Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Semestrální práce – kurz 4SA425 Audit informačního systému Ročník Akademický rok Autor Xname Obor Kurz Jméno vyučujícího Datum odevzdání
: 1. ročník : 2012/2013 : Bc. Petr Loderer : xlodp00 : N-AI Podniková informatika [dist.] : 4SA425 Audit informačního systému : doc. Ing. Vlasta Svatá, CSc. : 13.5.2013
Souvislosti auditu informatiky s bezpečnostním auditem
Obsah 1
Úvod ................................................................................................................................................ 3
2
Audit a jeho principy ........................................................................................................................ 3 2.1
Řízení bezpečnosti a bezpečnostní audit ................................................................................... 4
2.2
Audit informačního systému ..................................................................................................... 5
2.3
Souvislost bezpečnostního a informačního audiu...................................................................... 6
2.3.1
Řízení přístupu .................................................................................................................. 6
2.3.2
Ochrana proti podvodům a zneužití .................................................................................. 8
3
Závěr ................................................................................................................................................ 9
4
Zdroje ............................................................................................................................................ 10
1 Úvod Bezpečnostní audit a audit informatiky mají některé společné předměty činnosti. Bezpečnostní audit se částečně týká informatiky a audit informatiky se částečné týká bezpečnosti. Oba tyto audity zasahují do kontextu podnikové informatiky a oba se týkají mj. top managementu i managementu informatiky. Na základě využití poznatků z dvou kurzů vyučovaných na Vysoké škole ekonomické v Praze: 4SA425 Audit informačního systému a 4SA325 Řízení bezpečnosti informačních systémů, jsem si vytyčil cíle této semestrální práce – identifikovat souvislosti bezpečnostního a informačního auditu a odpovědět na otázku “Jaké jsou souvislosti mezi auditem bezpečnosti a auditem informatiky?“ Hlavní použitou literaturou jsou publikace uvedené jako doporučená literature k výše zmíněným kurzům: •
Řízení bezpečnosti informací od autorského kolektivu DOUCEK, Petr, Luděk NOVÁK a Vlasta SVATÁ
•
Audit informačního systému, SVATÁ, Vlasta
V prvních kapitolách jsou nejprve vymezeny jednotlivé pojmy, které jsou předmětem této práce. Následuje analýza těchto typů auditu a vymezení společných předmětů. Vzhledem k tomu, že mé znalosti a zkušenosti s auditem bezpečnosti a informačním auditem nejsou natolik obsáhlé, abych mohl zmínit všechny souvislosti, stanovuji omezení práce na souvislosti v oblasti řízení přístupu a ochraně proti podvodům a zneužití.
2 Audit a jeho principy „Audit je systematický, nezávislý a dokumentovaný proces získání důkazů z auditu a jejich hodnocení s cílem stanovit rozsah splnění kritérií auditu.“[7]. „Provádění auditů a vlastní činnost auditorů jsou spojeny s respektováním a dodržováním řady zásad a pravidel., Právě tyto zásady činí z auditu efektivní a hlavně spolehlivý nástroj pro podporu účinného řízení, který poskytuje nenahraditelné informace nutné pro trvalé zlepšování systému řízení.“[7] Audit můžeme klasifikovat podle dvou hlavních skupin 3
•
kdo audit provádí1 o audit první stranou – spíše známý jako interní audit o audit druhou stranou – audit provádí externí subjekt, který má v auditované společnosti určité zájmy (stakeholder) o audit třetí stranou – prováděna organizací zcela nezávislé na organizaci auditované
•
nad jakou oblastí je audit prováděn o finanční audit o bezpečnostní audit o informační audit o audit kvality o projektový audit o ekologický audit aj.
Všechny tyto typy auditů se v praxi často prolínají. Všechny typy auditů podle oblasti je možné provádět jak interně, tak externě. Na základě kombinace strany provádějící audit a oblastí auditu mohou vznikat zprávy užitečné jiné skupině pracovníků v organizaci a mimo ni. Interní finanční audit může být zaměřen na slabé stránky finančního oddělení ve snaze zlepšit procesy, externí finanční audit může podávat ucelené zprávy široké veřejnosti o celé oblasti finančního oddělení dané firmy.
