Az auditálásról és a GAP elemzésről…
Az Auditálásról néhány mondatban:
Egy szervezet IT biztonsági megfelelését a vizsgálatot végző felek által kidolgozott vizsgálati módszertanok alkalmazásával végzett audittal lehet igazolni.
A követelmények teljesítésébe segítséget nyújthatnak az egyes szabványok, ajánlások, melyek az elvi követelmények érvényesítésére adnak megoldási javaslatokat. Ugyan ezek a megoldási javaslatok nem kötelező érvényűek, de a jogszabályoknak való megfelelés egyszerűbb, kevésbé erőforrás-igényes igazolása érdekében javasolt azok alkalmazásának megfontolása. Ellenkező esetben olyan alternatív lehetőség alkalmazása szükséges, mely egyenértékű megfelelést biztosít.
Az auditálás elvégzéséhez első körben a vizsgálatot végző félnek meg kell határoznia hatókört, tehát mit, milyen szinten és mélységben, vizsgál, valamint azt, hogy mi alapján történik meg a részletesen vizsgálandó rendszerek, egyéb elemek kiválasztása (szkóp).
A vizsgálat során többek között az alábbiak kerülnek ellenőrzésre (melyeket már a módszertannak is tartalmaznia kell):
- a jogszabályokban, rendeletekben előírt követelmények teljesülése,
- a módszertanban megfogalmazott követelmények teljesülése,
- a szervezet által alkalmazott biztonsági kontrollok megléte, valamint az azokkal kapcsolatos intézkedések hatékonysága,
- az intézkedések megfelelő alkalmazása és konfigurációja,
- a visszaellenőrzések megléte,
- egyéb a vizsgáló fél által előre definiált és lefektetett elvárások ellenőrzése.
A GAP elemzésről néhány mondatban:
- A GAP elemzést gyakran nevezik „stratégiai elemzési módszernek”. Ha lefordítjuk a „gap”-et, mint szót, akkor annak jelentése rés, hézag. A GAP elemzés lényege pedig pontosan a tervezett eredmény és a jelenlegi állapot közötti szakadék vagy hiányosság tanulmányozása. Más szóval, a GAP elemzés során tanulmányozzuk a különbséget a valós (jelenlegi állapot) és a kívánt (cél állapot) között. Ezen technikát meglehetősen széles körben használják, és lehetővé teszi teljesen különböző paraméterek elemzését. Sok GAP elemzési alkalmazás létezik, és csak az elemzett szerkezet specifikációi jelenthetnek korlátozásokat.
A GAP elemzés célja a vizsgálat során feltárni a vizsgált területen lévő hiányosságokat, hibákat, nem megfelelő vagy nem megfelelően működő elemeket, meghatározni azok kritikusságát és ennek megfelelően javaslatokat adni a hiányosságok – prioritásuknak megfelelő – kezelésére.
A GAP elemzésnek nem feladata:
- a vizsgálat szkópját képező informatikai rendszerek sérülékenységvizsgálata,
- a szervezet, IT logikai kockázatelemzésének elvégzése,
- a szervezet szabályozási, és logikai felmérése, vizsgálata,
- a kvantitatív és kvalitatív kockázatok meghatározása,
- az informatikai rendszerek kockázatainak feltérképezése és azok kezelésére történő javaslatok megfogalmazása, valamint
- a szervezet fizikai vizsgálatának (bejárás) elvégzése.
Mielőtt auditáltatnánk…
Auditáltatás előtt fontos, hogy megtudjuk, jelenleg hol tart a szervezetünk…, ezt hiányelemzéssel (GAP elemzés) segítségével tudjuk felmérni, mely során megtudjuk, hogy hol kell módosításokat alkalmazni, javítani, esetleg bővíteni vagy változtatni, hogy vállalkozásunkat a következő szintre emelhessük. Ahelyett, hogy sötétben tapogatóznánk, a GAP elemzés végig vezet minket egy részletes vizsgálaton, hogy feltárjuk jelenleg hol tartunk és hova szeretnénk eljutni, mely segítségével tények és nem feltételezések alapján tudunk cselekedni. A GAP elemzés során…
- felmérjük szervezetünk jelenlegi állapotát: mely során felmérjük szervezetünk jelenlegi helyzetét, mielőtt tervet tudnánk készíteni céljaink elérésének érdekében;
- meghatározzuk a GAP elemzés eredményéből, hogy hova szeretnénk eljutni: ebben az esetben meghatározzuk a következő lépéseket (ilyenkor van lehetőség akár nagyot álmodni);
- hiányosságok feltárása és lehetséges megoldások értékelése: az előző két lépés külön-külön történő elvégzésével nem érhetünk el nagy eredményeket, azonban az elemzés során feltárt hiányosságok, valamint a vágyott jövő összeillesztésével, világossá tehető, hogy mi hiányzik a teljesítményünk (jelenlegi állapot) és a potenciálunk (hova szeretnénk eljutni) között.
- a hiányosságok kezelésére terv készítése: ilyenkor világos stratégia meghatározásával megfogalmazzuk a megvalósíthatósági célokat (fontos minden érintett szervezeti egység bevonása).
Auditálási, GAP elemzési szolgáltatások
- Javasolt vizsgálati szabvány kiválasztása
- Vizsgálati módszertan – szervezetre szabott – kialakítása
- Vizsgálat elvégzése
- Vizsgálat eredményének bemutatása, jelentés készítés
- Cselekvési/intézkedési tervek készítése
