Aplic metoda „falsei ipoteze” în cazul celor scrise în articolul anterior: cererea de servicii nu este de tip „proceduri agreate” ci „audit”. Şi este foarte clară!

În cererea de servicii se menţionează:

„Auditul tehnic este definit, în contextul prezentei documentaţii de achiziţii, ca fiind multitudinea de teste de audit realizate de către auditor asupra unui sistem sau componente ITC şi care vizează identificarea conformităţii măsurilor implementate cu măsurile de securitate contractate de către achizitor şi cu standardele internaţionale în vigoare.”

Observaţii:

1. „Auditul tehnic” este cerut de finanţator, nu de beneficiarul finanţării, ca o condiţie a finalizării proiectului. Beneficiarul este „responsible” în timp ce finanţatorul este „intended user”. Exprimarea corectă din documentele finanţatorului este „auditarea securității rețelei şi aplicației informatice„.
2. „Multitudinea de teste de audit” înseamnă testarea controalelor: teste de conformitate („compliance„) şi teste de fond („substantive„) – vezi CISA Review Manual 2011, pg. 54
3. Cu toate că definiţia începe după cum am văzut altfel, se doreşte doar „”identificarea conformităţii” cu „măsuri de securitate contractate” şi cu „standarde”. Nu există nici o cerinţă în ceea ce priveşte conformitatea cu legislaţia aplicabilă!

„În cadrul auditului se vor lua în considerare normele de securitate fizică şi logică conforme cu standardele ISO 27001 şi BS7799 sau echivalente”

Observaţii:

1. Deşi se doreşte „audit”, este menţionat referenţialul. Este însă indicat greşit: ISO 27001 este „Information security – management systems Requirements”! ISO 27002 este „Code of practice”.
2. Dacă se foloseşte ca referenţial ISO27001, atunci va trebui să se testeze conformitatea cu clauza 4.3 Documentation requirements. Apoi celelalte clauze.
3. BS7799. Care parte? ISO27001 nu este BS7799-3?
4. Folosind ca referenţial ISO27001, care controale şi obiective aferente vor fi luate în considerare în situaţia în care auditatul nu are SMSI?
5. Paragraful se referă încă la „audit tehnic”.

„Auditul de securitate va certifica starea la momentul realizării acestuia, a unui sistem sau componente ITC din punct de vedere al securităţii ITC. Auditul de securitate nu este destinat şi nu va lua locul unui plan de securitate informaţională a organizaţiei, ci îşi propune să reflecte în mod cât mai detaliat climatul general de securitate, inclusiv analiza planului şi politicilor de securitate”.

Observaţii:

1. Nu mai este vorba de „audit tehnic” ci de „audit de securitate”.
2. Auditul de securitate nu certifică. Auditorul (CISA) nu certifică. Auditorul oferă un anumit grad de asigurare prin exprimarea unei opinii! Auditorul ISO27001/organismul poate certifica SMSI! Nici măcar acesta nu „certifică securitatea”! Asigurarea oferită în cadrul unei misiuni de audit se referă la satisfacerea exigenţelor auditorului referitoare la credibilitatea declaraţiilor (assertions) unei părţi, în scopul utilizării acestora de către o altă parte. Nivelul de asigurare ce poate fi emis este determinat de procedurile utilizate şi de rezultatele obţinute!

–––––––––––––––––––––––––––––––––––––––––––––––––––

Auditul înseamnă şi multă rigoare. Este principalul motiv pentru care poate te plictisesc, cititorule, cu astfel de subiecte. Cînd scriu pe blog, exprim opinii private, chiar dacă sunt „publice”: singurul care poate fi afectat de afirmaţiile făcute sunt eu. Evit să dau soluţii. Raţionamentul profesional al fiecăruia trebuie să se manifeste!

Cînd semnez însă un raport de audit, exprim o opinie publică: alte persoane se bazează pe asigurările oferite de mine.

Serviciile despre care am scris în acest articol şi în precedentul au fost contractate. Probabil din cauza „crizei”. Sau poate a unei alte „înţelegeri” a cerinţelor pe care eu le-am judecat greşit. Un auditor va semna un raport şi îşi va asuma public anumite responsabilităţi.

„The IS auditor should plan the information systems audit coverage to address the audit objectives and comply with applicable laws and professional auditing standards.

The IS auditor should exercise due professional care, including observance of applicable professional auditing standards.

IS auditors should appropriately deal with all concerns encountered, with regard to the application of professional ethics or IS Auditing Standards during the conduct of the audit assignment. If adherence to professional ethics or IS Auditing Standards is impaired or appears impaired, the IS auditor should consider withdrawing from the engagement.„