Audyt informatyczny

Audyt informatyczny – proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane[1].

Audyt jest prowadzony w celu stwierdzenia stopnia zgodności ocenianego systemu z określonym standardem lub normą wybraną jako punkt odniesienia. W przypadku audytu informatycznego są to normy dotyczące zarządzania procesami IT (ISO/IEC 20000, COBIT), zarządzania jakością (ISO 9001) lub bezpieczeństwem informatycznym (ISO/IEC 27001, PCI DSS, FIPS[2]). Normy te są zwykle zbudowane w postaci list kontrolnych, co ułatwia systematyczną weryfikację wszystkich punktów.

Częścią audytu mogą być inne, nierzadko bardzo rozbudowane procedury badania systemów informatycznych – jak analiza ryzyka czy test penetracyjny.

Normą zawierającą wytyczne odnośnie do prowadzenia audytów oraz doboru audytorów jest norma ISO/IEC 19011:2002 (dotyczy głównie audytów systemu zarządzania jakością i/lub systemów zarządzania środowiskowego). Jedną z metodyk prowadzenia audytu jest LP-A[1].

CISA certyfikat audytorów wewnętrznych IT

Audyt informatyczny przeprowadzany jest przez audytorów posiadających uprawnienia w tym zakresie m.in. certyfikat CISA.

CISA (Certified Information Systems Auditor) to jedna z najbardziej znanych i prestiżowych kwalifikacji dających międzynarodowe uprawnienia audytora wewnętrznego z zakresu IT. Potwierdza, że ​​jego posiadacz zdobył wiedzę i umiejętności pozwalające na ocenę słabych stron systemu informatycznego, firmy, planów ciągłości działania systemu informatycznego oraz zarządzania IT.

Organem wydającym Certyfikat CISA jest Information Systems Audit and Control Association (ISACA).[3]

Rodzaje audytów informatycznych

Audyt informatyczny może obejmować różne obszary funkcjonowania systemu. Zasadniczo rozróżniamy 3 rodzaje audytu informatycznego:

  • audyt legalności oprogramowania;
  • audyt sprzętu;
  • audyt bezpieczeństwa.[4]

Audyt legalności oprogramowania.

Polega na weryfikacji legalności oprogramowania, zainstalowanego na urządzeniach firmowych i namierzeniu oprogramowanie nielegalnego (pirackiego). W trakcie audytu sprawdzane są m.in. jakie licencje na oprogramowanie posiada firma. Dokumenty porównywane są ze stanem faktycznym (oprogramowaniem zainstalowanym na wszystkich komputerach firmowych). Audyt pozwala m.in. uniknąć kar finansowych związanych z wykorzystaniem nielegalnego oprogramowania w firmie. [5]

Audyt sprzętu.

Dostarcza informacji na temat rodzajów, typów i stanie funkcjonowania sprzętu znajdującego się na wyposażeniu firmy. W trakcie audytu na każdym komputerze firmowym uruchamiane jest oprogramowanie, które pozwala na sprawdzenie konfiguracji danego sprzętu. Na podstawie tych danych można określić stan urządzeń firmowych, a także dokonywać niezbędnych ulepszeń.[6]

Audyt bezpieczeństwa

(zwany również audytem zabezpieczeń lub audytem bezpieczeństwa informacji). To rozbudowany audyt, który ma sprawdzić wszystkie mechanizmy kontroli i zabezpieczeń informacji w firmowej sieci.

Audyt bezpieczeństwa dotyczy różnych aspektów funkcjonowania firmy.

  • bezpieczeństwa sieci (sprawdzenie i konfiguracja urządzeń sieciowych, routery, LAN i WLAN, oraz punktów dostępu, przełączników),
  • bezpieczeństwa informacji (metody uwierzytelniania, autoryzacja, szyfrowanie, zarządzanie certyfikatami cyfrowymi),
  • bezpieczeństwa aplikacji web (zabezpieczenia witryny internetowej, platform SaaS, ochrona poczty e-mail itd.)[7]

Zobacz też

Przypisy

  1. a b Krzysztof Liderman, Adam E. Patkowski: Metodyka przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego. WAT, 2003.
  2. Paweł Krawczyk: Audyt wewnętrzny w zakresie bezpieczeństwa.
  3. CISA Certification | Certified Information Systems Auditor, ISACA [dostęp 2021-09-03].
  4. Audyt bezpieczeństwa infrastruktury IT - IT NEWS 24 [dostęp 2021-09-03] (pol.).
  5. Audyt bezpieczeństwa infrastruktury IT, TechPolska.pl, 26 lipca 2021 [dostęp 2021-09-03] (pol.).
  6. Audyt bezpieczeństwa infrastruktury sprzętowej IT, Sebitu, 2 czerwca 2021 [dostęp 2021-09-03] (pol.).
  7. Audyt bezpieczeństwa aplikacji – testy penetracyjne, Sebitu, 3 września 2021 [dostęp 2021-09-03] (pol.).