mi ez a CISA, CISM, CGEIT, CISSP?

Hasonló dokumentumok
Bevezetés az informatikai ellenőrzésbe Dr. Szenes KatalinSzenes 1

Bevezetés az informatikai ellenőrzésbe

A vállalati információrendszer biztonságának auditálása, a stratégiai megfelelés figyelembe vételével. Dr. Szenes Katalin CISA, CISM, CGEIT, CISSP

Az informatikai audit és biztonság jelentősége az intézmény stratégiája megvalósításában

Óbudai Egyetem Neumann János Informatikai Kar. Tóth Béla 2015.

BIZTONSÁGI AUDIT. 13. óra

Szabványok, ajánlások

I. Definíciók. 1. Üzletmenet folytonossági terv - katasztrófa terv. Üzletmenet folytonossági tervezés

A felhőszolgáltatások biztonságáról: követelményekről, megoldási eszközökről

NAPLÓZNI CSAK PONTOSAN ÉS SZÉPEN AVAGY A NAPLÓZÁS AUDITJA A GDPR TÜKRÉBEN (IS) Lengré Tamás CISA, CEH, 27001LA ASC Kft.

Bevezetés az Informatikai biztonsághoz

A könyvvizsgálat módszertana

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

A SOX törvény alapjai és informatikai vonatkozásai

BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN

Információbiztonság irányítása

A Bankok Bázel II megfelelésének informatikai validációja

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem, Neumann János Informatikai Kar

Végső változat, 2010 Szeptember Integrált Irányítási Rendszer (IIR) a helyi és regionális szintű fenntartható fejlődésért

Belső és külső ellenőrzés, kockázatkezelés a közszektorban

SZENTENDRE VÁROS ÖNKORMÁNYZAT BELSŐ ELLENŐRZÉSI STRATÉGIAI TERVE A ÉVEKRE

2013 L. - tapasztalatok Antidotum 2015

Ellenőrzéstechnika: ipari, kereskedelmi, szolgáltató vállalatok belső ellenőrzésének gyakorlata és módszertana

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

COBIT Keretrendszer I. Szikora Zsolt, DE 2008

Muha Lajos CISM főiskolai docens Gábor Dénes Főiskola. Informatikai biztonsági szabványok és irányelvek (a nemzetközi és a hazai szabályozás helyzete)

Község Önkormányzata

Üzletmenet-folytonosság és katasztrófa helyzet kezelés (Honnan indultunk, miért változtunk, hova tartunk?)

Compliance szerepe és felelőssége a magyar bank/tőke és biztosítási piacon

ME/42-01 Minőségirányítási eljárás készítése

Magyarországi kis és közepes IT vállalkozások költséghatékony lehetőségei ISO szabványcsaládnak megfelelő szolgáltatásirányítási rendszerek

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

A CRD prevalidáció informatika felügyelési vonatkozásai

Oracle adatkezelési megoldások helye az EA világában. Előadó: Tar Zoltán

A minőségirányítási rendszer auditálása laboratóriumunkban. Nagy Erzsébet Budai Irgalmasrendi Kórház Központi Laboratórium

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

V. Félév Információs rendszerek tervezése Komplex információs rendszerek tervezése dr. Illyés László - adjunktus

IT biztonsági törvény hatása

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

A klinikai auditrendszer bevezetése és működtetése

irányításban Teljesítménymérés

E L Ő T E R J E S Z T É S

Betekintés a Könyvvizsgálati munkába. Könyvvizsgálói munka szakaszai, Könyvvizsgálói jelentés változás

Jászivány Község Önkormányzata évi belső ellenőrzési terve

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

Az informatikai biztonsági kockázatok elemzése

A vállalat mint rendszer. Informatikai rendszerek Vállalati információs rendszerek. Üzleti kapcsolatok. Vevői információs kapcsolatok. Cég.

A könyvvizsgálat számítógépes támogatása

Üzleti architektúra menedzsment, a digitális integrált irányítási rendszer

Fókuszban az információbiztonság

XXVII. Magyar Minőség Hét Konferencia

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Informatikai prevalidációs módszertan

Mi köze a minőséghez?

