amit tudni kell, és amit még ezeken kívül tudni kell

Átírás

1 IT biztnság és IT audit best practice szemelvények: a kiszervezés remélt előnyei nem várt hátrányai Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem, Neumann Jáns Infrmatikai Kar szenes.katalin@nik.uni-buda.hu tartalmjegyzék egy lehetséges best practice lista - választtt frrásk miért érdemes a kiszervezéssel illusztrálni az infrmatikai biztnsági / audit legjbb gyakrlatt? amit tudni kell, és amit még ezeken kívül tudni kell haszns dlgk - a szlgáltatás biztsítás és támgatás audit feladatai (IT Service Delivery and Supprt) remélt előnyök vannak tényleges előnyök mi is az, amire figyelni, vigyázni kell? a vagyn, és az infrmációrendszer a teljesítendő követelményrendszer az ellenőrzési szempntk alapja Szenes 2

2 tartalmjegyzék a COBIT 4 (4.0, 4.1) részei a COBIT 4 13 flyamata a kiszállításhz és támgatáshz DS1 - a szlgáltatási szintek meghatárzása és kezelése [javaslt] részletes ellenőrzési célk DS1.1 A szlgáltatási szintek kezelése kereteinek kialakítása részlet Az Infrmatikai biztnság kézikönyvéből - Verlag Dashöfer DS2 - külső szlgáltatásk kezelése [javaslt] részletes ellenőrzési célk best practice a tervezésben, és üzem közben - tvábbi COBIT 4, 4.1 példák javaslatk a szállítói kckázatk kezeléséhez "Az infrmatikai erőfrrás-kihelyezés auditálási szempntjai" fejezet alapján Az Infrmatikai biztnság kézikönyve - Verlag Dashöfer Szenes 3 tartalmjegyzék COBIT / CMM - érettségi szintek az 1. szint fő jellemzői a 3. szint fő jellemzői tanácsk a DS2 - külső szlgáltatásk kezelése 3-as érettségi szintjéhez részlet "Az infrmatikai erőfrrás-kihelyezés auditálási szempntjai" fejezetemből - Az Infrmatikai biztnság kézikönyve - Verlag Dashöfer IT szlgáltatás management - IT Service Mangement - ITSM ahgy az ISACA CISA Review Curse-n tanítjuk szlgáltatási jelentések Szenes 4

3 tartalmjegyzék a COBIT 5 messziről, csuktt szemmel: a COBIT dmain-ek versin 4.1-ig, és a COBIT 5 prcess-ei egy kedvenc ábra az ISACA COBIT Fcus-ából best practice - COBIT 5 példák utsurce best practice szemelvények - az ISO ből Infrastruktúrális elem definíciója ugyanazn kézikönyv ugyanazn fejezete irdalmjegyzék Szenes 5 egy lehetséges best practice lista - választtt frrásk az USA-ban alapíttt ISACA - Infrmatin Systems Audit and Cntrl Assciatin COBIT4, COBIT 5 kézikönyvek a dezignációkhz: CISA Certified Infrmatin Systems Auditr, CISM - Certified Infrmatin Security Manager, CGEIT - Certified in Gvernance Enterprise IT ISC2: a szintén amerikai - Internatinal Infrmatin Systems Security Certificatin Cnsrtium Infsecurity Prfessinal magazin kézikönyv: CISSP - Certified Infrmatin Security Prfessinal ISO szabványk ISO család, gvernance , egyéb risk: 73 Guide, Szenes 6

4 miért érdemes a kiszervezéssel illusztrálni az infrmatikai biztnsági / audit legjbb gyakrlatt? kiszervezés: tervezés erőfrráskihelyezés, szlgáltatás kívülről, stb. mire, és hgyan kell felkészülni egyéb + kiszervezés: a felújíttt és kiterjesztett kritériumk pilléreink, a szervezet, a szabályzás és a technika - a kiszervezés tükrében haszns dlgk a best practice-ból: COBIT 4 és 5 ISO, és egyéb. pl. PCI DSS, NIST, stb. Szenes 7 követelmény, pl. Requirements and Security Assessment Prcedures Versin 3.0 Nvember 2013 "PCI DSS requirements apply t rganizatins and envirnments where accunt data (cardhlder data and/r sensitive authenticatin data) is stred, prcessed r transmitted. Sme PCI DSS requirements may als be applicable t rganizatins that have utsurced their payment peratins r management f their CDE. Additinally, rganizatins that utsurce their CDE r payment peratins t third parties are respnsible fr ensuring that the accunt data is prtected by the third party per the applicable PCI DSS requirements." CDE: cardhlder data envirnment

