Bezpečná počítačová síť - People(dot)tuke(dot)sk

BEZPEČNÁ POČÍTAČOVÁ SÍŤ
METODIKA PROVÁDĚNÍ AUDITU
COBIT
Zkratka COBIT znamená v originále „Control Objectives for Information and related Technology“. Metodika byla vyvinuta a publikována organizací Information Systems Audit and Control Foundation (ISACF).
Cílem této metodiky je využít mezinárodní standardy
a nejlepší zkušenosti pro řízení a kontrolu v oblasti informačních technologií. Metodika auditu COBIT je
založena na následujících základních standardech:
• Technické standardy ISO, EDIFACT, atd.
• Kodexy vydané organizacemi jako Concil of Europe,
OECD, ISACA, apod.
• Kritéria kvality pro IT systémy a procesy: ITSEC,
TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, apod.
• Profesionální standardy mezinárodní kontroly a provádění auditu: COSO report, IFAC, IIA, AICPA,
GAO, PCIE, ISACA standardy, apod.
• Průmyslové standardy a požadavky (ESF, I4) a vlásrpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
dami sponzorované platformy (IBAG, NIST, DTI),
atd.
• Průmyslově krizové požadavky jako jsou požadavky
bank, elektronického obchodu a výroby počítačů
Celkový rámec metodiky COBIT zahrnuje uživatele,
managery a auditory. Měl by pomoci v následujících
oblastech:
• Management by měl pomoci najít možnosti vybalancovat prostor mezi investicemi, rizikem a řízením
• Uživatelé by měli pomoci při budování důvěry v bezpečnost a řízení produktů a služeb
• Auditoři s pomocnými nástroji by měli pomoci managementu identifikovat typy interních kontrol a řízení, pokud existují, definovat náklady a přínos od
těchto prostředků pro organizaci.
Celkové pochopení metodiky COBIT by mělo vést
k tomu, že řízení v IT je nezbytné pro podporu obchodních aktivit organizace a nalezení potřebné informace je vlastně souhrou kombinace aplikace nad
informačním zdrojem a řízení IT procesu. Toto názorně ilustruje následující převzatý obrázek:
O
PoÏadavky obchodu
IT zdroje
IT procesy
Obchodní
požadavky
srpen 2004
Požadavky na kvalitu:
• Kvalita
• Cena
• Dodání
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
Požadavky na spolehlivost:
• Účinnost a účinnost operací
• Hodnověrnost informací
• Shoda s právními požadavky
Požadavky na bezpečnost:
• Dostupnost
• Důvěrnost
• Integrita
Kvalita musí být udržována primárně kvůli negativním aspektům, které je možno rozšířit i na integritní
kritéria. Základní premisou je řízení rizika jako protikladu k možnostem. Dodávky se překrývají s dostupností a patří do bezpečnostních aspektů. Ve finále je
cena pak určitým vyjádřením efektivnosti.
Požadavek spolehlivosti nepoužívá COBIT stejně jako
COSO, ale definuje efektivnost, hodnověrnost a soulad s právním řádem.
S respektem k bezpečnostním požadavkům definuje
COBIT analogicky ISO 17799 důvěrnost, integritu
a dostupnost a považuje toto za klíčové
Začátek analýzy je třeba odvozovat od kvality, spolehlivosti a bezpečnostních požadavků.
COBIT také následně definuje informační kritéria. Je
jich celkem sedm:
• Efektivnost – je o tom, zda informace jsou relevantní
obchodním procesům, jsou relevantní v čase a místě
a jsou
• Výkonnost – je o tom, zda jsou informace optimální
a zda jsou optimálně využity zdroje, je o ekonomičnosti celé věci.
• Důvěrnost – je o ochraně citlivých informací před
neautorizovaným přístupem k nim.
Informační
kriteria
srpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
• Integrita – se vztahuje k přesnosti a kompletnosti
informace a její validaci v souladu s jejím obsahem
a hodnotou.
• Dostupnost – je o tom, že informace je dostupná
v tom okamžiku, kdy je potřeba a kdy ji vyžaduje
obchodní proces, a pochází z bezpečného zdroje.
• Shoda – s právním řádem a případně dalšími zvyklostmi a požadavky regulace (např. ochrana osobních údajů apod.)
• Hodnověrnost – je o tom, že informaci je možné věřit a je možné ji bez obav použít.
Informační zdroje identifikují v rámci metodiky auditu COBIT vazbu mezi daty, aplikačními systémy,
technologiemi, prostředky a lidmi.Obchodní procesy
vyžadují řízení využití informačních zdrojů.
Informační zdroje
• data – data a objekty v nich obsažené, externí, interní, strukturované, nestrukturované, grafické, multimediální apod.
• aplikační systémy – aplikačními systémy zde rozumíme souhrn manuálních a programových procedur.
• technologie – technologie obsahují HW, operační
systémy, databáze, řídící systémy, sítě, multimedia
apod.
• příslušenství – jedná se o budovy a systémy podpory informačních.
• lidé – jsou to především zaměstnanci, struktury organizace a řízení, plánování apod..
