Descrierea serviciului de audit de securitate al sistemelor informatice
Auditul este o tehnică de investigare a funcţionalităţii şi conformităţii unui proces, proiect/produs complex sau organizație, in baza unui sistem de criterii/referenţiale, care permite auditorului să emită o opinie independentă şi calificată, și să formuleze recomandări privind funcţionalitatea şi/sau conformitatea proceselor studiate.
Auditorii de securitate informatică fac o analiză a proceselor IT&C și a tehnologiilor implicate în desfășurarea acestora pentru a schița situația la zi a sistemelor informatice (IS – Information Systems) cu referință la standardele de audit ISACA și a celor mai bune practici în domeniul auditului sistemelor informaționale, în conformitate cu prevederile L362/2018. Auditul InfoSec (securitatea informației) este definit ca fiind multitudinea de teste de audit realizate de către auditor asupra unui sistem sau componente ICT şi care vizează identificarea conformităţii măsurilor implementate cu:
- normativele legale în vigoare în domeniul de activitate
- standardele internaţionale în domeniul securității informației
- cele mai bune practici InfoSec
În cadrul auditului se vor lua în considerare normele de securitate fizică, logică, procedurală, de personal, precum și cerințele de conformitate cu:
- L362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice
- L365/07.06.2002 privind comerţul electronic;
- HG 1308/2002 pentru aprobarea normelor metodologice de aplicare a L365/2002
- standardele și ghidurile de audit ISACA;
- controalele definite de standardul SR ISO/IEC 27001
- evaluarea riscurilor în conformitate cu ISO/IEC 27005, ISO 31000 si ISI 31010
- cerințele și specificațiile tehnice (fișa de date a achiziției) din cadrul diferitelor proiecte
- L333/2003 si HG301/2012 privind paza obiectivelor, bunurilor, valorilor si protectia persoanelor
Obiectivul principal al activitatii de audit este cresterea nivelului de securitate a retelei IT&C care sa asigure derulare proceselor organizatiei in conditii de disponibilitate, confidentialitate si integritate a datelor si serviciilor informatice.
Modul de prestare al serviciului
În vederea creării unei opinii obiective şi a unui raport de audit cuprinzător, echipa de audit va realiza următoarele activităţi:
- Stabilire program audit[1] – definirea de obiectivelor si metodelor de audit și agreerea cu clientul a unui calendar de audit.
- Analiza contextului intern si extern al organizatiei – strângerea de informaţii relevante despre client și sistemul IT&C pentru utilizarea în cadrul etapelor următoare. Aceste informaţii includ: detalii despre sistem, detalii despre organizarea internă, norme si proceduri de lucru, detalii despre organizarea IT, despre tehnologii şi sistemele folosite, modul de funcţionare al sistemelor, procese specifice, personal, precum și orice alte documente relevante.
- Identificarea riscurilor, amenintarilor si vulnerabilitatilor specifice. Evaluarea cantitativa si calitativa a riscurilor.
- Intocmirea listei cu mecanismele de control a riscurilor care trebuie implementate sau actualizate/imbunatatite – echipa de auditori întreprinde evaluările şi testele prevăzute în programul de audit, cu scopul de a verifica atingerea obiectivelor de control stabilite.
- Raportarea – pregătirea opiniei de audit şi a raportului de audit care documentează operaţiunile şi testele întreprinse, precum şi rezultatele obţinute, ședința de conciliere și asumarea raportului
Activitațile de audit sunt realizate de o echipă cu vastă experiență în proiecte de implementare si auditare in tara si in strainatate, cu instuire si acreditari recunoscute la nivel national si international.
[1] Înaintea de inceperea activitatilor se semneaza obligatoriu un Acord de Confidențialitate.