Számítástechnikai audit emlékeztető összefoglalás Dr. Kondorosi Károly
Témakörök Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem E1/2
Az audit igénye Biztonsági problémák hatása Kollektív felelősség Megoldás: Audit Átvilágítás és felmérés Szabályzatok, ajánlások és előírások teljesülésének mértékében Külső és Belső Felmérő-javasló és Ellenőrző-hitelesítő Legfelső vezetői támogatással E1/3
Szabályzatok, ajánlások Nincs egységes szabvány (még) Tapasztalatok gyűjteménye 90-es évek termékei CC (93... 96) COBIT (96, 98, 2000,...) BS 7799-1 (95, 98, 99) (ISO 2000) -2 (99, 2002) E1/4
Common Criteria CC Minden további ajánlás alapja Műszaki szemléletű (vs. Üzleti szemléletű) E1/5
CC története Kanada USA Anglia Németország Franciaország 1983 TCSEC 1989 DTIEC ZSIEC SCSSI 1991 Rainbow Series ITSEC 1993 CTCPEC FC 1996 Common Criteria E1/6
CC - modell IT rendszer biztonságát veszélyeztető fenyegetettségek + ezek kivédésére szánt biztonsági funkciók = Struktúrális összegzés: Protection Profile, PP 3 célcsoport: fejlesztők: - PP alapján termékspecifikus Biztonsági Rendszerterv készül felhasználók, - termékválasztást segíti értékelők (auditorok): Common Evaluation Criteria (vs. COBIT: vezetők, felhasználók, auditorok) E1/7
CC modell Nem része a CC-nek: (megoldottnak tekintett) Környezet biztonsági kérdések elhelyezés, beléptetés, tűzvédelem, stb. Szervezet biztonsági kérdések jogosultságok, feladatkörök összeférhetősége, stb. Jogi és adminisztratív kérdések Spec.biztonsági mechanizmusok (pl. kriptográfiai rendszerek) E1/8
CC biztonsági koncepció Tulajdonos Értékeli Minimalizálni akarja Előír Tud róla Ellenintézkedések Csökkenthető Csökkentik Befolyásolják Sebezhetőségek Veszélyforrások Eredményeznek Vezetnek Kockázat Okoznak Veszélyek Növelik Érintik Érinti Vagyontárgyak Károsíthatják E1/9
CC értékelési koncepció Garancia-biztosítási technikák Előállít Garancia Értékelés Tanúskodik Tulajdonos Igényli Biztosítja Bizalom, bizonyosság Miszerint Ellenintézkedések Minimalizálják Kockázat Érinti Vagyontárgyak E1/10
CC garancia szintek 1. szint: funkcionálisan tesztelt 2. szint: strukturálisan tesztelt 3. szint: módszeresen tesztelt és ellenőrzött 4. szint: tervszerűen tervezett, tesztelt és áttekintett 5. szint: félformálisan tervezett és tesztelt 6. szint: félformálisan igazoltan tervezett és tesztelt 7. szint: formálisan igazolt és tesztelt E1/11
COBIT Control Objectives for Information and Related Technology Ajánlás: Information Systems Audit and Control Association (ISACA) www.isaca.org E1/12
COBIT Üzleti szemléletű Komplex vizsgálat (teljes környezet) Alapjai: nagygépes pénzügyi rendszerek ISACA nemzetközi szervezet Szakértői hitelesítés: CISA minősítés Elterjedt: US, CDN, F, D,... Magyarországon elsősorban a pénzügyi szektorban (PSZÁF) E1/13
COBIT a cél Cél: Üzleti célok megvalósításának biztosítása Az IT eszközök felhasználásával Üzleti eredmények = Felső vezetői szemlélet Felső vezetők = Enterprise Governance Ennek mintájára IT Governance A structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise s goals by adding value while balancing risk versus return over IT and its processes. Az IT nem kiszolgálója, hanem része az üzleti stratégiának E1/14
COBIT a modell E1/15
BS 7799 7799-1 Code of Practice = ISO 17799 Nem ad implementációs javaslatot 7799-2 = Inf.Sec.Mnmt.Sys 7799-2:99 - ISMS build 7799-2:02 - ISMS operate and maintain BS 7799-2 megfelelőség = ISMS hitelesítése Akkreditált szervezet hitelesíthet (pl. UKAS Group E) Elterjedt: UK, NL, Asia/Pacific E1/16