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Pécsi Tudományegyetem Klinikai Központ ELJÁRÁS

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

Tolna Megyei Önkormányzat Közgyűlésének december 2-i ülése 8. számú napirendi pontja

S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN. Structured Systems Analysis and Design Method

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Környezeti elemek védelme II. Talajvédelem

Kivonat a Bocskaikert Községi Önkormányzat Képviselő-testületének december 15-én megtartott ülésének jegyzőkönyvéből

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

System Center Service Manager 2012 áttekintése. Ker-Soft Kft. Kaszás Orsolya - tanácsadó Nagy Dániel - rendszermérnök

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

MINŐSÉGBIZTOSÍTÁS ÉS E- LEARNING. Jelli János Apor Vilmos Katolikus Főiskola

Hatékony iteratív fejlesztési módszertan a gyakorlatban a RUP fejlesztési módszertanra építve

Védelmi Vonalak - Compliance

A könyvvizsgálat kihívásai a változó világgazdasági helyzetben

Üzletmenet folytonosság menedzsment [BCM]

Informatikai felügyelet

PÜSKI KÖZSÉG ÖNKORMÁNYZAT ÉVI BELSŐ ELLENŐRZÉSI MUNKATERVE

A költségvetési szervek belső ellenőrzési rendszere fejlesztési tapasztalatai

IRÁNYTŰ A SZABÁLYTENGERBEN

A Belső Ellenőrzés szerepe a jó irányítási gyakorlatok. Ivanyos János Trusted Business Partners Kft

MELLÉKLET. a következőhöz:

Felelős vállalatirányítás és köztulajdon

Tracon Budapest Kft ISO 9001 szerinti minőségbiztosítási rendszere

SLA RÉSZLETESEN. 14. óra

30 MB IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI. Adat és Információvédelmi Mesteriskola.

SZOLGÁLTATÁS BIZTOSÍTÁS

ÚJSZÁSZ VÁROS JEGYZŐJE 5052 ÚJSZÁSZ, SZABADSÁG TÉR 1. TEL/FAX: 56/

AZ INFORMATIKAI BIZTONSÁG MÉRÉSE

A vezetőség felelősségi köre (ISO 9001 és pont)

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

A CRAMM módszer alkalmazásának kiterjesztése

HALÁSZI KÖZSÉG ÖNKORMÁNYZAT ÉVI BELSŐ ELLENŐRZÉSI MUNKATERVE

Települési ÉRtékközpont

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

Szoftverminőségbiztosítás

A CMMI alapú szoftverfejlesztési folyamat

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

ELŐTERJESZTÉS. Újhartyán Község Önkormányzata Képviselő-testületének november 27-i ülésére. 5. napirendhez. Tóth Antal Pénzügyi biz.

Átírás:

Bevezetés az informatikai ellenőrzésbe Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem Neumann János Informatikai Kar Szofvertechnológiai Intézet szenes.katalin@nik.uni-obuda.hu www.isaca.org www.isc2.org www.coso.org mi ez a CISA, CISM, CGEIT, CISSP? CISA Certified Information Systems Auditor, CISM - Certified Information Security Manager, CGEIT - Certified in Governance Enterprise IT az USA-ban alapított ISACA-tól, az Information Systems Audit and Control Association-tól ISACA : CRM - CISA Review Technical Information Manual COBIT: Control Objectives for Information Technology CISSP - Certified Information Security Professional az ISC2-től, a szintén amerikai International Information Systems Security Certification Consortium-tól 2 Szenes 1

COSO: Committee of Sponsoring Organisations of the Treadway Commission 1985-ben alakult, a pénzügyi jelentésekkel kapcsolatos csalások nemzeti bizottságának (National Commission on Fraudulent Financial Reporting) támogatására. Ezt a bizottságot röviden gyakran csak "Treadway bizottságnak" nevezik, első elnökéről, James C. Treadway, Jr.-ról. A Treadway bizottság a magánszektor kezdeményezésére alakult. Annak alapján készít ajánlásokat a tőzsdei társaságok, azok auditorai, a SEC, és más szabályozó szervezetek, és oktatási intézmények részére is, hogy tanulmányozzák a csaló pénzügyi jelentések sajátosságait. ld. Informatikai biztonsági kézikönyv, Verlag Dashöfer, Budaepst 3 audit / biztonság kormányzás kormányzás audit / biztonság informatikai biztonsági és ellenőrzési módszerek, módszertanok, ötletek kiterjesztése a vállalatirányítás, a működés, és a kockázatkezelés támogatására a biztonság / audit alapdefinícióinak stratégiai szintre emelése A vállalati információrendszer biztonságának követelményei piaci érvényesülés biztonság szempontjából a rendszerszervezés kulcsszerepe pl. módszereinek alkalmazása megfelelőség elérése / vizsgálata kockázatkezelés osztályozás adattulajdonos... kötelességelhatárolás kiszervezés 4 Szenes 2

