Bevezetés az informatikai ellenőrzésbe Dr. Szenes KatalinSzenes 1

Bevezetés az informatikai ellenőrzésbe

2016.09.05.

Bevezeté Bevezet és az informatikai ellenőrzésbe

Dr. Szenes Katalin Katalin,, CISA, CISA, CISM, CISM, CGEIT, CGEIT, CISSP, CISSP, PhD Óbudai Egyetem Neumann János Informatikai Kar Alkalmazott Informatikai Intézet [email protected] [email protected]

mi a cél? adott: egy intézmény, stratégiai céllal - feladattal ennek ellátására: működés - corporate operations üzleti / "üzleti" üzleti folyamatokat alakítanak ki sajnos: maguktól alakulnak  irányítás: corporate management ez NEM enterprise management system ezek támogatására: információ(s?) rendszer ez nem mindig az enterprise information system  kialakítandó - sajnos: magától kialakul az információ kezelés folyamata, és ennek támogatása: számítástechnikai rendszer Bevezetés az informatikai ellenőrzésbe - Szenes

Dr. Szenes KatalinSzenes

2

1


2016.09.05.

szereplők, folyamatok legfelső vezetés

közvetlen felügyelet + támogatás: ellenőrzés

üzleti szakterület folyamatok y vezetők beosztottak - (feladat - munkaköri leírás: ⋃ szerepkörök)

• • • •

támogató • szakterület • folyamatok • vezetők • beosztottak - (feladat - munkaköri leírás: ⋃ szerepkörök) miénk: informatikai biztonság

Bevezetés az informatikai ellenőrzésbe - Szenes

3

a mi társaságaink

www.isaca.org www.isc2.org www.coso.org

az USA USA--ban alapított ISACAISACA-tól, az Information Systems Audit and Control Association Association--tól ISACA : CRM - CISA Review Technical Information Manual COBIT: Control Objectives for Information Technology az ISC2ISC2-től, a szintén amerikai International Information Systems Security Certification ConsortiumConsortium-tól



4

2


2016.09.05.

mi ez a CISA, CISM, CGEIT, CISSP?

ISACA:

• CISA – Certified Information Systems Auditor Auditor,, • CISM - Certified Information Securityy Manager, Manager g , • CGEIT - Certified in Governance Enterprise IT ISC2: • CISSP - Certified Information Security Professional van persze minden más: ISACA - CRISC,, ISC2 - felhő biztonság szakértő CISSP


5

egy kis Amerika - az első problémáknál: 1933, 1934 de a múlt században megint: Sarbanes - Oxley - SOX COSO: Committee of Sponsoring Organisations of the Treadway Commission 1985-ben alakult, a pénzügyi jelentésekkel kapcsolatos csalások nemzeti 1985bizottságának ((National National Commission on Fraudulent Financial Reporting) támogatására. Ezt a bizottságot röviden gyakran csak "Treadway bizottságnak" nevezik, első elnökéről, James C. Treadway, Jr.--ról. Jr. A Treadway bizottság a magánszektor kezdeményezésére alakult. Annak alapján készít ajánlásokat a tőzsdei társaságok, azok auditorai, a SEC, és más szabályozó szervezetek, és oktatási intézmények részére is, hogy tanulmányozzák a csaló pénzügyi jelentések sajátosságait. ld. Informatikai biztonsági kézikönyv, Verlag Dashöfer, Budapest Bevezetés az informatikai ellenőrzésbe - Szenes


6

3


2016.09.05.

audit / biztonság  kormányzás kormányzás  audit / biztonság informatikai biztonsági és ellenőrzési módszerek módszerek,, módszertanok, ötletek kiterjesztése a vállalatirányítás, a működés, és a kockázatkezelés támogatására

a biztonság / audit alapdefinícióinak stratégiai szintre emelése A vállalati információrendszer biztonságának követelményei piaci érvényesülés biztonság szempontjából

• •

a rendszerszervezés kulcsszerepe pl. módszereinek alkalmazása megfelelőség elérése / vizsgálata

• • •

kockázatkezelés  osztályozás  adattulajdonos 

...

kötelességelhatárolás kiszervezés Bevezetés az informatikai ellenőrzésbe - Szenes

7

mi értelme mindennek? 1. példa: rendszergazda otthonról hackeléssel social engineeringengineering-gel gyógyszer lesz: biztonságos vállalati hálózati toplógia oktatás biztonsági - ellenőri segítség stb.

• • • • • •

2. példa: kiszervezés belsők több pénzért kimennek onnan aztán továbbállnak és most kell új partner - hogyan válasszunk ?

• • •



8

4


2016.09.05.

a társasági vagyon: vagyon: stratégiai, védelmi és biztonsági szempontból:  az információrendszer  az értékrendszer a vállalati információ(s ?) rendszer:  a vállalat céljait szolgáló belső belső és külső külső kommunikációs kapcsolatok  transzformációs eljárások  eljárási szabályok, és  az ezeket támogató számítástechnikai rendszerek összessége (részben: ISACA, IBM BSP)


9

Mit jelent a biztonság - úgy "általában"? Egy lehetséges biztonság definíció Vasvári Györgytől: A követelmények előre meghatározott szinten teljesülnek, ettől a szinttől csak elő el őre meghatározható, előre jelezhető mértékű valószínűségű eltérés engedélyezett.

 

Mondjunk erre példát! Bevezetés az informatikai ellenőrzésbe - Szenes


10

5


2016.09.05.

Alapszint: az információrendszer biztonsága a számítástechnikai, és ! a manuálisan kezelt üzleti és működési információ



mérhető mértékű és ismert kockázatú rendelkezésre állása integritása bizalmassága. ezek az ISACA és az ISO/IEC szabványok közös követelményei

 

„Pótfeltételek”: funkcionalitás, dokumentáció működési ű ödés / IT “e ellenőrzési” ellenőrzési e ő és ” cé cél - saját é értelmezésem: értelmezésem te e ése : stratégiai célból levezetett, a kiváló működésre / informatikai működés elérését támogató cél cél.. Tevékenységek evékenységekkel kel / informatikai tevékenységekkel – ún.. ellenőrzési intézkedésekkel - eljárásokkal érhető el. ún nem az ellenőr célja! Bevezetés az informatikai ellenőrzésbe - Szenes

11

az alap kritériumok jelentése

The information is confidentially handled, if those, and only those have access to it, who have job to do with it. az információ bizalmas kezelése: annak van hozzáférése, akinek dolga van vele ugyanez bármilyen vagyontárgyra is általánosítható általában a jogosultságkezelésre szűkítik le



12

6


2016.09.05.

az alap kritériumok jelentése Availability of the information means, that if it concerns a given matter, then it is available to every competent employee, who is competent in this matter, in a planned, predictable, and documented way according to the preliminary agreements on its availability. az információ akkor áll rendelkezésre, egy adott ügy szempontjából: ha mindegyik dolgozónak, aki az adott ügyben kompetens, rendelkezésére áll,, előre tervezett, előre jelezhető [mértékben, időben, stb. ] dokumentált módon, az előzetes megegyezés(ek) szerint.

• • • •


13

az alap kritériumok jelentése

integritás:: integritás The integrity of the information is preserved, if its handling or processing does not change it inadvertently. az információ integritása akkor marad meg, ha kezelése feldolgozása véletlen módon nem változtatja meg.

• •

gyakran összekeverik a bizalmassággal



14

7


2016.09.05.

Középszint ISACA COBIT módszertana szerinti (Control Objective for Information Technology) információ kritériumok:

      

a célnak való megfelelés - célravezető információ - effectiveness eredményesség - efficiency bizalmasság - confidentiality integritás, sértetlenség - integrity rendelkezésre állás - availability külső követelményeknek való megfelelés - compliance megbízhatóság - reliability

COSO: (itt is kevert az adat és a feldolgozás feldolgozás, a cél cél, és elérése) Effectiveness and efficiency of operations. Reliability of financial reporting. Compliance with applicable laws and regulations. Bevezetés az informatikai ellenőrzésbe - Szenes

15

Felső szint: kiterjesztés értelmezésben és hatókörben 1. csoport jellemzi:  az intézményi kormányzás minőségét  a működési kiválóságot

    

a hatékonysággal, az intézkedések célravezető jellegével, a külső és belső előírásoknak való megfeleléssel, a kockázatkezelés kiválóságával, a renddel

a rend alkotóelemei alkotóelemei:: dokumentáltság változás kezelés üzletmenet folytonosság tervezés / spec.: informatikai stb.. stb

   



16

8


2016.09.05.

itt a továbbiakban: informatikáról - informatikai ellenőrről - informatikai biztonságról lesz szó, de mindig gondoljunk a kiterjesztésre: hatóköre az intézményi működés " lódi" cél: "valódi" él a ki kiváló áló működés űködé bank: inkább ez, mint a bírság, ugye? Bevezetés az informatikai ellenőrzésbe - Szenes

17

amit szoktam mondani: olyan régen foglalkozom • számítástechnikával és • távközléssel, hogy ...

node a kőbalta már nem segít



18

9


2016.09.05.

módszerek kellenek az információrendszer biztonsága eléréséhez:  módszertanok  szabványok A cél: a megfelelés támogatása

– –

mihez képest? józan ész. ész

A szabványoknak való megfelelést is a mindennapokra kell alkalmazni. munkamódszer: munka módszer:

• •

stratégiai célok – top down egyre mindennapibb célok az alacsonyabb l bb szintű ű célok él k mindig d hozzájárulnak h á á l k a magasabb bb szintűek ű k teljesítéséhez az intézkedések is ““csak csak”” hozzájárulnak a célok teljesítéséhez biztos módszer nincs


19

Az informatikai biztonság céljai, és az ellenőr ellenőrzési szempontjai a stratégián alapulnak, az egész személyzetnek, az Informatikának, biztonságinak, ellenőrnek a cég boldogulását kell szolgálnia: a vállalkozás / intézmény piaci boldogulása

->

vállalati / intézményi stratégia stratégiai – üzleti célok, üzleti követelmények -> informatikai stratégia az üzleti követelményeket teljesítő informatikai folyamatok kockázat - stratégia kapcsolat alapja: kocká az üzleti fontosság adja meg a fenyegetett vagyonelem értékét kockázat ~ ezzel az értékkel, és a veszély bekövetkezés vsz.séggel (ez pedig a védelemre fordított erőfeszítéssel is) % Bevezetés az informatikai ellenőrzésbe - Szenes


20

10


2016.09.05.

az üzleti folyamatokat az Informatika a felső vezetés szerinti rangsoruk szerint kell, hogy támogassa  

folyamatok fontossága  adatok / rendszerek fontossága

ez határozza meg 

az infrastruktúrális elemek fontosságát

a jogosultságokat az üzleti szerepek kell, hogy meghatározzák az adatok tulajdonosa a felhasználó  ő engedélyez (az üzleti szakterület vezető, vagy delegáltja delegáltja))


21

Az Informatika meg kell, hogy feleljen:



az informatikai stratégiának – tehát az ÜZLETNEK (pl. volt: a rendszerek súlyozása, ennek feleljen meg a kiszolgálás sorrendje)



az informatikai biztonsági követelményeknek:  a rendszerek rendelkezésre állása  az adatok bizalmassága  az adatok sértetlensége  + a többi COBIT kritérium  !! funkcionalitás és dokumentáció (ez a szűkített verzió - bővebb: a 10 kiválósági kritérium)

 

a törvényeknek, ágazati, hatósági szabályozásoknak Bevezetés az informatikai ellenőrzésbe - Szenes


22

11


2016.09.05.

Teendők: az ellenőrzési célokhoz ellenőrzési intézkedések / eljárások control measure / procedure pontatlan: "kontroll" = control measure / procedure ellen(őrzési) intézkedés / eljárás példa belső ellenőrzési intézkedésre: informatikai (szervezési, SW, HW, ...!!! ) eljárások szabályzatok, munkaköri leírások készítése adat / program elérési előírások - jogosultságkezelés dokumentáció!

• • • •

3 pillér: szervezet, szabályozás és technika


23

ellen(őrzési) intézkedés / eljárás fajták: preventive detective corrective

– – –

megakadályozó vizsgálati javító

melyik fajtát válasszuk? mi legyen a választás alapja: a szükséges (becsült – minek alapján?) ember, pénz, stb. ráfordítás és ki választ : a legfelső vezetés  mert mindenről ők tehetnek ők a felelősek a tulajdonosok, ügyfelek, mindenki előtt Bevezetés az informatikai ellenőrzésbe - Szenes


24

12


2016.09.05.

az, hogy melyik intézkedés melyik fajta az értelmezéstől nagyon függ!! preventive - megakadályozó ellenőrzési intézkedés pl.: eszközökhöz fizikai hozzáférés - ennek mije legyen itt? dokumentáció! REND!!

  

detective - vizsgálati ellenőrzési intézkedés pl.: már megtörtént hiba, mulasztás rosszindulatú cselekedet UTÓLAGOS észrevételére alkalmas eszköz pl.: pl. hozzáférési napló (access log) - ez vajjon mindig vizsgálati?

  


25

detective versus preventive: hozzáférési napló szabályzat jogosultságkezelés vírusvédelem

nos, mi, melyik?

corrective - javító ellenőrzési intézkedéegy hiba miatti baj bekövetkezéséből eredő káros hatások következményének felszámolása, pl.: szabályozott restart / recovery - a megszakadt szolgáltatás folytatása még a dokumentáció is lehet eső után köpönyeg - példa? szervezet - szabályozás - technika - van példa!

  

detective versus preventive versus corrective Bevezetés az informatikai ellenőrzésbe - Szenes


26

13


2016.09.05.

példa vállalati szemléletre: Vállalat információrendszerének felmérése IBM BSP módszerrel régen: IBM BSP versus SSADM: alap: a folyamat ill. az adat ma is, évente hitvita, csak más nevekkel: mi az, hogy információ(s)rendszer? Információrendszer adatközpontú definíciója egy régi, ég , az a SS SSADM:: SSADM Egy szervezet v.mely alaptevékenysége művelésében szükséges infok egy adott körét előállító és rendelkezésre bocsátó rrendszer endszer Bevezetés az informatikai ellenőrzésbe - Szenes

27

Vállalat információrendszerének felmérése IBM BSP módszerrel IBM BSP értelmezések: Folyamat: A vállalat céljaiból levezethető, szükséges, elhatárolható tevékenységek sorozata. Stratégiai cél: A vállalat hosszútávú elképzelései a vállalat jövőbeni belső és külső körülmények ált l meghatározott által h tá tt állapotáról. áll tá ól



28

14


2016.09.05.

Vállalat információrendszerének felmérése IBM BSP módszerrel IBM BSP értelmezések: Döntéselőkészítés, Döntéselőkészítés információszolgáltatás: Adott funkció ellátására adatok, hírek összeállítása. Stratégiai tervezés: A vállalat hosszútávú célkitűzéseinek meghatározása, a célok eléréséhez szükséges és lehetséges műszaki - gazdasági fejlődési t d tendenciák iák ffelvázolása. l á lá


29

Vállalat információrendszerének felmérése IBM BSP módszerrel A BSP alapelvei Felülről lefelé haladó tervezés tervezés::

• a vállalati célkitűzések lefordítása információ igényekre • átvilágítás a vállalat felső vezetése szempontjából • fokozatosan az átfogótól a részletes felé; Alulról-felfelé történő megvalósítás - indulás: Alulrólalapadatok felmérése alapnyilvántartások kidolgozása kidolgozása

• •

 integrált irányítási rendszerek megvalósítása



30

15


2016.09.05.

Vállalat információrendszerének felmérése IBM BSP módszerrel A CHEMIMAS esete: A munka folyamatos irányítását a vállalat felső vezetőiből alakult team végezte. A BSP mellett mi, a külsők döntöttünk, a vezérigazgató egyetértésével. A BSP lépései: lépései: 1 1. 2. 3. 4.

A vállalati célok meghatározása A vállalati folyamatok meghatározása Az adatosztályok meghatározása Az információrendszer szerkezetének meghatározása


31

Vállalat információrendszerének felmérése IBM BSP módszerrel 1. A vállalati célok meghatározása Célja Célja, hogy a felső vezetés egyetértésre jusson abban abban, hogy merre halad a vállalat, ezt kell az információrendszernek támogatnia. Partnerünk: az Igazgatótanács ülések, cédulák, tábla



32

16


2016.09.05.

Vállalat információrendszerének felmérése IBM BSP módszerrel 2. A vállalati folyamatok meghatározása Ez adja a vállalati információrendszer nyújtotta támogatás hosszútávú alapját. (A folyamatok állandóságára alapoz.) Partnerünk: Igazgatótanáccsal a főfolyamatokat és azok nagybani tartalmát, majd a folyamatok rangsorát, aztán u.ezt tisztázzuk alsóbb szinteken is.


33

Vállalat információrendszerének felmérése IBM BSP módszerrel 3. Az adatosztályok meghatározása Meghatározzuk az egy, vagy több folyamatot támogató átfogó adatokat. Partnerünk: Külön interjúk a megfelelő igazgatótanácsi tagokkal, majd lefelé az egyes ágazatokban. 4. Most már készülhetnek mátrixok ! folyamat - szervezet - adatok, stb. ugyanolyan, mint az IT BCP !



34

17


2016.09.05.

Vállalat információrendszerének felmérése IBM BSP módszerrel 5. Az IR szerkezetének meghatározása Ez lényegében az információrendszer hosszútávú céljainak megadása, dá kidolgozása, kd l á Ezt mi csináljuk, a Vevővel egyeztetünk, és ennek alapján felvázoljuk az IR nagyvonalú szerkezetét. Majd a fontossági sorrendek meghatározása, fontosabb alrendszerek részletezése, akcióterv, végtermék végtermé k: TANULMÁNY.


35

az ellenőrzés egy értelmezése:

 az üzleti célok elérésére,  a nemkívánatos események  megakadályozására, vagy  feltárására, f lá á á és é  a már bekövetkezett hiba kijavítására tervezett • • • • •

irányelvek, eljárások, szabályozás, gyakorlat, és szervezeti struktúrák ú á

komplex összességét.



36

18


2016.09.05.

Az informatikai ellenőrzés hivatalos célja: biztosítja az információrendszer számítástechnikai támogatásának biztonságát – valamelyik definíció szerint, és megfelelő minőségét mihez képest megfelelő??

• •

Mit ellenőrzünk?

 a termelést  a működést

biztosító és támogató információrendszert  Ez folyamatokat folyamatokat, adatokat is jelent jelent, nemcsak technikát! (cél: IT Governance) Bevezetés az informatikai ellenőrzésbe - Szenes

37

Az intézmény kormányzása kormányzása:: annak piaci versenyképességét szolgáló irányítása irányítása,, a környezethez lehető legjobban alkalmazkodó stratégia alapján,

  

amelynek meghatározása, és rendszeres karbantartása

 

az első számú vezető felelőssége felelőssége..



38

19


2016.09.05.

az intézmény (vállalat, közintézmény, akármi) sikeres informatikai k kormányzása ormányzása:: a sikeres vállalati kormányzás egyik szükséges feltétele az IT (részleg + tevékenységek +

... )

olyan irányítása, amely a vállalati kormányzást a felső vezetés szándékai szerint szolgálja

 


39

Az ellenőrzési szempontok csoportosítási lehetőségei:

   

működés működés támogatása • informatikai • pénzügyi (közvetlen termelés) (termelés támogatása, pl. projekt)



40

20


2016.09.05.

az ellenőrzés vizsgálatának szempontjairól:



miért ellenőrzünk, mi a cél, milyen előnye van az ellenőrzésből az ellenőrzöttnek, vagy bárki / bármi másnak mit ellenőrzünk,, mit kell vizsgálni, mit nézünk meg az ellenőrzés során hogyan ellenőrzünk, milyen vizsgálati módszereket lehet alkalmazni

 

az ellenőrzéshez, és felülvizsgálatához is felhasználható szabványok, pl. ISO segédletek, g , p pl. COBIT


41

az ellenőrzés felülvizsgálata, auditálása tanusítja:

 

az ellenőrzés megfelel a legjobb szakmai gyakorlatnak a menedzsment irányelvei dokumentáltan érvényesülnek • az információt nyújtók • az információt fogadók • az információáramlást számítástechnikával támogatók kapcsolatrendszerében.



42

21


2016.09.05.

a működés számítástechnikai támogatását meghatározzák: a rendszerek működését támogató személyi, tárgyi, szervezeti, ügyrendi feltételek. + az alapvető védelmi, biztonsági és funkcionalitási szempontok teljesítése – teljesítésének lehetősége + jelen - múlt - jövő érdekében: dokumentáció


43

informatikai biztonsági követelményeinket felsoroltuk már: rendelkezésre állás - ha ez nincs, nincs miről beszélni bizalmasság integritás (sértetetlenség) Zavartalan” rendelkezésre állás: Zavartalan milyen hibák, milyen okokból következnek be, mi e hibák üzleti kockázata, hogyan, és mennyi ráfordítással lehet ezeket kivédeni és egyáltalán:



44

22


2016.09.05.

megéri--e a ráfordítás, vagy megéri inkább érdemes kockáztatni, hogy bekövetkezzenek a hibák, esetleg, és felkészülni a következményeik elhárítására a kockázatot arányosként definiáltuk: veszély bekövetkezésének valószínűsége * fenyegetett vagyonelem értéke A legfelső vezetésnek felelőssége és joga dönteni, dönteni mi legyen? .


45

A legfelső vezetésnek felelőssége, és joga eldönteni: „vállalja--e a kockázatot” „vállalja szleng l – pontosan: a kockázat mértéke megéri--e a veszély megéri elhárításának költségét.

• •

Ha nem: jjön a kockázat elfogadó g nyilatkozat y



46

23


2016.09.05.

az ellenőrzési munka lehet kis falat / nagy falat jelenthet átfogó vizsgálatot is. pl. működés ellenőrzési „nagy falatok”: A vállalati stratégia elkészítésének folyamata dokumentáltan megfelel--e a tulajdonosok érdekeinek? megfelel A vállalati stratégiából (a fő stratégiai célokból) vezették--e le az informatikai stratégiát, és vezették dokumentáltan tették tették--e ezt? adatvédelmi törvények, előírások betartása, pl. adatok sorsának követése




47

működés támogatási nagy falatok

• •

egy stratégiai jelentőségű alkalmazói rendszer auditja mint projekt – a fejlesztésének menete mint eredmény – a rsz. biztonsági jellemzői egy stratégiai jelentőségű folyamat auditja, pl.  üzemeltetés  fejlesztés – a fejlesztésről lesz még szó!

•

pénzügy: mérlegkészítés átvilágítása j l té jelentésszolgálat l ál t megfelelése f l lé értékcsökkentés könyvelés



48

24


2016.09.05.

mik is tartoznak a működés támogatáshoz támogatáshoz? ? informatika pénzügy tevékenységek elszámolása eredmények kiszámítása valamilyen módon tevékenységek finanszírozása vagy már meglévők hatékonysága stb. emberi erőforrás jog ... és persze a vezetés

   

a működés pedig: amiből élünk Bevezetés az informatikai ellenőrzésbe - Szenes

49

kis falat példa működésre:

•

audit a közvetlen termelésben: MEO, törvények,munkavédelem (néhai ISO 9000 család)

•

közvetlen termelés támogatási audit - kis falat, és nagy is lehet: pl. projektirányítás



50

25


2016.09.05.

kis falat példa működés támogatásra - számítástechnika

•      

mentések ellenőrzése egy számítóközpontban: az üzemeltetési ügyrendhez illeszkedikilleszkedik-e – ha van! kinek a felelőssége milyen időközönként történik nyilvántartás tárolás, hozzáférés, stb.


51

auditálási kockázatok ún. jelentős (substantive) hiba, amely: a vizsgált célterület bármelykomponense vizsgálatának helyességét jelentősen veszélyezteti auditálási kockázat: (informatikai / pénzügyi jelentés jelentős hibát tartalmaz) a vizsgálatban hiba történt, de az auditor nem veszi észre ún. öröklött kockázat: a tévedés  a célterület természete miatt  a feltárandó összefüggések bonyolultsága miatt pl. egy bonyolult számítás



52

26


2016.09.05.

auditálási kockázatok ún. ellenőrzési kockázat:  a belső ellenőrzési rendszer nem alkalmas valamely jelentős hiba időben történő feltárására ún. detektálási kockázat:  nem megfelelő tesztelési eljárások miatt az auditor egy jelentős hibát nem vesz észre az auditálás teljes kockázata: kombináció  szakterületre, szakterületre  ellenőrzési célpontokra  hibalehetőségekre


az audit fázisai az ISACA CRM , COBIT COBIT, ISO,

53

... és főleg a jjózan ózan ész alapján

1 az audit scope meghat meghatározása, ározása, együttműködve - a megrendelővel / az auditált terület menedzsmentjével az adott tevékenységet szolgáló informatikai folyamatok és intézményi ellenőrzési mechanizmusok azonosítása



54

27


2016.09.05.



2 az intézmény megismerése, és a feladat pozícionálása az intézményben:

• • • • •

az intézmény helyzetének felmérése, a siker szempontjából kritikus tevékenységeknek, és annak a mértéknek a meghatározása, hogy e tevékenységek mennyire járulnak hozzá az intézmény stratégiai céljai eléréséhez ha résztevékenység az audit hatókör, annak viszonya a kritikus tevékenységekhez az adott esetben szerepet játszó üzleti célkitűzések kijelölése: COBI COBIT T



55


3 a célszervezet körülményei az audit előtt:

     

az auditálandó célterület áttekintése, pozícionálása az intézményen belül előző évi auditálások jelenlegi pénzügyi helyzet törvények, rendeletek esetleg: ismert külső forrású kockázatok összegyűjtése



56

28


2016.09.05.



4 az audit hatóköre pontosításához és a lefolytatás előkészítéséhez a következőket kell azonosítani / kiválasztani, és egyeztetni a megrendelővel:    



control objectives auditálási eljárások ütemezésük szükséges emberi / anyagi / egyéb erőforrások – az auditált részéről ...



57


5 felkészülés az auditra - helyzetfeltárás a terep és az összefüggések megismerésére: o BPR – Business Process Reengineering o ISACA ajánlások o rendszerszervezés + ... o COBIT folyamat folyamat folyamat

< - > üzleti követelmény < - > megvalósítási feltételek < - > ellenőrzési célok

A megvalósítási megvalósítási fel elté tételeknek teleknek és az ellenőrzési céloknak való megfelelés ellenőrzése érdekében ezekből, és az adott folyamattal kapcsolatos további kérdésekbő kérdésekbőll ellenőrzési listákat listákat , mátrixokat lehet készíteni készíteni Bevezetés az informatikai ellenőrzésbe - Szenes


58

29


2016.09.05.



6 az audit módszereinek meghatározása tulajdonképpen a receptek kiválasztása az adott helyzet szerint felhasználjuk: a legjobb szakmai gyakorlatnak megfelelő módszertanokat módszertanokat saját tapasztalatot + józan észt

 

szaktudomány - best practice  azaz:

27001 Appendix A? COBIT üzleti követelmények, mérések, stb.?



59


7 kockázat becslés fázis 7.1 a vizsgálandó terület kockázatai 7.2 a belső ellenőrzési helyzet – ha kell az ellenőrzési környezet, és az ellenőrzési eljárások detektálási kockázatok becslése ellenőrzési kockázatok becslése teljes kockázat becslése

    



60

30


2016.09.05.



8 az audit lefolytatása

       

jelenlegi ellenőrzés vizsgálata és tesztelése – ha kell irányelvek, szabályzatok vizsgálata, és betartásuk*,, azaz eljárások, stb. vizsgálata betartásuk* (munkaköri) kötelességelhatárolások ehhez tartozó jogosultság, stb. vizsgálatok konkrét bizonyítékok gyűjtése, naplózás vizsgálata, stb. esetleg analítikus eljárásokkal egyenlegek, és / vagy más, lényegi összefüggések lényegi tesztelése stb.

* "nosza, írjunk egy szabályzatot!" Bevezetés az informatikai ellenőrzésbe - Szenes


61


9 befejezési munkálatok

 

dokumentációk, pl. következtetések, ajánlások, javaslatok auditori jelentés  ISACA Code of Ethics  best practice

! follow follow--up review azaz: GOTO STEP 1



62

31


2016.09.05.

amerikai minősítő szervezetek Information Systems Audit and Control Association ISACA - www.isaca.org alapítás: 1969. EDP Auditors Association Certified Information Systems Auditor – CISA Certified Information Security Manager - CISM Certified in Governance Enterprise IT - CGEIT Information Systems Audit and Control Foundation – ISACF az IS audit és ellenőrzés K+F támogatására Information Systems Security Certification Consortium (ISC)2 - www.isc2.org CISSP - Certified Information Security Professional Bevezetés az informatikai ellenőrzésbe - Szenes

63

hasznos források

könyvek ISACA anyagok, pl. CISA Review Technical Information Manual ed.: Information Systems Audit and Control Association Rolling Meadows, Illinois, USA és a Bookstore ISACA folyóirat: IS Control Journal



64

32


2016.09.05.

rengeteg segítség: COBIT® Control OBjectives for Information Technology készül: COBIT 5 COBIT - 1998 COBIT 2000 – COBIT 3rd edition COBIT 4.0 - 2005 Control Objectives, Management Guidelines, Maturity Models 2005, IT Governance Institute COBIT 4.1 - 2007 Copyright© ISACF, Information Systems Audit and Control Foundation) COBIT magyarul: ISACA Hungary Chapter www.isaca.hu most isacahu.com Bevezetés az informatikai ellenőrzésbe - Szenes

65

nemzetközi és hazai szabványok ISO/IEC = International Organization for Standardization / International Electrotechnical Commission ISO/IEC 17799 International Standard ISO/IEC 17799 First edition 20002000-12 12--01 Information technology — Code of practice for information security management Reference number: ISO/IEC 17799:2000(E) elődei: BS 7799 CRAMM – CCTA Risk Analysis and Management Methodolology



66

33


2016.09.05.

nemzetközi és hazai szabványok

A kifutott, de még jelen lévő ISO/IEC 17799 tartalma: hogyan kell az informatikai biztonság alapkövetelményeit, é a rendelkezésre állást, a bizalmasságot, és az integritást teljesíteni. Az informatikai szakterületet részterületekre bontja, és az egyes részekhez leírja, milyen veszélyek fenyegetik, és ellenőrzési célokat javasol a követelmények teljesítéséhez. teljesítéséhez


67

nemzetközi és hazai szabványok ISO/IEC 27001 International Standard ISO/IEC 27001 First edition 2005 2005--10 10--15 Information technology - Security techniques - Information security management systems - Requirements Reference number: ISO/IEC 27001:2005 (E) © ISO/IEC 2005 ez a 2700027000-es család első eleme, az 17799 ismételve, az 17799 másik darabja: 27002 International Standard ISO/IEC 27002 First edition 20052005-06 06--15 Information technology — Security techniques — Code of practice for information security management Reference number: ISO/IEC 27002:2005(E) Copyright © ISO/IEC 2005 azóta van 27005, stb.



68

34


2016.09.05.

nemzetközi és hazai szabványok ISO/IEC 15408 Information technology — Security techniques — Evaluation criteria for IT security (Common Criteria) Criteria) (ITCSEC, (ITCSEC majd jd ITSEC, ITSEC majd jd CC) Magyar Szabvány MSZ ISO/IEC 12207:2000 Magyar Szabványügyi Testület Informatika. SzoftveréletciklusSzoftveréletciklus-folyamatok Information technology. Software life cycle processes megfelel: az ISO/IEC 12207:1995 verziónak International Standard First edition 2008 2008--06 06--01 Corporate governance of information technology Gouvernance des technologies de l'information par l'entreprise Reference number: ISO/IEC 38500:2008(E) Copyright © ISO/IEC 2008


69

Támogató szabványok, módszertanok, irodalom Szenes Katalin - fejezetek Az Informatikai biztonság kézikönyvéből Verlag Dashöfer, Budapest  Informatikai biztonsági megfontolások a Sarbanes - Oxley törvény ürügyén (A 2002 2002--es Sarbanes - Oxley törvény hatásai az informatikai biztonsági rendszerekre és az informatikai ellenőrök feladataira. feladataira A jelentésszolgálat és a többi kulcsfontosságú alkalmazás felügyeletének kérdései) 22. aktualizálás, 2006. október  A szolgáltatás - orientált architektúrák biztonsági kérdései 23. aktualizálás, 2006. december  A COBIT 4.0 és 4.1 újdonságai 27. aktualizálás, 2007. november  A számítógéphálózatok biztonságának felülvizsgálata 28. aktualizálás, 2008. február stb.



70

35


2016.09.05.

Magyar szakmai szervezetek



az European Organization for Quality - EOQ Magyar Nemzeti Bizottság Informatikai Szakbizottsága www.eoq.hu



a Hírközlési és Informatikai Tudományos Egyesület Számítástechnikai Szakosztálya www.hte.hu



az (ISC)2 Hungary Chapter www.isc2.org



az ISACA Magyar Fejezete www.isacahu.com



71

36

Bevezetés az informatikai ellenőrzésbe Dr. Szenes KatalinSzenes 1

Recommend Documents