Adat és Információvédelmi Mesteriskola 30 MB Dombora Sándor IT BIZTONSÁGI KÉRDÉSEK AZ ÜZEMELTETÉS FOLYAMÁN I AZ IT ÜZEMELTETÉS RELEVÁNS SZABVÁNYAI 2018. 09. 13. Adat és Információvédelmi Mesteriskola
Tartalom IT Biztonság és az üzemeltetés kapcsolata CoBIT (ControlObjectives forit and RelatedTechnology) Capability Maturity Model Cobit 5 2
Az IT üzemeltetés szabványai COBIT CONTROLOBJECTIVESFOR INFORMATION AND RELATED TECHNOLOGY 3
A COBIT az ISACA szabványa Az IT irányításra vonatkozik ISACA (Information Systems Audit and Control Association) konferenciák, oktatás, CISA, CISM, CRISC, CGEIT, CSX, Információ rendszerek átvilágítási/auditálási szempontjai nemcsak biztonsági audit A COBIT az IT szabványok, módszerek, élenjáró gyakorlatok egységes rendszerbe foglalt módszertani eszköze Kontroll kialakítási irányelveket dolgoztakki. (Kontroll: Az üzleti célkitűzések megvalósítása és a nemkívánatos események megelőzése, felderítése és korrigálása céljából kialakított szabályok, eljárások normák, és szervezeti struktúrák. ) Pre Preventív Detektív Korrektív De Co 4
A COBIT alapelve A probléma forrása: Az információtechnológiát az üzleti célok elérése érdekében alkalmazzuk, ennek során az IT erőforrások IT folyamatokat hajtanak végre, ezek eredményei hozzájárulnak az üzleti folyamatok eléréséhez. Közben veszélyforrások keletkeznek, ezek különböző kockázatokat jelentenek. Kontrollok alkalmazásával ezek a kockázatok elfogadható szintre csökkenthetők. 5
COBIT kocka Egy-egy szervezet különböző beosztású menedzserei más-más szempontok alapján értékelik az alkalmazott információtechnológiát. A felsővezetők az informatikához kapcsolódó üzleti követelményeket Az informatikai vezetők az általuk menedzselt IT erőforrásokat A felhasználók pedig az IT folyamatokat helyezik előtérbe. 6
A Cobit 4 - négy szakterületet fed le Tervezés és szervezés Beszerzés és megvalósítás Szolgáltatás és támogatás Figyelemmel kísérés és értékelés 7
A Cobit 4 - négy szakterületet fed le Tervezés és szervezés fejezetei Informatikai stratégiai terv meghatározása Információ-architektúra meghatározása Technológiai irány kijelölése Informatikai folyamatok, szervezet és kapcsolatok meghatározása Informatikai beruházások irányítása Tájékozódás a vezetői célokról és irányokról Informatikai humán emberi erőforrások kezelése Minőségirányítás Informatikai kockázatok felmérése és kezelése A projektek irányítása 8
A Cobit 4 - négy szakterületet fed le Beszerzés és megvalósítás fejezetei Automatizált megoldások meghatározása Alkalmazási szoftverek beszerzése és karbantartása A technológiai infrastruktúra beszerzése és karbantartása Az üzemeltetés és a használat támogatása Az informatikai erőforrások beszerzése A változtatások kezelése A megoldások és változtatások üzembe helyezése és bevizsgálása 9
A Cobit 4 - négy szakterületet fed le Szolgáltatás és támogatás fejezetei 1. Szolgáltatási szintek meghatározása és betartása Külső szolgáltatások igénybevételének irányítása Teljesítmény- és kapacitás kezelés A szolgáltatás folyamatosságának biztosítása A rendszerek biztonságának megvalósítása A költségek azonosítása és felosztása A felhasználók oktatása és képzése 10
A Cobit 4 - négy szakterületet fed le Szolgáltatás és támogatás fejezetei 2. A rendkívüli események kezelése és a felhasználói támogatás működtetése Informatikai felhasználók segítése Konfigurációkezelés Problémakezelés Az adatok kezelése A fizikai környezet biztosítása Létesítmény kezelése Az üzemeltetés irányítása 11
A Cobit 4 - négy szakterületet fed le Szolgáltatás és támogatás fejezetei Figyelemmel kísérés és értékelés fejezetei Az informatika teljesítményének figyelemmel kísérése és értékelése A belső irányítási és ellenőrzési rendszer figyelemmel kísérése és értékelése Külső követelményeknek való megfelelőség biztosítása Az informatikai irányítás megteremtése 12