5 mit kell kvetlenül tudni? - az örökzöld jelmndatm ha akarm - vemhes ha nem akarm - akkr is vemhes akármit is helyezünk ki: feladatt az emberi / tárgyi erőfrráskat stb. a felelősség bent marad és kié? Szenes 9 mit kell még kvetlenül tudni? Ahhz, hgy sikeres legyen az utsurcing, gndsan figyelnünk kell arra, hgy miért, mit, és hvá helyezünk ki. (Wendell Jnes, Digital Equipment Crpratin, 1997.) erőfrráskihelyezés alapja: a kiszervezés egy működés-támgató flyamat az intézmény üzleti céljaiból eredő szükségleteken kell, hgy alapuljn a szükségletek jellemzése: a szerződésben szereplő szlgáltatásk azk elvárt szintje a munkatársak szerepe, felelőssége - Vevő / Szállító Szenes 10

6 a szlgáltatás biztsítás és támgatás audit feladataia szlgáltatási szint kezelés módszereinek vizsgálata: a belső és a külső szlgáltatók szlgáltatási szintje meg van határzva felügyelt az üzemeltetés vizsgálata: az üzleti szükségleteket kielégíti-e az infrmatikai támgatás? az adatadminisztráció módszereinek vizsgálata az adatbázisk integritása ptimalizáltsága Szenes 11 a szlgáltatás biztsítás és támgatás audit feladataia kapacitás- és teljesítménymnitrzási eszközök és módszerek használatának vizsgálata a szervezet céljait az infrmatikai szlgáltatásk figyelembe veszik-e? a dkumentáció mellett legfntsabb szempntk: váltzáskezelés knfigurációkezelés kiadáskezelés gyakrlatának vizsgálata, biztsítják-e, hgy az intézmény termelési környezetének váltzásait megfelelően felügyelik-e dkumentálják-e? intézmény - hiszen bármilyen szervezet lehet az audit tárgya Szenes 12

7 a szlgáltatás biztsítás és támgatás audit feladataia prbléma? incidens, és hibakezelés gyakrlatának vizsgálata dkumentálják kivizsgálják megldják elvárható? időre visszajelzés is legyen közben úgy alakíttták-e ki az infrmatikai infrastruktúrát, hgy "megfelelően" támgassa a szervezet céljait? eszközök alkalmazásk... Szenes 13 remélt előnyök költségcsökkentés avagy? létszámcsökkentés - tőzsdei mutató javítása inkább valós - életszerűbb - kérdés: mikrra fg mindez megtérülni megtérülési feltételek - és itt jöhet az auditri / infrmatikai biztnsági bölcsesség: a költségek ellenőrizhetővé tétele költségcsökkentés! esély: ha a tevékenységekhez pntsan meghatárzzák hzzá is rendelik a szükséges ember / anyagi erőfrráskat - minden infrastruktúrális elem + egyéb költség Szenes 14

8 vannak tényleges előnyök végre! kötelezővé válik a feladatk, elvárásk pnts megfgalmazása a szlgáltatásk minőségi paramétereinek meghatárzása definiálni kell valamiféle mérhető jellemzőket prjekt alakuló ülés rendszerszervező mderálásával: cédula, táblázat, mátrix Szenes 15 a vagyn, és az infrmációrendszer - vigyázzunk rá! a társasági vagyn: stratégiai, védelmi és biztnsági szempntból: az infrmációrendszer az értékrendszer avállalati infrmáció(s?) rendszer: a vállalat céljait szlgáló belső és külső kmmunikációs kapcslatk transzfrmációs eljárásk eljárási szabályk, és az ezeket támgató számítástechnikai rendszerek összessége definíció frrása: részben ISACA, és IBM BSP Business System Planning Szenes 16

