Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem, Neumann János Informatikai Kar

Átírás

1 COBIT 4, 4.1 Part II - Crprate Perfrmance and Maturity II. rész: Az intézmény teljesítménye és érettsége Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem, Neumann Jáns Infrmatikai Kar szenes.katalin@nik.uni-buda.hu disclaimer in the fllwings the riginal materials might be greatly affected by my persnal pinin & experiences, thus the English part des nt necessarily qute exactly the English materials the Hungarian part d nt cmply with ther, mre fficial translatins mivel az itt következőkben az eredeti anyagkat személyes véleményem és tapasztalataim jelentősen módsíthatják, az angl rész általában nem pnts idézet, a magyar rész pedig nem faelel meg a hivatals frdításknak Szenes 2 Szenes 1

2 TOC - tartalm - 1 Part II Part II - Crprate Perfrmance and Maturity - Az intézmények teljesítménye és érettsége II. / 1 Applicatin Cntrl Objectives, Measures / Prcedures fr Data Originatin / Authrisatin Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez (adat eredet, hitelesítés) II. / 2. COBIT 4.1 perfrmance metrics - teljesítménymérés./. cnt'd Szenes 3 TOC - tartalm - 2 Part II II. / 2. COBIT 4.1 perfrmance metrics - teljesítménymérés COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében benchmarking gals & metrics f IT prcesses - az IT flyamatk céljai & mértékei activity gals f IT prcesses - célk az IT flyamatk tevékenységeihez terminlgy COBIT 3 versus termin. különbség a teljesítménymérésben meaning f: utcme measure, perfrmance indicatr - a kimenetel mérték és a teljesítmény jelző jelentése the relatin f: business / IT gals, prcesses, activities üzleti / IT cél, flyamat, tevékenység visznya./. cnt'd Szenes 4 Szenes 2

3 TOC - tartalm - 3 Part II II. / 2. COBIT 4.1 perfrmance metrics - teljesítménymérés (cnt'd) example fr the relatin f: business / IT / prcess / activity gals n the prcess DS5 - Ensure Systems Security példa az üzleti / IT / flyamat /tevékenység célk visznyára example utcme measures t the example business / IT / prcess / activity gals példa kimenetel mértékre a példa üzleti / IT / flyamat / tevékenység célkhz DS5 - Ensure Systems Security Szenes 5 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez Sme f these cntrl ideas are wrth t be cnsidered during the develpment f the applicatin systems, thers during the peratins, e.g. at the data input. Mstly the data input, prcessing and utput are dealt with. Ezek lyan ellenőrzési lehetőségek, amelyek egy részét alkalmazói rendszerek fejlesztésénél, a többit pedig üzemeltetésüknél, például adatkkal való kiszlgálásuknál érdemes figyelembe venni. Elsősrban az adatk inputjára, feldlgzására és utputjára vnatkznak. AC 1 Surce Data Preparatin and Authrisatin Ensure that surce dcuments are prepared by authrised and qualified persnnel fllwing established prcedures, taking int accunt adequate segregatin f duties regarding the riginatin and apprval f these dcuments. Errrs and missins can be minimised thrugh gd input frm design. Detect errrs and irregularities s they can be reprted and crrected. Szenes 6 Szenes 3

4 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez A1. Alkalmazási ellenőrzési cél - A frrásadatk előkészítése és hitelesítése Ezen a pntn azt kell biztsítani, hgy: A frrásdkumentumkat erre feljgsíttt és képesített személyzet készítse, megalapztt, definiált és dkumentált eljáráskat követve. A dkumentumk készítői és jóváhagyói között az adtt helyzetben meghatárzható igények szerint érvényesítsék a kötelességelhatárlás alapelveit. Úgy tervezzék az adatbevitelt fgadó képernyőket és egyéb adat fgadó interfész végpntkat, hgy segítse a hibátlan és hiánytalan adatbevitelt. Olyan alkalmazáskat tervezzenek, amely támgatja a hibák, szabálytalanságk felfedezését, és így ezek lehető leghamarabbi kijavítását is. Szenes 7 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez AC2 Surce Data Cllectin and Entry Establish that data input is perfrmed in a timely manner by authrised and qualified staff. Crrectin and resubmissin f data that were errneusly input shuld be perfrmed withut cmprmising riginal transactin authrisatin levels. Where apprpriate fr recnstructin, retain riginal surce dcuments fr the apprpriate amunt f time. Szenes 8 Szenes 4