Obchodní požadavky na informace se musejí potkat
s adekvátní kontrolou, definováním implementace
a monitorováním využití zdrojů. Jaké charakteristiky
a v jakém rámci musí organizace kontrolovat? Na to
odpovídá následující obrázek.
srpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
O
Pracovní rámec metodiky COBIT obsahuje kontrolu
cílů na nejvyšší úrovni a kontrolu cílů i napříč strukturou jejich klasifikace. Přitom pochopení pojmů a teorie klasifikace je základem správného řízení zdrojů.
Jednotlivé aktivity se skládají z činností, které mají určitý diskrétní životní cyklus. Na nejvyšší úrovni jsou
potom procesy shlukovány do domény. To může odpovídat např. určité organizační struktuře firmy. Může
se jednat o obchodní nebo technické oddělení, finanční
oddělení apod. Takovéto přirozené seskupování procesů je možné i v rámci informačních procesů. Tuto
strukturu ukazuje následující obrázek.
O
srpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
Tato koncepce se může promítat do tří různých směrů,
kde jedním jsou (1) Informační kritéria, (2) IT zdroje
a (3) IT procesy. Například vedoucí pracovník chce
dosahovat určité kvality, bezpečnosti a efektivnosti
(k tomu má určitá kritéria), z druhé strany má určité
zdroje, které může použít, a celou tu věc realizuje prostřednictvím nějakých strukturovaných procesů. Toto
seskupení znázorňuje následující obrázek. Toto by měl
být vlastně pohled auditora...Tomuto pohledu se říká
COBITova krychle.
O
Základní domény
definované
metodikou
COBIT
• Plánování a organizace
• Akvizice a implementace
• Logistika a podpora
• Monitorování
První z domén je plánování a organizace. Jedná se
o plánování strategické a taktické. Aktivity potřebují
plán, komunikaci a řízení a také, pochopitelně, technologickou infrastrukturu. Toto musí existovat v každé
organizaci.
Druhou doménou je akvizice a implementace. Jedná
se vlastně o realizaci těchto plánů. Řešení musí být in-
srpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
tegrována do obchodních procesů. V oblasti IT musí
obsahovat řízení a správu systémů, řízení změn, řízení
životního cyklu apod.
Třetí doménou je logistika a podpora. V této oblasti je
třeba kontrolovat, jak probíhají procesy, zda jsou plněny požadavky na kvalitu a bezpečnost. Do této domény je také řazena výuka a tréning. Procesy této domény je možné přirovnat ke krvi v organizmu. Jsou
zde také zahrnuta aktuální zpracování dat, jejich klasifikace a aplikační kontroly.
Čtvrtou doménou je monitorování. Obsahem této domény je provádění regulérních inventur a kontrol. Patří
sem také interní a externí audity apod.
COBITový zlatý kruh potom spojuje všechny tyto domény tak, jak to znázorňuje následující obrázek. Odtud pak plynou i následující kontrolní cíle, jejichž hodnocením se metodika COBIT zabývá.
O
srpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
Kontrola cílů
Pro každou tuto doménu asociovanou s nějakými IT
procesy můžeme pak následně definovat určitá kritéria pro kontrolu cílů. Např. v první doméně je třeba
jako první definovat strategické plány IT. Pokud nemáme tyto plány, není možné ani kontrolovat jejich
realizaci = implementaci atd., proto je nezbytné, aby
tyto plány byly definovány. Takže z těchto úvah v podstatě v dané metodice vycházejí níže uvedené oblasti
kontroly.
Plánování
a organizace
P01
P02
P03
P04
P05
P06
Definice strategického IT plánu
Definice informační architektury
Určení technologie řízení
Definice organizace IT a vztahů a souvislostí
Řízení investic do informačních technologií
Řízení a cíle komunikace (komunikační management)
P07 Řízení lidských zdrojů
P08 Zajištění shody s vnějšími požadavky
P09 Hodnocení rizik
P010 Řízení projektů (projektové řízení)
P011 Řízení kvality
COBIT postupuje v definici cílů v následujícím kroku
více do hloubky, např. pro první cíl, tj. existenci strategického IT plánu, následně požaduje specifikaci
krátkodobých a dlouhodobých IT plánů. Tyto plány
musejí korespondovat s obdobnými plány na úrovni
celé organizace. Musejí být mechanizmy pro změnu
a obnovu těchto plánů. Přitom každý krátkodobý plán
musí být jakoby blokem dlouhodobého plánu.
Druhá doména definuje požadavky akvizice a implementace. Je zde šest hlavních úrovní. Každou z těchto
úrovní definuje strategický plán a tyto úrovně si musejí odpovídat mezi sebou.
srpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
AI1 Identifikace řešení
AI2 Akvizice a údržba aplikačního software
AI3 Akvizice a údržba technologické infrastruktury
AI4 Vývoj a údržba IT procedur
AI5 Instalace a akreditace systémů AI6. Řízení
změn (změnové řízení)
Akvizice
a implementace
Třetí doménou je logistika a support. Existuje zde 13
základních úrovní. DS11 je o tom, ve kterých systémech jsou umístěna která data. Podstatnými jsou kontrola vstupu a kontrola výstupu a úplné uzavření dat
v procesu. Velmi důležité jsou také definované úrovně
služeb a řízení služeb třetích stran.