9 a teljesítendő követelményrendszer - vegyük figyelembe! mit kell betartani? üzleti célk, a nemzetközi "legjbb" gyakrlat alapján is! törvények, iparági - főhatósági szabályzásk a vállalati vagyn védelmének szempntjai körülményekből eredő veszély emberi eredetű veszély - ez a nehezebb és mik az alappillérek? szervezet szabályzás technika Szenes 17 az ellenőrzési szempntk alapja ellenőrzés alapja: a stratégia az Infrmatikának a cég bldgulását kell szlgálnia: a vállalkzás / intézmény piaci bldgulása vállalati / intézményi stratégia stratégiai üzleti célk, üzleti követelmények infrmatikai stratégia az üzleti követelményeket teljesítő infrmatikai flyamatk kckázat - stratégia kapcslat alapja: az üzleti fntsság adja meg a fenyegetett vagynelem értékét kckázat ~ ezzel az értékkel, és a veszély bekövetkezés vsz.séggel ez pedig a védelemre frdíttt erőfeszítéssel is Szenes 18

10 a COBIT 4 (4.0, 4.1) részei 34 infrmatikai flyamat 7 infrmatikai értékelési kritérium ellenőrzési célk ellenőrzési intézkedések / eljárásk kiegyensúlyztt mutatószámrendszer az egyes infrmatikai flyamatkhz illesztett képesség érettségi mdell ilyen állat, hgy "kntrll" nem létezik! csak - esetleg - kntrll cél, vagy intézkedés / eljárás Szenes 19 a COBIT 4 13 flyamata a kiszállításhz és támgatáshz DS1 - a szlgáltatási szintek meghatárzása és kezelése DS2 - külső szlgáltatásk kezelése DS3 - a [megfelelő] teljesítmény és kapacitásk biztsítása DS4 - a szlgáltatás flytnsságának biztsítása DS5 - a[z infrmatikai?] rendszer biztnságának biztsítása DS6 - a költségek aznsítása és szétsztása DS7 - a felhasználók képzése és betanítása DS8 - a helpdesk és az incidensek kezelése DS9 - a knfiguráció kezelése DS10 - prblémakezelés DS11 - adatkezelés DS12 - a fizikai környezet felügyelete (kezelése) DS13 - az üzemeltetés? felügyelete (kezelése) Szenes 20

11 DS1 - a szlgáltatási szintek meghatárzása és kezelése [javaslt] részletes ellenőrzési célk DS1.1 A szlgáltatási szintek kezelése kereteinek kialakítása DS1.2 Az egyes szlgáltatásk definiálása DS1.3 A szlgáltatási szintekre vnatkzó megállapdásk DS1.4 A működési szintekre vnatkzó megállapdásk a szlgáltatási szintekre vnatkzó teljesítmény kritériumk megadása a kckázatviselők számára érthető jelentések mnitrzó statisztikák és ezek vizsgálata teendők DS1.5 A szlgáltatási megállapdásk teljesítésének felügyeletéről, és a helyzetjelentésekről szóló rendelkezések DS1.6 A szlgáltatási szerződések, és klauzuláik felülvizsgálata Szenes 21 DS1.1 A szlgáltatási szintek kezelése kereteinek kialakítása részlet "Az infrmatikai erőfrrás-kihelyezés auditálási szempntjai" fejezetemből - Az Infrmatikai biztnság kézikönyve - Verlag Dashöfer a szlgáltatás Vevőjének és Szállítójának, együtt, lyan, pntsan és részletesen definiált kereteket kell kialakítanik, amely egyértelműen meghatárzza, kinek, mikr, mi a feladata, ennek végrehajtásáért ki a felelős, mi az a - pntsan megadható tulajdnságkkal jellemezhető - termék, amiről egyértelműen megállapítható kell legyen, hgy megfelel-e az előzetes specifikációknak, és ki, mikr, hgyan fgja ellenőrizni, hgy ezek az elvárásk milyen mértékben teljesültek; az ennek a teljesülési mértéknek az alapján megítélt teljesítés minőségi paraméterei visszacsatlásának a módját, és ezeknek a paramétereknek a felhasználását a: jelen teljesítés díjazásában a jövőbeli együttműködés javításában, és esetleges kiterjesztésében Szenes 22