mi értelme mindennek? 1. példa: rendszergazda otthonról hackeléssel social engineering-gel gyógyszer lesz: biztonságos vállalati hálózati toplógia oktatás biztonsági - ellenőri segítség stb. 2. példa: kiszervezés belsők több pénzért kimennek onnan aztán továbbállnak és most kell új partner - hogyan válasszunk? 5 a társasági vagyon: stratégiai, védelmi és biztonsági szempontból: az információrendszer az értékrendszer a vállalati információ(s?) rendszer: a vállalat céljait szolgáló belső és külső kommunikációs kapcsolatok transzformációs eljárások eljárási szabályok, és az ezeket támogató számítástechnikai rendszerek összessége (részben: ISACA, IBM BSP) 6 Szenes 3

Mit jelent a biztonság - úgy "általában"? Egy lehetséges biztonság definíció Vasvári Györgytől: A követelmények előre meghatározott szinten teljesülnek, ettől a szinttől csak előre meghatározható, előre jelezhető mértékű valószínűségű eltérés engedélyezett. Mondjunk erre példát! 7 Alapszint: az információrendszer biztonsága a számítástechnikai, és! a manuálisan kezelt üzleti és működési információ mérhető mértékű és ismert kockázatú rendelkezésre állása integritása bizalmassága. ezek az ISACA és az ISO/IEC szabványok közös követelményei Pótfeltételek : funkcionalitás, dokumentáció IT ellenőrzési cél: általános ((ellenőrzési)) célból levezetett, az informatikai működésre vonatkozó ((ellenőrzési)) cél. A kívánt eredményt kifejező állítás. Az informatikai tevékenységekre vonatkozó ((ellenőrzési)) intézkedésekkel / eljárásokkal érhető el. nem az ellenőr célja! 8 Szenes 4

Középszint ISACA COBIT módszertana szerinti (Control Objective for Information Technology) információ kritériumok: a célnak való megfelelés - célravezető információ - effectiveness eredményesség - efficiency bizalmasság - confidentiality integritás, sértetlenség - integrity rendelkezésre állás - availability külső követelményeknek való megfelelés - compliance megbízhatóság - reliability COSO: (itt is kevert az adat és a feldolgozás, a cél, és elérése) Effectiveness and efficiency of operations. Reliability of financial reporting. Compliance with applicable laws and regulations. 9 Felső szint: kiterjesztés értelmezésben és hatókörben 1. csoport jellemzi: az intézményi kormányzás minőségét a működési kiválóságot a hatékonysággal, az intézkedések célravezető jellegével, a külső és belső előírásoknak való megfeleléssel, a kockázatkezelés kiválóságával, a renddel a rend alkotóelemei: dokumentáltság változás kezelés üzletmenet folytonosság tervezés / spec.: informatikai stb. 10 Szenes 5

itt a továbbiakban: informatika - informatikai ellenőr - informatikai biztonság a kiterjesztés hatóköre az operáció 11 módszerek kellenek az információrendszer biztonsága eléréséhez: módszertanok szabványok A cél: a megfelelés mihez képest? támogatása józan ész. A szabványoknak való megfelelést is a mindennapokra kell alkalmazni. munkamódszer: ellenőrzési célok / intézkedések - nem az ellenőr célja, és nem is ő csinálja célok definiálása / azonosítása, meghatározása saját értelmezésem: általános ellenőrzési cél: a legfelső vezetés az intézményi stratégiából levezetett, a legjobb szakmai gyakorlatnak megfelelő ((ellenőrzési)) célja 12 Szenes 6

Az informatikai biztonság céljai, és az ellenőr ellenőrzési szempontjai a stratégián alapulnak, az egész személyzetnek, az Informatikának, biztonságinak, ellenőrnek a cég boldogulását kell szolgálnia: a vállalkozás / intézmény piaci boldogulása -> vállalati / intézményi stratégia stratégiai üzleti célok, üzleti követelmények -> informatikai stratégia az üzleti követelményeket teljesítő informatikai folyamatok kockázat - stratégia kapcsolat alapja: az üzleti fontosság adja meg a fenyegetett vagyonelem értékét kockázat ~ ezzel az értékkel, és a veszély bekövetkezés vsz.séggel (ez pedig a védelemre fordított erőfeszítéssel is) % 13 az üzleti folyamatokat az Informatika a felső vezetés szerinti rangsoruk szerint kell, hogy támogassa folyamatok fontossága adatok / rendszerek fontossága ez határozza meg az infrastruktúrális elemek fontosságát a jogosultságokat az üzleti szerepek kell, hogy meghatározzák az adatok tulajdonosa a felhasználó ő engedélyez (az üzleti szakterület vezető, vagy delegáltja) 14 Szenes 7

