végzett auditokat független auditáló szervezetek hajtanak végre, mint pl. szabályozó hatóságok vagy azok, amelyek tanúsítványt adnak ki.
-
auditkritériumok: Hivatkozási alapként használt irányvonalak (politikák), eljárások vagy követelmények, amelyekkel az auditbizonyítékot összehasonlítják.
© Dr. Horváth Zsolt László
16
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) MEGJEGYZÉS: Ha a kritériumok jogszabályi követelmények (beleértve az egyéb szabályozói követelményeket), gyakran használják a „megfelel” („compliant”) vagy „nem felel meg” („non-compliant”) kifejezéseket egy audit-megállapításban.
-
auditbizonyíték: Az auditkritériumokra vonatkozó, ellenőrizhető feljegyzések, ténymegállapítások vagy egyéb információk.
-
az audit megállapításai: Az összegyűjtött auditbizonyítékok és az auditkritériumok összehasonlító kiértékelésének eredménye. MEGJEGYZÉS: Az audit megállapításai jelzik a megfelelőséget vagy nem megfelelőséget (eltérést). MEGJEGYZÉS: Az audit megállapításai elvezethetnek a fejlesztési lehetőségek azonosításához vagy a jó gyakorlatok rögzítéséhez. MEGJEGYZÉS: Ha az auditkritériumokat jogszabályi vagy egyéb követelmények közül választják ki, az audit megállapítása: „megfelelő” (compliance) vagy „nem megfelelő” (non-compliance).
-
az audit következtetése: Az auditnak az audit céljai és az audit valamennyi megállapítása figyelembevételével megállapított végeredménye.
-
auditprogram: Megegyezés egy meghatározott időtartamra tervezett, meghatározott célra irányuló egy vagy több audit együttesére.
-
auditterv: Audittal kapcsolatos tevékenységek és intézkedések leírása.
-
az audit ügyfele: Az auditot kérő / az auditmegbízást adó személy vagy szervezet. MEGJEGYZÉS: Belső felülvizsgálat esetén az audit ügyfele lehet az auditálás alatti szervezet vagy az auditprogramot irányító személy is. Külső auditra vonatkozó kérés érkezhet olyan helyekről, mint pl. szabályozó hatóságok, szerződéses partnerek vagy lehetséges ügyfelek.
-
auditálás alatti szervezet: Az a szervezet, amelyet auditálnak.
-
auditor: Az a személy, aki auditot végez.
-
auditcsoport: Egy vagy több auditor, aki auditot végez, ha szükséges, szakterületi szakértők támogatásával. MEGJEGYZÉS: Az auditcsoport egyik auditora az auditcsoport kinevezett vezetője. MEGJEGYZÉS: Az auditcsoportban lehetnek auditorjelöltek (betanuló auditorok) is.
2.3 Az audit alapelvei -
Tisztességes magatartás – a szakmai hozzáértés alapja (gondos és felelősségteljes munkavégzés, felkészültség, megfelelés, becsületesség, pártatlanság, elfogulatlanság)
-
Tárgyilagos beszámolás – a valóságnak megfelelő kötelezettsége (a valóságnak megfelelő és pontos jelentési kötelezettsége)
-
Kellő szakmai gondosság – szorgalom és ítélőképesség alkalmazása az audit során (az auditor megfelelő felkészültsége, igyekezet és ítélőképesség alkalmazása az auditban)
-
Bizalmasság – az információk bizalmassága (az érzékeny és bizalmas információk megfelelő kezelése)
© Dr. Horváth Zsolt László
és
jogszabályoknak pontos
jelentés
17
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) pártatlanságának és az auditkövetkeztetések
-
Függetlenség – az audit objektivitásának az alapja (auditorok függetlensége az auditált tevékenységtől és cégtől, auditkövetkeztetések objektivitása)
-
Bizonyítékokon alapuló megközelítés – ez az ésszerű módja annak, hogy módszeres auditfolyamatban megbízható és reprodukálható auditkövetkeztetésekre jussanak (igazolható audit-bizonyítékok, mintavételes vizsgálat helyes alkalmazása)
2.4 Az auditprogram végrehajtásának irányítása Az auditprogram egy meghatározott időtartamra tervezett, meghatározott célra irányuló egy vagy több audit együtteséről szóló megegyezés. Példa: -
Belső auditálás esetén tartalmazhatja a szervezet teljes irányítási rendszerét lefedő, éves összes belső auditot. Beszállítói auditálás esetén lehet az egy időszakra és az adott termékre vagy termékcsoportra vonatkozott auditok összessége. Tanúsító auditálás esetén lehet az egy (3-éves) auditciklusra tervezett összes audit.
Az auditprogramot irányító személy (másképp: auditprogram végrehajtásáért felelős személy) az a személy, aki a teljes auditprogram tervezéséért, lebonyolításáért, felügyeletéért és fejlesztéséért felelős – az auditot végrehajtó szervezeten belül. Az auditprogram életciklusa:
Az auditprogram tartalmazza azokat az információkat és erőforrásokat, amelyek az auditok eredményes és hatékony megszervezéséhez és végrehajtásához szükségesek a megadott időkereten belül. Az auditprogram tartalmazhatja még … -
az auditprogram és az egyes auditok céljait; az auditok terjedelmét / számát / típusát / időtartamát / helyszínét / ütemezését; az auditprogram eljárásait; az audit kritériumait;
© Dr. Horváth Zsolt László
18
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12)
az auditmódszereket; az auditcsoportok kiválasztását; a szükséges erőforrásokat, beleértve az utazást és a szállást; a bizalmasság, információbiztonság, egészség és biztonság és hasonló témák kezelésének folyamatait.
Az auditprogram céljai legyenek összhangban és támogassák az irányítási rendszer politikáját és céljait. Szempontok az auditprogram céljainak meghatározásához: -
a vezetőség előnyben részesített szempontjai; kereskedelmi és más üzleti szándékok; folyamatok, termékek, projektek jellemzői és ezek bármely változása; irányítási rendszerek követelményei; jogszabályi, szerződéses és más követelmények, amelyek iránt a szervezet elkötelezett; szállítóértékelésre vonatkozó igény; érdekelt felek, beleértve a vevőket, igényei és elvárásai; az auditálás alatti szervezet teljesítményszintje, ahogy az a hibák, zavaró események vagy vevői panaszok előfordulásában tükröződik; az auditálás alatti szervezet kockázatai; a megelőző auditok eredményei; az auditált irányítási rendszer fejlettségi szintje.
Az auditprogram céljai lehetnek – példák -
hozzájárulás az irányítási rendszer és annak működése fejlesztéséhez; külső követelmények teljesítése, pl. egy irányítási rendszer-szabvány szerinti tanúsítás; szerződéses követelményeknek való megfelelés igazolása; bizonyosság megszerzése és fenntartása egy szállító képességében; az irányítási rendszer eredményességének meghatározása; az irányítási rendszer céljainak az irányítási rendszer politikájával és az általános szervezeti célokkal való összhangjának és összehangolásának értékelése;
Szempontok az auditprogram kidolgozásakor: -
-
-
az auditprogramot irányító személy szerepe és felelősségei (auditprogram irányításához szükséges ismeretek, kompetencia, felkészültség…) az auditprogram terjedelmének megállapítása (Az auditálás alatti szervezet méretétől és jellegétől, valamint az auditálandó irányítási rendszer jellegétől, működésétől, bonyolultságától, fejlettségi szintjétől, valamint az irányítási rendszer jelentős témáitól függ.) az auditprogram kockázatainak azonosítása és értékelése (Sok olyan, az auditálási program kidolgozásával, megvalósításával, figyelemmel kísérésével, átvizsgálásával és fejlesztésével kapcsolatos kockázat van, amely hatással lehet a program céljainak teljesítésére. A programot irányító személy vegye figyelembe ezeket a kockázatokat a program kidolgozása során.) az auditprogram végrehajtásához tartozó eljárások kidolgozása (Ezek az eljárások foglalkoznak az auditprogram végrehajtása feltételeinek biztosításával, valamint az auditprogram végrehajtását szabályozzák kellő eljárásokkal, sablonokkal és kontrolokkal…)
© Dr. Horváth Zsolt László
19
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) az auditprogram erőforrásainak azonosítása (… mindenféle szüksége erőforrás figyelembe vétele: humán, pénzbeli, idő, utazási feltételek, infrastruktúra és eszközök …)
Szempontok az auditprogram végrehajtásakor: -
-
-
-
az egyedi auditok céljainak, területének és kritériumainak meghatározása (Az auditcélok határozzák meg azt, amit az egyes auditokkal el kell érni, és tartalmazhatják pl. annak meghatározását, hogy az auditálandó irányítási rendszer vagy annak részei milyen mértékben felelnek meg az auditálási kritériumoknak, illetve az adott irányítási rendszer lehetséges fejlesztési területeinek meghatározását.) az auditmódszerek kiválasztása (az auditprogramot irányító személy határozza meg, testre szabottan…) az auditcsoport tagjainak kiválasztása (az auditprogramot irányító személy határozza meg, testre szabottan, figyelembe véve a rendelkezésre álló kereteket, auditcélokat, auditorok függetlenségét és kompetenciáját, stb.) az egyedi auditért viselt felelősség kijelölése az auditcsoport vezetőjének; az auditprogram végeredményének kezelése (Ezek a feladatok: auditjelentés átvizsgálása, jóváhagyása, helyesbítő és megelőző intézkedések eredményességének vizsgálata, auditjelentések elosztása, …) az auditprogram feljegyzéseinek kezelése és megőrzése (Feladat annak biztosítása, hogy az audit során a szükséges feljegyzéseket létrehozzák, kezeljék, megőrizzék az auditprogram megvalósításának igazolására, valamint a benne lévő információk bizalmasságát megőrizzék. Ezek a feljegyzések az auditprogrammal, az egyes auditokkal, valamint az auditokban résztvevő személyekkel kapcsolatos feljegyzések.)
Az auditprogram figyelemmel kísérése, átvizsgálása és fejlesztése: Az auditprogramot az auditprogramot irányító személy feladata az auditprogram megvalósításának figyelemmel kísérése, az egyes lépések szükség szerinti koordinálása, illetve szükség szerint az auditprogram módosítása. Az auditprogram végrehajtását és eredményeit az auditprogramot irányító személy felülvizsgálja és értékeli, és javaslatokat tesz annak fejlesztésére.
© Dr. Horváth Zsolt László
20
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
2.5 Egy audit végrehajtása Áttekintés egy audit életciklusában a jellemző audit-tevékenységekről:
Az egyes lépések fő tartalmi elemei / tevékenységei: Az audit elindítása -
Kezdeti kapcsolatfelvétel az auditálás alatti szervezettel Az audit teljesíthetőségének meghatározása
Az audittevékenységek előkészítése -
Dokumentumátvizsgálás elvégzése az auditra való felkészülés során Az auditterv elkészítése A munka kiadása az auditcsoportnak Munkadokumentumok készítése
Az audittevékenységek végrehajtása -
A nyitóértekezlet lefolytatása Dokumentumátvizsgálás elvégzése az audit végrehajtása során Kapcsolattartás az audit során A kísérők és megfigyelők szerepeinek és felelősségeinek kijelölése Információk gyűjtése és igazolása Az audit megállapításainak megfogalmazása Az auditkövetkeztetések elkészítése A záró értekezlet lefolytatása
Az auditjelentés elkészítése és elosztása -
Az auditjelentés elkészítése Az auditjelentés elosztása
Audit befejezése Auditot követő tevékenységek
© Dr. Horváth Zsolt László
21
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
2.6 Az auditorok felkészültsége és értékelése A szervezetnek eljárást kell kidolgoznia az auditorok értékelésére, amelyek tartalmazzák -
az auditorok szükséges és elvárt kompetenciáját, tudását, az értékelési kritériumokat, az auditorok értékelésének módját és végrehajtási eljárásait, az auditorok fejlesztésére vonatkozó (képzési) eljárásokat.
Auditori felkészültséggel kapcsolatos követelmények területei: -
Személyes viselkedésmód Ismeretek és készségek Végzettség, munkatapasztalat Auditori képzettség, auditori gyakorlatok
Személyes viselkedésmód -
etikus: tisztességes, szavahihető, őszinte, becsületes és titoktartó; nyitott gondolkodású: hajlandó más elgondolások vagy vélemények megfontolására; diplomatikus: tapintatos az emberekkel való kapcsolatában; jó megfigyelő: aktív észlelője a fizikai környezetnek és tevékenységeknek; érzékelő: ösztönös felismerője a helyzeteknek, aki ki is ismeri magát ezekben; rugalmas: gyorsan alkalmazkodó a különböző helyzetekhez; kitartó: szívós, aki összpontosít a célok elérésére; határozott: képes kellő időben következtetéseket levonni logikai megfontolás és elemzés alapján; magabiztos: képes független tevékenységre és működésre, miközben eredményesen együttműködik másokkal; állhatatos: felelős és etikus cselekvés akkor is, ha ez nem feltétlenül népszerű; nyitott a fejlődésre: tudnak és hajlandók tanulni a helyzetekből; kulturálisan érzékeny: tiszteletben tartja az auditált szervezet kultúráját; együttműködő: másokkal (az auditcsoport tagjaival, a szervezet munkatársaival).
Ismeretek és készségek a következő területeken szükségesek: -
Az audit alapelvei, eljárásai, módszerei Az irányítási rendszerdokumentumok, és a bennük hivatkozott dokumentumok megértésének és értékelésének képessége Szervezeti környezet, jogszabályi és egyéb követelmény háttér Szakterületi, ágazati ismeretek és készségek
Példa – a szabványból: A7. Szemléltető példa az auditorok szakterületre jellemző ismereteire és készségeire az információbiztonság irányításában A szakterülettel és a szakterületre jellemző módszerek, technikák, folyamatok és gyakorlat alkalmazásával kapcsolatos ismeretek és készségek legyenek elegendőek ahhoz, hogy az auditor képes legyen megvizsgálni az irányítási rendszert és megfelelő audit-megállapításokat és -következtetéseket megfogalmazni. Ilyen példák a következők: -
az útmutatók az olyan szabványokból, mint például: ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 és ISO/IEC 27005; a vevők és az érdekelt felek követelményeinek azonosítása és értékelése;
© Dr. Horváth Zsolt László
22
Jegyzet -
-
-
Információbiztonsági belső auditor V.02. (2016-03-12) az információbiztonsággal foglalkozó törvények és szabályozások (pl. szellemi tulajdon; szervezeti feljegyzések tartalma, megóvása és megőrzése; adatvédelem és az adatok titkossága; a titkosítási intézkedések szabályozása; antiterrorizmus; elektronikus kereskedelem; elektronikus és digitális aláírás; munkahely-felügyelet; munkahelyi ergonómia; telekommunikációs elfogás és adatok, pl. elektronikus levél ellenőrzése, számítógépes visszaélés, elektronikus bizonyítékgyűjtés, behatolásvizsgálat stb.); az információbiztonság irányításának alapjául szolgáló folyamatok, tudomány és technológia; kockázatfelmérés (azonosítás, elemzés és értékelés) és trendek a technológiában, fenyegetésekben és sebezhetőségekben; információbiztonsági kockázatkezelés; az információbiztonsági intézkedésekkel (elektronikus és fizikai) kapcsolatos módszerek és gyakorlat; az információk sértetlenségével és érzékenységével kapcsolatos módszerek és gyakorlat; az információbiztonsági irányítási rendszer és a kapcsolódó intézkedések eredményességének mérésével és értékelésével kapcsolatos módszerek és gyakorlat; a működés mérésével, figyelemmel kísérésével és feljegyzésével (beleértve a vizsgálatokat, auditokat, átvizsgálásokat) kapcsolatos módszerek és gyakorlat.