5 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez 2. Alkalmazási ellenőrzési cél - A frrásadatk összegyűjtése és bevitele Az adatkat erre feljgsíttt és képesített személyzet vigye be, a feldlgzási flyamat követelményei szerinti határidőre. Azkat az adatkat, amelyeket hibásan vittek be, úgy kell kijavítani és újra bevinni, hgy az eredeti adatbevitel előtt meghatárztt tranzakció hitelesítési szinteket ebben az ismételt menetben is betartsák. Ha ezt az adatfeldlgzási fázist, az adatgyűjtést és bevitelt valamilyen kból újra kell tervezni, akkr biztsítani kell, hgy az eredeti frrásdkumentumk arra az időtartamra rendelkezésre álljanak, amíg az újraépítkezéshez szükség lehet ezekre a dkumentumkra. Szenes 9 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez AC3 Accuracy, Cmpleteness and Authenticity Checks Ensure that transactins are accurate cmplete valid. Validate data that were input, and edit r send back fr crrectin as clse t the pint f riginatin as pssible. 3. Alkalmazási ellenőrzési cél - Pntssági, teljességi és hitelességi ellenőrzések Biztsítani kell, hgy a tranzakciók pntsak, teljesek legyenek, és igazlható legyen a bennük szereplő adatk és műveletek helyessége és / illetve az adtt helyzetnek való megfelelése. Az input adatk ellenőrzésére úgy kell felkészülni, hgy, ha az adatk hibásnak biznyulnak, amennyiben a helyes adatk az ellenőrzési pntn rendelkezésre állnak, akkr kijavíthassák, ha nem, akkr pedig vissza lehessen küldeni az adatkat a keletkezésük pntjáhz lehető legközelebb eső adatközlési vagy adattvábbítási pntra, és tt javíthassák ki a hibákat. Szenes 10 Szenes 5

6 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez AC4 Prcessing Integrity and Validity Maintain the integrity and validity f data thrughut the prcessing cycle. Detectin f errneus transactins des nt disrupt the prcessing f valid transactins. 4. Alkalmazási ellenőrzési cél - A feldlgzás sértetlensége és helyessége Biztsítani kell a feldlgzás egész flyamata srán az adatk és az alkalmazói rendszerek sértetlenségét és a flyamats hibaellenőrzést. Ezt a követelményt úgy kell teljesíteni, hgy a feldlgzás lehető legkrábbi fázisában kiderüljön, ha egy tranzakció hibás, de ez az ellenőrzés lehetőleg ne szakítsa meg a hibátlan tranzakciók feldlgzását. Az adatátviteli lépéseknél a védelem a kckázattal aránys kell, hgy legyen, azaz azt kell figyelembe venni, hgy milyen veszélyek, mekkra valószínűséggel következhetnek be, és a fenyegett adat mennyire bizalmas az intézmény, a dlgzók, vagy az ügyfelek szempntjából. Szenes 11 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez AC5 Output Review, Recnciliatin and Errr Handling Establish prcedures and assciated respnsibilities t ensure that utput is handled in an authrised manner, delivered t the apprpriate recipient, and prtected during transmissin; that verificatin, detectin and crrectin f the accuracy f utput ccurs; and that infrmatin prvided in the utput is used. Szenes 12 Szenes 6

7 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez 5. Alkalmazási ellenőrzési cél - Az utput felülvizsgálata és a legjbb szakmai gyakrlat szerint való kezelése, az adatk egyeztetése. Hibakezelés Azkat az eljáráskat, amelyek biztsítják, hgy az egyes utput adatkat azk és csak azk kapják meg, akiknek erre a munkájukhz szükségük van (és persze gndskdni kell arról, hgy pntsan ezeknek a kllégáknak legyen - a megfelelő: módsítási illetve csak lvasási - jgsultságuk ezekhez az adatkhz) meg kell tervezni dkumentálni kell, gndskdni kell az eljárásk végrehajtásáról és ennek ellenőrzéséről../. cnt'd Szenes 13 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez A jgsultságkat akkr lehet a feladatk szerint kisztani, ha az egyes szerepkörök, és az ezekhez rendelt feladatk pntsan definiálva vannak, és, ha mindenkihez egyértelműen hzzárendelték azkat a szerepköröket, amelyek betöltését az intézmény tőlük elvárja. Ki kell alakítani annak dkumentációs lehetőségeit, hgy az adatkkal végzendő egyes műveletek felelősei hgyan látták el feladataikat az egyes knkrét esetekben, mikr melyik jgsultságukat használták, és pntsan dkumentálni is kell ezeket a műveleteket. Biztsítani kell az utput eredmények sértetlenségét, a felhasznált algritmusk szerinti helyességét, hiba esetén javításukat, de azt is, hgy azt az infrmációt, amelyet az utput tartalmaz, fel is használják az intézmény működésének megfelelő pntjain. Szenes 14 Szenes 7

8 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez AC6 Transactin Authenticatin and Integrity Befre passing transactin data between internal applicatins and business/peratinal functins (in r utside the enterprise), check it fr prper addressing, authenticity f rigin and integrity f cntent. Maintain authenticity and integrity during transmissin r transprt. My Inventin: Appl.Ctrl. Obj. 7 - The Cnfidentiality f the Cmmunicated Data The data transferred n the crprate netwrk r between the enterprise and the utside wrld shuld be encrypted with strength aligned t their sensitivity. The level f sensitivity depends n the business imprtance r the level f privacy. end f applicatin cntrl bjectives Szenes 15 Applicatin Cntrl Objectives, Measures / Prcedures Ellenőrzési célk, intézkedések / eljárásk alkalmazói rendszerekhez 6. Alkalmazási ellenőrzési cél - A tranzakciók sértetlensége és hitelessége Mielőtt adatkat cserélnénk valamilyen módn a belső alkalmazásk, az üzleti - működési funkciókat támgató rendszerek között, az intézményi hálózatn belül, vagy a hálózat, és egy külső pnt között, gndskdni kell annak ellenőrzéséről, hgy a rendeltetési helyet kifejező cím az legyen, aminek lennie kell az adatk eredete hiteles legyen, és maradjanak hitelesek az átvitel alatt is. A műveletek se váltztassák az adat tartalmát - integritási követelmény. saját: 7. Alkalmazási ellenőrzési cél - A közlekedő adatk bizalmassága Az intézményi hálózatn, illetve az intézmény és a külvilág között, az internet veszélyes közegén közlekedő adatkat bizalmassági szintjük szerinti erősséggel titksítani érdemes. Ezt a bizalmassági szintet az illető adat üzleti fntssága, vagy személyes jellege határzza meg. alkalmazási ellenőrzési célk vége Szenes 16 Szenes 8

9 COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében (private frmulatin) t make difficult decisins n value, risk and cntrl management needs precise, cndensed and timely infrmatin COBIT helps by facilitating the determining and the mnitring f the apprpriate IT cntrl and perfrmance level by the means f: benchmarking gals / metrics activity gals Szenes 17 COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében (magán értelmezés) az infrmatikai szlgáltatás értékével, kckázataival és irányításával kapcslats bnylult döntésekhez a vezetésnek tömör, és időszerű infrmációra van szüksége ezt segíti a COBIT: az IT irányítása és teljesítménye megfelelő szintjének meghatárzásával, és mnitrzásával ezt pedig: benchmarking-gal célk / mértékek meghatárzásával a tevékenységekhez célk kijelölésével Szenes 18 Szenes 9

