Bezpečná počítačová síť - People(dot)tuke(dot)sk
Transkript
Bezpečná počítačová síť - People(dot)tuke(dot)sk
BEZPEČNÁ POČÍTAČOVÁ SÍŤ METODIKA PROVÁDĚNÍ AUDITU COBIT Zkratka COBIT znamená v originále „Control Objectives for Information and related Technology“. Metodika byla vyvinuta a publikována organizací Information Systems Audit and Control Foundation (ISACF). Cílem této metodiky je využít mezinárodní standardy a nejlepší zkušenosti pro řízení a kontrolu v oblasti informačních technologií. Metodika auditu COBIT je založena na následujících základních standardech: • Technické standardy ISO, EDIFACT, atd. • Kodexy vydané organizacemi jako Concil of Europe, OECD, ISACA, apod. • Kritéria kvality pro IT systémy a procesy: ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, apod. • Profesionální standardy mezinárodní kontroly a provádění auditu: COSO report, IFAC, IIA, AICPA, GAO, PCIE, ISACA standardy, apod. • Průmyslové standardy a požadavky (ESF, I4) a vlásrpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ dami sponzorované platformy (IBAG, NIST, DTI), atd. • Průmyslově krizové požadavky jako jsou požadavky bank, elektronického obchodu a výroby počítačů Celkový rámec metodiky COBIT zahrnuje uživatele, managery a auditory. Měl by pomoci v následujících oblastech: • Management by měl pomoci najít možnosti vybalancovat prostor mezi investicemi, rizikem a řízením • Uživatelé by měli pomoci při budování důvěry v bezpečnost a řízení produktů a služeb • Auditoři s pomocnými nástroji by měli pomoci managementu identifikovat typy interních kontrol a řízení, pokud existují, definovat náklady a přínos od těchto prostředků pro organizaci. Celkové pochopení metodiky COBIT by mělo vést k tomu, že řízení v IT je nezbytné pro podporu obchodních aktivit organizace a nalezení potřebné informace je vlastně souhrou kombinace aplikace nad informačním zdrojem a řízení IT procesu. Toto názorně ilustruje následující převzatý obrázek: O PoÏadavky obchodu IT zdroje IT procesy Obchodní požadavky srpen 2004 Požadavky na kvalitu: • Kvalita • Cena • Dodání BEZPEČNÁ POČÍTAČOVÁ SÍŤ Požadavky na spolehlivost: • Účinnost a účinnost operací • Hodnověrnost informací • Shoda s právními požadavky Požadavky na bezpečnost: • Dostupnost • Důvěrnost • Integrita Kvalita musí být udržována primárně kvůli negativním aspektům, které je možno rozšířit i na integritní kritéria. Základní premisou je řízení rizika jako protikladu k možnostem. Dodávky se překrývají s dostupností a patří do bezpečnostních aspektů. Ve finále je cena pak určitým vyjádřením efektivnosti. Požadavek spolehlivosti nepoužívá COBIT stejně jako COSO, ale definuje efektivnost, hodnověrnost a soulad s právním řádem. S respektem k bezpečnostním požadavkům definuje COBIT analogicky ISO 17799 důvěrnost, integritu a dostupnost a považuje toto za klíčové Začátek analýzy je třeba odvozovat od kvality, spolehlivosti a bezpečnostních požadavků. COBIT také následně definuje informační kritéria. Je jich celkem sedm: • Efektivnost – je o tom, zda informace jsou relevantní obchodním procesům, jsou relevantní v čase a místě a jsou • Výkonnost – je o tom, zda jsou informace optimální a zda jsou optimálně využity zdroje, je o ekonomičnosti celé věci. • Důvěrnost – je o ochraně citlivých informací před neautorizovaným přístupem k nim. Informační kriteria srpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ • Integrita – se vztahuje k přesnosti a kompletnosti informace a její validaci v souladu s jejím obsahem a hodnotou. • Dostupnost – je o tom, že informace je dostupná v tom okamžiku, kdy je potřeba a kdy ji vyžaduje obchodní proces, a pochází z bezpečného zdroje. • Shoda – s právním řádem a případně dalšími zvyklostmi a požadavky regulace (např. ochrana osobních údajů apod.) • Hodnověrnost – je o tom, že informaci je možné věřit a je možné ji bez obav použít. Informační zdroje identifikují v rámci metodiky auditu COBIT vazbu mezi daty, aplikačními systémy, technologiemi, prostředky a lidmi.Obchodní procesy vyžadují řízení využití informačních zdrojů. Informační zdroje • data – data a objekty v nich obsažené, externí, interní, strukturované, nestrukturované, grafické, multimediální apod. • aplikační systémy – aplikačními systémy zde rozumíme souhrn manuálních a programových procedur. • technologie – technologie obsahují HW, operační systémy, databáze, řídící systémy, sítě, multimedia apod. • příslušenství – jedná se o budovy a systémy podpory informačních. • lidé – jsou to především zaměstnanci, struktury organizace a řízení, plánování apod.. Obchodní požadavky na informace se musejí potkat s adekvátní