3. Obszary audytu KRI – co powinno być audytowane i „po czym widać zgodność”:
a. Inwentaryzacja aktywów i zarządzanie zmianą (sprzęt, oprogramowanie, statusy):
• elementy audytowane: aktualność, kompletność, cykl życia, „wyzwalacze” aktualizacji, spójność z zakupami/likwidacją/naprawą,
• dowody: rejestr aktywów + statusy, protokoły, potwierdzenia przekazań, raporty z narzędzi it, zgodność z konfiguracją,
• typowe obs/nc: brak aktualizacji „na bieżąco”, brak statusów/wycofania, niespójności między rejestrem a stanem faktycznym.
b. Ocena ryzyka i zarządzanie podatnościami (cyberbezpieczeństwo w praktyce):
• elementy audytowane: czy ryzyko jest liczone, akceptowane, redukowane i przeglądane; jak organizacja reaguje na podatności (patching),
• dowody: rejestr ryzyk, decyzje i plany postępowania, harmonogramy aktualizacji, raporty podatności, wyjątki i ich akceptacje, testy po wdrożeniach,
• typowe nc: ryzyko „opisane ogólnie”, bez cyklu przeglądu; brak śladu decyzji kierownictwa; brak procesu podatności.
c. Nadawanie uprawnień, konta uprzywilejowane, kontrola dostępu:
a. elementy audytowane: nadawanie/odbieranie, adekwatność, rozdział ról, recertyfikacje, admin/root, mfa, zasady wyjątków,
b. dowody: wnioski i akceptacje, rejestr uprawnień, raporty kont uprzywilejowanych, logi działań admina, wyniki przeglądów okresowych.
d. Praca zdalna i mobilna + ochrona danych na urządzeniach:
• elementy audytowane: zasady dostępu zdalnego, bezpieczeństwo stacji, urządzenia przenośne, szyfrowanie, mdm/vpn, reakcja na utratę sprzętu,
• dowody: „krok po kroku”, konfiguracje (vpn/mfa), rejestr sprzętu, protokoły powierzenia, logi dostępu.
e. Dostawcy i usługi zewnętrzne (relacje, umowy, odpowiedzialności):
• elementy audytowane: czy wymagania bezpieczeństwa są „wpisane w relację”, jak wygląda nadzór, offboarding, dostęp dostawców, logowanie, kopie, sla,
• dowody: umowy/załączniki bezpieczeństwa, rejestr dostawców, protokoły dostępów, raporty serwisowe, wyniki przeglądów.
f. Bezpieczeństwo fizyczne i środowiskowe (jako warunek ciągłości i ochrony):
• elementy audytowane: kontrola dostępu do stref, serwerowni/szaf, przechowywanie nośników, polityka kluczy, monitoring,
• dowody: ewidencja wejść/kluczy, uprawnienia, protokoły, oględziny, zapisy monitoringu (jeśli dotyczy).
g. Incydenty, działania korygujące i audyty wewnętrzne (cykl doskonalenia):
• elementy audytowane: czy incydenty są zgłaszane, analizowane i zamykane; czy są działania korygujące; czy audyt wewnętrzny działa realnie,
• dowody: rejestr incydentów, raporty i decyzje, capa (działania + terminy + odpowiedzialni + weryfikacja skuteczności), raporty z audytów.
h. Logi (co logować, jak długo i jak wykazać odtwarzalność):
• elementy audytowane: zakres logowania (w tym admin), retencja, ochrona logów, możliwość pozyskania logów z okresu retencji, centralizacja,
• dowody: konfiguracje logowania, polityka retencji, repozytoria logów, uprawnienia do logów, test „retrievability”.
4. Kiedy stwierdzamy obserwację (OBS), a kiedy niezgodność (NC) – zasady dokumentowania ustaleń oraz przygotowania kart niezgodności:
a. Logika kwalifikacji: niespełnienie wymagania (NC) vs usprawnienie/dojrzałość (OBS),
b. Co powinna zawierać: fakt → dowód → kryterium → skutek/ryzyko → zalecenie → kryterium zamknięcia,
c. Jak przypisać odpowiedzialnego i jak ustawić weryfikację skuteczności.
d. Ćwiczenie na karcie NC dot. Ról/kompetencji i konfliktu interesów [np. IOD] (bardzo typowy problem w jednostkach).
5. Synergia wymagań: KRI, ISO/IEC 27001 oraz Ustawa o KSC w procesie audytu:
a. Krajowe Ramy Interoperacyjności (KRI) jako fundament SZBI i zasad logowania w administracji publicznej.
b. Metodyka ISO/IEC 27001 – jak wykorzystać standard do budowy spójnego systemu (kontekst, ryzyko, kontrole, audyt, zapisy, doskonalenie).
c. Krajowy System Cyberbezpieczeństwa (uKSC) – audyt w obliczu równoległych reżimów prawnych.
d. Punkty styku w praktyce: Jak efektywnie połączyć audyt ryzyka, incydentów i monitorowania logów według trzech standardów jednocześnie.
