Az audit segítségével objektíven fel lehet tárni egy informatikai rendszer kritikus pontjait és ezzel megalapozható egy, a veszélyeztetettség csökkentésére irányuló tevékenység – jelentette ki Kőrös Zsolt, Noreg Kft. ügyvezető igazgatója. Megfelelő minőségű audittal biztosítható, hogy az egyes kockázati tényezőkre súlyuknak megfelelő választ tudjunk adni és így optimalizálhassuk a költségeinket. További fontos előny, hogy ha az auditálást egy erre a tevékenységre feljogosított, független céggel végeztetjük el, akkor az audit eredményéről kapott jelentés a partnerek felé is megnyugtatóan mutathatja, hogy nálunk a folyamatok átgondoltak, kézben tartottak és ellenőrzöttek – mondta Kőrös. Az informatikai audit feltárja a problémákat és a gyenge pontokat – foglalta össze véleményét Botos Zsolt, a Security.hu Kft. ügyvezető igazgatója. Megmutatja a rejtett hibákat, a fenyegető veszélyeket és alapjául szolgál az ezek elhárítására való felkészülésnek. Segít az üzleti kockázatok csökkentésében, az erőforrás-felhasználás optimalizálásában, így megszünteti az erőforrás-pazarlásokat, duplikált munkafázisokat, növeli a költséghatékonyságot. Az audit vizsgálatok akkor adhatnak hasznos eredményeket és előnyöket, ha az audit célok pontosan definiáltak – figyelmeztet Reusz Gábor, az IP Technologies Magyarország Kft. ügyvezető igazgatója. Az audit kiterjedhet a folyamat alapú rendszerek/eljárások vizsgálatára és a technológiai ellenőrzésekre is. Mindkét esetben fontos szempont az auditorok függetlensége, ami az adott rendszer biztonsági szintjének felmérésekor elsődleges. Függetlenség híján a rendszerek esetleges hibáit a készítők/üzemeltetők nem vagy csak késve észlelik. A független, külső auditor ezzel szemben a rendszer egészét vizsgálja egyéb érdekek figyelembevétele nélkül. Másik fontos szempont, hogy az üzemeltetéssel és biztonsággal kapcsolatos elvárások sok esetben ellentétes érdekeket hordoznak. Az audit ugyan nem oldja fel ezeket az ellentéteket, de reális képet adhat a vezetés számára a biztonságot érintő kérdésekről, a rendszer pillanatnyi állapotáról és felkészítettségéről – jelentette ki Reusz. Az informatikai auditáláson általában informatikai rendszerek auditálását értik. Tanúsító szervezetünk, a Bureau Veritas Certification (volt BVQI) informatikai rendszereket önmagukban nem auditál, csak az információvédelmi irányítási rendszerek tanúsítása részeként végez ilyen tevékenységet – jelentette ki Olivier Ducrot, a Bureau Veritas Magyarország Kft. ügyvezető igazgatója. Mint elmondta, az információvédelmi irányítási rendszer tanúsítása ma még nem piaci kényszer Magyarországon, de egyes ágazatokban már ma is piaci előnyt jelenthet. Ugyanakkor, az információvédelmi irányítási rendszer kiépítése önmagában is előnyöket rejt az arra vállalkozó cégek részére. A legfőbb előnyt az irányítási rendszer kiépítése során az informatikai működés átvilágítása jelenti, amely hozzájárul ahhoz, hogy a cégvezetés az informatikai terület irányításába is jobban belelásson. Mikor és miért köteles egy cég valamely informatikai eszközéhez tanúsítványt beszerezni, illetve milyen következményei lehetnek, ha egy cég elmulasztja teljesíteni e kötelezettségét – kérdeztük a szakértőktől. Ez attól függ, hogy milyen környezet, alkalmazás, szabályozás szerint kell eszközt választani – válaszolta Jókay Tamás, a CIS Hungária Kft. ügyvezető igazgatója. Például tanúsított nyilvános kulcsú infrastruktúra (PKI), elektronikus aláírás, titkosítás, időpecsét alkalmazása esetén – chipkártya, host security modul (HSM), tanúsítvány felhasználásával kialakított infrastruktúrával – adott a törvényi szabályozási környezet, amelynek megfelelően kell kialakítani az egyenszilárd megoldást. Ebben segítenek az eszköztanúsítások. Mulasztás esetén nem tekinthető hitelesnek a rendszer által megvalósított környezet. Ha a tevékenység megkövetel valamilyen – törvényben, jogszabályban megfogalmazott – biztonsági szintet, akkor a megvalósítás csak igazolt (bizonyítható) eszközökkel és eljárásokkal, dokumentáltan történhet. Erre a megbízott auditoroknak, tanúsító szervezeteknek is szükségük van a tevékenység elvégzéséhez szükséges tanúsítás, illetve működési engedélyek kiadásához – tette hozzá Jókay. Informatikai eszközhöz nagyon ritkán szükséges önálló tanúsítványt beszerezni – jelentette ki a Noreg igazgatója. A cégek inkább a folyamataik tanúsíttatására törekednek, amelyeknek része lehet például, hogy egyes funkciókat megfelelő tanúsítvánnyal rendelkező eszközökkel kell ellátniuk. Például a minősített biztonságú elektronikus aláírást kibocsátó szolgáltatók csak megfelelő biztonsági szintű elemeket alkalmazhatnak, így az aláírás tárolására szolgáló eszközöknek úgynevezett BALE – biztonságos aláíró eszköz – minősítésűeknek kell lenniük. Mivel a folyamataikra szóló minősítést annak ismeretében kapják meg ezek a cégek, hogy abban megfelelő minősítéssel rendelkező elemeket használnak, így ha mégsem ilyen eszközök kerülnének alkalmazásra, akkor a teljes tanúsítványuk érvényét vesztené – közölte Kőrös. Gondot jelent, hogy az államigazgatási szektorban egyelőre minimális mértékben (néhány intézménynél) vannak auditált informatikai rendszerek – állítja a Bureau Veritas vezetője. Hasznos lenne, ha jogszabály írná elő az államigazgatási intézmények számára – a kockázati szint figyelembevételével – az információvédelmi irányítási rendszer kiépítését és tanúsítását. Ez ugyanis beindítaná az információvédelem elterjedését a piaci szektorban is, ami hozzájárulna az informatikai kultúra terjedéséhez. Független tanúsító cég által auditált államigazgatási intézmény nagyon kevés van, biztos, hogy a meglevőnél sokkal több auditra lenne szükség az államigazgatásban – ért egyet Kőrös. A CIS Hungária Kft. ügyvezető igazgatója, Jókay Tamás szerint is túl alacsony az államigazgatási szektorban az auditált szervezetek száma, amelyek arányát tíz százalék alá becsüli.