Audit szabványosítás Nincs egységes szabvány: ISO/IEC 17799 US, CDN, F, D ellenzi UK, NL, Asia-Pacific támogatja COBIT Elterjedt az egész világon, elsősorban pénzintézeteknél Vannak azonban: általános elvárások és normák etika E1/17
Auditori etika Etika: Bizalmas kezelés Lojalitás a megbízóhoz Előírások szerinti működés, továbbképzés Függetlenség Tárgyilagosság E1/18
Témakörök Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem E1/19
Kockázat A biztonsági rés megéri-e? Kockázati elemek: Vagyontárgy (assests) Sebezhetőség (vulnerabilities) Fenyegetettség (threats) Hatás (impacts) Kockázat (risks) Fennmaradó kockázat (residual risk) E1/20
Kockázatelemzés Teljes kockázat= hatás * valószínűség minden fenyegetettségre Kvalitatív és Kvantitatív elemzés Védelmi intézkedések (controls) Megelőző Felderítő Javító E1/21
A kockázatelemzés lépései 1.- vagyontárgyak és potenciális fenyegetettségük felmérése hatásvizsgálat (assets, threats, impacts) 2. Meglévő védelmi intézkedések vizsgálata (controls) 3. További védelmi intézkedések bevezetésének lehetősége és hatása 4. Intézkedések prioritás vizsgálata Leghatékonyabb és leghatásosabb kiválasztása E1/22
A kockázatelemzés lépései A kiválasztás szempontjai: Bevezetési költség vs. Kockázat csökkentés értéke A vezetőség által elfogadottnak tekintett kockázat szintje A támogatott kockázat csökkentő módszer: Valószínűség csökkentése, teljes kiküszöbölés, hatás csökkentés, biztosítás, stb. E1/23
A választott módszer Számos kockázatelemzési módszer létezik Nem a módszer a döntő Fontosabb: Kritikus szemlélet Üzleti célú megközelítés A lényeges kockázatok felismerése és értékelése Az ésszerű ellenintézkedések kiválasztása E1/24
Védelmi intézkedések A nem kívánatos események elhárítása, vagy észrevétele és azok hatásának kijavítása Egyedi védelem és globális védelem E1/25
Az informatikai biztonság célja Olyan állapot elérése, amelyben a kockázatok megvalósítható és értékarányos védelmi intézkedésekkel elviselhető mértékűre csökkenthetők. Az üzleti célok elérhetőségének biztosítása a vezetőség által kívánt mértékben E1/26
Információ az üzleti célokért Tehát: Információ az üzleti célok szolgálatában ezért üzleti elvárások vannak: Minőségi követelmények Felhasználási követelmények Biztonsági követelmények E1/27
A Cobit üzleti szemlélete Szokásos üzleti elvárások COBIT kritériumok Minőség Felhasználhatóság Biztonság Hatásosság (effectiveness) Hatékonyság (efficiency) Bizalmasság (confidentiality) Sértetlenség (integrity) Elérhetőség (availability) Megfelelőség (compliance) Valósághűség (reliability) E1/28
COBIT a modell Erőforrások (adat, alkalmazás, technológia, környezet, emberek) Üzleti események IT folyamatok Üzleti kritériumok E1/29
COBIT - domains Üzleti fogalmak és ne auditori zsargon Tervezés és Szervezet Beszerzés és Használatbavétel Üzemeltetés és Szolgáltatások Ellenőrzés E1/30
Cobit család E1/31
Cobit család Magas szintű = Framework 4 domain 34 folyamat Részletes = Detailed Control Objectives 3-30 részletes intézkedés folyamatonként összesen 318 Audit = Audit Guidelines ellenőrzési javaslatok a 34 folyamatra Vezetői segítség = Management Guidelines Célok és mutatók a 34 folyamathoz E1/32
Témakörök Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem E1/33
Vezetői garancia Elfogadható biztosíték a vezetőknek, hogy az intézkedési célok megvalósultak Hol vannak gyenge pontok? Hogyan lehet a fennmaradó hibákat korrigálni? válasz: audit E1/34