Az Informatika meg kell, hogy feleljen: az informatikai stratégiának tehát az ÜZLETNEK (pl. volt: a rendszerek súlyozása, ennek feleljen meg a kiszolgálás sorrendje) az informatikai biztonsági követelményeknek: a rendszerek rendelkezésre állása az adatok bizalmassága az adatok sértetlensége + a többi COBIT kritérium!! funkcionalitás és dokumentáció a törvényeknek, ágazati, hatósági szabályozásoknak 15 Teendők: az ellenőrzési célokhoz ellenőrzési intézkedések / eljárások control measure / procedure pontatlan: "kontroll" = control measure / procedure ellen(őrzési) intézkedés / eljárás példa belső ellenőrzési intézkedésre: informatikai (szervezési, SW, HW,...!!! ) eljárások szabályzatok, munkaköri leírások készítése adat / program elérési előírások - jogosultságkezelés dokumentáció! 3 pillér: szervezet, szabályozás és technika 16 Szenes 8

ellen(őrzési) intézkedés / eljárás fajták: preventive megakadályozó detective vizsgálati corrective javító melyik fajtát válasszuk? mi legyen a választás alapja: a szükséges (becsült minek alapján?) ember, pénz, stb. ráfordítás és ki választ : a legfelső vezetés mert mindenről ők tehetnek ők a felelősek a tulajdonosok, ügyfelek, mindenki előtt 17 az, hogy melyik intézkedés melyik fajta az értelmezéstől nagyon függ!! preventive - megakadályozó ellenőrzési intézkedés pl.: eszközökhöz fizikai hozzáférés - ennek mije legyen itt? dokumentáció! REND!! detective - vizsgálati ellenőrzési intézkedés pl.: már megtörtént hiba, mulasztás rosszindulatú cselekedet UTÓLAGOS észrevételére alkalmas eszköz pl.: pl. hozzáférési napló (access log) - ez vajjon mindig vizsgálati? 18 Szenes 9

detective versus preventive: hozzáférési napló szabályzat jogosultságkezelés vírusvédelem nos, mi, melyik? corrective - javító ellenőrzési intézkedéegy hiba miatti baj bekövetkezéséből eredő káros hatások következményének felszámolása, pl.: szabályozott restart / recovery - a megszakadt szolgáltatás folytatása még a dokumentáció is lehet eső után köpönyeg - példa? szervezet - szabályozás - technika - van példa! detective versus preventive versus corrective 19 példa vállalati szemléletre: Vállalat információrendszerének felmérése IBM BSP módszerrel régen: IBM BSP versus SSADM: alap: a folyamat ill. az adat ma is, évente hitvita, csak más nevekkel: mi az, hogy információ(s)rendszer? Információrendszer adatközpontú definíciója egy régi, az SSADM: Egy szervezet v.mely alaptevékenysége művelésében szükséges infok egy adott körét előállító és rendelkezésre bocsátó rendszer 20 Szenes 10

Vállalat információrendszerének felmérése IBM BSP módszerrel IBM BSP értelmezések: Folyamat: A vállalat céljaiból levezethető, szükséges, elhatárolható tevékenységek sorozata. Stratégiai cél: A vállalat hosszútávú elképzelései a vállalat jövőbeni belső és külső körülmények által meghatározott állapotáról. 21 Vállalat információrendszerének felmérése IBM BSP módszerrel IBM BSP értelmezések: Döntéselőkészítés, információszolgáltatás: Adott funkció ellátására adatok, hírek összeállítása. Stratégiai tervezés: A vállalat hosszútávú célkitűzéseinek meghatározása, a célok eléréséhez szükséges és lehetséges műszaki - gazdasági fejlődési tendenciák felvázolása. 22 Szenes 11

