Kaj je pregled informacijske varnosti po ISO standardu? Ali se morajo za skladnost s standardom ISO/IEC 27001 izvesti pregledi informacijske varnosti v organizaciji? Kako le-ta izgleda?

 

Kadar govorimo o pregledu po standardu ISO/IEC 27001 govorimo o treh vrstah pregledov.

 

Sam standard navaja in priporoča:

  • redne preglede informacijske varnosti,
  • pregled nad ranljivostmi v organizaciji,
  • ter pregled in testiranje aplikacij.

 

Za skladnost s standardom ISO/IEC 27001 mora organizacija izvajati redne preglede informacijske varnosti. Le-te sestavljajo neodvisni pregledi informacijske varnosti, pregledi skladnosti z varnostnimi politikami in standardi ter pregledi tehnične skladnosti.

 

Celovit pregled varovanja informacij

Pregled informacijske varnosti je pregled skladnosti in je ne-tehnične narave. Pregled informacijske varnosti vsebuje pregled ciljev, varnostnih kontrol, varnostne politike, procesov in postopkov v organizaciji. Pregled skladnosti z varnostnimi politikami in standardi vsebuje pregled skladnosti obdelave informacij in postopkov. Pregled tehnične skladnosti je pregled skladnosti tehničnih kontrol z varnostnimi politikami in standardi, lahko vključuje tudi penetracijske teste in ocene ranljivosti.

 

Standard navaja tudi pregled tehničnih ranljivosti. Organizacija mora redno spremljati in beležiti informacije o tehničnih ranljivostih, ovrednotiti tveganje in sprejeti ukrepe za odpravo tveganj. Način pridobitve pregleda ranljivosti informacijskega sistema ni predpisan. Tak pregled organizacija lahko pridobi s penetracijskimi testi ali s pregledom ranljivosti. Ključnega pomena je, da se organizacija na osnovi zaznanih ranljivosti pravilno odzove in prepreči morebitne nadaljnje incidente.

 

Za skladnost s standardom je potreben tudi varnostni pregled aplikacij. Če organizacija razvija lastne aplikacije, mora razvoj vključevati testiranje in pregled kode. V primeru zunanjega razvoja mora organizacija zagotoviti ustrezno testiranje kakovosti in zbrati dokaze, da so bili upoštevani ustrezni varnostni kriteriji ter da je bilo izvedeno ustrezno varnostno testiranje. Vsaka organizacija, ki želi biti skladna s standardom, pa mora ob uvajanju novih sistemov ali večjih sprememb sistemov izvesti oceno tveganja, analizo vplivov sprememb, specifikacijo potrebnih kontrol ter po vpeljavi sprememb pregled in testiranje kritičnih aplikacij.

 

Neodvisni pregledi informacijske varnosti

V Smart Comu nudimo več storitev, s katerimi vam lahko pripomoremo k doseganju skladnosti po standardu ISO/IEC 27001. Nudimo vam pregled informacijske varnosti, kjer se pregledajo varnostni procesi, postopki, tveganja, skladnost z varnostnimi politikami in standardi ter skladnost tehničnih kontrol z varnostnimi politikami in standardi zahtevani po kontroli A.18.2 ISO/IEC 27001 standarda. Po potrebi dodatno izvedemo pregled posameznih gradnikov informacijskega sistema. V samem končnem poročilu je povzetek za vodstvo in natančen pregled ugotovitev pregleda. Poročilo lahko kasneje uporabite tudi kot del dokumentacije pri reviziji po ISO standardu. Prav tako vam lahko pomagamo s strokovnim svetovanjem, pisanjem varnostnih politik ter oceni in analizi tveganj.

 

Izvedemo tudi preglede ranljivosti in penetracijske teste, ki pripomorejo k temu, da izboljšate pregled nad tehničnimi ranljivostmi zahtevan po kontroli A.12.6.1. Pregled vsebuje pregled obstoječih ranljivosti v omrežju in aplikacijah ter ročno preverjanje ali jih je možno izkoristiti. Preverimo lahko tudi kodo posameznih aplikacij. Poročilo vsebuje najdene ranljivosti in priporočila kako ranljivosti odpraviti. Po želji se lahko testiranje po krajšem časovnem obdobju ponovi za preverbo učinkovitosti ukrepov za odpravljanje ranljivosti.

 

Vas zanima več? Kontaktirajte nas in pogovorili se bomo o vaših zahtevah v zvezi s pregledi informacijske varnosti.