2.1 Řízení bezpečnosti a bezpečnostní audit „Řízení bezpečnosti (Security Management, někdy též Corporate Security) je oblast řízení, která řeší bezpečnost aktiv (zdrojů) v organizaci, tedy jak bezpečnost fyzickou tak bezpečnost elektronického světa. Řízení bezpečnosti velmi úzce souvisí s řízením rizik a je zaměřeno na vytvoření či trvalé zajištění takových podmínek, která pomohou předcházet či snížit identifikovaná rizika, vyhnout se problémům a to zejména pomocí různých metod, procedur, směrnic, standardů a nástrojů. Řízení bezpečnosti se z velké části týká zajištění autorizovaného přístupu osob k aktivům organizace (zejména k financím, informacím, movitému i nemovitému majetku). S řízením bezpečnosti úzce souvisí řízení kontinuity činností organizace“ [6]
1
Pro klasifikaci auditů podle subjektu, který audit provádí je použit zdroj [6]
4
Spousta lidí vnímá pojmy řízení bezpečnosti a bezpečnostní audit výhradně ve spojení s informačními technologiemi. Toto chápání lze vysvětlit úzkým spojením mezi bezpečností a bezpečností informačních systémů, jako jsou: bezpečnost dat, uživatelů, uživatelských dat atd. Pokud bych měl dovést tuto myšlenku ad absurdum a demonstrovat, jak úzce je tento pojem chápán, dalo by se říci, že řízením bezpečnosti je vlastně myšleno “silné heslo“. Tato definice je ovšem velmi nepravdivá, jelikož pod bezpečnostní audit spadá i audit požární ochrany, audit bezpečnosti práce, personální audit, procesní audit aj. Pojem bezpečnost je zde chápána v širším slova smyslu, než v úzkém spojení s informatikou. Cílem bezpečnostního auditu by tak mělo být •
„Odhalení slabých míst a bezpečnostních rizik
•
Snížení možnosti bezpečnostního ohrožení ze strany zaměstnanců společnosti
•
Minimalizace možnosti úniku citlivých informací společnosti
•
Snížení počtu bezpečnostních ohrožení
•
Minimalizace škod způsobených ztrátou důvěry zákazníků společnosti:“[4]
2.2 Audit informačního systému „Audit informačních a komunikačních technologii a informačních systémů můžeme klasifikovat v následujících oblastech - Bezpečnostní audit (audit IS, penetrační testy, analýza rizik dle BS 17799) Hlavním cílem bezpečnostního auditu je zmapování aktuálního stavu bezpečnosti v rámci podniku, odhalení možných rizik a vytvoření základu pro případné ucelené bezpečnostní řešení. - Technický audit (audit HW a SW vybavení, audit infrastruktury) Výstup z této části auditu slouží jako podklad pro odhad (ochranu) investic do infrastrukturních komunikačních systémů. Výstup může obsahovat návrh na rozšíření či úpravu konfigurace systému, případně změnu technologie. - Audit informační strategie (koncepce, ohodnocení spokojenosti uživatelů a zákazníků, rozbor funkčnosti - popis IS). Výsledkem je podklad a stanovení kritérií pro správnou strategii v oblasti informačních technologií vzhledem k potřebám a podnikatelským záměrům firmy. - Legislativní audit (zákon 101/2000 Sb., zákon 365/2000 Sb., zákon 148/1998 Sb.) sumarizuje základní informace o IS a ověřuje, zda IS je ve shodě s požadavky zákonů, které se týkají 5
bezpečnosti dat a informačních systémů. Mechanismy hodnotící podmínky informačního systému v souladu s požadavky práva.“ [2] „Hlavní cíle informačního auditu – efektivní správa informací, informačních systémů a komunikační strategie“ [5]
2.3 Souvislost bezpečnostního a informačního audiu Jak jsem již naznačil v úvodu, audit bezpečnosti není jen o informatice a audit informatiky není jen o bezpečnosti. Obě tyto oblasti se navzájem propojují a mohou se navzájem ovlivňovat. Například podklady pro řízení bezpečnosti, jako postupy, směrnice, předchozí výsledky auditu aj. mohou být uloženy v informačním systému a jsou použity např. pro část bezpečnostního auditu, týkající se bezpečnosti a ochrany zdraví při práci, nicméně úzká souvislost mezi bezpečnostním auditem a informačním auditem zde přímo není. Pokud chceme sledovat souvislosti těchto dvou druhů auditů, musíme vyjít z jejich definic a oblastí sledování tak, jak jsem je uvedl v kapitolách 2.1 a 2.2. V těchto kapitolách je zmíněno několik oblastí, kterých se daný audit týká včetně těch, týkajících se bezpečnosti. Posledním pojmem, který zbývá definovat je tedy bezpečnost. Pokud bych měl sám definovat slovo “bezpečnost“, definoval bych jej jako aktivní snahu zamezit zneužití a způsobení škody na chráněném aktivu. 2.3.1
Řízení přístupu
Pojmy identifikace, autentizace a autorizace jsou známy spíše z oblasti výpočetních technologií, nicméně mají určitý vliv i na řízení bezpečnosti, jako takové. Prvně je nutné tyto pojmy definovat. „Identifikace je proces, který umožní rozpoznání entity (systémem), obvykle za použití unikátních pomocí prostředků výpočetní techniky zpracovaných (uživatelských) jmen. Autentizace je proces ověřování proklamované identity subjektu. Autentizace znamená ověřování pravosti, autentický znamená původní, pravý hodnověrný. Autentizace patří k bezpečnostním opatřením a zajišťuje ochranu před falšováním identity, kdy se subjekt vydává za někoho, kým není.