12 DS2 - külső szlgáltatásk kezelése [javaslt] részletes ellenőrzési célk DS2.1 Az összes szállítóval való kapcslat aznsítása DS2.2 A szállítókkal való kapcslat kezelése DS2.3 A szállítókkal kapcslats kckázatk kezelése DS2.4 A szállító teljesítményének mnitrzása Szenes 23 best practice a tervezésben, és üzem közben - tvábbi COBIT 4, 4.1 példák a teljesség mindenféle igénye nélkül: PO9 Az infrmatikai kckázatk becslése és kezelése AI3 A technlógiai infrastruktúra beszerzése és karbantartása PO10 Prjektirányítás AI3 A technlógiai infrastruktúra beszerzése és karbantartása AI5 IT erőfrrásk vásárlása DS4 A flyamats szlgáltatás biztsítása DS5 A rendszerbiztnság biztsítása ME1 Az IT teljesítményének mnitrzása és értékelése ME2 A belső ellenőrzés megfelelésének vizsgálata és értékelése AI6 Váltzáskezelés DS9 Knfigurációkezelés Szenes 24

13 javaslatk a szállítói kckázatk kezeléséhez "Az infrmatikai erőfrrás-kihelyezés auditálási szempntjai" fejezet alapján javaslt kiegészítések a COBIT módszertanhz: a szerződés teljesítése közben a külső fél tudmására juttt infrmáció diszkrét, bizalmas kezelése (nn-disclsure) ha rendszert, fejlesztési eredményt veszünk valahnnan, akkr, a szállítónak való kiszlgáltatttság csökkentése érdekében azknak az infrmációknak a letétbe helyezése, amelyeket közvetlenül egy szállító általában nem szívesen adna át, de amelyekre, az ő esetleges megszűnése esetén, szükség lehet - ilyen például a frráskód (escrw agreement) a szállítók életképessége: a piacn való megmaradás valószínűsége legalább a szerződéses kapcslat tartama alatt, lehetőleg tvább is Szenes 25 javaslatk a szállítói kckázatk kezeléséhez "Az infrmatikai erőfrrás-kihelyezés auditálási szempntjai" fejezet alapján tvábbi javaslatk: felkészülés esetlegesen helyettesítő Szállító bevnásának lehetőségére a kapcslatt előkészítés esetleg a Szállító a Vevőnél teljesítendő biztnsági követelményeknek való megfelelése -úgyis a Vevő a felelős szankciók arra az esetre, ha a Szerződő Felek valamelyike a Szerződés valamely előírását nem teljesítené, és a jó teljesítésért esetleg járó bónusz. Szenes 26

14 COBIT 4 / CMM - érettségi szintek COBIT 4 / CMM SEI: Carnegie Melln Sftware Engineering Institute 0 semmiféle érettséget nem mutató 1 kezdeti, ad-hc 2 ismételhető, de intuitív 3 definiált flyamat 4 irányíttt és mérhető 5 ptimalizált Szenes 27 COBIT 4 / CMM - az 1. szint fő jellemzői 1. szint - kezdeti / ad-hc kell fglalkzni az infrmatikai irányítással nincsenek standard flyamatk ad-hc vezetés - infrmatikai irányítás - katikus infrmatika jelentősége az üzleti flyamatkban (néha) nincs szabvány mérésekre infrmatika felügyelet csak, ha történik valami Szenes 28

