CE NU ESTE AUDITUL IMPUS DE DNSC?

Răspunsul cel mai scurt: nu înseamnă bife puse în diferite liste de verificare și documente/raport pentru a trece de controlul (formalismul) DNSC, raport în care se scrie că dacă ”X nu există” atunci ”copy-paste din Ordinul 1323”.

Auditul impus de DNSC (audit de conformitate) este o cerință legală dar este și instrumentul prin care OSE verifică dacă controalele de securitate (cerințele minime de securitate) sînt implementate și își îndeplinesc scopurile și obiectivele asumate.

Pentru a exprima o opinie, auditorul se bazează pe probe iar probele se obțin prin:

  1. Examinare: politici, proceduri, instrucțiuni de lucru, cerințe din bune practici sau de la producător, mecanisme, observarea directă a unui proces/activitate
  2. Interviuri cu persoanele responsabile de executarea unei activități sau managementului unui proces (o discuție cu managementul relevă măsura în care CISO este sprjinit; poți să întrebi reprezentantul HR despre instruirea și conștientizarea anagajaților sau mai bine intervievezi direct un angajat?)
  3. Testarea prin care se asigură că rezultatul unui proces este cel declarat (de exemplu că patch-urile chiar se aplică conform procedurii asumate; sau conturile chiar sînt revizuite anual; sau că nu se folosesc suporți de memorare neautorizați), adică eficiența controlului/măsurii de securitate.

(Notă: Mai există și alte proceduri de audit dar nu se aplică în cazul acestui tip de audit)

Despre punctul 3 fac o mențiune: chiar dacă testarea de penetrare este o cerință de securitate cerută OSE, astăzi foarte puține misiuni de audit de securitate ar trebui să fie făcute fără testarea tehnică a unor controale. Și nu, testarea de penetrare nu este scanare de vulnerabilități!

Simpla verificare a existenței unui document dintre cele cerute de Ordinul 1323/2020 nu înseamnă nici audit și nici conformitate.

2 gânduri despre “CE NU ESTE AUDITUL IMPUS DE DNSC?

  1. Interviul cu un angajat ar trebui sa fie dea un indiciu asupra nivelului constientizarii riscurilor de securitate, iar interviul cu HR manager despre constientizarea angajatilor ar fi pentru scurtarea timpului (poate releva faptul ca are un tabel cu angajatii care au fost la un training pe security awareness). Din experienta proprie.

    Apreciat de 1 persoană

Lasă un răspuns la Adrian B. Munteanu Anulează răspunsul

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare /  Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare /  Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare /  Schimbă )

Conectare la %s

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.