6
Autorizace znamená oprávněnost, autorizovat znamená povolit, schválit, zmocnit, oprávnit. O autorizaci hovoříme, pokud určitá entita (uživatel, program, zařízení) chce přistupovat k určitým zdrojům (např. serveru, souboru, tiskárně). Aby mohla entita ke zdrojům přistoupit, musí být k tomu autorizována – oprávněna. Příkladem autorizace je úspěšná autentizace.“ [1] V oblasti informačních technologií uvedu následující příklad průchodu všemi výše uvedenými činnostmi. Pro přístup do databáze uvádí uživatel své uživatelské jméno a heslo (identifikace), systém jeho údaje ověří (autentizace) a pokud má práva na danou databázi (autorizace), je schopen posílat dotazy, ke kterým mu byla přidělena práva (opět autorizace). Tyto objekty zkoumá audit informatiky, zabývající se bezpečností. Je každému jasné, že nejjednodušší nastavení databáze je vytvoření univerzálního účtu pro všechny zaměstnance (případně zrušení nutnosti se do databáze připojovat za pomocí uživatelského jména a hesla, čímž je odstraněna i nutnost identifikace), přiřazení práv na všechny objekty a všechny akce. Takovýto přístup je ovšem krajně nevhodný a takovéto počínání povede k nálezu auditu informatiky. Vhodnou metodou je v každém případě vytvoření takové kombinace identifikace, autentizace a autorizace, aby každý subjekt měl přístup pouze tam, kam jej skutečně mít má. Na druhou stranu se tyto pojmy dají využít i v bezpečnostním auditu, který nemusí být primárně na bezpečnost informatiky zaměřen. Jak jsem uvedl v kapitole 2.1, je cílem řízení bezpečnosti mj. ochrana aktiv společnosti. Takovýmto aktivem nemusí být nutně databázový server, ale jakýkoliv hmotný i nehmotný majetek (stroje, vybavení kanceláří, zásoby atd.), který je třeba chránit. Spousta společností zavádí řízení přístupu na mnohem vyšší úrovni, než na úrovni DB systému. Jsou zaváděny čipy, příp. čipové karty, které nesou identitu nositele (identifikace), který se musí prokázat většinou u vchodu do sídla firmy (autentizace) a posléze je vpuštěn (autorizace). Sám jsem se ve své praxi setkal se systémem čipových karet, který vpouštěl všechny zaměstnance firmy do jejích prostor, ale ta samá čipová karta umožnila přístup do serverovny pouze zaměstnancům IT oddělení (autorizace pouze vybraných subjektů). Podobným prvkem v oblastí řízení přístupu je kamerový systém, který monitoruje přístup jednotlivých osob do určitých prostor. Vzhledem k tomu, že materiál zachycený kamerovým systémem se s velkou pravděpodobností ukládá na médium jako magnetické pásky, harddisky apod. je souvislost s auditem informatiky zřejmá. 7
2.3.2
Ochrana proti podvodům a zneužití
Ochrana proti podvodům a zneužití (nebo-li fraud management) je další součástí systému řízení bezpečnosti. Opět nemusí jít prvoplánově o zneužití v oblasti IS/ICT, ale může se jednat o zneužití jiných podnikových aktiv. Oproti kapitole 2.3.1 se zde jedná o jiný typ hrozeb, před kterými se podnik brání. Zatímco v systému řízení přístupu je hlavním principem zamezení přístupu zaměstnanců k aktivům, ke kterým nemají mít z nějakého důvodu přístup, ochrana proti podvodům a zneužití se zabývá problematikou, kdy zaměstnanci z nějakého důvodu přístup k danému aktivu mít musí (např. pro výkon práce), ale je zde riziko zneužití. Pravdou je, že v dnešní době jsou právě data a informace to, co se dá velmi lehce zcizit a zneužít. V takovém případě je nutné zavést taková bezpečnostní opatření, aby k tomuto nedošlo. V tomto ohledu si