10 COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében - benchmarking Benchmarking f IT prcess perfrmance and capability, expressed as maturity mdels, derived frm the Sftware Engineering Institute s Capability Maturity Mdel (SEI CMM). The assessment f prcess capability based n the COBIT maturity mdels is a key part f IT gvernance implementatin. After identifying critical IT prcesses and their cntrl measure pssibilities, maturity mdelling enables gaps in capability t be identified and demnstrated t management. Szenes 19 COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében - benchmarking Benchmarking az IT flyamat teljesítményének és képességeinek érettségi értékelésére szlgál, a Sftware Engineering Institute Capability Maturity Mdel (SEI CMM) - Képesség érettségi mdelljét igazíttták a COBIT-hz. Az IT gvernance bevezetésének egyik kulcsa a flyamatk képességének becslése az így nyert érettségi mdellekkel. Aznsítani kell a kritikus IT flyamatkat, és a kezelésükre alkalmas ellenőrzési intézkedés lehetőségeket. Az érettségi mdell segítségével egyrészt aznsíthatóak a képességek hiánysságai, másrészt ezek be is mutathatóak a vezetésnek. Szenes 20 Szenes 10

11 COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében - benchmarking Actin plans can then be develped t bring these prcesses up t the desired capability target level. Thus, COBIT supprts IT gvernance by prviding a framewrk t ensure that: IT is aligned with the business IT enables the business and maximises [business] benefits IT resurces are used respnsibly IT risks are managed apprpriately Szenes 21 COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében - benchmarking Ezután a flyamatk a kívánt, megcélztt képességi szintre való hzására akciótervet készíthetünk. Tehát az IT gvernance-t (az intézményinfrmatikai alapú irányítását a COBIT egy lyan kerettel támgatja, amely biztsítja: az IT-t az üzleti igényekhez igazítjuk az IT támgatja az üzleti tevékenységeket, és maximalizálja az üzleti hasznt az infrmatikai erőfrráskat felelősségteljesen alkalmazzák megfelelő az infrmatikai kckázatkezelés Szenes 22 Szenes 11

12 COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében - gals & metrics Gals and metrics f the IT prcesses t define and measure their utcme and perfrmance based n the principles f Rbert Kaplan and David Nrtn s balanced business screcard. Perfrmance measurement is essential fr IT gvernance. It is supprted by COBIT and includes setting and mnitring measurable [cntrl] bjectives f what the IT prcesses need t deliver prcess utcme and hw t deliver it prcess capability and perfrmance. The lack f transparency f IT s cst, value and risks is ne f the mst imprtant drivers fr IT gvernance. Transparency is primarily achieved thrugh perfrmance measurement. Szenes 23 COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében - gals & metrics az IT flyamatk céljai & mértékei Ezek segítségével, Rbert Kaplan és David Nrtn kiegyensúlyztt mutatószámrendszere alapelveit alkalmazva, definiálni és mérni lehet az IT flyamatk kimenetelét és teljesítményét. A teljesítménymérés az IT gvernance egyik alapja. A COBIT-tal mérhető [ellenőrzési] célkat lehet definiálni, és teljesítésük felügyeletét is támgatja: mit kell az IT flyamatnak szállítania a flyamat kimenetele és hgyan kell ezt kiszállítania a flyamat képessége és teljesítménye. Az IT gvernance-hz transzparens IT ktg.-ek, érték- és kckázat [becslések] kellenek. Ehhez a teljesítménymérés elsődleges segítség. Szenes 24 Szenes 12

13 COBIT (4.1) supprt in the evaluatin f the perfrmance f the crprate IT - támgatás az intézményi IT teljesítményének értékelésében - gals & metrics Activity gals get the prcesses under cntrl, based n COBIT s cntrl bjectives Activities and guidance n rles and respnsibilities are described in a Respnsible, Accuntable, Cnsulted and Infrmed (RACI) chart Key activity gals (the mst imprtant things t d) Metrics A tevékenységi célk a COBIT ellenőrzési céljai alapján vannak megfgakmazva, így ezek alapján támgatják a flyamatk szabályzását A tevékenység - tanácsadás - szerep - felelősség összefüggést a felelőselszámltatható - tanácsadó - infrmálandó mátrix írja le kulcs tevékenységek céljai - a legfntsabb teendők céljai mértékek Szenes 25 COBIT 4.1 perfrmance metrics - teljesítménymérés terminlgy COBIT 3 versus termin. különbség a teljesítménymérésben COBIT3 COBIT 4.1 key gal indicatr utcme measure key perfrmance indicatr perfrmance indicatr critical success factr prcess inputs and activity gals COBIT 3: A kulcsfntsságú teljesítménymutató - key perfrmance indicatr - azt adja meg, hgy a vele jellemzett flyamat hl tart üzleti céljainak megvalósításában. A kulcsfntsságú célmutató - key gal indicatr - az infrmáció előállítása minőségének javítását célzza. A kritikus sikertényező - critical success factr - az infrmatikai irányítás minőségének megítélését támgatja. Szenes 26 Szenes 13

