Audyt Cyberbezpieczeństwa IT

Audyt cyberbezpieczeństwa IT

Krok Obszary audytowe Ustalenia audytowe

1. Rozwój kultury • podział odpowiedzialności, powołanie Jana Kowalskiego na stanowisko odpowiedzialnego za obszar cyberbezpieczeństwa • audyty IT Security • polityki cyberbezpieczeństwa

2. Zapewnienie szkoleń • bez odpowiedniego poziomu świadomości osób uczestniczących w procesach przetwarzania danych żadne zabezpieczenia nie będą wystarczające • opracowanie zasad i procesu bezpieczeństwa dla IT i przekazanie ich pracownikom wraz z wytłumaczeniem, jak i dlaczego należy je stosować • dopasowanie szkoleń do potrzeb organizacji

3. Współpraca z • kontrola nad dostawcami, którzy również mogą być przedmiotem ataku hakerów dostawcami i podmiotami • gwarancja zapewnienia odpowiedniego poziomu bezpieczeństwa poprzez: przetwarzającymi - zapisy w umowach powierzenia przetwarzania danych osobowych - audyt podmiotu przetwarzającego

4. Plan reagowania na • procedura reagowania na incydenty bezpieczeństwa i ochrony danych osobowych incydenty • weryfikacja operacyjnego stosowania procedury, czyli sprawdź, czy organizacja wie, kto i co powinien zrobić w sytuacji incydentu • zaangażowane kierownictwa i podjęcie decyzji o notyfikacji do Prezesa Urzędu Ochrony Danych Osobowych

5. Zabezpieczenie dostępu • polityka haseł, w tym m.in. wprowadzenie zasad dotyczących składni hasła do zasobów hasłami • zarządzanie hasłami dostępu, np. używanie managerów haseł

6. Zabezpieczenie urządzeń Weryfikacja stosowanych zasad bezpieczeństwa m.in. w obszarach: • aktualizacji oprogramowania • stosowanych narzędzi antywirusowych • stosowanych zasad i technik szyfrowania • stosowania rozwiązań blokujących malware, phishing i inny spam mailowy

7. Bezpieczeństwo sieci Zweryfikowanie: • zarządzania laptopami i urządzeniami mobilnymi (przy pracy na własnym sprzęcie ustalenie i wdrożenie konkretnych zasad takiej pracy) • stosowania firewalla • bieżącej aktualizacji procedur i zabezpieczeń zdalnego dostępu • organizacji backupów, w tym podczas pracy zdalnej (ich utworzenie będzie wymagało wizyty w biurze)

8. Podwyższanie i Ustalenie stosowanych zabezpieczeń fizycznych, czyli np.: monitorowanie • sposobu zabezpieczenia serwerowni zabezpieczeń fizycznych • miejsca składowania laptopów po zakończeniu pracy

9. Zabezpieczenie Weryfikacja zasad tworzenia backupów w organizacji, np.: backupów • regularne tworzenie i cykliczne sprawdzanie, czy faktycznie można je odtworzyć • sprawdzanie, gdzie są przechowywane, czy np. w innej lokalizacji niż bieżące dane

10. Rozwiązania Jakie dane są przetwarzane w chmurze? (wskazać procesy, których to przetwarzanie dotyczy). chmurowe Wybór podmiotu, który dostarcza rozwiązanie chmurowe gwarantujące bezpieczeństwo przechowywania danych oraz przestrzega przepisów RODO Przy audycie chmury można oprzeć się na: • ISO 27001 i ISO 27017 • wskazówkach wydanych przez ENISA: Przewodnik dotyczący bezpieczeństwa w chmurze dla Małych i Średnich Przedsiębiorstw dostępny na stronie: https://www.enisa.europa.eu/publications/cloud-computing-benefits-risks-and-recommendations-for-information-security

Audyt cyberbezpieczeństwa IT

11. Zabezpieczenie stron Dobór adekwatnych do ryzyka zabezpieczeń, w szczególności, jeżeli np. na stronie internetowej znajdują się dane szczególnych kategorii lub dane płatnicze. Przykłady: WWW • zabezpieczenie dostępu do systemu do zarządzania treścią na stronie internetowej (CMS) • instalacja oprogramowania antywirusowego i firewalla zabezpieczającego przed atakami z zewnątrz • monitorowanie i kontrola dostępu do strony WWW oraz serwera Apache – systemu do monitorowania ruchów w sieci (Apache, Nginx, IIS) • zasady uwierzytelniania, np. OAuth 2.0 • szyfrowanie i stosowanie certyfikatów SSL

12. Dziel się informacjami Kultura cyberbezpieczeństwa – stosowanie dobrych praktyk i wytycznych oraz informowanie CSIRT NASK o nowych formach ataków i zagrożeń w obrębie własnej organizacji i na zewnątrz