myslím, že bezpečnostní audit by měl všechny záležitosti týkající se IS/ICT přenechat auditu informatiky a jeho bezpečnostní části. Ochrana IT aktiv může být v dnešní době o něco jednodušší, vzhledem k dostupným mechanizmům. Citlivá data se dají zpřístupnit pouze přes vzdálený přístup, ve kterém je možné zakázat kopírování na systém, ze kterého je uživatel připojen a snížit tak riziko vynášení dat mimo organizaci. Bezpečnostní audit, netýkající se informatiky může řešit ochranu jiných aktiv, jako jsou třeba zásoby. Např. skladník k výkonu své práce nutně potřebuje přístup do skladu a tudíž i ke skladovaným zásobám, ale ochrana těchto aktiv již není součástí řízení bezpečnosti IT. Cílem je zavést takové metody, aby k zneužití těchto aktiv nedocházelo (pro příklad skladu je možné zavést rutinu, kdy vedoucí skladu každý den/týden podepisuje prohlášení, že zbylé skladové zásoby odpovídají rozdílu původního stavu a požadovaného zboží k dodání). Je zřejmé, že i v těchto případech je zneužití možné a je právě předmětem bezpečnostního auditu tyto možnosti adresovat a navrhnout taková opatření, která rizika minimalizují, případně odstraní.
8
3 Závěr Jaké jsou souvislosti mezi auditem bezpečnosti a auditem informatiky? Jak je zřejmé z faktů, které jsem v této práci uvedl, mezi auditem bezpečnosti a informačním auditem je relativně tenká linie, kterou je velmi snadné překročit a auditor se rázem může ocitnout na úplně “jiném poli“. Zatímco probíhá audit bezpečnosti z hlediska přístupu do firemních prostor, rázem se může změnit v audit informační, pokud bude předmětem zkoumání řízení přístupu do prostor informačních technologií. Osobně si myslím, že není nutné absolutně vymezit jednotlivé předměty auditu a říci, že toto musí spadat pod informační audit a jiný předmět pod bezpečnostní audit. Vymezovat přísné mantinely, které se nesmí překročit žádným směrem auditory pouze omezuje a ve výsledku nemusí mít takovou přidanou hodnotu, jak by se mohlo zdát, dokonce může ještě uškodit. Předměty společné těmto typům auditů je možné řešit v obou typech, přičemž každý typ auditu může přispět jinými poznatky.
9
4 Zdroje [1] HOENIGOVÁ, Alena a Václav MATYÁŠ ML. Anglicko-česká terminologie bezpečnosti informačních technologií. 1. vyd. Praha: Computer Press, 1996, 95 s. ISBN 80-858-9644-3. [2] NĚMEC, Petr. Audit informačních systémů nebo penetrační testy?. Systémová integrace [online].
Praha, 2008 [cit. 2013-05-04]. Dostupné z: http://si.vse.cz/archive/proceedings/2008/auditinformacnich-systemu-nebo-penetracni-testy.pdf [3] SVATÁ, Vlasta. Audit informačního systému. 1. vyd. Praha: Professional Publishing, 2011, 219 s. ISBN 978-80-7431-034-8. [4] Bezpečnostní audit. IBACZ. IBAcz [online]. 2013 [cit. 2013-05-08]. Dostupné z: https://www.ibacz.eu/bezpecnostni-audit Bezpečnostní audit. IBACZ. IBAcz [online]. 2013 [cit. 2013-05-08]. Dostupné z: https://www.ibacz.eu/bezpecnostni-audit [5] DOMBROVSKÁ, Michaela, Petr OČKO a Petr ZEMAN. Informační audit – cesta k rozvoji znalostní
organizace. In: Ikaros [online]. 2005 [cit. 2013-05-04]. Dostupné z: http://www.ikaros.cz/informacni-audit-%E2%80%93-cesta-k-rozvoji-znalostni-organizace [6] Řízení bezpečnosti. In: Management Mania [online]. 2013 [cit. 2013-05-04]. Dostupné z: https://managementmania.com/cs/rizeni-bezpecnosti [7] DOUCEK, Petr, Luděk NOVÁK a Vlasta SVATÁ. Řízení bezpečnosti informací. 1. vyd. Praha: Professional Publishing, 2008, 239 s. ISBN 978-80-86946-88-7.
10