Az IT üzemeltetés szabványai CMM CAPABILITY MATURITY MODEL 13
A Cobit központi foglama: érettségi modell Mérőszámok előállítására használható Hol tartunk? Milyen a pozíciónk a versenytársainkhoz képest? Hová kívánunk eljutni? IRÁNYMUTATÁS Milyen a bevált iparági gyakorlat, és hol állunk ezekhez a gyakorlatokhoz képest? Milyen módon érhetjük el a célt? Hogyan érhetjük el a megfelelő irányítást és kontrollt? 14
Általános érettségi modell 0: Nem létező Egyáltalán semmilyen felismerhető folyamat sincsen. A szervezet még fel sem ismerte azt, hogy létezik egy olyan terület, amellyel foglalkoznia kell. 1: Kezdeti/Ad-Hoc jellegű Vannak jelek arra vonatkozóan, hogy a szervezet felismerte, hogy létezik egy olyan terület, amellyel foglakoznia kell. Azonban nincsenek szabványosított folyamatok, helyettük ad hoc jellegű megoldásokat alkalmaznak, egyedileg, illetve eseti alapon. Az általános vezetési módszer rendszertelen. 2: Ismétlődő, de ösztönös A folyamatok eljutottak arra a szintre, amikor hasonló eljárásokat követnek a különböző, azonos feladatokat végző emberek. A szabványos eljárásoknak nincsen formális oktatása, nincs rendszeres ismertetés és tájékoztatás róluk, és betartásuk az egyének felelőssége. Nagy mértékben hagyatkoznak az egyének tudására, és ezért hibák valószínűek. 15
Általános érettségi modell 3: Szabályozott folyamat Az eljárások szabványosítottak és dokumentáltak, a megismertetésük képzésen keresztül történik. Előírás, hogy a ezeket a folyamatokat követni kell, azonban nem valószínű, hogy az eltéréseket felismerik. Az eljárások maguk nem kifinomultak, hanem a létező gyakorlat formalizált változatai. 4: Irányított és mérhető A vezetés figyelemmel kíséri, és méri az eljárásoknak történő megfelelőséget, és intézkedik, amennyiben úgy tűnik, hogy a folyamatok nem működnek eredményesen. A folyamatokat állandóan javítják, és azok bevált gyakorlatot testesítenek meg. Az automatizálás, és az eszközök használata korlátozott, vagy a folyamat egyes elemeire terjed csak ki. 5: Optimalizált A folyamatokat tökéletesítették a bevált gyakorlat szintjéig, a folyamatos javítás és a többi vállalathoz viszonyított érettségi modellezés eredményei alapján. Az informatikát integrált módon alkalmazzák a munkafolyamat automatizálására, és eszközöket adnak a minőség, és az eredményesség javításához, mellyel a vállalkozást képessé teszik arra, hogy gyorsan alkalmazkodjék. 16
Érettségi modell grafikus megjelenítés 17
Példa: Informatikai stratégiai tervezés 0: Nem létező Az informatikai stratégiai tervezést nem végeznek. A vezetés nincs tudatában annak, hogy szükség van informatikai stratégiai tervezésre az üzleti célok támogatásához. 1: Kezdeti/Ad-Hoc jellegű Az informatikai vezetés tudja, hogy szükség van informatikai stratégiai tervezésre. Az informatikai tervezést szükség esetén végzik el, válaszul egy-egy konkrét üzleti követelményre. Az informatikai stratégiai tervezést esetenként megvitatják az informatikai vezetői értekezleteken. Az üzleti követelmények, alkalmazások és a technológia összehangolása inkább utólagosan történik és nem egy szervezetet lefedő stratégia részeként. A stratégiai kockázatosságát informálisan állapítják meg projektenként külön. 2: Ismétlődő, de ösztönös Az informatikai stratégiai tervezést közösen végzik az üzleti területek vezetésével akkor, amikor arra szükség van. Az informatikai tervek aktualizálása a vezetés kérésére történik. A stratégiai döntéseket a projektek külön-külön vezérlik anélkül, hogy azok következetesen követnének egy általános szervezeti stratégiát. A jelentős stratégiai döntések kockázatait és felhasználói előnyeit ösztönösen ismerik fel. 18
