Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
2 Miről lesz szó? Audit statisztika Előaudit SoA a területmeghatározásban BS – ISO 27001
3 Audit tapasztalatok kiértékelése 10 magyar audit jelentéseinek értékelése Nemmegfelelőségek (hibák, eltérések) kigyűjtése Audit fázisok 1. fázis – Dokumentációvizsgálat Előaudit (opcionális) 2. fázis - Helyszíni audit
4 Nemmegfelelőségek - Dokumentáció vizsgálat Szabványtörzs Mintanagyság: 10
5 Nemmegfelelőségek - Dokumentáció vizsgálat " A" melléklet Mintanagyság: 10
6 Dokumentáció vizsgálat - példák ISMS kialakítás – 57%! a: „Határozza meg az ISMS alkalmazási területét…” d.1: „Azonosítsa az ISMS területén belüli vagyontárgyakat és ezeknek a tulajdonosait.„ g: „Megfelelő … óvintézkedéseket kell kiválasztani ezen szabvány “A” mellékletéből és a döntéseket a kockázatfelmérési és a kockázatkezelési folyamat következtetései alapján meg kell indokolni.„ A.8 Kommunikáció és működés – 24% Nem csak elektronikus adathordozók vannak…
7 Dokumentáció vizsgálat - példák A.5 Vagyontárgyak osztályozása – 17% Vagyonleltár (pl. laptopok, külsősök eszközei) Szolgáltatások, személyek,… A.11 Üzletmenet folytonosság – 13% Kritikus eszközökre terjedjen ki Belső audit – 11% Integrált rendszerek Auditorok felkészültsége Dokumentumok kezelése – 11% Ugyanaz többször szabályozva Azonosítás
8 Nemmegfelelőségek - Helyszíni audit Szabványtörzs Mintanagyság: 10
9 Nemmegfelelőségek - Helyszíni audit " A" melléklet Mintanagyság: 10
10 Helyszíni audit - példák ISMS kialakítás – 33% Vagyonleltár (pl. laptopok, külsősök eszközei) Szolgáltatások, személyek Vezetőségi átvizsgálás – 25% Nincsenek határozatok, felelősök, határidők A.12 Megfelelés – 22% Tipikus probléma a szoftver jogtisztaság
11 Következtetések Viszonylag sok nemmegfelelőség Többségében tanúsító auditok a mintában Fiatal szabvány Kiterjedt követelményrendszer A rendszerépítés lépései gyakran elnagyoltak Vagyonleltár Kockázatelemzés Előaudit javasolt
12 Előaudit A tanúsítási folyamattól független Auditori konzultáció Lehetőség a rendszer tanúsítás előtti korrekciójára Tapasztalatot, önbizalmat ad Tipikusan 1 nap
13 Előaudit folyamata Terv Nyitóértekezlet Szabványkövetelmények teljesülésének ellenőrzése Rendszerépítés dokumentumainak áttekintése Személyes interjúk Eszközök, folyamatok megfigyelése Feljegyzések vizsgálata Záróértekezlet Értékelés, észrevételek szóban Írott jelentés nem készül
14 Alkalmazhatósági Nyilatkozat UKAS ajánlásra a SoA azonosítása a tanúsítási terület meghatározásában szerepel Pl. „…ügyfél, szervezeti és személyes információ védelme az Alkalmazhatósági Nyilatkozat 1.0 verziójának megfelelően.” Célszerű önálló dokumentumként kiadni
15 BS –ISO áttanúsítás – jelenleg Követelmények változásának mértéke kicsi, de a megfelelést biztosítani kell A UKAS - DTI (Department of Trade and Industry) megállapodás Az ISO re nem terjed ki Akkreditált tanúsítás nem lehetséges UKAS kezdeményezte a kiterjesztést BS :2005 akkreditált tanúsítványok már most kiadhatók (ez megfelel az ISO nek) Nem akkreditált ISO tanúsítvány kiadható (upgrade lehetőség)
16 BS –ISO áttanúsítás – mi várható? UKAS Transition Statement (még novemberben?) Az áttanúsítás eljárása Tanúsító testületek eszerint kell eljárjanak Tanúsított szervezeteknek várható áttérési időszak: 18 hónap (2002) 6 hónap a felkészülés 12 hónap az áttanúsítás Ezután csak ISO lesz tanúsítható Felülvizsgálat (vagy előre hozott megújító audit) során
17 Köszönöm a figyelmüket! Stipkovits István információbiztonsági auditor 30/