A kockázat alapú audit A probléma megközelítési mód alapján: Legelterjedtebb módszer Mivel cél a védelmi intézkedések ellenőrzése Kockázat oldaláról megközelítve egyszerűbb költség-előny analízis végezhető vezetői döntésekhez segítség E1/35
Az audit folyamata Áttekintés és tervezés Az ellenintézkedések megismerése Megfelelőségi teszt (Compliance testing) Lényegi teszt (Substantive testing) Értékelés Beszámoló E1/36
A tesztek ASSESSING COMPLIANCE The audit steps to be performed to ensure that the control measures established are working as prescribed, consistently and continuously and to conclude on the appropriateness of the control environment. COBIT E1/37
A tesztek SUBSTANTIATING THE RISK The audit steps to be performed to substantiate the risk of the control objective not being met by using analytical techniques and/or consulting alternative sources. The objective is to support the opinion and to shock management into action. Auditors have to be creative in finding and presenting this often sensitive and confidential information. COBIT E1/38
Az értékelés Bizonyítékok gyűjtése Beszélgetés, kérdőív, mintavétel, Számítógépes támogatás A bizonyíték értékelése materiality Beszámoló és Exit Interview CAR és Follow up E1/39
A bizonyítékok Minden, ami meghatározza az audit eredményét. Fontos: a bizonyíték megbízhatósága Az információforrás függetlensége Pl. Külső igazoló levél Az információforrás képesítése, gyakorlata Nem mindegy, hogy ki mondja... Tárgyilagosság, egyértelműség Ne kelljen magyarázni... E1/40
A mintavételezés Ok: idő- és költség csökkentés A vizsgálandó elemek részhalmaza alapján nyilatkozik a teljes halmaz jellemzőiről. Típusai: Statisztikai vagy Nem-statisztikai Tulajdonság szerinti (attribute) vagy érték szerinti (variable) Van viszont: mintavételi kockázat (sampling risk) E1/41
A mintavételezés A mintavétel folyamata: A teszt céljának meghatározása A tesztelendő teljes halmaz kijelölése A mintavételezési módszer meghatározása Attribute vs. Variable A minta méretének meghatározása A mintavétel Értékelés az audit céljai szerint E1/42
Az audit eredménye Csak akkor hatásos, ha ezután történik valami. vezetőknek elő kell írni Corrective Actions Report (CAR) Ennek folyamatát nyomon kell követni Audit Follow Up E1/43
A folyamatos audit Normál működés közben állandó ellenőrzés Előny: azonnali intézkedés lehetősége Banki rendszerekben gyakori E1/44
COBIT Audit Guidelines E1/45
COBIT Audit Guidelines Audit cél Folyamatok Kockázatok Üzleti Örökölt benne rejlő E1/46
COBIT Audit Guidelines Generic Audit Guidelines Obtaining Understanding Evaluating the Controls Assessing Compliance Substantiating the Risk E1/47
COBIT Audit Guidelines Detailed Audit Guidelines Van-e arra biztosíték, hogy az üzleti célok elérhetők? 1. Nem tekintendő komplett audit tervnek 2. Nem foglalkozik CAAT-tal 3. Általános, ezért kiegészítendő az adott üzletágra jellemző sajátosságokkal obtaining understanding alapján E1/48
Témakörök Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem E1/49
Az IT és a vállalat Az IT nem kiszolgálója, hanem része az üzleti stratégiának megfelelő stratégiai tervezés szükséges Hosszú távú (3-5 év) és rövid távú (1 év) E1/50
Az irányelvek és ügymenet Cég irányelvek - Corporate Policy Szervezeti egységek saját irányelvei top-down vagy bottom-up származtatás Cég ügymenet - Procedures E1/51
Az emberi tényező Mire figyeljen az auditor? Az okok Fontos: tehát: Az emberi környezet ellenőrzése. E1/52