Példa: Informatikai stratégiai tervezés 3: Szabályozott folyamat Irányelv határozza meg, hogy mikor és hogyan kell informatikai stratégiai tervezést végezni. Az informatikai stratégiai tervezés egy strukturált módszert követ, amely dokumentálva van, és amelyet minden munkatárs ismer. Az informatikai tervezési folyamat ésszerűen megalapozott és a helyzetnek megfelelő tervezés végrehajtását valószínűsíti. Azonban az egyes vezetők saját belátásuk szerint járhatnak el a folyamat kivitelezését illetően, és a folyamat vizsgálatára nem léteznek eljárások. Az átfogó informatikai stratégia tartalmazza a kockázat vállalási hajlandóság következetes meghatározását abban a tekintetben, hogy vajon a technológiai élenjáró, vagy a követő stratégiát választották. Az informatika pénzügyi, műszaki és humán erőforrás stratégiája egyre inkább befolyásolja az új termékek és technológiák beszerzését. A vállalati vezetői értekezleteken napirenden van az informatikai stratégiai tervezés. 19
Példa: Informatikai stratégiai tervezés 4: Irányított és mérhető Az informatikai stratégiai tervezés szabványos gyakorlat és az anomáliákra a vezetés felfigyelne. Az informatikai stratégiai tervezés egy meghatározott vezetési funkció, amely egy felső vezetőhöz van rendelve. A vezetés figyelemmel tudja kísérni az informatikai stratégiai tervezés folyamatát, kellő információk birtokában döntések et tud hozni annak alapján, és mérni tudja eredményességét. Mind rövid távú, mind hosszú távú informatikai tervezés folyik, és az lefele végig fut a szervezeten, a aktualizálások pedig szükség szerint történnek. Az informatikai stratégia és a szervezeti stratégia egyre jobban illeszkedik annak köszönhetően, hogy foglalkozik az üzleti folyamatokkal és az értéknövelő képességekkel, valamint az alkalmazások, és technológiák használatának üzleti folyamatok átszervezésével történő kiaknázásával. A rendszerfejlesztéshez és az üzemeltetéshez szükséges belső és külső erőforrások felhasználásának meghatározását egy jól szabályozott folyamat szolgálja. 20
Példa: Informatikai stratégiai tervezés 5: Optimalizált Az informatikai stratégiai tervezés egy dokumentált élő folyamat, és az üzleti célok kitűzésekor folyamatosan figyelem be veszik azt, és olyan észlelhető üzleti értéket eredményez, amely az informatikába történő befektetésen keresztül valósul meg. A kockázati és érték-növelési szempontokat folyamatosan naprakészen tartják az informatikai stratégiai tervezési folyamat keretében. Reális, hosszú távú informatikai terveket dolgoznak ki, és azokat folyamatosan aktualizálják, hogy azok tükrözzék a változó technológiát, és az üzleti tevékenységgel kapcsolatos fejleményeket. Jól ismert és megbízható iparági normák alapján összehasonlító értékelést végeznek, és azt integrálják a stratégia kialakításának folyamatába. A stratégiai terv kitér arra, hogy az új technológiai fejlemények hogyan idézhetik elő új üzleti képességek kialakítását, és hogyan javíthatják a szervezet versenyelőnyét. 21
Érettségi modellek Minden folyamatra kidolgozhatók Az informatikai beruházások irányításának érettségi modellje Az informatikai humán erőforrások kezelésének érettségi modellje Az informatikai kockázatok felmérésének és kezelésének érettségi modellje Az informatikai projektek irányításának érettségi modellje Az alkalmazási szoftverek beszerzésének és karbantartása érettségi modellje A technológiai infrastruktúra beszerzésének és karbantartásának érettségi modellje A megoldások és változtatások üzembe helyezése és bevizsgálásának érettségi modellje Külső szolgáltatások igénybevételének irányításának érettségi modellje A működés folyamatosságának biztosításának érettségi modellje 22
Radar diagram A rendelkezésre állás biztosítása Problémakezelés Kapacitáskezelés ServiceDesk 4 3,5 3 2,5 2 1,5 1 0,5 0 Incidenskezelés Kiadáskezelés Változáskezelés A szervezet folyamatainak érettségét mutatja 23
Radar diagram A szolgáltatás folyamatosságának biztosítása A rendkívüli események kezelése és a felhasználói támogatás működtetése 24
RACI mátrix Folyamatok kialakítása 25