MEGJEGYZÉS: További információk találhatók az ISO/IEC JTC 1/SC 27 által az információbiztonság irányításához kidolgozott vonatkozó szabványokban.
2.7 Ellenőrző kérdések -
Mik tartoznak az audit alapelvei közé, és mi a céljuk azoknak az alapelveknek? Mutassa be, mi az auditprogram és az auditterv közötti különbség! Mutassa be az auditprogram végrehajtásának életciklusát, jellemezze röviden az egyes szakaszok feladatait! Mutasson példákat az auditprogram lehetséges céljaira! (legalább 5 példát soroljon fel!) Mutassa be az auditprogram irányításáért felelős személy feladatait az auditprogram kidolgozásának szakaszában! Mutassa be az auditprogram irányításáért felelős személy feladatait az auditprogram végrehajtásának szakaszában! Mutassa be az egyes auditok végrehajtásának életciklusát, és az egyes szakaszokban a fontosabb tevékenységeket! Melyek az auditori viselkedés elvárt tulajdonságai, jegyei? (Mutasson be legalább 5 példát!) Milyen területeken kell megfelelő ismeretekkel és képességekkel rendelkeznie az auditornak? Milyen jellemző szakmai ismeretekkel kell az információbiztonsági irányítási rendszerek auditorainak rendelkezniük?
© Dr. Horváth Zsolt László
23
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
3 A belső auditálás folyamata 3.1 A belső audit célja és csoportosítása A belső auditálás célja annak vizsgálata, hogy a működtetett irányítási rendszer -
megfelel-e a tervezett intézkedéseknek, megfelel-e a szabvány követelményeinek, megfelel-e a (vonatkozó) jogszabályi követelményeknek, megfelel-e a vele szembeni vállalati követelményeknek, bevezetése és működése eredményes-e?
A belső auditok csoportosítása A belső audit „végrehajtója” szerint -
-
Vállalat belső munkatársa(i) Célszerűen (lehetőség szerint) legalább két belső auditor legyen, de jobb a több; Előnyös közepes és nagy vállalatoknál; Külső megbízott(ak) Előnyös a nagyon kis, ún. mikro-vállalatoknál; Szerződéses megbízásos alapon; Általában a felkészítő / tanácsadó munkatársai, de lehetnek mások is; FIGYELEM! A pártatlanság miatt a belső auditot ellátó cégnek / embernek függetlennek kell lennie a minket tanúsító szervezettől!
A belső audit „indíttatása” szerint -
-
Vállalati tervezett ciklikus belső audit Előre (hosszú távon) tervezett, és az (éves) terv szerint végrehajtott; Teljes körű; Soron kívüli belső audit Általában alaposabb indok (nagyobb eltérések, határidő csúszások, vevői panaszok, minőségproblémák, stb.) alapján rendelik el; Általában nem teljes körűek, pl. csak egyes projekt(ek)re, folyamat(ok)ra, szervezeti egység(ek)re vagy szabványelem(ek)re vonatkoznak; Indításkor azonnal egyszerre végrehajtják;
A belső audit „szervezése” szerint -
-
Szabványelemek szerint Folyamatok szerint (Vigyázat – ez nem azonos a dokumentált eljárási utasítások végrehajtásának ellenőrzésével!) Szervezeti struktúra szerint FONTOS: A belső auditnak teljes körűnek kell lennie!
A belső audit „lefolytatási módszere” szerint ... nagyon sokféle, akár egyedi módszer is megengedett! Alapvető, hogy feleljen meg -
a szabvány által megkövetelt feltételeknek, a vállalat viszonyainak és a vele szemben támasztott elvárt célkitűzéseinek, a saját kidolgozott és dokumentált eljárásainak, és a tervezése, végrehajtása és eredményei utólagosan igazolhatók legyenek.
© Dr. Horváth Zsolt László
24
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) Ez maga a belső audit eljárás, amit minden vállalatnak dokumentáltan el kell készítenie magának! (pl. belső audit eljárási utasítás formában) A belső audit végrehajtása, azaz a konkrét kivitelezés módja azonban lehet nagyon sokféle is, NINCS egyetlen definiált, kötelező eljárási mód! Az eljárás kialakításánál teljesülni kell a szabvány elvárásainak, a folyamat logikája által megkövetelt alapelveknek, de mindig az eljárást mindig igazítani kell a konkrét vállalati és környezeti adottságokhoz (vállalat mérete, tevékenységi köre és jellege, telephelyi adottságok, rendelkezésre álló erőforrások, kulturális környezet, stb…).
3.2 Szereplők - szerepek Felső vezető (pl. ügyvezető igazgató, vezérigazgató, ...) -
elrendeli a vállalati szintű belső audit lefolytatását; jóváhagyja az éves auditprogramot; megbízza az auditorokat (delegálható a minőségirányítási vezetőnek); megkapja az éves auditjelentést, döntést hoz vállalati szintű intézkedésekről;
Adott irányítási rendszer vezetője -
megtervezi a vállalati éves auditprogramot, koordinálja a lefolytatást; nyomon követi az helyesbítő intézkedések végrehajtását; összefoglalja és kiértékeli a végrehajtott éves auditprogram eredményeit;
Belső vezető auditor -
megtervezi az egyes konkrét auditokat; egyeztet az auditálandó terület vezetőjével; végrehajtja, kiértékeli és dokumentálja a lefolytatott auditokat;
Belső auditor -
auditorként részt vesz az audit lefolytatásában;
Személyi feltételek (IBIR) belső auditori / vezető auditori kinevezéshez: o o o o o
MSZ ISO/IEC 27001 szabvány alapos ismerete Minőségirányítási / információbiztonsági / informatikai ismeretek Auditált terület szakmai ismerete Belső auditori képzettség Személyi alkalmasság auditori feladatok ellátására, …
Auditált vezető -
biztosítja az audit lefolytatásának feltételeit; Interview-alanyként részt vesz az audit lefolytatásában; az audit eredményei alapján intézkedési tervet dolgoz ki és hajt végre;
Auditált munkatárs -
Interview-alanyként részt vesz az audit lefolytatásában.
3.3 A belső auditálás folyamata (életciklusa) A belső audit éves ciklusának lépései: 1. (Megbízás a belső auditra)
© Dr. Horváth Zsolt László
25
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
2. A belső audit megtervezése o Auditprogram elkészítése, jóváhagyása, auditorok megbízása 3. A belső audit végrehajtása o Auditok megtervezése, végrehajtása és dokumentálása o Auditok koordinálása, szervezése, nyomon követése 4. Helyesbítő intézkedések o Eltérésekre intézkedési terv készítése és végrehajtása o Intézkedések végrehajtásának nyomon követése, eltérések lezárása 5. A belső audit lezárása o Auditok eredményeinek összefoglalása, kiértékelése, prezentálása o Céges szintű helyesbítő intézkedések bevezetése
3.3.1 Megbízás a belső auditra Valódi belső auditorok munkája esetén: -
Előfeltétel: dokumentáltan kidolgozott auditálási módszertan, eljárás. A vállalat első számú vezetője megbízást ad az adott irányítási rendszer vezetőjének az éves belső audit lefolytatására. Ez a megbízás sokszor magától értetődő, az adott IR alapvető része, és így elmarad.
Külső szakértő belső auditori megbízásakor: -
A vállalat első vezetője megbízást ad a külső szakértőnek az éves belső audit lefolytatására. Ez a megbízás szerződéses megbízást jelent egyben. A megbízás tartalmazza (többek közt), hogy milyen eljárás alapján történjen az audit folyamata.
3.3.2 A belső audit megtervezése -
Éves auditprogram elkészítése (adott irányítási rendszer vezetője / a külső megbízott szakértő) Éves auditprogram beterjesztése az első számú vezetőhöz (adott irányítási rendszer vezetője / a külső megbízott szakértő) Éves auditprogram jóváhagyása (vállalat első számú vezetője) Auditorok megbízása (vállalat első számú vezetője, de ezt delegálhatja az adott irányítási rendszer vezetőjének is); Külső „belső audit” esetén az auditálást a külső szakértő auditor vagy annak egy munkatársa végzi, az auditori megbízást az auditálásra vonatkozó megbízási szerződés magában foglalja.
3.3.3 A belső audit végrehajtása -
Az egyes területi auditok részleteinek (időpont, auditba bevont témakörök, munkatársak) egyeztetése az auditálandó egység vezetőjével (vezető auditor) Az egyes területi auditok megtervezése (vezető auditor) Az egyes területi auditok végrehajtása (dokumentáció ellenőrzése és a helyszíni szemle lefolytatása, eredmények megbeszélése) (vezető auditor, auditor) Az egyes területi auditok dokumentálása (kitöltött audit feljegyzések, eltérések, audit jelentés) (vezető auditor)
© Dr. Horváth Zsolt László
26
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Auditok szervezése, nyomon követése és koordinálása (minőségirányítási vezető / külső megbízott szakértő) Auditok eredményeinek begyűjtése, figyelése (adott irányítási rendszer vezetője / külső megbízott szakértő)
3.3.4 Helyesbítő intézkedések -
Eltérésekre kötelezően (és a fejlesztési lehetőségekre javasoltan) intézkedési terv készítése, elküldése az adott irányítási rendszer vezetőjének, és az intézkedések végrehajtása (auditált egység vezetője) Az intézkedések terjedjenek ki a probléma megoldására (helyesbítések) és a probléma okának feltárására és annak megszüntetésére (helyesbítő intézkedések) is.
-
Intézkedések végrehajtásának nyomon követése, eltérések lezárása (adott irányítási rendszer vezetője) (Bevezetett intézkedések hatékonyságának ellenőrzésére sokszor a következő évi belső auditon kerül sor.)
3.3.5 A belső audit lezárása -
Auditok eredményeinek összefoglalása, kiértékelése egy céges szintű auditjelentésben (adott irányítási rendszer vezetője / külső megbízott szakértő) Eredmények prezentálása – a vezetőségi értekezleten (adott irányítási rendszer vezetője) Céges szintű helyesbítő intézkedések elhatározása és kihirdetése (vállalat első számú vezetője) Céges szintű helyesbítő intézkedések bevezetése (érintett vezetők, munkatársak) Bevezetett intézkedések bevezetésének és hatékonyságának ellenőrzése (adott irányítási rendszer vezetője)
3.4 A belső audit auditori tevékenységei – a gyakorlatban A (egyes) belső auditok végrehajtásának auditori tevékenységei -
-
Az egyes auditok megtervezése (vezető auditor) Az egyes auditok végrehajtása (vezető auditor, auditor) o dokumentáció értékelése o felkészülés a helyszíni szemlére o nyitó értekezlet a helyszíni szemlén o felülvizsgálatok lefolytatása a helyszíni szemlén o záró értekezlet a helyszíni szemlén Az egyes auditok dokumentálása (kitöltött audit feljegyzések, eltérések, audit jelentés) (vezető auditor, auditorok)
3.4.1 Auditterv elkészítése Formai követelmény: a saját vállalati eljárás sablonja alapján! Tartalmi követelmény – szempontok: -
Teljesség (minden érintett szabványpont / folyamat / helyszín, …) Időpontok, időintervallumok, elvárások auditpartnerek rendelkezésre állására
© Dr. Horváth Zsolt László
27
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12)
Kitől milyen témát fogunk kérdezni A meghatározott időkeretben Több auditor – munkamegosztás, mindegyik auditornak végig követhető legyen az ideje Auditori szakmai kompetenciák – szükség esetén szakértő részvétele
Auditterv készítésekor annak tartalmát előzetesen egyeztetni kell az auditált szervezeti egység vezetőjével, és az érintett auditorokkal. Auditteam (auditcsoport) lehetséges összetétele: auditvezető (vagy vezető auditor) – irányítja az audit lefolytatását, részt is vesz benne - auditor – auditorként a rábízott audittevékenységeket elvégzi - szakterületi szakértő – az auditon speciális szakterülethez értő személy, szakmai tudásával segíti az auditor munkáját - gyakornok (auditor jelölt) – betanuló auditor, auditálási gyakorlat megszerzése - megfigyelő – az audit lefolytatását, eredményeit megfigyelő személy, nem folyik bele az audit menetébe (pl. felső vezető, vagy az auditorok munkájának értékelője, …) Az auditteamet (auditcsoportot) kísérheti még néhány kísérő, akik p. az auditált szervezeti egységhez tartoznak és segítenek az audit sima lefolytatásában, de nem tagjai az auditteamnek: - kísérő – az auditált részleg egy kijelölt munkatársa, segíti az auditorok munkáját (pl. adott irányítási rendszerért felelős; főképp külső auditoknál jellemző)
-
3.4.2 Dokumentáció értékelése Vizsgált dokumentumok IBIR-ben jellemzően a következők: -
Információ-védelmi / információ-biztonsági politika / szabályzat(ok) / kézikönyv Biztonsági szabályzatok Alkalmazhatósági nyilatkozat (Információs) vagyontárgyak felvétele (Információs) vagyontárgyakra vizsgált kockázatok, azok értékelése Kockázatok értékelése alapján definiált intézkedések / tervek / eljárások BCP – DRP megléte (milyen témákra hoztak terveket, azok realitása, …) Az irányítási rendszer eljárásai, és az információbiztonsági eljárások Belső auditjelentés és vezetőségi átvizsgálás jelentése
Dokumentáció értékelés általános szempontjai: Az információk az átadott dokumentumokban: -
teljesek-e (minden elvárt tartalom megtalálható a dokumentumban); helyesek-e (a tartalom megfelel más megbízható forrásoknak, mint például szabványok és szabályozások); következetesek-e (a dokumentum következetes saját magán belül és a vonatkozó dokumentumokkal); aktuálisak-e (a tartalom naprakész);
Az átvizsgálás alatti dokumentumok lefedik-e az audit területét és elegendő információt nyújtanak-e az auditcélok támogatásához. Az információs és kommunikációs technológiák használata, az audit módszerektől függően, elősegítik-e az audit eredményes végrehajtását: különös gondot kell fordítani az © Dr. Horváth Zsolt László
28
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) információbiztonságra az adatvédelemre alkalmazható szabályozások miatt (különösen azon információk esetében, amelyek kívül esnek az audit területén, de a dokumentumokban ezek is megtalálhatók).
A dokumentáció értékelés szempontjai, a menedzsment és irányítási rendszer elemek értékelésén túlmenően: Dokumentáció értékelés szempontjai – teljes vállalati szinten: -
Megfelel-e a szervezet céljainak az információbiztonsági szabályozás / politika / dokumentáció? Teljes, releváns és aktuális-e az információs vagyontárgyak felmérése és osztályozása? Megvannak-e az információbiztonsághoz tartozó kockázatok becslései, kiértékelései és minősítése? Megfelelő-e a kockázatok kezelése, aktuális-e a kockázatkezelési terv? Megfelelő-e a szervezet „Alkalmazhatósági nyilatkozata"? Megfelelnek-e a meghatározott és szabályozott információ-biztonsági intézkedések és eljárások a politikának / kockázatoknak / alkalmazhatósági nyilatkozatnak? Van-e üzletmenet-folytonossági terv illetve katasztrófa-elhárítási terv, és mennyire releváns?
Dokumentáció értékelés szempontjai – szervezeti egység szinten -
-
Teljes, releváns és aktuális-e az információs vagyontárgyak felmérése és osztályozása? Megfelelő-e a kockázatok kezelése, aktuális-e a kockázatkezelési terv? Megfelelőek-e a meghatározott és szabályozott információ-biztonsági intézkedések és eljárások? Megfelelnek-e az adott szervezeti egység folyamatszabályozásai o Az adatkezelési alapelveknek? o Az információs vagyonleltár változáskezelési alapelveinek o A kockázatok alapján meghatározott információbiztonsági követelményeknek? Van-e üzletmenet-folytonossági terv illetve katasztrófa-elhárítási terv, és mennyire releváns – amennyiben a szervezeti egység üzemeltet IT / információs rendszert?