A szervezet auditja Átnézendő dokumentumok: IT stratégia, költségvetés, Steering Committee jegyzőkönyvek HR irányelvek, ügymenet, alkalmazotti kézikönyv Szervezeti felépítés, függőségi viszonyok Munkaköri leírások ( Feladat-elkülönítés!! ) Működtetési eljárások felelősség meghatározás Rendszerfejlesztési és változtatási eljárások Biztonsági irányelvek és védelmi intézkedések (bizalmas) E1/53
A szervezet auditja Különösen fontos: PO4: Define the IT Organisation and Relationship 15 PO6: Communicate Management Aims and Directions - 11 PO7: Manage Human Resources - 8 AI4: Develop and Maintain Procedures - 4 AI6: Manage Changes 8 DS4: Ensure Continuous Services - 13 DS7: Educate and Train Users 3 DS13: Manage Operations 8 M1: Monitor the Processes - 4 E1/54
A vezetői felelősség Meddig kell elmennünk és vajon az előnyök igazolják-e a költségeket? Mi az intézkedések helyes mértéke, amely a cég üzleti céljait támogatja? Válasz: COBIT Management Guidelines Hogyan állunk a többiekhez képest? Maturity model Mik a jó teljesítmény jellemzői? -- KPI Mi a fontos és mi kevésbé fontos? -- CSF Valóban teljesülnek-e a céljaink? -- KGI E1/55
A vezetői felelősség CSF s are the most important things you need to do based on the choices made in the Maturity Model, whilst monitoring through KPIs whether you will likely reach the goals set by the KGIs COBIT Management Guidelines E1/56
Érettségi szintek 0 Non-Existent. Fel sem ismert problémák. 1 Initial. Felismert problémák, de csak ad-hoc módszerek egyéni esetekben. A vezetés szervezetlen. 2 Repeatable. Különböző személyek által végzett, független folyamatok. A felelősség az egyéneké, és a cég függ az egyéntől. 3 Defined. Szabványosított, dokumentált és betanított, de nem ellenőrzött és nem számonkért egyszerű folyamatok, melyek csak a meglévő szokásokat rögzítik. 4 Managed. Lehetséges a folyamatok ellenőrzése és intézkedések történnek eltérés esetén, de nincs automatizmus. 5 Optimised. Integrált és automatizált folyamatok a legjobbnak elismert módszer szerint. Gyors alkalmazkodás a változó igényekhez. E1/57
Témakörök Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem E1/58
Az infrastruktúra auditja Beszerzés Működtetés, karbantartás Kapacitás tervezés Változás kezelés E1/59
Infrastruktúra auditja Stratégiai és taktikai tervezés üzleti célok érdekében, lehetőségek és várt eredmények összhangja (PO2, PO3) Fejlesztés költségkereten belül, elvárások szerint (PO5, AI1, AI2, AI3) Üzemeltetés és karbantartás folyamatos rendelkezésre állás, technológiai szint (AI6, DS3, DS9, DS10, DS13) E1/60
Az infrastruktúra auditja Biztonság Ellenőrzés lehetősége (M1) szabályozott és dokumentált nyomon követhető E1/61
Az infrastruktúra auditja Audit szempontból különösen fontos: Felügyelet nélküli működés Input és Output Service Level Erőforrás használat Változás kezelés Minőségbiztosítás Service Desk-Help desk E1/62
Témakörök Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem E1/63
Adat = vagyontárgy Information Asset Fontosabb, mint az infrastruktúra (eszközök) Information security Information assurance Integerity, Confidentality, Availability sértetlenség, bizalmasság, rendelkezésre állás Nem minden adatot kell védeni, csak azt, amit értékesnek tartunk. kockázatelemzés E1/64
Adatok védelme Az adat vagy az adattárolón van, vagy mozog a tárolók között. Vizsgálni kell: A logikai hozzáférés biztonsága tervezése, megvalósítása és felügyelete A hálózati infrastruktúra biztonsága A fizikai hozzáférés biztonsága E1/65