A szolgáltatás folyamatosságának biztosítása Folyamat leírás: A folyamatos informatikai szolgáltatások biztosításához szükséges az informatikai működésfolyamatossági tervek kidolgozása, naprakészen tartása és tesztelése, a telephelyen kívüli tartalék telephelyen történő tárolás alkalmazását es időszakos működésfolyamatossági tervre vonatkozó képzések tartását. Egy eredményes folyamatos szolgáltatási folyamat minimalizálja annak a valószínűségét és hatását, hogy a kulcsfontosságú üzleti funkciókra es folyamatokra jelentős informatikai üzemszünet következzék be. Kontroll célkitűzések léteznek a következő kategóriákban: ninformatikai működésfolyamatossági keretrendszer ninformatikai működésfolyamatossági tervek nlétfontosságú informatikai erőforrások ninformatikai működésfolyamatossági terv naprakészen tartása ninformatikai működésfolyamatossági terv tesztelése ninformatikai működésfolyamatossági terv oktatása ninformatikai működésfolyamatossági terv terjesztése ninformatikai szolgáltatások helyreállítása és folytatása nmentések és tartalékeszközök telephelyen kívüli tárolása nhelyreállítás utáni felülvizsgálat Adat és Információvédelmi Mesteriskola 26
A szolgáltatás folyamatosságának biztosítása Érettségi modell (1) Adat és Információvédelmi Mesteriskola 27
A szolgáltatás folyamatosságának biztosítása Érettségi modell (2) Adat és Információvédelmi Mesteriskola 28
A szolgáltatás folyamatosságának biztosítása Érettségi modell (3) Adat és Információvédelmi Mesteriskola 29
A szolgáltatás folyamatosságának biztosítása Tevékenységek és felelősségek Felelős, Számonkérhető, Közreműködő, Tájékoztatott Adat és Információvédelmi Mesteriskola 30
A rendkívüli események kezelése és a felhasználói támogatás működtetése Folyamat leírás: Az informatikai felhasználók kéréseire és problémáira időben és eredményesen történő válaszadás megkövetel egy jól megtervezett és egy jól működtetett felhasználói támogatást, és egy rendkívüli esemény kezelési folyamatot. Ez a folyamat kiterjed olyan felhasználói támogatás funkció létrehozására, mely nyilvántartást végez, a rendkívüli eseményeket eszkalálja, trend és a problémák gyökerének feltárására elemzést végez és megoldja a bejelentéseket. Az üzleti hasznok közé tartozik a termelékenység fokozása a felhasználói kérések gyors megoldásával. Ezen túlmenően az üzleti területek foglalkozni tudnak a problémák gyökerével (például a szegényes felhasználói képzéssel) az eredményes jelentések segítségével. Kontroll célkitűzések léteznek a következő kategóriákban: nfelhasználói támogatás na felhasználói kérdések nyilvántartása nrendkívüli események eszkalációja nrendkívüli események lezárása njelentéskészítés és trendelemzés Adat és Információvédelmi Mesteriskola 31
A rendkívüli események kezelése és a felhasználói támogatás működtetése Érettségi modell (1) Adat és Információvédelmi Mesteriskola 32
A rendkívüli események kezelése és a felhasználói támogatás működtetése Érettségi modell (2) Adat és Információvédelmi Mesteriskola 33
A rendkívüli események kezelése és a felhasználói támogatás működtetése Érettségi modell (2) Adat és Információvédelmi Mesteriskola 34
A rendkívüli események kezelése és a felhasználói támogatás működtetése Érettségi modell (3) Adat és Információvédelmi Mesteriskola 35
A rendkívüli események kezelése és a felhasználói támogatás működtetése Tevékenységek és felelősségek Felelős, Számonkérhető, Közreműködő, Tájékoztatott Adat és Információvédelmi Mesteriskola 36
A Cobit 5 Integrálja és új struktúrába ötni a Cobit 4.1 Kontroll irányelvek ValIT Értékteremtés RisK IT IT kockázatkezelés keretrendszereket 37
Cobit 5 irányelvek tulajdonosok szükségleteinek elérése az irányítás szétválasztása a menedzseléstől COBIT 5 Irányelvek a szervezet teljes körű lefedése teljeskörűség támogatása egységes integrált keretrendszer alkalmazása 38
Köszönöm a figyelmet! 39