A BSP alapelvei Vállalat információrendszerének felmérése IBM BSP módszerrel Felülről lefelé haladó tervezés: a vállalati célkitűzések lefordítása információ igényekre átvilágítás a vállalat felső vezetése szempontjából fokozatosan az átfogótól a részletes felé; Alulról-felfelé történő megvalósítás - indulás: alapadatok felmérése alapnyilvántartások kidolgozása integrált irányítási rendszerek megvalósítása 23 Vállalat információrendszerének felmérése IBM BSP módszerrel A CHEMIMAS esete: A munka folyamatos irányítását a vállalat felső vezetőiből alakult team végezte. A BSP mellett mi, a külsők döntöttünk, a vezérigazgató egyetértésével. A BSP lépései: 1. A vállalati célok meghatározása 2. A vállalati folyamatok meghatározása 3. Az adatosztályok meghatározása 4. Az információrendszer szerkezetének meghatározása 24 Szenes 12

Vállalat információrendszerének felmérése IBM BSP módszerrel 1. A vállalati célok meghatározása Célja, hogy a felső vezetés egyetértésre jusson abban, hogy merre halad a vállalat, ezt kell az információrendszernek támogatnia. Partnerünk: az Igazgatótanács ülések, cédulák, tábla 25 Vállalat információrendszerének felmérése IBM BSP módszerrel 2. A vállalati folyamatok meghatározása Ez adja a vállalati információrendszer nyújtotta támogatás hosszútávú alapját. (A folyamatok állandóságára alapoz.) Partnerünk: Igazgatótanáccsal a főfolyamatokat és azok nagybani tartalmát, majd a folyamatok rangsorát, aztán u.ezt tisztázzuk alsóbb szinteken is. 26 Szenes 13

Vállalat információrendszerének felmérése IBM BSP módszerrel 3. Az adatosztályok meghatározása Meghatározzuk az egy, vagy több folyamatot támogató átfogó adatokat. Partnerünk: Külön interjúk a megfelelő igazgatótanácsi tagokkal, majd lefelé az egyes ágazatokban. 4. Most már készülhetnek mátrixok! folyamat - szervezet - adatok, stb. ugyanolyan, mint az IT BCP! 27 Vállalat információrendszerének felmérése IBM BSP módszerrel 5. Az IR szerkezetének meghatározása Ez lényegében az információrendszer hosszútávú céljainak megadása, kidolgozása, Ezt mi csináljuk, a Vevővel egyeztetünk, és ennek alapján felvázoljuk az IR nagyvonalú szerkezetét. Majd a fontossági sorrendek meghatározása, fontosabb alrendszerek részletezése, akcióterv, végtermék: TANULMÁNY. 28 Szenes 14

az ellenőrzés egy értelmezése: az üzleti célok elérésére, a nemkívánatos események megakadályozására, vagy feltárására, és a már bekövetkezett hiba kijavítására tervezett irányelvek, eljárások, szabályozás, gyakorlat, és szervezeti struktúrák komplex összességét. 29 Az informatikai ellenőrzés hivatalos célja: biztosítja az információrendszer számítástechnikai támogatásának biztonságát valamelyik definíció szerint, és megfelelő minőségét mihez képest megfelelő?? Mit ellenőrzünk? a termelést a működést biztosító és támogató információrendszert Ez folyamatokat, adatokat is jelent, nemcsak technikát! (cél: IT Governance) 30 Szenes 15

Az intézmény kormányzása: annak piaci versenyképességét szolgáló irányítása, a környezethez lehető legjobban alkalmazkodó stratégia alapján, amelynek meghatározása, és rendszeres karbantartása az első számú vezető felelőssége. 31 az intézmény (vállalat, közintézmény, akármi) sikeres informatikai kormányzása: a sikeres vállalati kormányzás egyik szükséges feltétele az IT (részleg + tevékenységek +... ) olyan irányítása, amely a vállalati kormányzást a felső vezetés szándékai szerint szolgálja 32 Szenes 16

