Ads 468x60px

perjantai 24. kesäkuuta 2011

Tietoturva-auditoinneista

Auditoinnit suoritetaan yleensä kertaluonteisina tarkastuksina, jotka antavat kuvan kohteen tietoturvasta tarkastushetkellä (ns. point-in-time). Esimerkki tällaisesta on PCI DSS onsite-auditointi, joka suoritetaan kerran vuodessa. Auditoija antaa yhden hetken tilanteen auditointitulosten perusteella raportin auditoidun kohteen vaatimustenmukaisuudesta. Onko mitään takeita siitä, että kohde säilyy vaatimustenmukaisena koko vuoden? Ottaako auditoija ison riskin antaessaan puhtaan lausunnon, kun tietomurto voi tapahtua vaikka seuraavalla viikolla tai seuraavassa kuussa?

Onko sitten järkevää luottaa ns. point-in-time -tarkastukseen? Haavoittuvuuksia ja niiden korjauksia putkahtelee päivittäin eri sovelluksiin, käyttöjärjestelmiin jne. Tokihan mm. PCI DSS on suunniteltu siten, että kontrollit toimivat läpi vuoden, mutta niiden noudattaminen ja vaatimustenmukaisuudesta huolehtiminen on kuitenkin aina organisaation itsensä varassa. Jos auditointiraportti on puoli vuotta vanha, on suurilta osin siihen luottaminen aika kyseenalaista. Lisäksi paljon riippuu auditoinnin suorittaneesta osapuolesta, kuinka hyvin tarkastus on suoritettu ja miten relevantit havainnot on raporttiin löydetty. Ikävä kyllä vanha raportti ei kerro mitään tarkastetun kohteen tietoturvan oikeasta tilasta.

Yksi ratkaisu on käyttää luotetun kolmannen osapuolen suorittamaa varmennusraporttia, joka suoritetaan testaamalla kontrollien toimivuutta puolen vuoden jaksolla. Tällaisten varmennusraporttien pioneeri oli SOX-maailmassa käytetty SAS70 Type 2-lausunto, josta ollaan nyt siirrytty ISAE3402 Type 2 raportointiin. Idea on kuitenkin sama, eli luotettava kolmas osapuoli (yleensä AICPAn, Amerikan KHT-yhdistyksen, hyväksymä taho) suorittaa kontrolliympäristön arvioinnin sekä kontrollien testaamisen puolen vuoden aikana hyvin tarkan varmennusstandardin tiukkojen vaatimusten mukaisesti ja antaa siitä lausunnon jonka allekirjoittaa tarkastusyrityksen ylimpään johtoon kuuluva osakas henkilökohtaisesti. Varmennuslausunto vertautuu tilintarkastuslausuntoon, ja kun tällainen lausunto annetaan ja allekirjoitetaan, on siihen syytä luottaa. ISAE3402 varmennuslausuntoja antavien tahojen riskienhallinnan, laadunvarmistuksen sekä sisäisten auditointimenetelmien tulee vastata AICPAn asettamia vaatimuksia. Kaikille kontrolleille määritellään mm. kriittisyys johon vaikuttaa mm. kontrollin toistuvuus (päivittäin, viikottain, kuukausittain). Kriittisyys taas vaikuttaa tarkastusotoksen kokoon ja niin edelleen.

Koska ISAE3402 on suunniteltu taloudellisen raportoinnin oikeellisuudesta varmistumiseen, on nykyvaatimuksia varten suunniteltu myös täysin uusi varmennusstandardi ISAE3000. ISAE3000:ssa tarkastettava kontrolliympäristö voidaan määritellä vapaammin esim. tietoturvaan tai yksityisyydensuojaan liittyväksi. Esimerkiksi ISAE3000 kontrolliympäristö voi yleisten SOX-IT-kontrollien sijaan sisältää vaikka ISO27001+BS25999+PCI DSS+Katakri -kontrollit, joiden toimivuudesta puolen vuoden ajalta testien tuloksena luotettu taho antaa määrämuotoisen, osakkaan allekirjoittaman lausunnon. ISAE-varmennuslausunnot ovatkin alkaneet nopeasti yleistyä mm. pilvipalveluiden tietoturvan varmistamisessa.

Kumpaan sinä luottaisit? Jatkuvaan auditointiin vai point-in-time auditointiin?


Ei kommentteja:

Lähetä kommentti