14 COBIT 4.1 perfrmance metrics - teljesítménymérés meaning f: utcme measure, perfrmance indicatr - a kimenetel mérték és a teljesítmény jelző jelentése utcme measure perfrmance indicatr whether the gals: have been met are likely t be met can be measured: after the fact befre the utcme is clear lag indicatr lead indicatr a kimenetel mértéke a teljesítmény jelző a célkat elértük-e (arrafelé tartunk-e, hgy) a célkat el fgjuk-e érni mérhető: bekövetkezés után mielőtt tudnánk a kimenetelt utójelző előjelző Szenes 27 COBIT 4.1 perfrmance metrics - teljesítménymérés (Part I reminder: the relatin f: business / IT gals, prcesses, activities) business gals determine IT gals (serve achievement f) business gals prcesses (serve achievement f) IT gals activities (serve achievement f) prcess gals measures: help estimating (NOT ctrl. measure! ) t what extent are the business gals achieved IT prcess activity t supprt business gal IT gal, this is achieved by prcess (prcess gal) prcess (gal) is achieved by activity (gal) Szenes 28 Szenes 14

15 COBIT 4.1 perfrmance metrics - teljesítménymérés (emlékeztető Part I-ből: üzleti / IT cél, flyamat, tevékenység visznya) üzleti célk meghatárzzák, milyen IT célkat kell elérni, mely flyamatk érik el az IT célkat, és ezeket milyen tevékenységekkel lehet elérni mérték: segít felbecsülni mennyire értük el az üzleti célkat IT flyamat tevékenység az üzleti cél támgatására IT cél, ezt elérjük: flyamattal (flyamat céllal) flyamatt (célt) eléri a tevékenyég (cél) Szenes 29 example fr the relatin f: business / IT / prcess / activity gals n the prcess példa az üzleti / IT / flyamat / tevékenység célk visznyára DS5 - Ensure Systems Security business gal: maintain enterprise reputatin and leadership IT gals: ensure that IT services can resist and recver frm attacks prcess gal: detect and reslve unauthrised access activity gal: understand security requirements, vulnerabilities, threats üzleti cél: az intézmény reputációjának és vezető szerepének megőrzése IT cél: az IT szlgáltatásk tudjanak ellenállni a támadásknak, és felépülni utánuk flyamat cél: a jgsulatlan hzzáférések észrevétele és megldása tevékenység cél: a biztnsági követelmények, sérülékenységek és fenyegetések megértése Szenes 30 Szenes 15

16 example utcme measures t the example business / IT / prcess / activity gals példa kimenetel mértékre a példa üzleti / IT / flyamat / tevékenység célkhz DS5 - Ensure Systems Security business gal: maintain enterprise reputatin and leadership utcme measure: number f incidents causing public embarrassment IT gals: ensure that IT services can resist and recver frm attacks utcme measure: n. f actual incidents with business impact prcess gal: detect and reslve unauthrised access utcme measure: n. f actual incidents because f unauthrised access activity gal: understand security requirements, vulnerabilities, threats utcme measure: frequency f review f the type f security events t be mnitred Szenes 31 example utcme measures t the example business / IT / prcess / activity gals példa kimenetel mértékre a példa üzleti / IT, flyamat, tevékenység célkhz DS5 - Ensure Systems Security business gal: maintain enterprise reputatin and leadership üzleti cél: az intézmény reputációjának és vezető szerepének megőrzése IT cél: az IT szlgáltatásk tudjanak ellenállni a támadásknak, és felépülni utánuk flyamat cél: a jgsulatlan hzzáférések észrevétele és megldása tevékenység cél: a biztnsági követelmények, sérülékenységek és fenyegetések megértése Szenes 32 Szenes 16

17 references - irdalmjegyzék see Part I. ld. I. részt Szenes 33 Szenes 17