Az ellenőrzési szempontok csoportosítási lehetőségei: működés működés támogatása informatikai pénzügyi (közvetlen termelés) (termelés támogatása, pl. projekt) 33 az ellenőrzés vizsgálatának szempontjairól: miért ellenőrzünk, mi a cél, milyen előnye van az ellenőrzésből az ellenőrzöttnek, vagy bárki / bármi másnak mit ellenőrzünk, mit kell vizsgálni, mit nézünk meg az ellenőrzés során hogyan ellenőrzünk, milyen vizsgálati módszereket lehet alkalmazni az ellenőrzéshez, és felülvizsgálatához is felhasználható szabványok, pl. ISO segédletek, pl. COBIT 34 Szenes 17

az ellenőrzés felülvizsgálata, auditálása tanusítja: az ellenőrzés megfelel a legjobb szakmai gyakorlatnak a menedzsment irányelvei dokumentáltan érvényesülnek az információt nyújtók az információt fogadók az információáramlást számítástechnikával támogatók kapcsolatrendszerében. 35 a működés számítástechnikai támogatását meghatározzák: a rendszerek működését támogató személyi, tárgyi, szervezeti, ügyrendi feltételek. + az alapvető védelmi, biztonsági és funkcionalitási szempontok teljesítése teljesítésének lehetősége + jelen - múlt - jövő érdekében: dokumentáció 36 Szenes 18

informatikai biztonsági követelményeinket felsoroltuk már: rendelkezésre állás - ha ez nincs, nincs miről beszélni bizalmasság integritás (sértetetlenség) Zavartalan rendelkezésre állás: milyen hibák, milyen okokból következnek be, mi e hibák üzleti kockázata, hogyan, és mennyi ráfordítással lehet ezeket kivédeni és egyáltalán: 37 megéri-e a ráfordítás, vagy inkább érdemes kockáztatni, hogy bekövetkezzenek a hibák, esetleg, és felkészülni a következményeik elhárítására a kockázatot arányosként definiáltuk: veszély bekövetkezésének valószínűsége * fenyegetett vagyonelem értéke A legfelső vezetésnek felelőssége és joga dönteni, mi legyen?. 38 Szenes 19

A legfelső vezetésnek felelőssége, és joga eldönteni: vállalja-e a kockázatot szleng pontosan: a kockázat mértéke megéri-e a veszély elhárításának költségét. Ha nem: jön a kockázat elfogadó nyilatkozat 39 az ellenőrzési munka lehet kis falat / nagy falat jelenthet átfogó vizsgálatot is. pl. működés ellenőrzési nagy falatok : A vállalati stratégia elkészítésének folyamata dokumentáltan megfelel-e a tulajdonosok érdekeinek? A vállalati stratégiából (a fő stratégiai célokból) vezették-e le az informatikai stratégiát, és dokumentáltan tették-e ezt? adatvédelmi törvények, előírások betartása, pl. adatok sorsának követése 40 Szenes 20

működés támogatási nagy falatok egy stratégiai jelentőségű alkalmazói rendszer auditja mint projekt a fejlesztésének menete mint eredmény a rsz. biztonsági jellemzői egy stratégiai jelentőségű folyamat auditja, pl. üzemeltetés fejlesztés a fejlesztésről lesz még szó! pénzügy: mérlegkészítés átvilágítása jelentésszolgálat megfelelése értékcsökkentés könyvelés 41 mik is tartoznak a működés támogatáshoz? informatika pénzügy tevékenységek elszámolása eredmények kiszámítása valamilyen módon tevékenységek finanszírozása vagy már meglévők hatékonysága stb. emberi erőforrás jog... és persze a vezetés a működés pedig: amiből élünk 42 Szenes 21

kis falat példa működésre: audit a közvetlen termelésben: MEO, törvények,munkavédelem (néhai ISO 9000 család) közvetlen termelés támogatási audit - kis falat, és nagy is lehet: pl. projektirányítás 43 kis falat példa működés támogatásra - számítástechnika mentések ellenőrzése egy számítóközpontban: az üzemeltetési ügyrendhez illeszkedik-e ha van! kinek a felelőssége milyen időközönként történik nyilvántartás tárolás, hozzáférés, stb. 44 Szenes 22

auditálási kockázatok ún. jelentős (substantive) hiba, amely: a vizsgált célterület bármelykomponense vizsgálatának helyességét jelentősen veszélyezteti auditálási kockázat: (informatikai / pénzügyi jelentés jelentős hibát tartalmaz) a vizsgálatban hiba történt, de az auditor nem veszi észre ún. öröklött kockázat: a tévedés a célterület természete miatt a feltárandó összefüggések bonyolultsága miatt pl. egy bonyolult számítás 45 auditálási kockázatok ún. ellenőrzési kockázat: a belső ellenőrzési rendszer nem alkalmas valamely jelentős hiba időben történő feltárására ún. detektálási kockázat: nem megfelelő tesztelési eljárások miatt az auditor egy jelentős hibát nem vesz észre az auditálás teljes kockázata: kombináció szakterületre, ellenőrzési célpontokra hibalehetőségekre 46 Szenes 23