DS 1
DS 2
DS 3
DS 4
DS 5
DS 6
DS 7
DS 8
DS 9
Definice úrovně služeb
Řízení služeb třetích stran
Řízení kapacit a odezvy
Zajištění pokračování služeb
Zajištění systémové bezpečnosti
Identifikace a vlastnosti ceny
Výuka a trénink uživatelů
Podpora a poradenství pro zákazníky
Řízení konfigurací (konfigurační management)
DS 10 Řešení problémů a incidentů
DS 11 Řízení dat
DS 12 Řízení příslušenství
DS 13 Řízení provozu
Logistika
a podpora
Poslední, ale rozhodně ne nejméně důležitou doménou, je monitoring. Prvním cílem je monitorování průběhu jednotlivých procesů, především těch, které určí
vedení firmy. Důležité je definování odpovědnosti za
procesy, vlastníků procesů apod. Tito vlastníci mají
obvykle i odpovědnost za monitorování těchto procesů
srpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
Monitoring
M1
M2
M3
M4
Monitorování procesů
Hodnocení vnitřní kontroly použitelnosti
Dosažení nezávislých záruk
Provedení nezávislého auditu
Následující obrázek jako pomůcka ukazuje, pro který
proces a pro které informační kritérium je možné použít který definovaný cíl. Také je možné obvykle určit,
zda tento cíl je primární nebo sekundární. Pro IT informační zdroj a existující procesy na následujícím obrázku je zakřížkováno to, co je relevantní
O
Směrnice pro
provedení auditu
Provedení auditu podle metodiky COBIT vlastně
spočívá v projití jednotlivých (asi 35) cílů. Postup
každého takového kroku je možno popsat v podstatě velmi jednoduše. Výsledkem je pak hodnocení dosažení každého jednotlivého cíle a návrh takových opatření, aby případné nedostatky byly
odstraněny a byla snížena odpovídající rizika. Toto
jsou vlastně závěry a doporučení pro vedení firmy
k odpovídající korekci.
Hodnocení každého procesu by mělo začít seznámením s dokumentací a následným interview s jednotlivými pracovníky včetně managementu.
srpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
Například prvním bodem by měla být kontrola pochopení jednotlivých procesů zaměstnanci, kontrola
dokumentace, kontrola aktivit, které vedou k řízení dosažení cílů. Auditor si musí projít každý jednotlivý
proces. Tento krok dovolí auditorovi proces pochopit.
Následujícím krokem je hodnocení toho, jak se podařilo dosáhnout požadovaných cílů. K tomu auditor potřebuje dokumentaci procesu. Proces musí být proveditelný, hodnotitelný, musí mít vlastníka a stanovené
odpovědnosti, musí odpovídat průmyslovým standardům a právním normám.
Dalším krokem je hodnocení shody, v tomto kroku auditor prověřuje záznamy o jednotlivých krocích procesu, a to buď přímo nebo nepřímo v evidenci. Hodnotí, zda proces proběhl kompletně nebo ne a s jakou
úrovní shody.
Dalším krokem je hodnocení rizik. Auditor musí určit, jaké je riziko toho, že se řízení procesu nesetká
s požadovaným výsledkem. Auditor k tomu využívá
obvykle analytické techniky nebo alternativní zdroje.
Výsledky musejí být dokumentovány a zranitelnost
musí být odhalena. Ve finále musí auditor dokumentovat aktuální a potenciální zranitelnost procesu.
Typickým příkladem pro takový druh auditu je audit
problému roku 2000, který je možné najít na internetu.
Detailní kontrola jednotlivých cílů obsahuje 302 položek. Například hlavní body auditu pro definice strategického IT plánu obsahuje interview s klíčovými
pracovníky, kteří jsou za danou problematiku odpovědní včetně CEO, COP, CFOP a CIO. Dokumentace
obsahuje politiky a procedury související s plánováním, reportováním a mítinky.
Směrnice pro
generický audit
srpen 2004
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
Dalším krokem je identifikace informačních služeb
a procedur a definice metodologie a modifikace dlouhodobých a krátkodobých IT plánů. Kontrola shody
plánů a kroků IT, zajištění výzkumu, tréninku, zaměstnanců, příslušenství, HW a SW a existence implementačních plánů.
Ve finále je třeba obecně vždy zhodnotit rizika podle
provozu a odezvy, ceny a času, obchodních chyb apod.
Implementace
a použití
Metodika auditu COBIT je použitelná pro řízení
cílů a pro provádění auditu IT. Je důležitou pomůckou pro manažery, security manažery, auditory a uživatele v soukromých firmách i ve státní
správě a samosprávě a také na akademické půdě.
Poměrně hodně informací a příklady auditů je možné
načerpat na internetové adrese instituce ISACF.
COBIT spojuje obchodní činnost organizace , její cíle
v této oblasti, s informačními systémy a kontrolou činností a umožňuje najít poučení pro zlepšení těchto činností.
srpen 2004