kontrolou, definováním implementace a monitorováním využití zdrojů. Jaké charakteristiky a v jakém rámci musí organizace kontrolovat? Na to odpovídá následující obrázek. srpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ O Pracovní rámec metodiky COBIT obsahuje kontrolu cílů na nejvyšší úrovni a kontrolu cílů i napříč strukturou jejich klasifikace. Přitom pochopení pojmů a teorie klasifikace je základem správného řízení zdrojů. Jednotlivé aktivity se skládají z činností, které mají určitý diskrétní životní cyklus. Na nejvyšší úrovni jsou potom procesy shlukovány do domény. To může odpovídat např. určité organizační struktuře firmy. Může se jednat o obchodní nebo technické oddělení, finanční oddělení apod. Takovéto přirozené seskupování procesů je možné i v rámci informačních procesů. Tuto strukturu ukazuje následující obrázek. O srpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Tato koncepce se může promítat do tří různých směrů, kde jedním jsou (1) Informační kritéria, (2) IT zdroje a (3) IT procesy. Například vedoucí pracovník chce dosahovat určité kvality, bezpečnosti a efektivnosti (k tomu má určitá kritéria), z druhé strany má určité zdroje, které může použít, a celou tu věc realizuje prostřednictvím nějakých strukturovaných procesů. Toto seskupení znázorňuje následující obrázek. Toto by měl být vlastně pohled auditora...Tomuto pohledu se říká COBITova krychle. O Základní domény definované metodikou COBIT • Plánování a organizace • Akvizice a implementace • Logistika a podpora • Monitorování První z domén je plánování a organizace. Jedná se o plánování strategické a taktické. Aktivity potřebují plán, komunikaci a řízení a také, pochopitelně, technologickou infrastrukturu. Toto musí existovat v každé organizaci. Druhou doménou je akvizice a implementace. Jedná se vlastně o realizaci těchto plánů. Řešení musí být in- srpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ tegrována do obchodních procesů. V oblasti IT musí obsahovat řízení a správu systémů, řízení změn, řízení životního cyklu apod. Třetí doménou je logistika a podpora. V této oblasti je třeba kontrolovat, jak probíhají procesy, zda jsou plněny požadavky na kvalitu a bezpečnost. Do této domény je také řazena výuka a tréning. Procesy této domény je možné přirovnat ke krvi v organizmu. Jsou zde také zahrnuta aktuální zpracování dat, jejich klasifikace a aplikační kontroly. Čtvrtou doménou je monitorování. Obsahem této domény je provádění regulérních inventur a kontrol. Patří sem také interní a externí audity apod. COBITový zlatý kruh potom spojuje všechny tyto domény tak, jak to znázorňuje následující obrázek. Odtud pak plynou i následující kontrolní cíle, jejichž hodnocením se metodika COBIT zabývá. O srpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Kontrola cílů Pro každou tuto doménu asociovanou s nějakými IT procesy můžeme pak následně definovat určitá kritéria pro kontrolu cílů. Např. v první doméně je třeba jako první definovat strategické plány IT. Pokud nemáme tyto plány, není možné ani kontrolovat jejich realizaci = implementaci atd., proto je nezbytné, aby tyto plány byly definovány. Takže z těchto úvah v podstatě v dané metodice vycházejí níže uvedené oblasti kontroly. Plánování a organizace P01 P02 P03 P04 P05 P06 Definice strategického IT plánu Definice informační architektury Určení technologie řízení Definice organizace IT a vztahů a souvislostí Řízení investic do informačních technologií Řízení a cíle komunikace (komunikační management) P07 Řízení lidských zdrojů P08 Zajištění shody s vnějšími požadavky P09 Hodnocení rizik P010 Řízení projektů (projektové řízení) P011 Řízení kvality COBIT postupuje v definici cílů v následujícím kroku více do hloubky, např. pro první cíl, tj. existenci strategického IT plánu, následně požaduje specifikaci krátkodobých a dlouhodobých IT plánů. Tyto plány musejí korespondovat s obdobnými plány na úrovni celé organizace. Musejí být mechanizmy pro změnu a obnovu těchto plánů. Přitom každý krátkodobý plán musí být jakoby blokem dlouhodobého plánu. Druhá doména definuje požadavky akvizice a implementace. Je zde šest hlavních úrovní. Každou z těchto úrovní definuje strategický plán a tyto úrovně si musejí odpovídat mezi sebou. srpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ AI1 Identifikace řešení AI2 Akvizice a údržba aplikačního software AI3 Akvizice a údržba technologické infrastruktury AI4 Vývoj a údržba IT procedur AI5 Instalace a akreditace systémů AI6. Řízení změn (změnové řízení) Akvizice a implementace Třetí doménou je logistika a support. Existuje zde 13 základních úrovní. DS11 je o tom, ve kterých systémech jsou umístěna která data. Podstatnými jsou kontrola vstupu a kontrola výstupu a úplné uzavření dat v procesu. Velmi důležité jsou také definované úrovně služeb a řízení služeb třetích stran. DS 1 DS 2 DS 3 DS 4 DS 5 DS 6 DS 7 DS 8 DS 9 Definice úrovně služeb Řízení služeb třetích stran Řízení kapacit a odezvy Zajištění pokračování služeb Zajištění systémové bezpečnosti Identifikace a vlastnosti ceny Výuka a trénink uživatelů Podpora a poradenství pro zákazníky Řízení konfigurací (konfigurační management) DS 10 Řešení problémů a incidentů DS 11 Řízení dat DS 12 Řízení příslušenství DS 13 Řízení provozu Logistika a podpora Poslední, ale rozhodně ne nejméně důležitou doménou, je monitoring. Prvním cílem je monitorování průběhu jednotlivých procesů, především těch, které určí vedení firmy. Důležité je definování odpovědnosti za procesy, vlastníků procesů apod. Tito vlastníci mají obvykle i odpovědnost za monitorování těchto procesů srpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Monitoring M1 M2 M3 M4 Monitorování procesů Hodnocení vnitřní kontroly použitelnosti Dosažení nezávislých záruk Provedení nezávislého auditu Následující obrázek jako pomůcka ukazuje, pro který proces a pro které informační kritérium je možné použít který definovaný cíl. Také je možné obvykle určit, zda tento cíl je primární nebo sekundární. Pro IT informační zdroj a existující procesy na následujícím obrázku je zakřížkováno to, co je relevantní O Směrnice pro provedení auditu Provedení auditu podle metodiky COBIT vlastně spočívá v projití jednotlivých (asi 35) cílů. Postup každého takového kroku je možno popsat v podstatě velmi jednoduše. Výsledkem je pak hodnocení dosažení každého jednotlivého cíle a návrh takových opatření, aby případné nedostatky byly odstraněny a byla snížena odpovídající rizika. Toto jsou vlastně závěry a doporučení pro vedení firmy k odpovídající korekci. Hodnocení každého procesu by mělo začít seznámením s dokumentací a následným interview s jednotlivými pracovníky včetně managementu. srpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Například prvním bodem by měla být kontrola pochopení jednotlivých procesů zaměstnanci, kontrola dokumentace, kontrola aktivit, které vedou k řízení dosažení cílů. Auditor si musí projít každý jednotlivý proces. Tento krok dovolí auditorovi proces pochopit. Následujícím krokem je hodnocení toho, jak se podařilo dosáhnout požadovaných cílů. K tomu auditor potřebuje dokumentaci procesu. Proces musí být proveditelný, hodnotitelný, musí mít vlastníka a stanovené odpovědnosti, musí odpovídat průmyslovým standardům a právním normám. Dalším krokem je hodnocení shody, v tomto kroku auditor prověřuje záznamy o jednotlivých krocích procesu, a to buď přímo nebo nepřímo v evidenci. Hodnotí, zda proces proběhl kompletně nebo ne a s jakou úrovní shody. Dalším krokem je hodnocení rizik. Auditor musí určit, jaké je riziko toho, že se řízení procesu nesetká s požadovaným výsledkem. Auditor k tomu využívá obvykle analytické techniky nebo alternativní zdroje. Výsledky musejí být dokumentovány a zranitelnost musí být odhalena. Ve finále musí auditor dokumentovat aktuální a potenciální zranitelnost procesu. Typickým příkladem pro takový druh auditu je audit problému roku 2000, který je možné najít na internetu. Detailní kontrola jednotlivých cílů obsahuje 302 položek. Například hlavní body auditu pro definice strategického IT plánu obsahuje interview s klíčovými pracovníky, kteří jsou za danou problematiku odpovědní včetně CEO, COP, CFOP a CIO. Dokumentace obsahuje politiky a procedury související s plánováním, reportováním a mítinky. Směrnice pro generický audit srpen 2004 BEZPEČNÁ POČÍTAČOVÁ SÍŤ Dalším krokem je identifikace informačních služeb a procedur a definice metodologie a modifikace dlouhodobých a krátkodobých IT plánů. Kontrola shody plánů a kroků IT, zajištění výzkumu, tréninku, zaměstnanců, příslušenství, HW a SW a existence implementačních plánů. Ve finále je třeba obecně vždy zhodnotit rizika podle provozu a odezvy, ceny a času, obchodních chyb apod. Implementace a použití Metodika auditu COBIT je použitelná pro řízení cílů a pro provádění auditu IT. Je důležitou pomůckou pro manažery, security manažery, auditory a uživatele v soukromých firmách i ve státní správě a samosprávě a také na akademické půdě. Poměrně hodně informací a příklady auditů je možné načerpat na internetové adrese instituce ISACF. COBIT spojuje obchodní činnost organizace , její cíle v této oblasti, s informačními systémy a kontrolou činností a umožňuje najít poučení pro zlepšení těchto činností. srpen 2004