az audit fázisai az ISACA CRM, COBIT, ISO,... és főleg a józan ész alapján 1 az audit scope meghatározása, együttműködve -a megrendelővel / az auditált terület menedzsmentjével az adott tevékenységet szolgáló informatikai folyamatok és intézményi ellenőrzési mechanizmusok azonosítása 47 az audit fázisai az ISACA CRM, COBIT, ISO,... és főleg a józan ész alapján 2 az intézmény megismerése, és a feladat pozícionálása az intézményben: az intézmény helyzetének felmérése, a siker szempontjából kritikus tevékenységeknek, és annak a mértéknek a meghatározása, hogy e tevékenységek mennyire járulnak hozzá az intézmény stratégiai céljai eléréséhez ha résztevékenység az audit hatókör, annak viszonya a kritikus tevékenységekhez az adott esetben szerepet játszó üzleti célkitűzések kijelölése: COBIT 48 Szenes 24

az audit fázisai az ISACA CRM, COBIT, ISO,... és főleg a józan ész alapján 3 a célszervezet körülményei az audit előtt: az auditálandó célterület áttekintése, pozícionálása az intézményen belül előző évi auditálások jelenlegi pénzügyi helyzet törvények, rendeletek esetleg: ismert külső forrású kockázatok összegyűjtése 49 az audit fázisai az ISACA CRM, COBIT, ISO,... és főleg a józan ész alapján 4 az audit hatóköre pontosításához és a lefolytatás előkészítéséhez a következőket kell azonosítani / kiválasztani, és egyeztetni a megrendelővel: control objectives auditálási eljárások ütemezésük szükséges emberi / anyagi / egyéb erőforrások az auditáltrészéről... 50 Szenes 25

az audit fázisai az ISACA CRM, COBIT, ISO,... és főleg a józan ész alapján 5 felkészülés az auditra - helyzetfeltárás a terep és az összefüggések megismerésére: o BPR Business Process Reengineering o ISACA ajánlások o rendszerszervezés +... ocobit folyamat < - > üzleti követelmény folyamat < - > megvalósítási feltételek folyamat < - > ellenőrzési célok A megvalósítási feltételeknek és az ellenőrzési céloknak való megfelelés ellenőrzése érdekében ezekből, és az adott folyamattal kapcsolatos további kérdésekből ellenőrzési listákat, mátrixokat lehet készíteni 51 az audit fázisai az ISACA CRM, COBIT, ISO,... és főleg a józan ész alapján 6 az audit módszereinek meghatározása tulajdonképpen a receptek kiválasztása az adott helyzet szerint felhasználjuk: a legjobb szakmai gyakorlatnak megfelelő módszertanokat saját tapasztalatot + józan észt szaktudomány - best practice azaz: 27001 Appendix A? COBIT üzleti követelmények, mérések, stb.? 52 Szenes 26

az audit fázisai az ISACA CRM, COBIT, ISO,... és főleg a józan ész alapján 7 kockázat becslés fázis 7.1 a vizsgálandó terület kockázatai 7.2 a belső ellenőrzési helyzet ha kell az ellenőrzési környezet, és az ellenőrzési eljárások detektálási kockázatok becslése ellenőrzési kockázatok becslése teljes kockázat becslése 53 az audit fázisai az ISACA CRM, COBIT, ISO,... és főleg a józan ész alapján 8 az audit lefolytatása jelenlegi ellenőrzés vizsgálata és tesztelése ha kell irányelvek, szabályzatok vizsgálata, és betartásuk*, azaz eljárások, stb. vizsgálata (munkaköri) kötelességelhatárolások ehhez tartozó jogosultság, stb. vizsgálatok konkrét bizonyítékok gyűjtése, naplózás vizsgálata, stb. esetleg analítikus eljárásokkal egyenlegek, és / vagy más, lényegi összefüggések lényegi tesztelése stb. * "nosza, írjunk egy szabályzatot!" 54 Szenes 27

az audit fázisai az ISACA CRM, COBIT, ISO,... és főleg a józan ész alapján 9 befejezési munkálatok dokumentációk, pl. következtetések, ajánlások, javaslatok auditori jelentés ISACA Code of Ethics best practice! follow-up review azaz: GOTO STEP 1 55 amerikai minősítő szervezetek Information Systems Audit and Control Association ISACA - www.isaca.org alapítás: 1969. EDP Auditors Association Certified Information Systems Auditor CISA Certified Information Security Manager - CISM Certified in Governance Enterprise IT - CGEIT Information Systems Audit and Control Foundation ISACF az IS audit és ellenőrzés K+F támogatására Information Systems Security Certification Consortium (ISC)2 - www.isc2.org CISSP - Certified Information Security Professional 56 Szenes 28