15 COBIT 4 / CMM - a 3. szint fő jellemzői 3. szint - definiált flyamat elfgadták, kell infrmatikai irányítás vannak elvek kezdeti szintnek megfelelő mérőszámkészlet -> de az eltéréseket mindenki egyénileg kezeli... kimeneti értékek definiálása és dkumentálása szabványsíttt és dkumentált eljárásk ezek bekerültek a vezetőség kmmunikációjába is -> infrmálisan már ktatják is ezeket BSC (Balanced ScreCard) kialakítása, elemeinek felhasználása az értékelésben Szenes 29 tanácsk a DS2 (külső szlgáltatásk kezelése) 3-as érettségi szintjéhez részlet "Az infrmatikai erőfrrás-kihelyezés auditálási szempntjai" fejezetemből - Az Infrmatikai biztnság kézikönyve - Verlag Dashöfer 3-as érettségi szint: definiált A külső szlgáltatókkal való tárgyalásra és ellenőrzésükre, sőt, már a szlgáltatásk menedzselésére is vannak jól dkumentált eljárásk. Szabványsíttták, hgyan kell leírni a szerződéses feltételeket. A szerződések pntsan lefedik a megállapdáskat, és részletezik bennük: milyen szlgáltatáskat nyújt a harmadik fél mik a jgi, működési, és ellenőrzési követelmények. Ki van jelölve, hgy ki fgja, a Vevő részéről, felelősen figyelemmel kísérni a szlgáltatásk teljesítését. Megvan(nak) a Vevőnél az(k) az illetékes munkatárs(ak) is, aki(k)nek felelőssége, illetve feladata a kiszervezésből eredő kckázatk becslése, és az eredmények a megfelelő helyekre való tvábbítása. Szenes 30

16 IT szlgáltatás management - IT Service Mangement - ITSM ahgy az ISACA CISA Review Curse-n tanítjuk az ITSM flyamatk és eljárásk célja: az infrmatikai feladatk, és -támgatás hatékny a megállapdásknak minőségben és teljesítési időpnt szerint megfelelő ellátása legfntsabb követelmények: az infrmatikai szlgáltatáskat a vállalati követelményekhez kell igazítani az infrmatikai szlgáltatásk minőségét mérni, javulását kimutatni a költségek csökkentése mellett végülis ezekre való a COBIT is! Szenes 31 IT szlgáltatás management - IT Service Mangement - ITSM ahgy az ISACA CISA Review Curse-n tanítjuk szlgáltatási jelentések - néhány mainframe szót váltztatva ma is jó!! jb-k szabálytalan befejeződése perátri prblémák utput szétsztás knzl lg-k perátri műszakbesztás Szenes 32

17 a COBIT dmain-ek versin 4.1-ig, és a COBIT 5 prcess-ei COBIT COBIT DOMAINS: Plan and Organise (PO) Acquire and Implement (AI) Deliver and Supprt (DS) Mnitr and Evaluate (ME) COBIT 5 [prcess types] fr the management f enterprise IT: Evaluate, Direct and Mnitr (EDM) Align, Plan and Organise (APO) Build, Acquire and Implement (BAI) Deliver, Service and Supprt (DSS) Mnitr, Evaluate and Assess (MEA) Szenes 33 egy kedvenc ábra az ISACA COBIT Fcus-ából frrás: Stefan Beissel, Ph.D., CISA, CISSP Supprting PCI DSS 3.0 Cmpliance With COBIT 5 Szenes 34

18 best practice - COBIT 5 példák APO01.06 Define infrmatin (data) and system wnership. Acitivies között: "Create and maintain an inventry f infrmatin (systems and data) that includes a listing f wners, custdians and classificatins. Include systems that are utsurced and thse fr which wnership shuld stay within the enterprise." APO12.03 Maintain a risk prfile. Acitivies között: "Inventry business prcesses, including supprting persnnel, applicatins, infrastructure, facilities, critical manual recrds, vendrs, suppliers and utsurcers, and dcument the dependency n IT service management prcesses and IT infrastructure resurces." inventry, dcument - ugye! Szenes 35 best practice - COBIT 5 példák "DSS01.02 Manage utsurced IT services. Manage the peratin f utsurced IT services t maintain the prtectin f enterprise infrmatin and reliability f service delivery." "Activities: 1. Ensure that the enterprise's requirements fr security f infrmatin prcesses are adhered t in accrdance with cntracts and SLAs with third parties hsting r prviding services. 2. Ensure that the enterprise's peratinal business and IT prcessing requirements and pririties fr service delivery are adhered t in accrdance with cntracts and SLAs with third parties hsting r prviding services." az idézet innen van: COBIT 5: Enabling Prcesses - ld. referenciák Szenes 36

19 best practice - COBIT 5 példák DSS01.02 Manage utsurced IT services. - flyt. "Activities: 3. Integrate critical internal IT management prcesses with thse f utsurced service prviders, cvering, e.g., perfrmance and capacity planning, change management, cnfiguratin management, service request and incident management, prblem management, security management, business cntinuity, and the mnitring f prcess perfrmance and reprting. 4. Plan fr independent audit and assurance f the peratinal envirnments f utsurced prviders t cnfirm that agreed-n requirements are being adequately addressed." az idézet innen van: COBIT 5: Enabling Prcesses - ld. referenciák Szenes 37 utsurce best practice szemelvények - az ISO ből 8 Operatin 8.1 Operatinal planning and cntrl... The rganizatin shall ensure that utsurced prcesses are determined and cntrlled. A.13 Cmmunicatins security A.13.1 Netwrk security management Objective: T ensure the prtectin f infrmatin in netwrks and its supprting infrmatin prcessing facilities. A Security f netwrk services cntrl [measure]: Security mechanisms, service levels and management requirements f all netwrk services shall be identified and included in netwrk services agreements, whether these services are prvided in-huse r utsurced. Szenes 38

20 utsurce best practice szemelvények - az ISO ből A Outsurced develpment cntrl [measure]: The rganizatin shall supervise and mnitr the activity f utsurced system develpment. Szenes 39 Infrastruktúrális elem definíciója Szenes Katalin: Az infrmatikai erőfrrás-kihelyezés auditálási szempntjai (Az Infrmatikai biztnság kézikönyve) Infrastruktúrális elemnek nevezzük az infrmatikai infrastruktúra kmpnenseit. Maga a számítógép is infrastruktúrális elem, a rajta futó szftverrel, az adatbázis kezelő rendszerrel, a számítógépes kmmunikációt biztsító hálózati elemekkel, az infrmatikai szlgáltatás megfelelő minőségét, sértetlenségét és bizalmasságát biztsító védelmi elemekkel és persze az ezek segítségével működő, az üzleti flyamatt szlgáló alkalmazói prgramrendszerekkel együtt. Megj.: a gépen futó SW-be számít az perációs rendszer, és a utility-k is! Ez - többek között - egy sérülékenységi lehetőség szerinti bntás. Szenes 40

21 irdalmjegyzék - ISACA CRM 20xx CISA Review Technical Infrmatin Manual editr: Infrmatin Systems Audit and Cntrl Assciatin Rlling Meadws, Illinis, USA, 20xx (1999. óta vagyk: Quality Assurance Team tag) COBIT 4.0 Cntrl Objectives, Management Guidelines, Maturity Mdels Cpyright IT Gvernance Institute, 2005 COBIT 4.1 Framewrk, Management Guidelines, Maturity Mdels Cpyright IT Gvernance Institute, 2007 COBIT 5: Enabling Prcesses Cpyright 2012 ISACA., ISBN (COBIT , 11, : Subject Matter Expert Team tag vltam) Szenes 41 irdalmjegyzék - ISO ISO/IEC = Internatinal Organizatin fr Standardizatin / Internatinal Electrtechnical Cmmissin CRAMM CCTA Risk Analysis and Management Methdllgy BS BSI ISO/IEC Internatinal Standard ISO/IEC First editin Internatinal Standard ISO/IEC First editin Internatinal Standard ISO/IEC First editin Infrmatin technlgy Security techniques Cde f practice fr infrmatin security management mst: 27001, a es biztnsági család többi tagja: 27005, Szenes 42

22 irdalmjegyzék Szenes Katalin: Az infrmatikai erőfrrás-kihelyezés auditálási szempntjai Az Infrmatikai biztnság kézikönyve I. rész: 36. aktualizálás, ld. 26. ld. (26 ldal) Verlag Dashöfer, Budapest, február II. rész: 39. aktualizálás, december ld ld. Szenes 43