3.4.3 Felkészülés a helyszíni szemlére Tevékenységek: -
sablonok, űrlapok, formanyomtatványok előkészítése előzetes információk összeszedése (adott irányítási rendszer dokumentáció, elkészített dokumentációk értékelései, …) audit jegyzőkönyv-sablonnal – csekklistával (céges kérdéslista adott és / vagy saját egyéni kérdéslista!) saját nyitott kérdések átgondolása, összegyűjtése
3.4.4 Nyitó értekezlet a helyszíni szemlén Formája, módja, keretei erősem függnek a cég kultúrájától, méretétől. Tevékenységek: -
Bemutatkozás (ha nem belső ember az auditor) Az audit céljának, lefolytatásának bemutatása (képbe helyezés)
© Dr. Horváth Zsolt László
29
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12)
Egyeztetések (időpont korrekciók, kísérők, …) Részvétel igazolása (jelenléti ív)
Szempont még a lefolytatás során: -
Feszültség oldása, nyitott légkör megteremtése Nyitott (szervezési) kérdések tisztázása
3.4.5 Felülvizsgálatok lefolytatása a helyszíni szemlén Az auditorok feladatai a helyszíni vizsgálatkor: -
-
Tevékenységek és intézkedések felülvizsgálata kérdések és megfigyelés útján; Információ gyűjtése – auditbizonyítékok gyűjtése; Audit-megállapítások tétele, az auditkritériumok teljesülésére vonatkozólag: o Az erősségek meghatározása o Fejlesztési lehetőségek (javítási potenciálok) feltárása o Eltérések megállapítása, súlyozása; Az eredmények dokumentálása (bizonylatok)
Felülvizsgálatok lefolytatásának szempontjai, módszerei: -
Cél: Bizonyítékok gyűjtése a megfelelés igazolására, és nem eltérések keresésére Nincs bűnbak-keresés Információgyűjtés – Tényfeltárás Mintavételes módszerrel Helyszín(ek) bejárása (belső, külső, …) Technika: megfigyelés, kérdezéstechnika, objektív bizonyítékok megtekintése Feljegyzések készítése – mindig szükséges (csak kézi feljegyzés, de az tartalmazzon minden objektív bizonyítékot) Észrevételeket, megjegyzéseket, problémákat – JELEZNI KELL, és (lehetőleg a helyszínen az érintettekkel is) tisztázni!
PÉLDÁK: Dolgozóktól, operátoroktól elvárható ismeretek az IB-auditon (példák) -
biztonsági előírások általános ismerete; felelősség definiáltsága (és ismerete); hozzáférési szabályok a gyakorlatban; jelszó szabályok (képzés, váltás stb.); tiszta asztal, tiszta képernyő politika; tudatosító intézkedések ismerete; biztonsági incidensek jelentésének gyakorlata; az adott munkakörben védendő információk (kiemelt);
A helyszíni auditon vizsgált feljegyzések – példák -
IBIR hatékonyságára vonatkozó mérések, feljegyzések, IBIR képzések tematikája és feljegyzései, jelenléti ívek, Titoktartási nyilatkozatok, munkaköri leírások (biztonsági kitételei), Alvállalkozói, szolgáltatói szerződések – biztonsági kitételei, részei, Információs rendszerek működtetésével kapcsolatos feljegyzései, Jelenléti ívek vezetése,
© Dr. Horváth Zsolt László
30
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Épületbe való beléptetés szabályozása, esetleges naplók, feljegyzések, (Esetleges) megfigyelő kamerázási rendszer állományai és jogosultságai, illetve a kapcsolódó tájékoztatási kötelezettség (mts. / ügyfél) szabályozása és igazolásai, Szerverterem belépési napló, (ill. egyéb kiemelt biztonsági zónák beléptetési feljegyzései, kamerák nyomon követései), Karbantartási naplók, Irattári szabályzat és rend, Irattár használatának jegyzőkönyvei, feljegyzései, Iratok (bizalmas) kezelésének szabályozása, bizalmas iratok megkülönböztetése és életútjának nyomon követési feljegyzései, IT üzemeltetési szabályzatok és naplók, IT üzemeltetési (SLA) követelmények, IT rendszer (hálózat) topológia és dokumentáció, Külső, távoli hozzáférések szabályozása (authentikáció, jogok, belépés, loggolás, …), nyomon követése, feljegyzései, Log-állomány (rendszer, alkalmazások, külső kapcsolatok, biztonsági eszközök, …) elemzések feljegyzései, Mentési dokumentumok (koncepció, szabályzat, terv, naplók, feljegyzések, mentések helyszínei, visszaállítási tervek és naplók), Hardver és szoftver nyilvántartás, (kinél mi van / felelősségek, kivitt eszközök, …) Vállalati eszközök magán célú használatának engedélyezésének és gyakorlatának feljegyzései, HelpDesk feljegyzések, állományok, (IT-)Monitoring rendszer állományai, Incidensnapló, incidensek kivizsgálásának feljegyzései, BCP/DRP tesztelési és oktatási feljegyzések, Stb…
Különleges követelmények IT rendszerek auditálásakor -
-
Információs rendszerek felülvizsgálatai a folyamatos működést ne zavarják! o Minden hozzáférés naplózása; o Ellenőrzések csak olvasási jogú hozzáféréssel; o Visszaállítási próbák, tesztek – éles, működő rendszertől elkülönítve; Információs rendszerek audit-eszközeinek (pl. szoftver, tesztállomány) védelme (az azzal való visszaéléstől, rongálástól) Audit-feljegyzéseken érzékeny információk kerülése
Az eltérés (nem-megfelelőség) felvétele -
-
Mi minősül eltérésnek? o Valamely szabványkövetelmény nem teljesül o Saját szabályozás és a gyakorlat nem fedi egymást Eltérés súlyozása (súlyos – enyhe?) Eltérések rögzítése egyenként külön-külön eltéréslapokon (vagy rekordban) Eltéréslap tartalmazza: o Audit azonosítóit o Az eltérés leírását, (Kapcsolódó szabványpont megadását, aláírásokat) o A javító intézkedés megadását (+felelős, határidő) o Ellenőrzés módját (dokumentum beküldése – utóaudit)
© Dr. Horváth Zsolt László
31
Jegyzet o
Információbiztonsági belső auditor V.02. (2016-03-12) Az auditor visszaigazolását a teljesítésről, hatékonyságról
3.4.6 Záró értekezlet lefolytatása a helyszíni szemlén Tevékenységek: -
-
Üdvözlet, megköszönni az együttműködést Részletes eredmények ismertetése (és megbeszélése) o Erősségek, eredmények o Javítási lehetőségek (FONTOS – mert ez hozzáadott érték.) o Eltérések Részvételi igazolás (jelenléti ív)
Résztvevők: -
Auditcsoport, Tanúsított egység vezetői, Irányítási rendszerért felelős, (Opcionális: auditban érintettek a tanúsított egységben, …)
3.5 A belső audit dokumentumai A belső auditok lefolytatását a szervezetnek a saját dokumentált belső auditálási eljárásrendje (szabályozása) alapján kell végrehajtani. Az auditok életciklusának végrehajtását, lépéseit és eredményeit igazoló feljegyzéseknek egységes és áttekinthető formátumban kell készülniük, aemlyekhez az eljárásrendben meg kell határozni a megfelelő sablonokat, űrlapokat. A belső auditálás során használt feljegyzések: -
Éves auditprogram (éves auditálási időterv) Auditori megbízás Egyes auditok audittervei Egyes auditokra vonatkozó kérdéslisták Egyes auditok (kézzel írt) feljegyzései Egyes auditokról szóló auditjelentések Eltéréslapok Intézkedési tervek Auditok, azok eredményeinek, a hozott intézkedéseknek áttekintése és összegzése Céges, összefoglaló auditjelentés
Ezek közül azok, amelyeknek minden esetben meg kell lenniük, és pl. a tanúsító audit kötelezően ellenőrzi, a következők: -
Éves auditprogram (éves auditálási időterv) Egyes auditok audittervei Egyes auditokról szóló auditjelentések Eltéréslapok Céges, összefoglaló auditjelentés
© Dr. Horváth Zsolt László
32
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
3.5.1 Az éves auditprogram Az éves auditprogram tartalmazza az egyes betervezett auditok felsorolását, minden egyes auditra megadva -
az audit azonosítóját; az auditálandó szervezeti egység / folyamat / szabványelem / … megnevezését; az auditált vezetőket; az audit tervezett idejét (általában naptári hét vagy hónap pontossággal); Az auditor(ok) nevét;
Az auditprogram tervezésénél fontos szempont, hogy az a vállalat teljes (az adott IR-be bevont) szervezetére és folyamataira, illetve a szabvány minden elemére nézve teljes körű legyen!
3.5.2 Az auditori megbízás Az auditori megbízás tartalmazza az egyes auditorok számára az audit(ok) végrehajtására szóló megbízást, mint feladatkiadást, benne: -
a megbízott auditor neve (céges azonosítója); a végrehajtandó audit(ok) azonosítója, időpontja, kulcsadatai; dátum, megbízó neve és aláírása
Ez lehet automatikusan (beleértett) része is az auditprogramnak.
3.5.3 Az auditterv Formai követelmény: a saját válallati eljárás sablonja alapján! Tartalmi követelmény – szempontok: -
teljesség (minden érintett szabványpont / folyamat / helyszín, …) időpontok, időintervallumok, elvárások auditpartnerek rendelkezésre állására kitől milyen témát fogunk kérdezni a meghatározott időkeretben több auditor – munkamegosztás, mindegyik auditornak végig követhető legyen az ideje, feladata auditori szakmai kompetenciák – szakértő részvétele
Auditterv elküldése előre az auditálandó szervezeti egységnek, egyeztetés fontossága!
3.5.4 Az audit kérdéslista Az audit kérdéslista az egyes auditokra való felkészülés fontos eszköze. Tartalmazza az elkövetkező auditon a felülvizsgálandó területek / témák / nyitott kérdések / megkérdezendők felsorolását. Sokszor csekklistaként (ellenőrző listaként) működik. A gyakorlatban kétféle van (vagy ezek kombinációja): -
vállalati központi kérdéslista egyéni készítésű kérdéslista
3.5.5 Az audit kézi feljegyzései Az egyes auditokon az auditor kézi jegyzetei, -
a vizsgálatok, interview-k tárgyáról, személyeiről,
© Dr. Horváth Zsolt László
33
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12)
auditbizonyítékokról, audit észrevételeiről, audit megállapításokról, stb…
Lehet szabad feljegyzés formájában is, de használhatóak hozzá vállalati sablonok is… (pl. audit kérdéslistán) Odafigyelni: a papírokon a feljegyzések adatainak bizalmasságára!
3.5.6 Az auditjelentés Az auditjelentések tartalmazzák az adott audit -
azonosítóját, adminisztratív adatait; az auditkritériumokat (hivatkozási szabványt vagy követelményeket); lefolytatásának körülményeit, menetét; a vizsgált területek, dokumentumok és bizonylatok felsorolását; a megelőző belső audit óta megfigyelt változásokat; az auditon talált pozitív megállapításokat (erősségeket); az auditon talált fejlesztési lehetőségeket (javítási potenciálokat); az auditon fellelt eltéréseket;
Az egyes auditok auditjelentései mindig csak arra az egy konkrét auditra vonatkoznak. A céges összefoglaló auditjelentés tartalmazza továbbá a céges tendenciákat, ismétlődő hibákat, és azok következtetéseit is. Példa: Auditjelentés – sablon minta Az adott auditjelentés fejlécében / láblécében: -
Audit azonosítója Auditált szabvány (vagy követelmény) megadása Audit időpontja (év. hónap. nap, mettől-meddig) Auditálandó szervezeti egység neve, vezetője Végrehajtó auditorok
Majd az auditjelentés tartalmában a következő fejezetek: -
Az audit érvényességi területe Az auditon az interview partnerek A megtekintett auditdokumentumok Általános észrevételek, megállapítások Erősségek Eltérések (nem megfelelések) Fejlesztési lehetőségek
3.5.7 Az eltéréslap Az eltéréslap tartalmazza az auditon felvett eltérést: -
Az audit azonosítóját, adminisztratív adatait; Az auditkritériumokat (hivatkozási szabványt vagy követelményeket); Az eltérés megfogalmazását (lehetőleg vonatkozó szabványelem és súlyosság megadásával.);
© Dr. Horváth Zsolt László
34
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Az elhatározott javító / helyesbítő intézkedéseket (+ felelős és határidő); Az intézkedések bevezetésének és hatékonyságának igazolását; Ellenőrzés módját (dokumentum beküldése – utóaudit) Az auditor visszaigazolását a teljesítésről, hatékonyságról
FIGYELEM! Az eltérések kijavításának jobb nyomon követhetősége érdekében (papíralapú dokumentáció esetén) célszerű minden egyes eltérést külön eltéréslapra felvenni.
3.5.8 Az intézkedési terv Az intézkedési terveket az auditált szervezeti egységek készítenek, a náluk végrehajtott auditok eredményei következtében, a feltárt hibák (nem-megfelelőségek) kijavítására illetve fejlesztési lehetőségek megvalósítására. Az intézkedési tervek tartalmazzák az egyes intézkedéseket, és intézkedésenként: -
Az intézkedés azonosítóját; Az intézkedés leírását; Annak beazonosítását, hogy milyen eltérés, nem-megfelelőség, fejlesztési javaslat vagy egyéb iniciálta ezt az intézkedést; Az intézkedés felelősét (esetleg együttműködők nevét); Az intézkedés végrehajtásának határidejét; (Információt arról, hogy az intézkedés végrehajtásának nyomon követése, ellenőrzése milyen módon történik;) valamint az intézkedési terv kiadási (érvénybe lépési) idejét, és elrendelőjét.
3.5.9 A céges összefoglaló auditjelentés A teljes auditprogram végrehajtása után az egyes auditok eredményeinek összefoglaló és statisztikai kiértékelése. Az auditprogram végrehajtásáért felelős / az irányítási rendszerért felelős személy készíti és a vezetőségi átvizsgáláson mutatja be a vezetőségnek. Tartalmazza: -
Az auditprogram lefolytatásának (áttekintő) bemutatását, Az eredményekről áttekintést (általános és kiugró eredmények, tendenciák), ezekből következtetéseket, A szervezeti szintű intézkedési tervek státuszát, Javaslatot céges szintű intézkedések bevezetésére…
3.6 Ellenőrző kérdések -
Mutassa be, hogyan csoportosíthatók a belső auditok végrehajtójuk, indíttatásuk illetve szervezésük szerint! Mutassa be a belső auditok szereplőit és feladataikat! Mutassa be a teljes belső auditálási életciklus folyamatát! Jellemezze az egyes lépések fő tevékenységeit! Mutassa be egy konkrét végrehajtandó audit lefolytatásának folyamatát és feladatait! Mutassa be a belső auditban az auditprogram irányításáért felelős személy feladatait az auditprogram végrehajtásának teljes életciklusában! Mutassa be a vezető auditor (auditvezető) feladatait egy audit végrehajtásának ciklusában!
© Dr. Horváth Zsolt László
35
Jegyzet -
-
Információbiztonsági belső auditor V.02. (2016-03-12) Egy lefolytatandó audit esetén kik, azaz milyen szerepkörű személyek vehetnek részt az audtteamben? Az audit során a dokumentáció értékeléskor milyen dokumentációkat kell értékelni, és mik az értékelés szempontjai? Készítsen egysaját kérdéslistát egy nagyvállalat X osztályának információbiztonsági auditja helyszíni szemléjére! (Választható osztályok „X” lehetnek: személyzeti osztály, beszerzési osztály, könyvelési osztály, értékesítési osztály, rendészet (hozzá tartozik a beléptetés is).) Mik a helyszíni szemle nyitó és záró értekezleteinek lépései és feladatai? Mik az audit helyszíni szemléje lefolytatásának lépései, tevékenységei? Milyen ismeretek várhatóak el egy információbiztonsági auditon a dolgozóktól? Az információbiztonsági audit helyszíni szemléjén milyen feljegyzéseket kell / lehet vizsgálni? Mondjon legalább 10 példát ilyen feljegyzésekre! Mi minősül egy auditon eltérésnek? Mutassa meg, hogy egy eltérés felvételekor milyen információkat kell az eltéréslapon minimum rögzíteni! Mutassa meg, hogy a belső auditnak jellemzően milyen feljegyzései lehetnek! Mutassa meg, hogy mit (milyen tartalmi elemeket) kell tartalmaznia az éves auditprogramnak? Mutassa meg, hogy mit (milyen tartalmi elemeket) kell tartalmaznia az audittervnek? Mutassa meg, hogy mit (milyen tartalmi elemeket) kell tartalmaznia az (egy auditról készített) auditjelentésnek?
© Dr. Horváth Zsolt László
36
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
4 Az MSZ ISO/IEC 27001:2014 szabvány áttekintése 4.1 A szabvány struktúrája 4.1.1 Új, egységes szabványstruktúra a menedzsmentrendszerekre A Nemzetközi Szabványosítási Szervezet (ISO) 2012-ben kiadott egy új, egységes követelmény-struktúrát minden újonnan megjelenő / megújuló ISO rendszerszabványra. Ez a koncepció (struktúra) az ún. HLS (high level structure), amit minden új vagy újonnan kiadásra kerülő ISO menedzsmentrendszer szabványnak be kell tartania. Alapvető követelményei: -
Egységes tartalomjegyzék és követelmény minden egyes ISO irányítási rendszerszabványban. Mindegyik szabvány menedzsment elemei ebben a HLS-ben, a saját szabványra értelmezve jelennek meg. Mindegyik szabvány egyedi, speciális területének követelményei vagy a szabványtörzsben (kiegészítésként, ha beilleszthető oda), vagy önálló mellékletként beillesztve kerül beépítésre.
Az IBIR és a MIR tervezet szabvány-verziók összehasonlítása (megfelelve a HLS-nek):
4.1.2 Az MSZ ISO/IEC 27001:2014 felépítése 1. 2. 3. 4. 5. 6.
Alkalmazási terület Rendelkező hivatkozások Szakkifejezések és meghatározások A szervezet és környezete Vezetés Tervezés
© Dr. Horváth Zsolt László
37
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
7. Támogatás 8. Működés 9. Teljesítményértékelés 10. Fejlesztés A melléklet (előírás): Hivatkozásul szolgáló intézkedési célok és intézkedések
4.2 A szabvány követelményei 4.2.1 4. fejezet: A szervezet és környezete 4.1. A szervezetnek és környezetének megértése -
Mi minden befolyásolja az IBIR működését? – Külső és belső tényezők
4.2. Az érdekelt felek igényeinek és elvárásainak megértése -
Mely érdekelt felek relevánsak az IBIR szempontjából? Milyen elvárásaik vannak, amiket figyelembe kell venni? (külső és belső, jogszabályi, ágazati, anyavállalati, vevői, belső stb. igények összegyűjtése)
Összegyűjteni minden szempontot, elvárást, amit az MIR-nek / IBIR-nek teljesítenie kell… 4.3. Az IBIR alkalmazási területének meghatározása -
-
IBIR határainak, alkalmazhatóságának meghatározása, figyelemmel: o Milyen külső és belső tényezőkre kell figyelemmel lennie? o Milyen megfelelési követelményeknek kell eleget tennie? o A szervezet, ill. más szervezetek közötti tevékenységek kapcsolatai? Az alkalmazási terület dokumentált információ kell legyen!
4.4. IBIR -
Legyen IBIR bevezetett, PDCA szerinti. Folyamatok előírása, igazolása dokumentált mértékben.
információ
–
a
szükséges
4.2.2 5. fejezet: Vezetés 5.1. Vezetői képesség és elkötelezettség -
Felső vezetés képessége, elkötelezettsége és ennek kinyilvánítása: o Elszámoltathatóság vállalása az IBIR eredményeiért o IB- politika és célok, összhangban a stratégiai célokkal; o IBIR követelményeinek beépülése a szervezet folyamataiba; o IBIR működéséhez szükséges erőforrások elérhetősége; o IBIR követelményeinek való megfelelés fontosságának kinyilvánítása; o IBIR elvárt eredmények elérésének biztosítása; o IBIR eredményessége elérésében személyzet támogatása; o Folyamatos fejlesztés elősegítése; o Vezetők támogatása.
A felső vezetés látja el az IBIR felső szintű irányítását – és ő felel a működésért és az eredményességért. Nincs szükség formális IBIR vezetőre. (De nem is tiltott! A hatékony működés elősegítése érdekében ajánlott, hogy legyen.) © Dr. Horváth Zsolt László
38
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
5.2. Politika -
-
Felső vezetés kialakítja az információbiztonsági politikát, amely: o Megfelel a szervezet céljainak; o Tartalmazza az információbiztonsági célokat, vagy keretet ad azok kitűzéséhez; o Tartalmazza az elkötelezettséget az IBIR-rel követelmények kielégítésére; o Tartalmazza az elkötelezettséget folyamatos fejlesztésre; Dokumentált információ Közzétett és elérhető: a szervezetben és az érdekelt felek számára
5.3. Szervezeti szerepek, felelősségek és hatáskörök -
Felső vezetés kijelöli a felelősségeket és hatásköröket ahhoz, hogy: o az IBIR megfeleljen a szabványkövetelményeknek, o az IBIR teljesítményéről szóló riporting rendszer működéséhez a felső vezetésnek.
A feladatok – felelősségek – hatáskörök kijelölése a működéshez és jelentéshez, a felső vezetés jelöli ki. Nem kötelező a formális IBIR vezető!
4.2.3 6. fejezet: Tervezés 6.1. A kockázatokkal és lehetőségekkel kapcsolatos tevékenységek -
-
-
Kockázatok és lehetőségek meghatározása o Az IBIR eredményessége teljesítésére; Nem kívánt hatások megelőzésére vagy csökkentésére; Folyamatos fejlesztésre. o Tevékenységek bevezetése az IBIR-be, és eredményességük értékelése. Információbiztonsági kockázat felmérési folyamat: o Kockázat elfogadási kritériumok, és kritériumok az IB kockázati felmérésre; o Megismételhető, következetes, érvényes és összemérhető eredmények; o IB kockázatok azonosítása – az információk CIA-kritériumának elvesztésére o IB kockázat felelőse azonosítva o IB kockázatok elemzése (valószínűség, hatás >> kockázati szint) o Értékeli és összehasonlítja az IB kockázatokat o Dokumentált információ az IB kockázat felmérési folyamatról Információbiztonsági kockázat kezelési folyamat: o A megfelelő információbiztonsági kockázatkezelési lehetőségek kiválasztása o Az ehhez szükséges intézkedések meghatározása o Az intézkedési lista összehasonlítása az „A melléklet”-tel igazolás, hogy nem lett-e szükséges intézkedés elhagyva
„A melléklet” egy ellenőrző lista – a fő mérvadó szempont: a kockázatkezelés eredménye -
Alkalmazhatósági nyilatkozat készítése (az intézkedésekről, az „A melléklet” kizárásairól és az indoklásokról) Információbiztonsági kockázatkezelési terv készítése
© Dr. Horváth Zsolt László
39
Jegyzet -
Kockázatfelelősök jóváhagyása maradványkockázat elfogadása
a
Információbiztonsági belső auditor V.02. (2016-03-12) kockázatkezelési tervhez,
Elsősorban mérvadó a kockázatkezelésből kijött intézkedési lista! „A melléklet” csak kontroll. 6.2. IB-célok és az elérésük megtervezése -
Információbiztonsági célok kitűzése az érintett funkciókra és szintekre Dokumentált információ célokról Elérésükhöz intézkedési terv: mit kell csinálni / szükséges erőforrás / felelős / határidő / értékelés módja… IB- célok: o Összhang az információbiztonsági politikával o Mérhetőség, megvalósíthatóság o Összhang az információbiztonsági követelményekkel és a kockázatkezelés eredményeivel o Közzététel o Naprakészség, alkalmazhatóság.
4.2.4 7. fejezet: Támogatás 7.1. Erőforrások -
IBIR kialakításához, bevezetéséhez, fenntartásához és fejlesztéséhez szükséges erőforrások meghatározása és biztosítása!
7.2. Felkészültség (kompetencia) -
IBIR teljesítményére hatással lévő személyek szükséges felkészültségét – meg kell határozni, biztosítani (képzés, ha kell), intézkedés (ha kell, és hatékonyság értékelése), és a felkészültség igazolásáról dokumentált információ.
7.3. Tudatosság -
A munkát végző állomány tudatossága: információbiztonsági politika és célok, hozzájárulás az IBIR eredményéhez, IBIR nem-megfelelőségeinek következményei
7.4. Kommunikáció -
Külső és belső, IBIR-rel kapcsolatos kommunikációs igények és folyamatok meghatározása
7.5. Dokumentált információ -
-
Dokumentált információ: IBIR fenntartása (= szabályozó dokumentumok) és megőrzése (= igazoló dokumentumok) IBIR dokumentáció része, amiket – a szabvány és a szervezet előír Folyamat dokumentált információ létrehozására és naprakészen tartására: o Azonosítás és leírás (pl. cím, dátum, szerző, hivatkozási szám) o Formátum és adathordozó o Alkalmasság és megfelelőség átvizsgálása, jóváhagyása Dokumentált információk felügyelet alatt tartása: o Használathoz elérhetőség, megfelelőség, amikor szükséges; o Megfelelő védelem – bizalmasság és sértetlenség
© Dr. Horváth Zsolt László
40
Jegyzet -
-
Információbiztonsági belső auditor V.02. (2016-03-12) Dokumentált információ kezelése életciklusának szabályozása a következőkre: o Elosztás, hozzáférhetőség, előkereshetőség, használat o Tárolás, megőrzés, olvashatóság o Változásfelügyelet o Megtartás és selejtezés Külső dokumentumok azonosítása, felügyelet alatt tartása
Mely szabványpontoknál kötelező – IBIR esetén? -
-
Dokumentált információ fenntartása – rendelkezésre állása (előíró dokumentumok): o 4.3. IBIR alkalmazási területe o 5.2. Információbiztonsági politika o 6.1. Információbiztonsági kockázatok felmérésével és kezelésével kapcsolatos tevékenységek o 6.2. Információbiztonsági célok o 8.1. Folyamatok működéstámogatása – a szükséges mértékig Dokumentált információ fenntartása bizonyítékként (igazoló dokumentumok!): o 7.2. A humán erőforrás felkészültsége igazolására o 8.1. Folyamatok végrehajtásának igazolására o 8.3. Az információbiztonsági kockázatkezelés eredményeiről o 9.1. A figyelemmel megfigyelési és mérési eljárások eredményeiről o 9.2. A belső audit auditprogram megvalósításáról és az auditeredményekről o 9.3. A vezetőségi átvizsgálások eredményeiről o 10.1. A nem-megfelelőségek jellegéről, a megtett intézkedésekről, azok eredményeiről
4.2.5 8. fejezet: Működés 8.1. Működéstervezés és -felügyelet -
-
Folyamatok működése (PDCA) ahhoz, hogy: o IBIR követelmények teljesüljenek; o Kockázatkezelés intézkedésekhez; o Információbiztonsági célok megvalósításához; Folyamatok végrehajtásának bizonyítéka – dokumentált információ Változások felügyelet alatt tartása Kiszervezett folyamatok felügyelete
8.2. Az információbiztonsági kockázatok felmérése -
Rendszeresen és eseményvezérelten aktualizálás – dokumentált információ
8.3. Az információbiztonsági kockázatok kezelése -
Információbiztonsági kockázatkezelési terv bevezetése Információbiztonsági kockázatkezelési terv eredményeiről információk
© Dr. Horváth Zsolt László
dokumentált
41
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
4.2.6 9. fejezet: Teljesítményértékelés 9.1. Megfigyelés, mérés, elemzés és értékelés -
-
Az IBIR teljesítményét, eredményességét értékelni kell! Értékelésnél meghatározni az értékelés o Tárgyát (mely folyamatokat / intézkedéseket kell értékelni); o Módszerét; o Időpontját (vagy ciklusidejét) és végrehajtóját; o Elemzése és értékelése idejét és végrehajtóját. Az értékelés eredményeiről – dokumentált információ.
9.2. Belső audit -
Belső audit célja: megfelelés a szabvány és a saját követelményeknek, és eredményes működés igazolása Belső audit feltételei: o Tervezett időszakonként o Auditprogram készítése o Auditkritériumok és alkalmazási terület meghatározása minden auditra o Auditorok kiválasztása – objektivitás és pártatlanság o Auditok eredményeinek jelentése az illetékes vezetésnek o Szükséges helyesbítések végrehajtása indokolatlan késedelem nélkül o Auditprogram és az auditeredmények – dokumentált információ
9.3. Vezetőségi átvizsgálás -
-
Vezetőségi átvizsgálás o Tervezett időszakonként o Célja: IBIR működése folyamatosan megfelelő, alkalmas és eredményes o Kimenetei tartalmazzanak döntéseket, intézkedéseket o Eredményeiről dokumentált információ Vezetőségi átvizsgálás területei: o Korábbi vezetőségi átvizsgálás intézkedéseinek állapota o IBIR szempontjából lényeges külső és belső tényezők változása o IBIR teljesítményéről visszajelzések (inc. nem-megfelelőségek, helyesbítő tevékenységek, auditeredmények, információbiztonsági célok teljesítése,, folyamat-mutatók) o Érdekelt felek visszajelzései (inc. vevői visszajelzések, elégedettség) o Kockázatfelmérés eredményei, kockázatkezelési terv o Folyamatos fejlesztési lehetőségek
4.2.7 10. fejezet: Fejlesztés 10.1. Nemmegfelelőség és helyesbítő tevékenységek -
Nem-megfelelőség esetén o Válasz a nem-megfelelőségre (intézkedés a javításra, következményekkel foglalkozás); o Értékelés – az okok meghatározására megszüntetésére (nemmegfelelőség átvizsgálása, okok meghatározása, létezhetnek-e még hasonló nem-megfelelések);
© Dr. Horváth Zsolt László
42
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) o o o o
Szükséges intézkedések bevezetése; Intézkedés eredményességének vizsgálata IBIR-ben változások végrehajtása, ha szükséges Dokumentált információ – a nem-megfelelőség jellegéről, az intézkedésről és az eredményéről.
10.2. Folyamatos fejlesztés -
IBIR folyamatos fejlesztése.
4.2.8 Az „A” melléklet: Információbiztonsági célok és intézkedések Az MSZ ISO/IEC 27001:2014 „A” mellékletének területei A5. Információbiztonsági szabályok A6. Az információbiztonság szervezete A7. Az emberi erőforrások biztonsága A8. Vagyonelemek kezelése A9. Hozzáférés-felügyelet A10. Titkosítás A11. Fizikai és környezeti biztonság A12. Az üzemelés biztonsága A13. A kommunikáció biztonsága A14. Rendszerek beszerzése, fejlesztése és karbantartása A15. Szállítói kapcsolatok A16. Az információbiztonsági incidensek kezelése A17. A működésfolytonosság biztosításának információbiztonsági vonatkozásai A18. Megfelelés Összhangban az ISO/IEC 27002:2013 szabvány ajánlásaival.
4.3 Az információvédelmi eljárások szakmai területei Az információvédelem gyakorlati megvalósítása a következő szakmai területek eljárásait, módszereit, technikáit alkalmazza: -
objektum- és területvédelem, személyvédelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől), hagyományos adatok (pl. papíralapú), módszerek, eszközök védelme, informatikai védelem, (fizikai, logikai és szervezési) elemi károk, természeti / társadalmi katasztrófahelyzetek elleni védelem (az információbiztonság szemszögéből).
© Dr. Horváth Zsolt László
43
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) Az MSZ ISO/IEC 27001:2014 szabványban az információvédelem megvalósításának gyakorlati területei: Menedzsment követelmények:
Objektum- és területvédelem:
© Dr. Horváth Zsolt László
44
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
Személyvédelem:
Hagyományos (papír alapú) adatvédelem:
© Dr. Horváth Zsolt László
45
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
Informatikai védelem:
Elemi károk, természeti / társadalmi katasztrófahelyzetek elleni védelem:
4.4 Ellenőrző kérdések -
-
Mutassa be az MSZ ISO/IEC 27001 szabvány törzsének fő fejezeteit (első szintű tartalomjegyzék mélységig), és jellemezze röviden ezen fejezetek célját (azaz hogy miről szól az adott fejezet)! Mutassa be az MSZ ISO/IEC 27001 szabványban az IBIR koncepció és érvényességi terület kialakításával szembeni elvárásokat!
© Dr. Horváth Zsolt László
46
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Mutassa be az MSZ ISO/IEC 27001 szabványban a Vezetőséggel szembeni elvárásokat! Mutassa be az MSZ ISO/IEC 27001 szabványban az információbiztonsági kockázatokkal kapcsolatos elvárásokat! Mi az „Alkalmazhatósági nyilatkozat”, és mi határozza meg a tartalmát? Az MSZ ISO/IEC 27001 szabvány szerint mely szabványtörzsben megfogalmazott követelményekről, tevékenységekről kötelező dokumentált információt készíteni? Mutassa be az MSZ ISO/IEC 27001 szabvány alapján, hogy a vezetőségi átvizsgálás milyen területekkel kell foglalkozzon? Mutassa be az információbiztonság védelmének 5 területét, és jellemezze egy-egy mondatban azok célját!
© Dr. Horváth Zsolt László
47
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
5 Az információbiztonsági követelmények auditálása 5.1 Az IBIR menedzsmentrendszer auditálása Mit auditálunk? – Az audit tárgyának fő jellemzése. Az IBIR lényegi részei -
Információs vagyon fenyegetettségeinek átfogó kockázatelemzése Védelmi intézkedések, eljárások megteremtése – különböző területeken a különböző fenyegetettségekre Menedzsment rendszer – menedzsment elemek kiépítése, működtetése (hasonló, mint a minőségirányítási rendszer, környezetvédelmi irányítási rendszer, stb.)
Az IBIR alkalmazási területe (szkóp) -
-
az, amire az információbiztonságot alkalmazzák; megmondja, hogy o minek a védelméről (biztonságáról) szól a szervezetnél az információvédelem; o milyen keretek (üzleti tevékenységek, szervezeti keretek – minden vs. részleges) mellett; dokumentált információként kell rendelkezésre állnia; ez a tanúsítványon is megjelenő megfogalmazás;
Az információ-biztonsági politika -
-
-
-
Mit is akarunk ezzel? – Keretet ad a védelmi célok kitűzéséhez, kijelöli az általános irányt és meghatározza a tevékenységek alapelveit az információbiztonsággal kapcsolatban. (Mit védünk és mitől? És miért? Mi ne következzen be, mit nem akarunk megengedni? …) Minek is kell megfelelni? – Figyelembe veszi a működési, jogi, illetve szabályozási követelményeket, valamint a szerződéses biztonsági kötelezettségeket. Illeszkedés a vállalati stratégiába. – Igazodik a szervezet stratégiai szintű kockázatkezelési környezetébe, amelyben az IBIR létrehozása és fenntartása történni fog. Milyen szempontok alapján működjön az IBIR? – Meghatározza azokat az alapelveket (szempontokat, értékrendet), amelyek alapján működtetjük az információvédelmet és az IBIR-t. Továbbá keretet ad az IBIR kialakításához, fenntartásához és folyamatos továbbfejlesztéséhez. (Szempontok lehetnek a kockázatmenedzselés folyamatához, egyes területekhez…) A Vezetés elkötelezett döntése ez! – Jóváhagyásra kerül a vezetés által.
Alkalmazhatósági Nyilatkozat -
az ISO/IEC 27001 szabvány szerinti IBIR kötelező dokumentuma; az audit (a megfelelés ellenőrzésének) referencia-dokumentuma; alapja: a kockázatkezelési terv és a szabvány „A” melléklete ÉS a már működő és a kockázatok kezelése alapján meghatározott védelmi intézkedések; A szervezetnél az információvédelmi irányítási rendszerre vonatkozó és az alkalmazható szabályozási célokat és szabályozásokat leíró dokumentum, amely a kockázat értékelési és kockázat kezelési folyamatok eredményein és következtetésein alapul.
© Dr. Horváth Zsolt László
48
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
Az IBIR működtetésének a részei -
-
-
IBIR menedzsment folyamatok működtetése o Az iratok, dokumentumok és feljegyzések kezelésének folyamata o Belső képzések folyamata o Belső audit folyamata o Vezetőségi átvizsgálás folyamata o Folyamatos fejlesztés, megelőzés és helyesbítés folyamata IBIR saját (biztonságot irányító) folyamatainak működtetése o Információbiztonsági vagyonleltár és kockázati profil karbantartása o Információbiztonsági monitoring o Információbiztonsági incidenskezelés o IT BCP/DRP tervek készítése, karbantartása és működtetése Információbiztonsági (nem folyamat-alapú) szabályrendszer Információbiztonsági szempontok érvényesítése a szervezet működési folyamataiban o A folyamatok adatkezelésének megfelelése o Változások követése a vagyonleltárban és a kockázati profilban o Egyes szakterületek speciális információbiztonsági szempontjai
Az információbiztonság folyamat-szabályozásának főbb területei -
-
-
-
IBIR menedzselés folyamatainak szabályozása o Dokumentumok és feljegyzések kezelés o IB stratégia / politika / célok tervezése és követése o IB képzés és tudatosítás o Belső audit o Vezetőségi átvizsgálás o Folyamatos fejlesztés o … IB saját folyamatainak szabályozása o IB vagyonleltár felvétel, kockázat értékelés és kockázat kezelés o Incidenskezelés o IB monitoring Egyéb – jellemzően saját IT szempontokkal kiegészítendő – működési folyamatok o Humán erőforrás menedzsment (felvétel, munkaügy, humán biztonság, …) o Beszerzés (pályáztatás, szerződéskötés és együttműködés alvállalkozókkal, kiszervezett szolgáltatások igénybe vétele) o IT tervezés és üzemeltetés o Iktatás és iratkezelés o Kommunikáció o … Bármely folyamatnál – az adatkezelési és a változáskezelési szempontok figyelembe vétele A felhasználói információbiztonság szabályok o Információbiztonság részletes szabályai munkavégzés során irodai iratkezelés és a fax használata / (asztali és mobil) számítógépek használata / adathordozók használata / az informatikai hálózat használata /
© Dr. Horváth Zsolt László
49
Jegyzet
o o o
Információbiztonsági belső auditor V.02. (2016-03-12) hálózati alkalmazások használata / jelszóhasználat / elektronikus levelezés / internethasználat / … Biztonsági problémák kezelése eljárás incidensek esetén / vírusvédelem Külső partnerekkel való együttműködés Információbiztonsági szabályok a munkavégzésen kívül
Mit auditálunk? – A felülvizsgálatok szempontjai. Mit auditálunk (IB menedzselése szempontjából) – szabványkapcsolatok -
Alkalmazási terület – IB politika / IB célok – IBIR-rel szembeni elvárások összhangja 4.1, 4.2, 4.3, 5.2, 6.2 Vagyonleltár és kockázatok felmérése és kezelése (módszertan és gyakorlat) 6.1, 8.2, 8.3, A8.1 Alkalmazhatósági nyilatkozat – megfelelése, és összhang az IB politikával és kockázatkezelésekkel 6.1 IBIR működési struktúrája – beágyazva a szabályozási struktúrában (hol látható, hogyan szabályozott, hogyan kommunikált, …) A5, … 5.1, 7.1, 7.2, 7.4, 7.5 IBIR működési szervezet – felelősségek, riporting és meeting rendszer (életszerűség, működési gyakoriság, tartalom, …) 5.1, 5.3, A5 IB tudatosság kialakítása (és képzések), szabályozása és gyakorlata 7.3 IB incidenskezelés, IT-DRP és IB-fenntartás szabályozása A16, A17 IB mérőszámok alkalmazása, IB fejlesztési tervek, IB részvétele a vállalatvezetésben, a vezetőségi átvizsgálásban 9.1, 9.2, 10.2
Mit auditálunk – teljes cég információbiztonsági auditja esetén (IB menedzselése szempontjából)? -
Alkalmazási terület – IB politika / IB célok – IBIR-rel szembeni elvárások összhangja Vagyonleltár és kockázatok felmérése és kezelése (módszertan és gyakorlat megfelelése) Alkalmazhatósági nyilatkozat – megfelelése, és összhang az IB politikával és kockázatkezelésekkel IBIR működési struktúrája – beágyazva a szabályozási struktúrában (hol látható, hogyan szabályozott, hogyan kommunikált, …) IBIR működési szervezet – felelősségek, riporting és meeting rendszer (életszerűség, működési gyakoriság, tartalom, …) IB tudatosság kialakítása (és képzések), szabályozása és gyakorlata IB incidenskezelés, működésfolytonosság teljessége, IT-DRP és IB-fenntartás szabályozása IB mérőszámok alkalmazása, IB fejlesztési tervek, IB részvétele a vállalatvezetésben, a vezetőségi átvizsgálásban
Mit auditálunk – az egyes szervezeti egységeknél (IB menedzselése szempontjából)? -
IB politika / IB célok mi releváns az adott szervezeti egységre > ismert? betartott? mit tesznek érte? Hogyan képezték le napi feladatokra? … Vagyonleltár és kockázatok felmérése és kezelése (jellemző folyama-tok és kockázatok figyelembe vételének, kezelésének megfelelése, gyakorlata) Alkalmazhatósági nyilatkozat –az adott szervezetre megfelel-e a gyakorlatnak
© Dr. Horváth Zsolt László
50
Jegyzet -
-
Információbiztonsági belső auditor V.02. (2016-03-12) IBIR működési struktúrája – beágyazva a szabályozási struktúrában (adott szervezet folyamataiban az IB szempontok hol találhatóak – szabályozásban és gyakorlati működésben) IBIR működésért felelősségek, riporting és meeting rendszer gyakorlata, ami lokálisan értelmezhető IB tudatosság megléte, fejlesztése a munkatársaknál … IB incidenskezelés, IT-DRP és IB-fenntartás szabályozás gyakorlata, ami lokálisan értelmezhető IB mérőszámok alkalmazása, IB fejlesztési tervek gyakorlata, ami lokálisan értelmezhető
5.2 Az információbiztonság nem-informatikai intézkedéseinek auditálása 5.2.1 Terület- és objektumvédelem auditálása Mit auditálunk? – Az audit tárgyának fő jellemzése. Terület- és objektumvédelem információbiztonsági felhasználásának célja: Védelem azokra a területekre való illetéktelen bejutás és ott-tartózkodás ellen, ahol bizalmas / érzékeny adatok, azok adathordozói vagy az azokhoz való hozzáférést biztosító eszközök vannak. Védelem területeinek feladatai: -
Biztonsági zónák kialakítása Beléptetés ellenőrzése (zónahatáron beléptetési pontok használata) Behatolás elleni eszközök (teljes zónahatár védelme) Mozgás ellenőrző eszközök (benntartózkodás, munkavégzés kontrollja) Megfelelő tájékoztatás az adatok felhasználásával és védelmével kapcsolatban
Eszközök (az őrzés-védelmi szakma eszköztára): -
Belső zónák, biztonsági területek kijelölése és az ottani biztonsági szint előírása Élőerős őrzés-védelem (beléptetési kontroll, eszközök kontrollja) Beléptető rendszerek, személyi azonosítás Megfigyelő- és kamera rendszerek Belső biztonsági szabályrendszer kidolgozása (rendészetnek, alkalmazottaknak, vendégeknek)
Mit auditálunk? – A felülvizsgálatok szempontjai. Mit auditálunk – terület- és objektum-védelem auditja esetén? Vonatkozó szabványkövetelmények: -
A11. Fizikai és környezeti biztonság o A11.1. Biztonsági területek
Mit auditálunk – az őrzés-védelmi (terület- és objektumvédelmi) terület auditja esetén? Az adott vállalat vagy szervezeti egysége vonatkozásában, ott a lehetséges kockázatok tükrében vizsgáljuk: -
az (információbiztonsági elhelyezését
© Dr. Horváth Zsolt László
szempontból)
védendő
vagyonelemeket
és
azok
51
Jegyzet -
-
Információbiztonsági belső auditor V.02. (2016-03-12) a kialakított biztonsági zónákat – és a működési jellemzőknek megfelelő – védelmi kontrollokat: ki tartózkodhat ott, ez hogyan van szabályozva, betartva és ellenőrizve fizikai védelem számára alkalmazott szabályok és az információbiztonsági elvárások összhangját alkalmazott beléptetési rendszereket, megfigyelő (kamera rendszereket), azok működését, kontrollját, hatékonyságát (szükség esetén) különleges funkciójú területek fizikai védelme, beléptetés, otttartózkodás kontrollja (pl. tárgyalók, raktárak, szállítási területek, irattárak, biztonsági területek, …) jellemző szituációk, lehetséges esetek, veszélyek figyelése …
5.2.2 Hagyományos (papír alapú) adatvédelem auditálása Mit auditálunk? – Az audit tárgyának fő jellemzése. Kockázatok jogosulatlan hozzáférés esetén: -
Adatszivárgás (és ezzel való visszaélés) Adatvesztés vagy adatmódosítás Reputáció sértés, média visszhang
Lehetséges eljárások, módszerek: -
Adatok, iratok besorolása érzékenységi / biztonsági kategóriákba Adatok, iratok kezelési eljárásai Irattárak, dokumentációtárak működésének szabályozása Belső biztonsági szabályok „Tiszta asztal – tiszta képernyő politika” elve
Mit auditálunk? – A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények: -
A8. Vagyon-elemek kezelése o A8.2. Információ-osztályozás o A8.3. Adathordozók kezelése
Mit auditálunk – az iratkezelési, papír alapú adatkezelési terület auditja esetén? Az adott vállalat vagy szervezeti egysége vonatkozásában, ott a lehetséges kockázatok tükrében: -
a folyamatokban az (információbiztonsági szempontból) védendő adatokat és azok biztonsági osztályozását a folyamatok adatkezelési gyakorlatát, összhangban a kezelt adatok érzékenységével / biztonsági osztályával a papíralapú adatok előfordulását, kezelését, tárolását teljes életciklusuk alatt a munkaszobák, irodák körülményeit az iratok biztonságos kezelése szempontjából a dokumentumtárak / irattárak (ha vannak) működési rendjét jellemző szituációk, lehetséges esetek, veszélyek figyelése …
© Dr. Horváth Zsolt László
52
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
5.2.3 Személyvédelem auditálása Mit auditálunk? – Az audit tárgyának fő jellemzése. A személyvédelem területének célja az információbiztonságon belül kettős: a rendszer védelme személyektől (mint fenyegetésektől), illetve a személy (mint erőforrás és adathordozó) védelme a rendszerben. Személyvédelem célja: -
a humán erőforrások rendelkezésre állásának, megfelelésének biztonsága. a humán tényezőre (személyi okokra) visszavezethető fenyegetésekkel szembeni védelem (pl. külső támadások, adatlopások, hackelés, social engineering, belső adatkiadás, pletyka, stb.)
Rendszerben a személy, mint információhordozó védelme: -
-
Kockázatok: o Csúcsvezetők, kulcsemberek személyi biztonsága o Személy távollétekor az információk, illetve bizonyos jogosultságok rendelkezésre állásának hiánya o Felejtés, tévesztés esetén az információk pontosságának (sértetlenségének) vagy rendelkezésre állásának hiánya Helyettesítési rend, delegálás; Fontos információk dokumentálása, központi helyen, jogosultaknak elérhető módon;
Mit jelent a social engineering? Az emberek pszichológiai manipulációja és megtévesztése, amelynek során a támadó a befolyásolás, rábeszélés és a meggyőzés módszerével, kihasználva a jellegzetes emberi viselkedési formákat és reakciókat, ráveszi az áldozatot, arra hogy az együttműködjön vele. Olyan információt adjon ki, amely felhasználható a kiválasztott informatikai rendszerek technológiai eszközök alkalmazásával vagy anélküli – megtámadására és kompromittálására. A személyügyi munka (HR) főbb szempontjai: -
a leendő munkatársak előzetes vizsgálata munkaszerződésben (stb.) a titoktartási és biztonsági követelményekre való kitérés a „munkakapcsolat” megszűnése alkalmából (!) foganatosítandó rendszabályok a munkakapcsolat megszűnése utáni követelmények meghatározása
Mit auditálunk? – A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények: -
A7. Az emberi erőforrás biztonsága o A7.1 A munka-viszony kezdete előtt o A7.2 A munka-viszony fennállása során o A7.3 A munka-viszony megszűnése és megváltozása
Mit auditálunk – humán biztonsági (személyvédelmi) terület auditja esetén? Az adott vállalat vagy szervezeti egysége vonatkozásában, ott a lehetséges kockázatok tükrében: -
vezetők, kulcsemberek kiesésének hatásait, veszélyeit … és az ezekre hozott megoldásokat
© Dr. Horváth Zsolt László
53
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) adatkezelés szempontjából érzékeny munkaköröket … és a kapcsolódó biztonsági intézkedéseket felvételi folyamat (információ)biztonsági kontrolljait, ellenőrzéseit munkahelyi adatvédelmi szabályokat, nyilatkozatokat, képzéseket … ezek alkalmazási gyakorlatát munkaköri leírások, munkaszerződések információbiztonsági kitételeit információbiztonsági tudatosság szintjét (és képzését) … munkahelyi körülmények között és munkahelyen kívül „Clear desk policy” (tiszta asztal, tiszta képernyő politika) gyakorlata munkakör változtatáskor, elbocsátáskor biztonsági eljárásrend szabályai és gyakorlata jellemző szituációk, lehetséges esetek, veszélyek figyelése …
5.3 Az információbiztonság informatikai intézkedéseinek auditálása IT üzemeltetés biztonsági követelményei alapvetően mit szabályozzanak? -
Fizikai hozzáférés az IT infrastruktúrát tartalmazó helyiségekbe Az IT infrastruktúra elemek megbízható, folyamatos üzemeltetése Változások előtt azok megfelelő ellenőrzése, kezelése Hiba, üzemszünet esetén minél gyorsabb visszaállítás, problémakezelés Az adatvesztés elkerülése (mentési rend kialakítása, szabályozása) Védelem külső támadások ellen A teljes hálózat és hálózati forgalom kontroll alatt tartása Jogosultságok és hozzáférések (authentikációk) szabályozása és kontrollja Eszközökhöz felhasználói biztonsági szabályok
FIGYELEM! Minden eszköznek az üzemeltetésért az tehető felelőssé, akinek azon rendszergazdai jogosultsága van! Informatikai biztonság további témakörei: -
Az IT rendszerek biztonsága – a rendszerek tervezésekor, beszerzésekor, bevezetésekor, üzemeltetésekor, módosításakor, … Az IT rendszerek fejlesztésének a biztonsága – a szoftverfejlesztés minőségbiztosítása és security kérdései IT rendszerek biztonsága külső partnerek, üzemeltetők esetén – szerződéses követelmények Incidenskezelés Az információbiztonság folytonossága (vészhelyzeti tervek esetén is); kritikus rendszerek visszaállítása (IT DRP) – tartalékok
Az egyes területek auditálásánál mindig (közös) alapelv a következő: -
… az ott kezelt adatok és azok érzékenysége … a kiszolgált folyamatok igénye (C – I – A kritériuma!) … az ott jelenlévő információs rendszerek, informatikai infrastruktúra: eszközök, berendezések, az azt kezelő munkafolyamatok, személyek … … a kockázatfelmérés alapján meghatározott kockázatok, jellemző fenyegetések és sebezhetőségek vizsgálata … a jellemző / kritikusnak ítélt paraméterek (területek) vizsgálata
© Dr. Horváth Zsolt László
54
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
Hol jelennek meg ezek a témák? -
-
-
-
az IT üzemeltetésben o az üzemeltetési területek dokumentált szabályozásában o az üzemeltetési feljegyzésekben, naplókban o az üzemeltetés gyakorlatában az IT felhasználóknál o a felhasználói információbiztonsági szabályokban (pl. IBSZ) o a felhasználói IT biztonsági / biztonságtudatossági képzésekben o a felhasználói IT kezelés gyakorlatában az IT stratégiában, és az IT infrastruktúra-fejlesztésben o dokumentált igényekben, követelményekben o dokumentált tervek, tervellenőrzési és jóváhagyási jegyzőkönyvekben o az IT beszerzési dokumentációkban, alvállalkozói szerződésekben a szoftverfejlesztésben o szoftverfejlesztési folyamat szabályozásában o a követelményekben, specifikációkban, ellenőrzési jegyzőkönyvekben o tervezett és dokumentáltan végrehajtott biztonsági tesztekben, vizsgálatokban
MINDIG TESTRE SZABOTTAN AZ ADOTT VISZONYOKHOZ ÉS ELVÁRÁSOKHOZ!
5.3.1 Az IT üzemeltetés fizikai biztonsági auditálása Mit auditálunk? – Az audit tárgya: Az IT üzemeltetés fizikai biztonsága kérdéskörei -
-
Berendezések elhelyezése és védelme Rendszerüzem védelme o Klimatizálás – légkondicionálás o Kábelezés biztonsága o Elektromágneses ki- és besugárzás védelem o Szünetmentes áramellátás o Külső tényezők elleni védelem Karbantartás Selejtezés és újrafelhasználás Vagyonelemek eltávolítása Berendezések telephelyen kívüli védelme Őrizetlenül hagyott felhasználói berendezések
Mit auditálunk? – A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények és kapcsolódó szakterületek: -
A11. Fizikai és környezeti biztonság o A11.2. Berendezés Berendezések elhelyezése és védelme Közműszolgáltatások Kábelbiztonság Berendezések karbantartása Vagyonelemek eltávolítása Berendezések és vagyonelemek biztonsága a telephelyen kívül
© Dr. Horváth Zsolt László
55
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) Berendezések biztonságos eltávolítása vagy újrafelhasználása Őrizetlenül hagyott felhasználói berendezések Tiszta asztal és tiszta képernyő szabálya
5.3.2 Az IT üzemeltetés logikai biztonsági auditálása Mit auditálunk? – Az audit tárgya: Az IT üzemeltetés logikai biztonsága kérdéskörei -
IT üzemeltetés szabályozása Üzemelő szoftverek felügyelete Műszaki sebezhetőségek kezelése Védelem rosszindulatú szoftverek ellen Naplózás, monitoring Mentések Titkosítások alkalmazása Jogosultságok / hozzáférési rend kialakítása, üzemeltetése és felügyelete Hálózatbiztonság Információ átvitele
Mit auditálunk? – A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények és kapcsolódó szakterületek: -
-
A12. Az üzemelés biztonsága o A12.1. Üzemeltetési eljárások és felelősségek Dokumentált üzemeltetési eljárások Változásfelügyelet Kapacitáskezelés A fejlesztési, a tesztelési és az üzemi környezetek elkülönítése o A12.2. Védelem a rosszindulatú szoftverek ellen Intézkedések a rosszindulatú szoftverek ellen o A12.3. Mentés Információk mentése o A12.4. Naplózás és megfigyelés Eseménynaplózás Naplóinformációk védelme Adminisztrátori és operátori naplók Óraszinkronizálás o A12.5. Az üzemelő szoftverek felügyelete Szoftverek telepítése az üzemelő rendszerekre o A12.6. A műszaki sebezhetőségek felügyelete Műszaki sebezhetőségek felügyelete Korlátozások a szoftvertelepítésre o A12.7. Az információs rendszerek auditálásával kapcsolatos megfontolások Az információs rendszerek auditálásával kapcsolatos intézkedések A13. A kommunikáció biztonsága o A13.1. A hálózatbiztonság biztosítása
© Dr. Horváth Zsolt László
56
Jegyzet
-
-
-
-
Információbiztonsági belső auditor V.02. (2016-03-12)
Hálózati intézkedések A hálózati szolgáltatások biztonsága Elkülönítés a hálózatokban o A13.2. Információátvitel Szabályok és eljárások az információátvitelre Megállapodások az információátvitelre Elektronikus üzenetküldés Bizalmassági vagy titoktartási megállapodások A9. Hozzáférés-felügyelet o A9.1. A hozzáférés-felügyelettel kapcsolatos üzleti követelmények Szabály a hozzáférés-felügyeletre Hozzáférés hálózatokhoz és hálózati szolgáltatásokhoz o A9.2. A felhasználói hozzáférések kezelése Felhasználók regisztrálása és törlése Felhasználói hozzáférés biztosítása Kiemelt hozzáférési jogok kezelése A felhasználók titkos hitelesítési információinak kezelése A felhasználói hozzáférési jogok átvizsgálása A hozzáférési jogok visszavonása vagy módosítása o A9.3. Felhasználói felelősségek Titkos hitelesítési információk használata o A9.4. Rendszer- és alkalmazás-hozzáférés felügyelete Információhoz való hozzáférés korlátozása Biztonságos bejelentkezési eljárások Jelszókezelő rendszer Kiemelt jogokkal bíró segédprogramok használata A programok forráskódjához való hozzáférés felügyelete A6. Az információbiztonság szervezete o A6.2. Mobil eszközök és távmunka Szabály mobil eszközökre Távmunka A8. Vagyonelemek kezelése o A8.3. Adathordozók kezelése A cserélhető adathordozók kezelése Adathordozók eltávolítása Fizikai adathordozók szállítása A10. Titkosítás o A10.1. Titkosítási intézkedések Szabály a titkosítási intézkedésekre Kulcskezelés
5.3.3 További informatikai biztonsági területek auditálása Mit auditálunk? – Az audit tárgya: IT biztonság további témakörei -
Az informatikai rendszerek biztonsága – a rendszerek tervezésekor, beszerzésekor, bevezetésekor, üzemeltetésekor, módosításakor, …
© Dr. Horváth Zsolt László
57
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Az informatikai rendszerek fejlesztésének a biztonsága – a szoftverfejlesztés minőségbiztosítása és security kérdései Informatikai rendszerek biztonsága külső partnerek, üzemeltetők esetén – szerződéses követelmények Incidenskezelés Az információbiztonság folytonossága (vészhelyzeti tervek esetén is); kritikus rendszerek visszaállítása (IT DRP) – tartalékok
Mit auditálunk? – A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények és kapcsolódó szakterületek: Az IT rendszerek biztonsága -
A14. Rendszerek beszerzése, fejlesztése és karbantartása o A14.1. Az információs rendszerek biztonsági követelményei Információbiztonsági követelmények elemzése és meghatározása Nyilvános hálózatokon nyújtott alkalmazásszolgáltatások biztonsága Az alkalmazásszolgáltatások tranzakcióinak védelme
A szoftverfejlesztés security kérdései -
A14. Rendszerek beszerzése, fejlesztése és karbantartása o A14.2. Biztonság a fejlesztési és támogatási folyamatokban Szabály a biztonságos fejlesztésre Rendszerek változásfelügyeleti eljárásai Az alkalmazások műszaki vizsgálata a működtető környezet változásai után Szoftvercsomagok változásainak korlátozása Biztonságos rendszerek tervezési elvei Biztonságos fejlesztési környezet Kiszervezett fejlesztés A rendszer biztonsági tesztelése A rendszer elfogadási tesztelése o A14.3. Tesztadatok Tesztadatok védelme
Biztonság a szerződéses követelményekben -
A15. Szállítói kapcsolatok o A15.1. Információbiztonság a szállítói kapcsolatokban Információbiztonsági szabály a szállítói kapcsolatokra A biztonság kezelése a szállítói megállapodásokban Információs és kommunikációs technológiák szállítói lánca o A15.2. A szállítói szolgáltatásnyújtás irányítása A szállítói szolgáltatások figyelemmel kísérése és átvizsgálása A szállítói szolgáltatások változásainak felügyelete
Incidenskezelés -
A16. Az információbiztonsági incidensek kezelése o A16.1. Az információbiztonsági incidensek és javítások kezelése Felelősségek és eljárások Információbiztonsági események jelentése
© Dr. Horváth Zsolt László
58
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) Információbiztonsági gyengeségek jelentése Az információbiztonsági események felmérése és döntéshozatal Válasz az információbiztonsági incidensekre Tanulás az információbiztonsági incidensekből Bizonyítékok összegyűjtése
Az információbiztonság folytonossága -
A17. A működésfolytonosság biztosításának információbiztonsági vonatkozásai o A17.1. Az információbiztonság folytonossága Az információbiztonság folytonosságának tervezése Az információbiztonság folytonosságának megvalósítása Az információbiztonság folytonosságának ellenőrzése, vizsgálata és értékelése o A17.2. Tartalékok Információ-feldolgozó eszközök rendelkezésre állása
5.4 Ellenőrző kérdések -
-
-
Mutassa meg, hogy mit kell az IBIR érvényességi területének meghatároznia! Mutassa meg, hogy mit kell az információbiztonsági politikának tartalmaznia! Mutassa meg az IBIR működtetés részeit, és hogy azok hol helyezkednek el a teljes vállalat működésén belül! Milyen területeket (témákat) kell a felhasználói információbiztonsági szabályoknak szabályozniuk? Mutassa meg, milyen témákat auditálunk egy szervezeti egység információbiztonsági auditja esetén a menedzsment elemek auditálásakor? Mely szabványkövetelmények tartalmazzák a terület- és objektumvédelemmel szembeni elvárásokat? Milyen elvárásoknak kell itt megfelelni? Milyen információbiztonsági fenyegetések, kockázatok ellen kell védekezni a papíralapú iratok biztonsága terén? Mutasson be lehetséges védekezési módszereket! Milyen információbiztonsági fenyegetések, kockázatok ellen kell védekezni a személyvédelem és humánbiztonsági területen? Mutasson be lehetséges védekezési módszereket! Mutassa be, milyen témakörök tartoznak az IT üzemeltetés fizikai biztonsági területei közé! Mutassa be, milyen témakörök tartoznak az IT üzemeltetés logikai biztonsági területei közé! Mutassa meg, mely témakörök tartoznak az IT rendszerek életciklusának biztonsági kérdései közé! Mutassa meg, mely témakörök tartoznak az a szoftverfejlesztés security (biztonsága) területébe! Mutassa meg, mely követelményekre kell odafigyelni az alvállalkozói / beszállítói szerződések során az információbiztonság szempontjából! Mutassa meg, mely követelményekre kell odafigyelni az információbiztonság incidenskezelés működtetésénél!
© Dr. Horváth Zsolt László
59
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Mit jelent az információbiztonság folytonossága, és milyen követelményeket kell ehhez betartani?
© Dr. Horváth Zsolt László
60
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
6 Az auditori viselkedés és kommunikáció alapjai Az audit helyszíni szemléjének lefolytatása során az auditor jellemzően helyszíni bejárással megfigyeli a folyamatokat, interview-t folytat az ott dolgozókkal, megtekint dokumentumokat, eszközöket – szóval információt gyűjt. Ezen információgyűjtés alapján állapítja meg, hogy – figyelembe véve a körülményeket, lehetőségeket, helyi viszonyokat, – az ottani gyakorlat mennyire felel meg az elvárásoknak. (Ezek az elvárások lehetnek a vonatkozó szabványok általi elvárások, de lehetnek az auditálás alatti szervezet saját belső vagy egyéb külső, pl. jogszabályi vagy ügyfél általi elvárásai is.) A helyszíni megfigyelések és interview-k során nagy jelentősége van annak, hogy az auditor mennyire pontosan tudja megfigyelni az ott látottakat, illetve az interview-k, azaz a kérdések és beszélgetések során mennyire hatékonyan tud valós információt szerezni. Ez nagy mértékben függ az interview-k lefolytatásától, annak módjától, stílusától és hangulatától is. Az interview-k során mindig egy párbeszéd alakul ki az auditor és az auditált között. Ennek a párbeszédnek kell az audit célját támogatnia, azaz az auditor számára reális, valós, objektív információkkal szolgálnia. Ezért fontos, hogy az auditor hogyan tudja a beszélgetést irányítania, illetve a beszélgetés stílusát megfelelő mederbe terelnie. Ebben nagy jelentősége van a szóbeli (verbális) elemeknek, és a nem-szóbeli (non-verbális) elemeknek is. Verbális elemek közé tartoznak pl. a kommunikációs technikák, kérdezési technikák. A non-verbális elemek pedig pl. a megjelenés, a viselkedési elemek, hallgatás válfajai, a testbeszéd elemei. Ezek az elemek, technikák tanulhatók, és ezekkel tudatosan javítható az audit hatékonysága.
6.1 Az auditori viselkedés Egy audit helyszíni szemléjének lefolytatását jelentősen befolyásolja, hogy milyen viszony alakul ki az auditor és az auditált személyek között, illetve milyen lesz az auditált személyeknek az audithoz való hozzáállása (attitűdje) az audit lefolytatása során. Sokkal könnyebb egy auditot úgy lefolytatni, hogyha az auditált személyek már elve elismerik és elfogadják az auditort, mint az auditált téma szakértőjét és felülvizsgálóját, és a beszélgetések során pozitívan, támogatólag állnak hozzá az audithoz. Amennyiben ez az audit kezdetén nem lenne így, úgy cél, hogy az auditor ezt a hozzáállást meg tudja változtatni – az audit sikeres kimenetele érdekében. Az adott téma illetve adott személy elfogadottságát sok elem befolyásolja, láthatatlanul is. El kell fogadnunk, hogyha pl. egy megbeszélésen megjelenik valaki, akkor már a megjelenésével – öltözködésével, viselkedésével, mozgásával, testbeszédével és beszédével – is azonnal egy érzetet kelt a megbeszélés többi részvevőjében. És ez az érzet nemcsak az adott személyre vetítődik ki, hanem az általa képviselt mondanivalóra, ügyre is. Sokszor, amikor egy személy egy ügyet képvisel, akkor a vele kapcsolatban lévő emberek összemossák az ügyhöz és az adott személyhez való hozzáállást. Hogyha a vállalatnál egy már elfogadott és tekintéllyel rendelkező kolléga lép fel egy irányítási rendszer auditoraként, akkor az auditáltak – komolyan véve őt – komolyan fogják venni az általa képviselt témákat is, jelen esetben az adott irányítási rendszerrel kapcsolatos kérdéseket. Ezzel szemben, hogyha egy tekintéllyel nem rendelkező, pl. mindig félreállított kolléga jelenne meg az auditon ugyanazokat a kérdéseket feltenni, nagy valószínűséggel a válaszadók sokkal kevésbé vennék komolyan őt, és az adott audit-interview hatékonysága is sokkal kisebb lenne. Természetesen megfelelő viselkedési, non-verbális és kommunikációs technikákkal ez érdemben javítható, és egy ilyen szituációban ezeknek a technikáknak a tudatos használata itt ezért is cél és elvárás. Az auditor „láthatatlan feladatai, tevékenységei” az audit során:
© Dr. Horváth Zsolt László
61
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Az auditor képviseli az audit tárgyával szembeni elvárásokat. o Technikák: viselkedés, öltözködés, beszéd, testbeszéd o Tulajdonságok, személyiségjegyek: magabiztos, tiszteletet kiváltó, szigorú, bizalmat keltő Szempontok a megfelelő öltözködés kialakításához:
-
- tiszta, ápolt, kulturált - magabiztos megjelenést sugároz - illeszkedik a vállalati kultúrához, az auditált egység kultúrájához Az auditor hallgat (figyel és megfigyel). o Technikák: hallgatás válfajai, értő figyelem, testbeszéd o Tulajdonságok, személyiségjegyek: barátságos, nyitott, megértő, biztató A hallgatás válfajai:
-
-
- információszerző hallgatás - kritikus hallgatás - empatikus hallgatás (érzelmi konfliktus, szakmai kibeszélés) - taktikai hallgatás - szórakozási célú hallgatás Az auditor kérdez. o Technikák: kommunikáció, tranzakció-analízis, kérdezéstechnika o Tulajdonságok, személyiségjegyek: pontos, célratörő, tárgyszerű, érthető, támogató Az auditor felméri a cég állapotát. o Tulajdonságok, személyiségjegyek: meggyőző, egyértelmű, pártatlan, …... Az auditor jegyzőkönyvezi az eredményeket, és az eltéréseket o Tulajdonságok, személyiségjegyek: objektív, tárgyszerű, szakszerű, pártatlan, …...
6.2 Kérdezéstechnika Az interview egy párbeszéd, amit – főképp a kérdésekkel – az auditor irányít. Nagyon fontos tehát a kérdések feltételének módja, majd a válaszok meghallgatásával szerez az auditor információt. A kérdések feltételével majd a válaszok meghallgatásának módjával a válaszadót lehet támogatni is, de összezavarni is. A cél az, hogy ismerjük a különböző kérdezési technikákat és azok lehetséges hatásait, majd a beszélgetés – azaz az információszerzés érdekében – azokat tudatosan használjuk. A kérdések típusai Nyitott kérdések – erre lehetséges hosszabban (több mondatban) kifejteni a választ: -
Hogyan szabályozták …? Melyik eljárás-utasítás tartalmazza …? Hol tárolják …?
Szűkítő de továbbra is nyitott kérdések – itt is mondatban kifejtett válasz várható, de már a válasz tárgyköre lényegesen leszűkített: -
Mit tesz a megkülönböztetéshez? Mivel jelöli? Hogyan jelöli? Milyen jelölő cédulát használ?
© Dr. Horváth Zsolt László
62
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
Zárt kérdések – a válasz igen/nem lehet: -
Van eljárási utasításuk? Ellenőrzik a végterméket? Végeztek belső auditot?
Általában célszerű a nyitott kérdések használata, hiszen akkor tudja az auditált szabadon elmondani a véleményét, az ismereteit a kérdés vonatkozásában. Amikor a beszélgetés nem kívánt irányba megy el, vagy a válasz már terjengőssé válhat (információtartalom is csökken!), akkor általában a nyitott, de szűkítő (közbeszúrt) kérdésekkel lehet a beszélgetést a kívánt irányba terelni. A zárt kérdéseket általában célszerű kerülni, néha azonban szükséges alkalmazni. A zárt kérdések kikényszerítik a színvallást, azaz az egyértelmű igen vagy nem választ, ami például a következetes mellébeszélések észlelésekor nagyon hatásos lehet. A beszélgetés irányításakor célszerű odafigyelni arra, hogy azt a választ kapjuk, amit a beszélgető partner magától mondani szeretne, és ne azt, amit úgy gondol, hogy mi elvárunk tőle. Ezért nem célszerű a kérdéssel egyben a választ is mintegy a szájába adni. Másrészt nem várhatunk őszinte és objektív választ olyan esetekben sem, hogyha a kérdezéssel már mintegy támadunk és védekezésbe szorítjuk a beszélgető partnerünket. Ezért is célszerű a kérdés feltevésének módjára is odafigyelni. Ezért is kell odafigyelni az alábbi kérdezéstechnikai alapszabályokra. Példák kedvezőtlen kérdezésre: Sugalló kérdés: „A munkájában tapasztalható teljesítményingadozás a minőségi problémákkal függ össze?” Alternatív kérdés: „A …. vagy … területeken kéne az együttműködést jobban forszírozni?” „Miért” kérdés: „Miért szakította meg a kapcsolatot?” Kérdéshalmozás: „Elfelejtette a megbeszélt időpontot? Nem kapta meg az üzenetemet, vagy a bátyja nem mondta meg, hogy kerestem? Vagy valami más egyéb jött közbe?” Zárt kérdés: „A tulajdonos nem járult hozzá a szerződéskötéshez?” Kérdezéstechnikai alapszabályok: 1. Soha ne tegyél fel addig egy kérdést, amíg nem tudod pontosan, hogy mi a kérdés célja! Sok szerencsétlenül sikerült és a beszélgető partnert összezavaró megfogalmazás születik csak azért, mert a kérdező utólag mérlegelte, hogy mit szeretett volna eredetileg elérni. 2. Egyszerre csak egy kérdésről tárgyalj! Sokszor úgy tűnik, mintha a kérdező csak próbálgatná a kérdéseit. Ezáltal a kérdezett összezavarodik, és nem tudja, hogy melyikre válaszoljon az egymás után feltett kérdésekből, egyúttal könnyen kitérhet a válasz elől az, aki nem akarja az igazságot kimondani. 3. A kérdést rövidem, precízen és könnyen érthetően fogalmazd meg! Ha világos választ vársz, biztosítsd, hogy a kérdezett tudja, mit akarsz tőle. Ezt legkönnyebben úgy érheted el, ha rövid, világos mondatokat, ismert fogalmakat használsz, és lemondasz arról, hogy túl sokat akarj egyszerre megtudni. 4. Hagyj a beszélgető partnerednek elég időt a gondolkodásra! Amíg a válaszon gondolkodik, „figyelmesen hallgasd”. Ha túlságosan rövidre sikerült a válasza, szavak nélkül, szemkontaktussal tudod a folytatásra késztetni.
© Dr. Horváth Zsolt László
63
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12) 5. Kerüld a kérdezés során az olyan elő-információkat, amelyek meghamisíthatják a választ! Az elő-információkat többnyire tudat alatt tesszük azért, hogy a beszélgető partnert irányítsuk. Például: „Ön biztos gyakorlott tervező?”, vagy „Ugye megvizsgálta azt is, hogy a készüléket már bekapcsolták?” Az ilyen kérdések esetén a beszélgető partner azonnal tudni fogja, hogy melyik választ részesíted előnyben, és erre áll be. Te csak azt fogod megtudni a válaszból, amit már eddig is tudtál, amit hallani akartál. 6. Ne tégy szemrehányást a kérdés megfogalmazásán keresztül! Ezáltal csak védekező állásba kényszeríted partneredet, ami veszélyeztetné a beszélgetés sikerét. Például: „De miért nem mondta ezt korábban?” vagy „Tulajdonképpen mit csinált ön az elmúlt időszakban.” 7. Légy tekintettel beszélgető partnered önbecsülésére! Az önbecsülés az ember alapvető szükségletei közé tartozik. Mindenki a saját belső normáinak, értékrendjének megfelelően kíván gondolkodni és cselekedni. Kerüld azt, hogy a kérdéseden keresztül lekicsinyeld partneredet, képességeit kétségbe vonjad, vagy „nem egyenes” szándékkal gyanúsítsd meg. Ellenkező esetben lemondhatsz együttműködési készségéről.
Végül érdemes megfontolni és szem előtt tartani az auditorok tízparancsolatát is: Az auditorok tízparancsolata: 1. Vedd figyelembe a célkitűzést! 2. Értékeld a vizsgálati tevékenységet! 3. Rögzítsd az átvételi kritériumokat! 4. Úgy állapítsd meg az audit terjedelmét, hogy az összhangban legyen a feladattal! 5. Tartsd magad a tényekhez! 6. Állapítsd meg az eltérések okait! 7. Összpontosíts a lényegre! 8. Viselkedj partnerként! 9. Ügyelj a helyes kommunikációra! 10. Légy naprakész!
6.3 Tranzakció-analízis Az emberi kommunikációt, párbeszédet nagyon meghatározza, hogy az egymással beszélgető felek a beszélgetés pillanatában milyen lelki-állapotban vannak. Ez kihat a beszélgetés menetére és eredményére is. Ezek az állapotok és az ezekből következő viselkedési módok jól jellemezhetőek, és ezek ismeretével és a beszélgetés irányításával ezek tudatosan irányíthatóak is. Ennek elméletét mutatja be Eric Berne: Emberi játszmák c. könyve, amelyet forrásként használtunk fel ehhez a fejezethez. Egy adott személynek egy adott párbeszédben való részvételi módját, viselkedési módját nagyban meghatározza az, hogy abban a pillanatban az a személy milyen érzelmi állapotban, milyen lelkiállapotban van. Ezt az érzelmi állapotot vagy lelki-állapotot nevezzük „én-állapotnak”. Az ilyen „én-állapotokhoz” tartozó, azokra jellemző magatartásminták (viselkedésformák) határozzák meg, hogy az adott személy egy párbeszédben milyen módon vesz részt. Ilyen „én-állapotok” lehetnek a következők: -
Szülői: Tanulásra alapozott, nem racionális (az élet „tanult” koncepciója, reakciók a megtapasztalt / megtanult sablonok alapján)
© Dr. Horváth Zsolt László
64
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Felnőtt: Racionális (az élet átgondolt koncepciója, reakciók objektív meggondolás alapon) Gyereki: Érzelmi alapú, nem racionális (az élet „érzett” koncepciója, reakciók érzelmi alapon)
Minden személyben egyszerre megvan mindhárom „én-állapot”, és a különböző hatások vagy (belső) képességek hatására tud az ember átváltani egyik „én-állapotból” a másikba. A pillanatnyi „én-állapot” határozza meg az adott pillanatban az adott személy meghatározó viselkedésformáját is, azaz az adott kommunikációban milyen módon, hogyan vesz részt. Ezek a jellemző viselkedésmódok a következők lehetnek:
Szülői „én-állapot” esetén kétféle megnyilvánulás lehetséges: -
-
Támogató Szülői viselkedésmód: amikor mint „szülő” segít a másik félnek (gyereknek) mintegy előírva, hogy annak mit kell tennie. („Tégy úgy, ahogy mondom!”) Kritikus Szülői viselkedésmód: amikor a „szülő” jobban tud mindent a másik félnél (a gyereknél), és annak a hibáit rója fel számára. („Már megint nem … tetted!”)
Felnőtt „én-állapot” esetén egyféle megnyilvánulás lehetséges: -
Felnőtti viselkedésmód: adott konkrét szituációkról, dolgokról objektív ismeretek alapján, illetve azokból levont reális következtetések alapján tárgyilagosan beszél, kérdez vagy állít. („Nézzük, milyen az időjárás most!”)
Gyermeki „én-állapot” esetén kétféle megnyilvánulás lehetséges: -
-
Természetes Gyermeki viselkedésmód: esetén a Gyerek az érzelmeire támaszkodva reagál, azaz lehet dacos, ellenkezhet a Szülővel, akinek csak azért is megmutatja … Alkalmazkodó Gyermeki viselkedésmód: esetén a Gyerek elfogadja a Szülőnek való alárendeltségét, és igyekszik úgy viselkedni, hogy ahogy azt a másik elvárja tőle. („Igen, tényleg úgy jó, ahogy Te mondtad!”)
© Dr. Horváth Zsolt László
65
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
A tranzakciók A tranzakció meghatározása: „Egységnyi tranzakciónak azt tekintjük, amikor egy személy valamilyen jelzést, ingert küld egy másik személy felé és erre a másik személy valamilyen válaszreakciót ad.” Egy egységnyi tranzakció során az azt küldő személy mindig egy adott „én-állapotból” küldi az adott jelzést a másik fél adott „én-állapotának”. Utána a válaszoló személy is a választ a saját „én-állapotából” küldi a kérdező egy adott „én-állapotának”. A kommunikációnak a menetét meghatározza ezeknek az én-állapotoknak az összhangja. Hosszú kommunikáció (párbeszéd) akkor tud folytatódni, amikor a küldő a beszédpartnere amilyen „én-állapotába” küldi az ingert, ugyanabból az „én-állapotból” is kapja a választ, és amilyen saját „énállapotából” indította, ugyanabba is érkezik a válasz. Ennek megfelelően nézzük meg a tranzakciók alapvető típusait: A tranzakciók típusai: -
-
-
Komplementer (kiegészítő jellegű) tranzakciók o Komplementer, azaz kiegészítő tranzakcióról akkor beszélünk, hogyha ugyanattól az „én-állapottól” kapunk választ, mint amit megcéloztunk, és ugyanannak az „én-állapotnak” jön a válasz, amiből mi indítottunk. Ilyen állapotban a két én-állapot közti viszonyt, kommunikációt mindkét fél elfogadja. Ekkor tud a beszélgetés, a kommunikáció folyamatosan fennmaradni. o Példák: Szülő – Szülő kommunikáció: A: „Ezek a mai gyerekek…”B: „Bezzeg a mi időnkben…” Felnőtt – Felnőtt kommunikáció: A: „Hol van a kabátgombom?” B: „Az asztalon.” Szülő – Gyerek kommunikáció: A: „Befűzted a cipődet?” B: „Igen, már megcsináltam.” Keresztező tranzakciók o Keresztezésről akkor beszélünk, amikor nem attól az „én-állapottól” kapunk választ, amelyet megcéloztunk. o A keresztezéskor a kommunikáció átmenetileg megszakad(hat). o A keresztezés egyben eszköz arra, hogy utána kialakíthassunk egy másik jellegű párbeszédet. Rejtett tranzakciók o A rejtett tranzakciók sokkal összetettebbek az előbbieknél. Itt minden üzenet tartalmaz egy másik rejtett üzenetet, ami egy másik „én-állapotnak” szól. o A rejtett üzenetekben keresztezés is gyakran előfordul, de nem feltétlenül. o A rejtett tranzakciók megértése nem mindig triviális, könnyen félre is érthetők.
Tranzakció-analízis alkalmazása: -
-
Információszerzésre legalkalmasabb a párhuzamos kommunikáció (kiegészítő vagy komplementer tranzakciók), elsősorban az ‘Felnőtt – Felnőtt’ kapcsolat. Cél ennek az elérése. A kialakult – kialakított szituációt (tranzakciót) fel kell tudni ismerni ahhoz, hogy tudatosan változtatni lehessen rajta. A keresztezés egyben eszköz arra, hogy kialakíthassunk egy másik jellegű hatékonyabb párbeszédet.
© Dr. Horváth Zsolt László
66
Jegyzet -
Információbiztonsági belső auditor V.02. (2016-03-12) Figyeljünk oda rá, és nagyon óvatosan bánjunk a rejtett tranzakciókkal!
6.4 Ellenőrző kérdések -
-
Melyek az auditori viselkedés legfontosabb (non-verbális) jegyei, tulajdonságai? Jellemezze röviden azokat! Mutassa be, hogy mit jelentenek, és az auditori gyakorlatban mikor használhatóak a következő kérdés típusok: nyitott kérdés, szűkítő kérdés és zárt kérdés! Mutasson egy-egy példát mindegyik kérdéstípusra is! Auditori interview során milyen kérdezéstechnikai szabályra célszerű odafigyelni? Mutasson be ezek közül legalább ötöt! A tranzakció analízis elméletében milyen „én-állapotokat” ismer, jellemezze röviden azokat, és az azokhoz kapcsolódó jellemző viselkedésformákat! Milyen tranzakció típusokat határoz meg a tranzakció-analízis elmélete? Jellemezze röviden ezeket a tranzakció típusokat! Az auditori gyakorlatban hogyan használhatók az egyes tranzakció típusok?
© Dr. Horváth Zsolt László
67
Jegyzet
Információbiztonsági belső auditor V.02. (2016-03-12)
1. Melléklet. Az MSZ ISO/IEC 27001:2015 szabvány „A” mellékletének szabályozási céljai és intézkedései Lehetséges minta Alkalmazhatósági nyilatkozatra, mely tartalmazza az MSZ ISO/IEC 27001:2014 szabvány „A” melléklete szabályozási céljait és intézkedéseit. (Az alkalmazhatósági nyilatkozat teljességéért ez még kiegészítendő a kockázatfelmérés és kezelés során bevezetett, illetve a már a vállalatnál meglévő olyan régebbi intézkedésekkel, amelyek az „A” mellékletben nem szerepeltek.) No.
Szabványpont (ISO/IEC 27001:2014. „A” melléklete)
A5 A5.1 A5.1.1. A5.1.2.
Információbiztonsági szabályok Az információbiztonság vezetői irányítása Információbiztonsági szabályok Az információbiztonsági szabályok átvizsgálása
A6 A6.1 A6.1.1. A6.1.2. A6.1.3. A6.1.4. A6.1.5.
Az információbiztonság szervezete Belső szervezet Információbiztonsági szerepek és felelősségek Feladatkörök szétválasztása Kapcsolat a hatóságokkal Kapcsolat szakmai csoportokkal Információbiztonság a projektvezetésben
A6.2 A6.2.1. A6.2.2.
Mobil eszközök és távmunka Szabály mobil eszközökre Távmunka
A7 A7.1 A7.1.1. A7.1.2.
Az emberi erőforrások biztonsága A munkaviszony kezdete előtt Átvilágítás A munkaviszonnyal kapcsolatos feltételek és kikötések
A7.2 A7.2.1. A7.2.2. A7.2.3.
A munkaviszony fennállása során Vezetői felelősségek Az információbiztonság tudatosítása, oktatása és képzése Fegyelmi eljárás
A7.3
A munkaviszony megszűnése és megváltozása A munkaviszony megszüntetéséhez vagy megváltoztatásához kapcsolódó felelősségek
A7.3.1. A8 A8.1 A8.1.1. A8.1.2. A8.1.3. A8.1.4.
Vagyonelemek kezelése Felelősség a vagyontárgyakért Vagyonleltár A vagyonelemek felelősei A vagyonelemek elfogadható használata A vagyonelemek visszaszolgáltatása
A8.2 A8.2.1. A8.2.2. A8.2.3.
Információosztályozás Az információk osztályozása Az információk megjelölése A vagyonelemek kezelése
A8.3 A8.3.1.
Adathordozók kezelése A cserélhető adathordozók kezelése
© Dr. Horváth Zsolt László
Szabályozások helye
Szabályozások megvalósítása
68
Jegyzet No.
Információbiztonsági belső auditor V.02. (2016-03-12) Szabványpont (ISO/IEC 27001:2014. „A” melléklete)
A8.3.2. A8.3.3.
Adathordozók eltávolítása Fizikai adathordozók szállítása
A9 A9.1 A9.1.1. A9.1.2.
Hozzáférés-felügyelet A hozzáférés-felügyelettel kapcsolatos üzleti követelmények Szabály a hozzáférés-felügyeletre Hozzáférés hálózatokhoz és hálózati szolgáltatásokhoz
A9.2 A9.2.1. A9.2.2. A9.2.3. A9.2.4. A9.2.5. A9.2.6.
A felhasználói hozzáférések kezelése Felhasználók regisztrálása és törlése Felhasználói hozzáférés biztosítása Kiemelt hozzáférési jogok kezelése A felhasználók titkos hitelesítési információinak kezelése A felhasználói hozzáférési jogok átvizsgálása A hozzáférési jogok visszavonása vagy módosítása
A9.3 A9.3.1.
Felhasználói felelősségek Titkos hitelesítési információk használata
A9.4 A9.4.1. A9.4.2. A9.4.3. A9.4.4. A9.4.5.
Rendszer- és alkalmazás-hozzáférés felügyelete Információhoz való hozzáférés korlátozása Biztonságos bejelentkezési eljárások Jelszókezelő rendszer Kiemelt jogokkal bíró segédprogramok használata A programok forráskódjához való hozzáférés felügyelete
A10 A10.1 A10.1.1. A10.1.2.
Titkosítás Titkosítási intézkedések Szabály a titkosítási intézkedések tételére Kulcskezelés
A11 A11.1 A11.1.1. A11.1.2. A11.1.3. A11.1.4. A11.1.5. A11.1.6.
Fizikai és környezeti biztonság Biztonsági területek Fizikai biztonsági határ Fizikai beléptetési intézkedések Irodák, helyiségek és létesítmények védelme Külső és környezeti fenyegetésekkel szembeni védelem Munkavégzés biztonsági területeken Szállítási és rakodási területek
A11.2 A11.2.1. A11.2.2. A11.2.3. A11.2.4. A11.2.5. A11.2.6. A11.2.7. A11.2.8. A11.2.9.
Berendezés Berendezések elhelyezése és védelme Közműszolgáltatások Kábelbiztonság Berendezések karbantartása Vagyonelemek eltávolítása Berendezések és vagyonelemek biztonsága a telephelyen kívül Berendezések biztonságos eltávolítása vagy újrafelhasználása Őrizetlenül hagyott felhasználói berendezések Tiszta asztal és tiszta képernyő szabálya
A12 A12.1 A12.1.1. A12.1.2.
Az üzemelés biztonsága Üzemeltetési eljárások és felelősségek Dokumentált üzemeltetési eljárások Változásfelügyelet
© Dr. Horváth Zsolt László
Szabályozások helye
Szabályozások megvalósítása
69
Jegyzet No.
Információbiztonsági belső auditor V.02. (2016-03-12) Szabványpont (ISO/IEC 27001:2014. „A” melléklete)
Szabályozások helye
Szabályozások megvalósítása
A12.1.3. Kapacitáskezelés A12.1.4. A fejlesztési, a tesztelési és az üzemi környezetek elkülönítése A12.2. Védelem a rosszindulatú szoftverek ellen A12.2.1. Intézkedések a rosszindulatú szoftverek ellen A12.3 Mentés A12.3.1. Információk mentése A12.4 A12.4.1. A12.4.2. A12.4.3. A12.4.4.
Naplózás és megfigyelés Eseménynaplózás Naplóinformációk védelme Adminisztrátori és operátori naplók Óraszinkronizálás
A12.5 Az üzemelő szoftverek felügyelete A12.5.1. Szoftverek telepítése az üzemelő rendszerekre A12.6 A műszaki sebezhetőségek felügyelete A12.6.1. Műszaki sebezhetőségek felügyelete A12.6.2. Korlátozások a szoftvertelepítésre A12.7
Az információs rendszerek auditálásával kapcsolatos megfontolások Az információs rendszerek auditálásával kapcsolatos A12.7.1. intézkedések A13 A13.1 A13.1.1. A13.1.2. A13.1.3.
A kommunikáció biztonsága A hálózatbiztonság biztosítása Hálózati intézkedések A hálózati szolgáltatások biztonsága Elkülönítés a hálózatokban
A13.2 A13.2.1. A13.2.2. A13.2.3. A13.2.4.
Információátvitel Szabályok és eljárások az információátvitelre Megállapodások az információátvitelre Elektronikus üzenetküldés Bizalmassági vagy titoktartási megállapodások
A14 A14.1
Rendszerek beszerzése, fejlesztése és karbantartása Az információs rendszerek biztonsági követelményei Információbiztonsági követelmények elemzése és A14.1.1. meghatározása Nyilvános hálózatokon nyújtott alkalmazás-szolgáltatások A14.1.2. biztonsága A14.1.3. Az alkalmazás-szolgáltatások tranzakcióinak védelme A14.2 Biztonság a fejlesztési és támogatási folyamatokban A14.2.1. Szabály a biztonságos fejlesztésre A14.2.2. Rendszerek változásfelügyeleti eljárásai Az alkalmazások műszaki vizsgálata a működtető környezet A14.2.3. változásai után A14.2.4. Szoftvercsomagok változtatásainak korlátozása A14.2.5. Biztonságos rendszerek tervezési elvei A14.2.6. Biztonságos fejlesztési környezet A14.2.7. Kiszervezett fejlesztés
© Dr. Horváth Zsolt László
70
Jegyzet No.
Információbiztonsági belső auditor V.02. (2016-03-12) Szabványpont (ISO/IEC 27001:2014. „A” melléklete)
Szabályozások helye
Szabályozások megvalósítása
A14.2.8. A rendszer biztonsági tesztelése A14.2.9. A rendszer elfogadási tesztelése A14.3 Tesztadatok A14.3.1. Tesztadatok védelme A15 A15.1 A15.1.1. A15.1.2. A15.1.3.
Szállítói kapcsolatok Információbiztonság a szállítói kapcsolatokban Információbiztonsági szabály a szállítói kapcsolatokra A biztonság kezelése a szállítói megállapodásokban Információs és kommunikációs technológiák szállítói lánca
A15.2 A szállítói szolgáltatásnyújtás irányítása A15.2.1. A szállítói szolgáltatások figyelemmel kísérése és átvizsgálása A15.2.2. A szállítói szolgáltatások változásainak felügyelete A16 A16.1 A16.1.1. A16.1.2. A16.1.3. A16.1.4. A16.1.5. A16.1.6. A16.1.7.
Az információbiztonsági incidensek kezelése Az információbiztonsági incidensek és javítások kezelése Felelősségek és eljárások Információbiztonsági események jelentése Információbiztonsági gyengeségek jelentése Az információbiztonsági események felmérése és döntéshozatal Válasz az információbiztonsági incidensekre Tanulás az információbiztonsági incidensekből Bizonyítékok összegyűjtése
A17
A működésfolytonosság biztosításának információbiztonsági vonatkozásai A17.1 Az információbiztonság folytonossága A17.1.1. Az információbiztonság folytonosságának tervezése A17.1.2. Az információbiztonság folytonosságának megvalósítása Az információbiztonság folytonosságának ellenőrzése, A17.1.3. vizsgálata és értékelése A17.2 Tartalékok A17.2.1. Információ-feldolgozó eszközök rendelkezésre állása A18 A18.1 A18.1.2. A18.1.3. A18.1.4. A18.1.5.
Megfelelés Megfelelés a jogi és szerződéses követelményeknek A vonatkozó jogszabályi és szerződéses követelmények azonosítása Szellemi tulajdonjogok A feljegyzések védelme A magántitok és a személyhez köthető információk védelme A titkosítási intézkedések szabályozása
A18.2 A18.2.1. A18.2.2. A18.2.3.
Információbiztonsági vizsgálatok Az információbiztonság független vizsgálata Megfelelés a biztonsági szabályoknak és szabványoknak A műszaki megfelelés vizsgálata
A18.1.1.
© Dr. Horváth Zsolt László
71