hasznos források könyvek ISACA anyagok, pl. CISA Review Technical Information Manual ed.: Information Systems Audit and Control Association Rolling Meadows, Illinois, USA és a Bookstore ISACA folyóirat: IS Control Journal 57 rengeteg segítség: COBIT Control OBjectives for Information Technology készül: COBIT 5 COBIT - 1998 COBIT 2000 COBIT 3rd edition COBIT 4.0-2005 Control Objectives, Management Guidelines, Maturity Models 2005, IT Governance Institute COBIT 4.1-2007 Copyright ISACF, Information Systems Audit and Control Foundation) COBIT magyarul: ISACA Hungary Chapter www.isaca.hu most isacahu.com 58 Szenes 29

nemzetközi és hazai szabványok ISO/IEC = International Organization for Standardization / International Electrotechnical Commission ISO/IEC 17799 International Standard ISO/IEC 17799 First edition 2000-12-01 Information technology Code of practice for information security management Reference number: ISO/IEC 17799:2000(E) elődei: BS 7799 CRAMM CCTA Risk Analysis and Management Methodolology 59 nemzetközi és hazai szabványok A kifutott, de még jelen lévő ISO/IEC 17799 tartalma: hogyan kell az informatikai biztonság alapkövetelményeit, a rendelkezésre állást, a bizalmasságot, és az integritást teljesíteni. Az informatikai szakterületet részterületekre bontja, és az egyes részekhez leírja, milyen veszélyek fenyegetik, és ellenőrzési célokat javasol a követelmények teljesítéséhez. 60 Szenes 30

nemzetközi és hazai szabványok ISO/IEC 27001 International Standard ISO/IEC 27001 First edition 2005-10-15 Information technology - Security techniques - Information security management systems - Requirements Reference number: ISO/IEC 27001:2005 (E) ISO/IEC 2005 ez a 27000-es család első eleme, az 17799 ismételve, az 17799 másik darabja: 27002 International Standard ISO/IEC 27002 First edition 2005-06-15 Information technology Security techniques Code of practice for information security management Reference number: ISO/IEC 27002:2005(E) Copyright ISO/IEC 2005 azóta van 27005, stb. 61 nemzetközi és hazai szabványok ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT security (Common Criteria) (ITCSEC, majd ITSEC, majd CC) Magyar Szabvány MSZ ISO/IEC 12207:2000 Magyar Szabványügyi Testület Informatika. Szoftveréletciklus-folyamatok Information technology. Software life cycle processes megfelel: az ISO/IEC 12207:1995 verziónak International Standard First edition 2008-06-01 Corporate governance of information technology Gouvernance des technologies de l'information par l'entreprise Reference number: ISO/IEC 38500:2008(E) Copyright ISO/IEC 2008 62 Szenes 31

Támogató szabványok, módszertanok, irodalom Szenes Katalin - fejezetek Az Informatikai biztonság kézikönyvéből Verlag Dashöfer, Budapest Informatikai biztonsági megfontolások a Sarbanes - Oxley törvény ürügyén (A 2002-es Sarbanes - Oxley törvény hatásai az informatikai biztonsági rendszerekre és az informatikai ellenőrök feladataira. A jelentésszolgálat és a többi kulcsfontosságú alkalmazás felügyeletének kérdései) 22. aktualizálás, 2006. október A szolgáltatás - orientált architektúrák biztonsági kérdései 23. aktualizálás, 2006. december A COBIT 4.0 és 4.1 újdonságai 27. aktualizálás, 2007. november A számítógéphálózatok biztonságának felülvizsgálata 28. aktualizálás, 2008. február stb. 63 Magyar szakmai szervezetek az European Organization for Quality - EOQ Magyar Nemzeti Bizottság Informatikai Szakbizottsága www.eoq.hu a Hírközlési és Informatikai Tudományos Egyesület Számítástechnikai Szakosztálya www.hte.hu az (ISC)2 Hungary Chapter www.isc2.org az ISACA Magyar Fejezete www.isacahu.com 64 Szenes 32

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés