Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem, Neumann János Informatikai Kar

COBIT 4, 4.1 I. - basics - alapok

COBIT 4, COBIT 4.1 Part I - Basics I. rész: Alapok

Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem, Neumann János Informatikai Kar [email protected]

designations www.isaca.org az USA-ban alapított ISACA - Information Systems Audit and Control Association www.isc2.org ISC2: a szintén amerikai - International Information Systems Security Certification Consortium o o o

CISA – Certified Information Systems Auditor, CISM - Certified Information Security Manager, CGEIT - Certified in Governance Enterprise IT ,

o

CISSP - Certified Information Security Professional

civilben: rendszermérnök, rendszerszervező, IT biztonsági, külső ellenőr

Szenes

Szenes

2

1


TOC - tartalom - 1 - Part I note: the English formulation doesn't always follows the original either - intentionally o

mire jó - example benefits only példák - examples 2 folyamat a kiszállítás és támogatás 13 COBIT folyamatából two taken from the 13 processes of IT Service Delivery and Support: DS1 - a szolgáltatási szintek meghatározása és kezelése DS1 - Define and Manage Service Levels a [javasolt] részletes ellenőrzési célok - control objectives DS2 - külső szolgáltatások kezelése DS2 - Manage Third-party Services a [javasolt] részletes ellenőrzési célok - control objectives

Szenes

3

TOC - tartalom - 2 - Part I

o

control objective - ellenőrzési cél - return to it later again ISACA, ISO

o

control measure - ellenőrzési intézkedés- return to it later again ISACA, ISO

Szenes

Szenes

4

2



COBIT - Basics - Alapok o

COBIT mission - cél

o

COBITverX support to the IT processes az IT folyamatok COBITverX támogatása

o

basic audit notions - ellenőrzési alapfogalmak control objective - ellenőrzési cél - COBIT / COSO

(COBIT 4.0 VERSUS 4.1)

control measure / procedure - ellenőrzési intézkedés / eljárás - COBIT / COSO example - példa

./.

cont'd

Szenes

5


Basics - Alapok

cont'd

o

the components of the COBIT technics - a COBIT technika részei COBIT cube – kocka COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó folyamatmodelljéhez information criteria - információ (minőségi) kritériumok resources - erőforrások roles - szereplők

o

COBIT 4.1 basics: goal - process - activity - measurement COBIT 4.1 alapok: cél - folyamat - tevékenység - mérés basic notions: business / IT goal, process, activity, measure alapfogalmak – üzleti / IT cél, folyamat, tevékenység, mérték

./. Szenes

Szenes

cont'd

6

3


TOC - tartalom - 5 - Part I Basics - Alapok o

cont'd

COBIT 4.1 basics: goal - process - activity - measurement COBIT 4.1 alapok: cél - folyamat - tevékenység - mérés (cont'd)

COBIT 4.1 relationship of the basic notions – example: information security az alapfogalmak összefüggése a COBIT 4.1-ben – példa: informatikai biztonság

o

the 4 responsibility domains of the COBIT IT processes a COBIT informatikai folyamatok 4 felelősségi tartománya PO, AI, DS, ME relationships: the COBIT cylinder - összefüggések: a COBIT henger the relationship of the 4 domains - a 4 tartomány összefüggései

irodalomkjegyzék - references Szenes

7

on the control objective (ellenőrzési cél) - COBIT / ISO The COBIT control objective, quoted from the Glossary of COBIT 4.1 is: "A statement of the desired result or purpose to be achieved by implementing control procedures in a particular process". Actually COBIT handles control objective as a working concept, for expressing such management objectives, that belong to the best practice, and have to be achieved by IT activities, at the same time, as it is stated in the Appendix VIII of COBIT 4.1: " Control objectives—Provide generic best practice management objectives for IT processes". ISO 27000 control objective "is a statement describing what is to be achieved as a result of implementing controls", where "controls" mean the so-called control measures. Szenes -

nagyjából: stratégiát szolgáló cél, NEM az ellenőr célja! hanem az intézményé we return to it later again

Szenes

Szenes

8

4


on the control measure - COBIT / ISO COBIT "The policies, plans and procedures, and organisational structures designed to provide reasonable assurance that business objectives will be achieved and undesired events will be prevented or detected and corrected" [COBIT 4.1].