Biztonsági irányelvek Security Policy Vezetői támogatás Csak a szükségeshez való hozzáférés elve need to know, need to do Törvényi előírások betartása Tudatosítás Előírások írásbeli terjesztése bizalmas részletek nélkül Oktatás, folyamatos tájékoztatás (hírlevél, stb.) Az előírások látható betartása Biztonsági demo, teszt, stb. E1/66
Hozzáférési jogok Adat tulajdonos megfelelő vezető jogok Feladat elkülönítés Biztonsági ügyintéző E1/67
Hozzáférési utak Operátori terminál Online munkahely Batch feldolgozás Dial-up Telecom hálózat (wan, internet,..) E1/68
Tipikus fenyegetettség Adatmanipuláció bevitel során Adatmanipuláció kerekítéssel, csonkítással Alkalmazásba épített hátsó ajtó használata Trójai program Vírus, féreg, logikai bomba (zsarolás) Shut down, Denial of Service támadás Piggybacking, Wire-tapping, Asynchron támadás, Man-in-the-Middle E1/69
A valóság FBI tanulmány, 2001: A biztonsági problémák évente duplázódnak A támadások 64%-a pénzügyi veszteséget okozott A támadások 70%-a az Internetet használja... 35% privát internet használat munkaidőben Az esetek 90%-ban érkezik legalább heti egy spam email Az alkalmazottak 30%-a bizalmas adatot is küld ki emailen E1/70
Védelmi eszközök Hozzáférés Azonosítás Fenyegetettség E1/71
Védelmi eszközök User Admin, SSO, PKI eszközök Access Control eszközök Identification azonosítás bejelentkező név Authentication hitelesítés valóban ő az? Valami, amit csak ő tud: jelszó,... Valami, ami csak nála van: kártya, token,... Valami, ami csak rá jellemző: biometrics.. Vagy ezek kombinációja. E1/72
Védelmi eszközök A jelszó biztonsága 5-8 karakter (biztonság-elfelejthetőség) Kisbetű, nagybetű, szám Nem kitalálható Nem ismételhető Kötelező csere E1/73
Védelmi eszközök Tűzfal VPN Antivirus Behatolás védelem Intrusion Detection Tartalomszűrés Content Inspection E1/74
Védelmi eszközök - audit Policy Compliance Automatikus fenyegetettség vizsgálat Audit Működés biztonsági nyomkövetése E1/75
Védelmi eszközök PKI (küld) DES Küldő Privat Titkos kód Azonosítás és letagadhatatlanság CA Fogadó Public Bizalmasság E1/76
Védelmi eszközök PKI (fogad) DES? = Bizalmasság Küldő titkos Fogadó privat CA Küldő public Azonosítás és letagadhatatlanság E1/77
Hasznos intézkedések Hozzáférési szintek meghatározása Need to know, need to do Automatikus logoff Automatikus deaktiválás Hozzáférési minták elemzése szokatlan? Adat minősítés (US National Institute of Standards and Technology): Sensitive érzékeny (pl. Jelszó, kódolási paraméterek,..) Confidential bizalmas (forráskód,...) Privat személyes (ügyféladatok,...) Public nyilvános (web tartalom,...) E1/78
PC használat A PC a legnagyobb veszélyforrás Logikai védelem: jelszó, titkosítás, stb. Fizikai védelem: lopásvédelem,... Jó megoldás lehet a fizikai elhelyezés védelme is ha lehetséges E1/79
Audit Fontos tanulmányozni: Hozzáférési utak Irányelvek, eljárások és azok betartása Biztonság tudatossága Adat tulajdonviszonyok Hozzáférési log Azonosítási eljárás (jelszó, token,...) Jogosultság-megsértési jegyzőkönyvek és következmények Biztonsági kerülőutak lehetősége. Stb. E1/80
Környezeti veszélyek Víz, Tűz, Természeti katasztrófa Áramkimaradás Légkondicionálás hibája Betörés, szabotázs, bombariadó,... E1/81
Az adat védelme - folyamatok Legfontosabb folyamatok: PO2: Defining the Information Architecture DS4: Ensure Continuous Service DS5: Ensuring System Security DS7: Educate and Train Users DS12: Managing Facilities M1: Monitor the Process M2: Assess Internal Control Adequacy E1/82
Témakörök Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem E1/83
Folyamatos üzem Disaster Recovery Business Continuity Planning IT környezet Személyzet és anyagok Létesítmények és berendezések E1/84
Elhárítási terv Stratégiai dokumentum Külső helyszínen tárolandó (pl. Döntéshozók lakása, stb.) Legfelső vezetés (üzleti vezetés) hatásköre E1/85
Terv részei Emergency Directory (elérhetőség) Értesítendő személyek, döntéshozók Katasztrófakezelő team-vezetők Hw/sw szállítók Szolgáltatók Hálózat/telecom adminisztrátorok Off-site media tárolók Biztosítási ügyintézők Tartalék létesítmények gazdái Stb. E1/86
Terv részei Szükséges eszközök, anyagok listája Feladatok és Felelősök Rendszerek fontossági rangsora A kritikus visszaállítási határidők Adatfeldolgozási összefüggések Feldolgozási prioritások Hálózati lehetőségek Biztosítási kérdések E1/87
Környezeti alternativák Hot-site Csak a személyzetre és éles adatokra van szükség Bérelhető különböző lehetőségek Pl. Használható többlet erőforrásként is Általában max. néhány hétig használható E1/88
Környezeti alternativák Warmsite Létesítmény, kapcsolatok, perifériák vannak Drága eszközök (pl. Számítógép, programok) hiányoznak Néhány nap/hét kell a beüzemeléshez Cold site Csak alap infrastruktúra (pl. Épület, elektromos és kommunikációs kábelezés) Jó néhány hét kell a beüzemeléshez. E1/89
Környezeti alternativák Duplikált feldogozás Ne legyen ugyanolyan katasztrófának kitéve Kompatibilitásra folyamatosan vigyázni kell Erőforrás tartalékot folyamatosan figyelni kell Rendszeresen tesztelni kell E1/90
Környezeti alternativák Kölcsönösségi megállapodás Hasonló környezetű cégek között Különösen egyedi környezet esetén Hátrányai: A használati jog sokszor nem érvényesíthető A konfiguráció változása problémát okoz Kapacitás hiány léphet fel E1/91
Backup Mentések elvégzése Periodikusan A szükséges intervallumban Automatikus rendszerek előnyben!! Speciális támogatás (pl. Online, open-file,..) Mentések tárolása Off-site tárolás biztonsága (személy és természet) Pontos leltár (mozgásokról is) Ne legyen reklámozva Ne legyen ugyanannak a katasztrófának kitéve A media szállítása is biztosítandó!! E1/92
Backup Nem csak adatok, hanem: Alapszoftver, könyvtárak, stb. Dokumentációk, kézikönyvek Operating Procedures System and Program Documentation Special Procedures Input Source Documents, Output Documents Business Continutiy Plan E1/93
A teszt Olyan időben, amikor nem okozhat zavart Teszteli A terv aktualitását és teljességét A személyzet teljesítményét Méri a backup környezet megfelelőségét Gyakorlatot ad és tudatosít E1/94
A terv karbantartása Rendszeres felülvizsgálat Pl. Szervezeti változások hatása Pl. Új alkalmazások hatása Pl. Üzleti stratégia változásának hatása Pl. A környezet (hw, sw, hálózat) változása E1/95
A BCP auditja A terv vizsgálata Korábbi végrehajtási tesztek eredménye Backup tárak vizsgálata Kulcs-emberek kikérdezése Alternatív feldolgozás lehetősége Szerződések Biztosítási lefedettség vizsgálata E1/96
A BCP folyamatok PO1 Define a Strategic IT Plan PO2 Defining the Information Architecture PO3 Determine the Technological Direction PO5 Manage the IT Investments PO9 Assess Risks PO10 Managing Projects PO11 Managing Quality AI1 Identify Solutions AI2 Acquire and Maintain Application Software AI4 Develop and Maintain IT Procedures AI5 Install and Accredit Systems AI6 Manage Changes DS4 Ensure Continuous Services E1/97
Köszönöm