ISO "control" definition: "means of managing risk, including policies, procedures, guidelines, practices or organizational structures, which can be administrative, technical, management, or legal in nature. NOTE Control is also used as a synonym for safeguard or countermeasure." [quoted from ISO 27000]

Szenes -

nagyjából: egy ellenőrzési célt szolgáló intézkedés, NEM az ellenőr intézkedik! hanem a személyzet we return to it later again

Szenes

DS1 -

9

a szolgáltatási szintek meghatározása és kezelése Define and Manage Service Levels

o o o o

DS1.1 A szolgáltatási szintek kezelése kereteinek kialakítása DS1.2 Az egyes szolgáltatások definiálása DS1.3 A szolgáltatási szintekre vonatkozó megállapodások DS1.4 A működési szintekre vonatkozó megállapodások a szolgáltatási szintekre vonatkozó teljesítmény kritériumok megadása a kockázatviselők számára érthető jelentések monitorozó statisztikák és ezek vizsgálata teendők o DS1.5 A szolgáltatási megállapodások teljesítésének felügyeletéről, és a helyzetjelentésekről szóló rendelkezések o DS1.6 A szolgáltatási szerződések, és klauzuláik felülvizsgálata

Szenes

Szenes

10

5


DS2 -

külső szolgáltatások kezelése Manage Third-party Services

o o o o

DS1.1 A szolgáltatási szintek kezelése kereteinek kialakítása DS1.2 Az egyes szolgáltatások definiálása DS1.3 A szolgáltatási szintekre vonatkozó megállapodások DS1.4 A működési szintekre vonatkozó megállapodások a szolgáltatási szintekre vonatkozó teljesítmény kritériumok megadása a kockázatviselők számára érthető jelentések monitorozó statisztikák és ezek vizsgálata teendők o DS1.5 A szolgáltatási megállapodások teljesítésének felügyeletéről, és a helyzetjelentésekről szóló rendelkezések o DS1.6 A szolgáltatási szerződések, és klauzuláik felülvizsgálata

Szenes

11

mission in 1998 ISACA COBIT presentation: C OB I T

Control OBjectives for Information and Related Technology

COBIT mission' 98: “To research, develop, publicise and promote an authoritative, up-todate, international set of generally accepted Information Technology Control Objectives for day-to-day use by business managers and auditors.”

Szenes

Szenes

12

6


COBIT cél - 1998 ISACA COBIT prezentációból: C OB I T

Control OBjectives for Information and Related Technology

a cél 1998-ban: Jogosult forrásból származó, korszerű, helyi szokásoktól független, általánosan elfogadott IT ellenőrzési célok kutatása,fejlesztése, közlése a vezetők és az auditorok mindennapi használatára.

Szenes

13

COBIT mission 2005 COBIT4 mission: IT-based support of the enterprise management. The new interpretation of "IT governance" might be: IT-based management The scope of the COBIT keeps growing. 1998: management & control of informatics 2005-2007: o management & control of the enterprise processes o focus: fulfillment of the business goals meaning of "control" - manifold ! Szenes

Szenes

14

7


COBIT cél 2005

A COBIT4 az intézmény irányítását informatikai alapon támogatja. Az "informatikai alapú irányítás" a megújult "IT governance" fogalom egy célszerű interpretációja. A COBIT hatóköre egyre bővül. kiinduló állapot - 1998: az informatika irányítása és ellenőrzése 2005-2007: o a vállalatok és intézmények átfogó irányítása, o középpontban tartva, természetesen, az üzleti célok teljesítését. vigyázzunk a "kontroll" jelentésével! Szenes

15

COBITverX support to the IT processes az IT folyamatok COBITverX támogatása COBIT support levels: o the evaluation of the operation of the IS processes from the viewpoint of the maturity level aligned to the given organization, the definition of appropriate control objectives to the IS processes, the evaluation of the level of the fulfillment of these goals at a given point of review time o assignment of control objectives to the IS processes o identification of control measures / procedures to satisfy the control objectives control objective, control measure? Szenes

Szenes

16

8


COBITverX support to the IT processes az IT folyamatok COBITverX támogatása A COBIT támogatási szintjei: o az informatikai folyamatok működésének az adott szervezetre vonatkozó fejlettségi szintjének elbírálása, az informatikai folyamatokhoz alkalmas célok definiálása, és e célok egy adott vizsgálati időpontban való megközelítése mértékének elbírálása o o

az informatikai folyamatokhoz ellenőrzési célok hozzárendelése az ellenőrzési célok elérése alkalmas ellenőrzési intézkedések / eljárások meghatározása.

mik ezek? Szenes

17

basic audit notions - control objective - COBIT official control objectives: generic best practice management objectives for all IT activities IT control objective: statement of the desired result or purpose to be achieved by implementing control procedures in a particular IT activity. COBIT’s control objectives are the minimum requirements for effective control of each IT process. private interpretation - informally formulated my control objective: my best practice: objective of top management sjould derived from corporate strategy IT control objective: IT operation objective derived from higher level operational goals, in the form of a statement expressing a desired result. It can be achieved by implementing control measures / procedures concerning IT activities.

Szenes

Szenes

18

9


ellenőrzési alapfogalmak - ellenőrzési cél - COBIT hivatalos ellenőrzési cél: legjobb szakmai gyakorlatot követő általános cél, amit az IT-nek tűz ki a legfelső vezetés IT ellenőrzési cél: az a kívánt eredmény v. szándék, amit az adott IT tevékenységre vonatkozó ellenőrzési eljárással lehet elérni. Az informatikai folyamatok hatékony irányításához a COBIT ellenőrzési céljait kell teljesíteni. saját értelmezés általános ellenőrzési cél: a legfelső vezetés az intézményi stratégiából levezetett, a legjobb szakmai gyakorlatnak megfelelő ellenőrzési célja IT ellenőrzési cél: általános ellenőrzési célból levezetett, az informatikai működésre vonatkozó ellenőrzési cél. A kívánt eredményt kifejező állítás. Az informatikai tevékenységekre vonatkozó ellenőrzési intézkedésekkel / eljárásokkal érhető el. Szenes

19

basic audit notions - control measure / procedure private control measure / procedure:

series of measure: procd.

the organisational structures with their operational procedures and practices the guidelines and procedural rulebooks - ¬ policy! the technical developments and measures designed to provide reasonable assurance that the business objectives will be achieved, and that undesired events will be prevented / detected / corrected preventive - detective - corrective ∃ mitigation, too Szenes

Szenes

20

10


ellenőrzési alapfogalmak - ellenőrzési intézkedés / eljárás magán ellenőrzési intézkedés / eljárás:

intézkedés sorozat: eljárás

a szervezeti struktúrák, működési gyakorlatukkal és eljárásaikkal az irányelvek és szabályzatok nem politika! a technikai fejlesztések és intézkedések amelyeket ésszerű mértékű biztosítéknak alakítottak ki az üzleti célok elérése, a nem kívánt események megakadályozása / észrevétele / kijavítása céljából megakadályozó - vizsgálati - javító

∃ hatás csökkentés

Szenes

21

basic audit notions - control objective - COSO - ellenőrzési cél COSO control objectives: (fiduciary) effectiveness and efficiency of operations reliability of financial reporting compliance to the applicable laws and regulations ellenőrzési célok a COSO szerint: (hogy meglegyen a bizalom) az [üzleti] céloknak megfelelő és eredményes működés a pénzügyi jelentések megbízhatósága az adott esetre alkalmazható törványeknek és szabályozásnak való megfelelés

Szenes

Szenes

22

11


basic audit notions - internal control [measure] - COSO ellenőrzési intézkedés COSO internal control [measure]: a process effected by an entity's board of directors management and other personnel designed to provide reasonable assurance regarding the achievement of the (COSO) control objectives

COSO belső ellenőrzés[i intézkedés]: az igazgatótanács a vezetőség a többi dolgozó folyamata, amelyet arra terveztek, hogy ésszerű mértékben meg lehessen bizonyosodni aSzenes COSO ellenőrzési célok eléréséről

23

example for control objective and control measure példa ellenőrzési célra és ellenőrzési intézkedésre a COBIT 34 informatikai folyamatából egy: Alkalmazói rendszerek beszerzése és karbantartása o a fejlesztés minden fázisában jóváhagyandó: o a rendszer funkcionalitása megfelel a tervezési spec.nak, a fejlesztési és a doku. szabványoknak, és a minőségi követelményeknek o a változtatási igények jóváhagyása o outsource esetén: jogi, szerződési követelmények kezelése

Szenes

Szenes

24

12


example for control objective and control measure példa ellenőrzési célra és ellenőrzési intézkedésre Alkalmazói rendszerek beszerzése és karbantartása o az üzleti követelményekből tervezési spec. készítése o részletes terv, és a technikai követelmények előkészítése o az alkalmazásba illesztendő ellenőrzési intézkedések specifikálása – pl. a becsomagolás előkészítése rendszer-architektúrában: szervezet / feladatkör funkcionalitás követése o az alkalmazásfejlesztésre módszertan kialakítása o az alkalmazás karbantartási tervének elkészítése o

Szenes

25

example for control objective and control measure példa ellenőrzési célra és ellenőrzési intézkedésre preventive - detective - corrective control measures: order, discipline, maintenance, testing, scanning, logs, preventive reviews, encryption, digital signature - PKI megakadályozó – vizsgálati – kárenyhítő intézkedések: rendezettség, fegyelem, karbantartás, tesztelés, szkennelés, naplózás, megelőző vizsgálatok, titkosítás, digitális aláírás - PKI

Szenes

Szenes

26

13


COBIT Cube source: ISACA materials - COBIT kocka (forrás: ISACA anyagok) 4.1: ∃ changes - változások

iar uc Fid

y

y rit cu Se

rc es

Activities

Re so u

Processes

People Application Systems Technology Facilities Data

Domains

IT

IT Processes

ty ali Qu

Information Criteria

Szenes

27

COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez COBIT generic process model = 4 domain of IT activities: plan and organise - PO acquire and implement - AI deliver and support - DS monitor and evaluate - ME a COBIT átfogó folyamatmodellje az informatikai tevékenységeket 4 tartományra osztja: tervezés és szervezet - PO beszerzés és megvalósítás - AI kiszállítás és támogatás - DS felügyelet és értékelés - ME Szenes

Szenes

28

14


COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez "PC1 Process Goals and Objectives o Define and communicate specific, measurable, actionable, realistic, results-oriented and timely (SMARRT) process goals and o objectives for the effective execution of each IT process. o Ensure that they are linked to the business goals and supported by suitable metrics. " COBIT 4.1 from now on in PCI in explanations PC1 Az elérendő folyamat célkitűzések és célok

Szenes

29

COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC1 Az elérendő folyamat célkitűzések és célok olyan célokat kell meghatározni és közzétenni, amelyek a folyamatra jellemzőek megközelítésük mérhető végrehajthatóak valósak eredmény - orientáltak szükség esetén időponthoz köthetőek o mindegyik informatikai folyamathoz definiálni kell olyan célokat, amelyek a folyamat végrehajtását a célhoz igazítják o az IT folyamatok céljait az üzleti célokhoz kell kötni, és o biztosítani kell, hogy megközelítettségük mérhető legyen Szenes

Szenes

30

15


COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC2 Process Ownership o Assign an owner for each IT process, and o clearly define the roles and responsibilities of the process owner. Include, for example, o responsibility for process design, o interaction with other processes, o accountability for the end results, o measurement of process performance and o the identification of improvement opportunities. PC2 A folyamat tulajdonlása Szenes

31

COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC2 A folyamat tulajdonlása A folyamat tulajdonos o kijelölése o szerepköreinek és o felelősségének definiálása Példa felelősség tárgyaira: o a folyamat megtervezéséért o o

más folyamatokkal való kölcsönhatásáért - együttműködéséért [ ! ] a végeredményekért való elszámoltathatóságért

o o o

[mindezek ! ] mérhetőségéért a folyamat teljesítményének mérhetőségéért e fejlesztési lehetőségek felimeréséért.

Szenes

Szenes

32

16


COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC3 Process Repeatability o o o

Design and establish each key IT process such that it is repeatable and consistently produces the expected results.

Provide for a o logical but flexible and scaleable sequence of activities that will lead to the desired results and o is agile enough to deal with exceptions and emergencies. Use consistent processes, where possible, and tailor only when unavoidable. PC3 A folyamat ismételhetősége

Szenes

33

COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC3 A folyamat ismételhetősége A folyamatot úgy kell megtervezni, majd kialakítani, hogy o ismételhető legyen, o konzisztensen, o az elvárt eredményt adja. Olyan tevékenységsorozatot kell megadni, amely o logikus, de o rugalmas, o skálázható, o a kívánt eredményt adja, o képes a kivételek, és o a sürgős esetek kezelésére. Legyenek a folyamatok lehetőleg konzisztensek, és csak akkor szabjuk át, ha muszáj. Szenes

Szenes

34

17


COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC4 Roles and Responsibilities o Define the key activities and end deliverables of the process. o Assign and o communicate unambiguous roles and responsibilities - for effective and efficient execution of the key activities and their documentation as well as accountability for the process end deliverables. PC4 Szerepkörök és felelősségek Szenes

35

COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC4 Szerepkörök és felelősségek Meg kell határozni a folyamat o kulcstevékenységeit és o végtermékeit. Egyértelmű szerepköröket kell o kiosztani és o kommunikálni, a következők érdekében: a folyamat kulcstevékenységeinek hatékony és célravezető dokumentálása és végrehajtása a folyamat végtermékeiért való elszámoltathatóság. Szenes

Szenes

36

18


COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC5 Policy, Plans and Procedures - Szabályzatok, irányelvek, tervek, eljárások IT folyamatokhoz Define and communicate how all policies, plans and procedures that drive an IT process are o documented, o reviewed, o maintained, o approved, o stored, o communicated and o used for training. Assign responsibilities for each of these activities and, at appropriate times, o review whether they are executed correctly. Ensure that the policies, plans and procedures are o accessible, o correct, o understood and o up to date. Szenes

37

COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC5 Szabályzatok, irányelvek, tervek, eljárások IT folyamatokhoz Meg kell határozni, és közzé kell tenni, az informatikai folyamatokat meghatározó szabályzatok, irányelvek, elvek, eljárások

hogyan vannak

mindezekért dokumentálva felülvizsgálva karbantartva jóváhagyva tárolva közzétéve oktatásra felhasználva

ki kell jelölni a felelősöket, és megfelelő időközönként felülvizsgálat, hogy mindezt megfelelően hajtják végre.

Biztosítani kell, hogy a szabályzatok, irányelvek, tervek, eljárások hozzáférhetőek, helyesek, megértették, naprakészek. Szenes

Szenes

38

19


COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC6 Process Performance Improvement - A folyamatok teljesítményének javítása Identify a set of metrics that provides insight into o the outcomes and o performance of the process. Establish targets that reflect on the o process goals and o performance indicators that enable the achievement of process goals. Define how the data are to be obtained. Compare actual measurements to targets and take action upon deviations, where necessary. Align metrics, targets and methods with IT’s overall performance monitoring approach. Szenes

39

COBIT control requirements to its generic process model COBIT ellenőrzési követelmények az átfogó foly.modelljéhez PC6 A folyamatok teljesítményének javítása Azonosítani kell egy olyan metrikakészletet, amelyből megítélhető a folyamatok o kimenetele, és o teljesítménye. Ki kell jelölni olyan célterületeket, amelyekből látható o a folyamatok célja, és o azok a teljesítménymutatók, amelyek segítenek a folyamatcélok elérésének [ ! ] megítélésében. Meg kell határozni, hogyan kell az adatokat megkapni. Össze kell hasonlítani a tényleges mérési eredményeket a cél eredményekhez, és tenni kell, eltérés esetén, ahol szükséges. Össze kell illeszteni a metrikákat, cél értékeket és módszereket az Informatikai részlegnél használatos teljesítménymonitorozással. Szenes

Szenes

40

20


COBIT components - information [quality] criteria quality + fiduciary + security quality: quality - cost - delivery fiduciary: effectiveness and efficiency of operations reliability of financial reporting compliance with laws and regulations security: availability - confidentiality - integrity

Szenes

41

a COBIT alkotóelemei - információ [minőségi] kritériumok

minőség + bizalmi fedezet + biztonság minőségi szempontok: minőség - költség - kiszállított eredmény bizalmi fedezet: a műveletek célravezetőek és eredményesek a pénzügyi jelentések megbízhatóak a törvényeknek és szabályozásnak való megfelelés biztonság: rendelkezésre állás - bizalmasság - sértetlenség

Szenes

Szenes

42

21


COBIT components - information [quality] criteria o o o o o o o

cont'd

effectiveness efficiency confidentiality integrity availability compliance reliability of Information

Szenes

a COBIT alkotóelemei - információ [minőségi] kritériumok o o o o o o o

folyt.

a célnak való megfelelés - célravezető információ - effectiveness eredményesség - efficiency bizalmasság - confidentiality integritás, sértetlenség - integrity rendelkezésre állás - availability külső követelményeknek való megfelelés - compliance megbízhatóság - reliability

Szenes

Szenes

43

44

22


COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok effectiveness: the information is o relevant and pertinent to the business process o delivered in a timely, correct, consistent and usable manner megfelelés a célnak, célravezető

Szenes

45

COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok efficiency: the provision of information through the optimal (most productive and economical) use of resources eredményesség: A már meglévő rendszerek javítási értelemben való továbbfejlesztését értékeli. Megköveteli, hogy az információ biztosításához az erőforrásokat optimálisan használják ki, azaz a lehető legtermelékenyebben és leggazdaságosabban. Ez biztosítja tehát az adott esetnek megfelelő költség / haszon megfontolások teljesítését. Annak a döntésnek a meghozatala, hogy a javítás költsége megéri-e azt az eredményt, amit a javító intézkedés / eljárás hoz(hat), a legfelső vezetés felelőssége! Szenes

Szenes

46

23


COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok confidentiality: the protection of sensitive information from unauthorised disclosure access according to the roles - job descriptions bizalmasság: vizsgálja, megfelelően védett-e a valamilyen okból érzékenynek tekintett információ az akár szándékos, akár véletlen jogosulatlan hozzáféréssel szemben a külső- és a belső támadások elleni védelem követelménye mindenki pontosan ahhoz férjen hozzá, amihez szerepköre - munkaköri leírása szerint szükséges Szenes

47

COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok integrity: o accuracy and completeness of information o its validity in accordance with business values and expectations integritás: Ez az információ kritérium az intézmények informatikai rendszerei, sőt, a bármilyen úton, akár kézi feldolgozással közvetített információ o - pontosságát o - teljességét o - az üzleti értékeknek és elvárásoknak megfelelő érvényességét követeli meg. Ez a sértetlenség azt is jelenti, hogy az adatok ne változzanak a feldolgozás során. Szenes

Szenes

48

24


COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok availability: o the information is available when required by the business process now and in the future o the safeguarding of necessary resources and o associated capabilities. rendelkezésre állás: o amikor csak szüksége van az üzleti folyamatnak az információra, az rendelkezésre áll - és fog is állni o a szükséges erőforrások biztosítása, o a hozzájuk szükséges képességekkel

Szenes

49

COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok compliance: complying with those o laws, o regulations and o contractual arrangements to which the business process is subject, i.e., o externally imposed business criteria, as well as o internal policies - [ ! ] guidelines & procedural rulebooks

Szenes

Szenes

50

25


COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok + saját értelmezés: megfelelés (külső követelményeknek) Ez az adott üzleti folyamatra vonatkozó külső elvárások teljesítését jelenti. Ilyen elvárások például: o - azon törvények, szabályok, amelyek az adott országban a vizsgált folyamatra vonatkoznak - Magyarországon, például, a személyi adatok kezelése meg kell, hogy feleljen az Adatvédelmi törvény éppen érvényes változatának o az intézmény vonatkozó irányelvei és szabályzatai o azok a szerződéses megállapodások, amelyeknek teljesítését a folyamatért felelős vezető elvállalta o az adott üzleti folyamatra érvényes üzleti követelmények Szenes

51

COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok reliability o appropriate information for management to operate the entity o to exercise its fiduciary and o governance responsibilities megbízhatóság o menedzsmentnek megfelelően megalapozott információra van szüksége ahhoz, hogy biztosítsa o - az intézmény működését, o és fel tudja vállalni o - a pénzügyi o - és a (most tárgyalt) megfeleléssel kapcsolatos jelentési felelősséget Szenes

Szenes

52

26


COBIT components - resources a COBIT alkotóelemei - erőforrások Besides satisfying the quality, fiduciary and security requirements for information & all assets management should also optimise the use of available IT resources: o applications o information o infrastructure o people. A vezetés felelőssége, hogy az erőforrások optimális kihasználása mellett biztosítsa az információ és minden vagyontárgy minőségét + bizalmi fedezetét + biztonságát. Az erőforrások: o alkalmazások o információ o infrastruktúra o emberek. mik ezek? .

/.

Szenes

53

COBIT components - resources a COBIT alkotóelemei - erőforrások o Applications are the automated user systems and manual procedures that process the information. o Information is the data in all their forms input, processed and output by the information systems, in whatever form is used by the business. o Infrastructure is the technology and facilities (hardware, operating systems, database management systems, networking, multimedia, etc., and the environment that houses and supports them) that enable the processing of the applications. o People are the personnel required to plan, organise, acquire, implement, deliver, support, monitor and evaluate the information systems and services. They may be internal, outsourced or contracted as required.

Szenes

Szenes

54

27


COBIT components - resources a COBIT alkotóelemei - erőforrások o Alkalmazások: az információfeldolgozó felhasználói rendszerek, és a kézi eljárások. o Információ: az adat, minden formájával együtt, amit az üzleti szakterület használ - mindenfajta input, feldolgozási és output formájával együtt. o Infrastruktúra: az alkalmazások működését lehetővé tévő technológia, és a létesítmények - HW, operációs rendszer, adatbáziskezelő rendszer, hálózat, multimédia, stb., és az ezt körülvevő - támogató környezet o Emberek: az információs rendszerek tervezéséhez, szervezéséhez, beszerzéséhez, bevezetéséhez, támogatásához, felügyeletéhez és értékeléséhez szükséges belső - kihelyezett - szerződéses személyzet.

Szenes

55

COBIT components - roles a COBIT alkotóelemei - szereplők Roles who might profit from COBIT = those who: have interest v give service v are responsible Those who are interested in generating value from IT investments: o Those who make procurement / investment decisions o Those who decide about requirements o Those who use IT services Those (internals and externals) who provide IT services: o Those who manage the IT organisation and processes o Those who develop the soultions capabilities and the solutions o Those who operate the services Those (internals and externals) who have a control/risk responsibility: o Those with security, privacy and/or risk responsibilities o Those performing compliance functions o Those requiring or providing assurance services ./. Szenes

Szenes

cont'd

56

28


COBIT components - roles a COBIT alkotóelemei - szereplők Azok profitálhatnak a COBIT szolgáltatásaiból, akik: érdekeltek v szolgáltatnak v felelősök Azok, akik érdekeltek abban, hogy értéket hozzon az IT szolgáltatás: o azok, akik a beruházási / beszerzési döntéseket hozzák o azok, akik jóváhagyják a követelményeket o az It szolgáltatások felhasználói A (külső és belső) IT szolgáltatók:: o azok, akik a szervezetet és a folyamatokat irányítják o azok, akik kifejlesztik a megoldási képességeket és a megoldásokat o azok, akik üzemeltetik a szolgáltatásokat Azok (a belsők és külsők), akik az ellenőrzésért / kockázatkezelésért felelősek: o a biztonsági, adatvédelmi, kockázatkezelési területek felelősei o a compliance szakterület felelősei o azok, akik a szolgáltatások biztosítását igénylik, vagy végzik ./. cont'd Szenes

57

COBIT components - roles a COBIT alkotóelemei - szereplők explaining, whose duty is what, who is responsible for what: o the actor, who performs the activity o the actor, who uses the activity o the actor, who (is able to) measure - check the activity activity - quality criteria of the activities - possibility to measure them

ha el kell magyarázni, kinek, mi a teendője / kötelessége: o tevékenységet végző szereplő o tevékenységet felhasználó / fogadó szereplő o tevékenységet mérni / ellenőrizni (képes) szereplő tevékenyság - tevékenység minőségi kritériuma - ezek mérésének lehetősége

Szenes

Szenes

58

29


COBIT 4.1 basics: goal - process - activity - measurement COBIT 4.1 alapok: cél - folyamat - tevékenység - mérés basic notions: business goals determine IT goals (serve achievement of) business goals processes (serve achievement of) IT goals activities (serve achievement of) process goals measures: help estimating to what extent are the

(NOT ctrl. measure business goals achieved IT process activity principle, guideline Ä implementation, reality how?

!)

COBIT helps: planning the goals, and to the goals provides concrete outcome & performance measures Szenes

59

COBIT 4.1 basics: goal - process - activity - measurement COBIT 4.1 alapok: cél - folyamat - tevékenység - mérés alapfogalmak: üzleti célok meghatározzák, milyen IT célokat kell elérni, mely folyamatok érik el az IT célokat, és ezeket milyen tevékenységekkel lehet elérni mérték: segít felbecsülni mennyire értük el az

üzleti célokat IT folyamat tevékenység elv, irányelv Ä implementáció, valóság hogyan? COBIT segít: a célok tervezésében, és a célokhoz konkrét mérőszámokat ad: kimeneteli & teljesítmény mértéket Szenes

Szenes

60

30


COBIT 4.1 relationship of the basic notions - example: inf. security COBIT 4.1 kapcsolatok az alapfogalmak közt - pl.: inf. biztonság (private formulation: ) ☺ business goals maintain enterprise reputation & leadership IT goals ensure that the IT services are able to resist attacks and to be rebuilt in case of need processes detect and handle / solve problems (e.g. illegal access attempts) activities understand requirements, threats and vulnerabilities

Szenes

61

COBIT 4.1 relationship of the basic notions - example: inf. security COBIT 4.1 kapcsolatok az alapfogalmak közt - pl.: inf. biztonság (saját értelmezés: ) ☺ üzleti cél piaci tekintély és vezetés fenntartása IT célok biztosítják, hogy az IT szolgáltatások ellenállnak a támadásoknak, utána újraépíthetőek folyamatok észreveszik, és kezelik a problémákat (pl. illegális hozzáférési kísérleteket) tevékenységek segítik a követelmények, sérülékenységek és fenyegetések megértését

Szenes

Szenes

62

31


The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya The process focus of COBIT is illustrated by a process model, which subdivides IT into 34 processes [series of activities] in line with the responsibility areas of plan, build, run and monitor, providing an end-to-end view of IT. plan and organise - PO acquire and implement - AI deliver and support - DS monitor and evaluate - ME

./. Enterprise architecture concepts help identify those resources essential for process success, i.e., applications, information, infrastructure and people. (COBIT3: data, applications systems, technology, ITF, people) to the process – resource – criteria triple Ä control objectives are assigned, and to these: Ä control measures / procedures that realize these goals Szenes

63

The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya A COBIT folyamat modellje az informatikát 34 IT folyamatra [tev.sorozat] osztja a 34 informatikai folyamat a felelősségi körök szerint: tervezés – felépítés – futtatás – felügyelet – ez lefedi az egész informatikát tervezés és szervezet - PO beszerzés és megvalósítás - AI kiszállítás és támogatás - DS felügyelet és értékelés - ME

./. a vállalati architektúra fogalom segítségével a COBIT meghatározza a folyamatok sikeréhez szükséges erőforrásokat (erőforrások: alkalmazói rendszer, információ, infrastruktúra, és emberek) (COBIT3 erőforrások: adat, alkalmazói rendszer, technológia, létesítmény [elhelyezés, támogatás], emberek) a folyamat - erőforrás - kritérium hármashoz ellenőrzési célokat, és ezekhez pedig az e célokat megvalósító ellenőrzési intézkedéseket / eljárásokat rendelünk.

Szenes

Szenes

64

32


The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya o

Tervezés és szervezet (PO) a megoldás- és a szolgáltatás kiszállításnak, azaz a "Beszerzéshez és megvalósításhoz", illetve a "Kiszállításhoz és támogatáshoz" az útmutatást a "Tervezés és szervezés" adja.

o

Beszerzés és megvalósítás (AI) a megoldásokat "beszerzésből" vagy "megvalósításból" nyerjük, AI támogatja a megoldások létrehozását, és továbbadja [DS-nek], hogy szolgáltatásokká alakítsák ezeket

o

Kiszállítás és támogatás (DS) megkapja a megoldásokat, és a végfelhasználók számára felhasználhatóvá alakítja át ezeket, a megoldásokat "szolgáltatássá" a "Kiszállítás és támogatás" csiszolja, hiszen ezek a fázisok teszik hozzá a már kész megoldáshoz azt, aminek eredményeképpen a végfelhasználó már valódi terméket fog kapni.

o

Felügyelet és értékelés (ME) felügyeli a folyamatokat, hogy biztosítsa, a megadott irányt [PO] követik, A "Tervezési és szervezési" folyamat során született specifikációk betartását pedig a " Felügyelet és értékelés" biztosítja

Szenes

65

The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya PLAN AND ORGANISE (PO): o o

strategy and tactic how IT can best contribute to the achievement of the business objectives

The realisation of the strategic vision needs to be planned, communicated and managed for different perspectives. A proper organisation as well as technological infrastructure should be put in place. Questions to the management: o Are IT and the business strategy aligned? o Is the enterprise achieving optimum use of its resources? o Does everyone* in the organisation understand the IT objectives? o Are IT risks understood and being managed? o Is the quality of IT systems appropriate for business needs? o and? * not only the IT members! Szenes

Szenes

66

33


The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya TERVEZÉS ÉS SZERVEZET (PO): o o

stratégia és taktika az üzleti célok elérését hogyan tudja az IT a legjobban szolgálni

A stratégia megvalósítását meg kell tervezni, informálni kell a dolgozókat, és le kell vezényelni. A szervezetet és a technológiai infrastruktúrát megfelelővé kell alakítani. A vezetés feladatai, hogy valósítsa meg: o az IT és az üzleti stratégia összehangolását o az (IT?) erőforrások optimális kihasználását o az IT célok elmagyarázását az összes* dolgozónak o az IT kockázatokat értsék, akiknek kell, és kezeljék o az IT rendszerek az ületi célokat szolgálják o és? * nemcsak az informatikusoknak!

Szenes

67

The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya ACQUIRE AND IMPLEMENT (AI) To realise the IT strategy and to meet business objectives IT solutions need to be: o identified o developed or acquired o implemented o integrated into the business process. In existing systems: o changes should be documented, releases should be followed, o maintenance should be well - organized (∀ aspects of "well"!) Questions to the management: o Are new projects likely to deliver such solutions that meet business needs? o Are new projects likely to be delivered on time and within budget? o Will the new systems work according to specification when implemented? o Will changes be made without upsetting current business operations? o and? Szenes

Szenes

68

34


The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya BESZERZÉS ÉS MEGVALÓSÍTÁS (AI) Az IT strat. megvalósítása, és az üzl. célok teljesítése érdekében az IT megold.kat: o meg kell határozni, o kifejleszteni vagy beszerezni o megvalósítani o beintegrálni az üzleti folyamatokba. A már meglévő rendszerek: o változtatásait dokumentálni, release-it követni kell, o jól meg kell szervezni a karbantartást (∀ szempontból!) A vezetés feladatai, hogy valósítsa meg: o az új projektek az üzleti céloknak megfelelő megoldásokat adjanak o az új projektek beleférjenek az előre megadott idő- és ktg.keretekbe o az új rendszerek a bevezetés után a specifikációjuk szerint működjenek o a változtatások ne zavarják az éppen folyamatban lévő üzleti műveleteket o és? Szenes

69

The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya DELIVER AND SUPPORT (DS) of required services: o service delivery o management of security o management of continuity o service support for users o management of data o management of operational facilities. Questions to the management: o Are IT services being delivered in line with business priorities? o Are IT costs optimised? o Is the workforce able to use the IT systems productively and safely? o Is the level of confidentiality, integrity and availability optimal to the enterprise strategy (e.g. cost / effective)? o és?

Szenes

Szenes

70

35


The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya a kért szolgáltatások KISZÁLLÍTÁSA ÉS TÁMOGATÁSA (DS): o szolgáltatás biztosítása ? kiszállítása o biztonság o (IT ?) üzletmenetfolytonosság o felhasználók támgatása a szolgáltatás igénybe vételében o adatkezelés o az üzemeltetési feltételek - környezet biztosítása. A vezetés feladatai, hogy valósítsa meg: o az IT szolgáltatások az üzlet elsőbbségi szempontjai szerint készüljenek el o optimális IT ktg.gel o a felhasználók az IT rendszereket termelékenyen és biztonságosan használják o a rendelkezésre állás, bizalmasság, integritás teljesüljön az üzleti céloknak megfelelő mértékben o és?

Szenes

71

The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya MONITOR AND EVALUATE (ME) All IT processes need to be regularly assessed over time for their quality and compliance with control requirements. Most important aspects: o performance management, o monitoring of internal control, o regulatory compliance o governance. Questions to the management: o Is IT’s performance measured to detect problems before it is too late? o Does management ensure that internal controls are effective and efficient? o Can IT performance be linked back to business goals? o Are adequate confidentiality, integrity and availability controls in place for information security? o and? Szenes

Szenes

72

36


The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya FELÜGYELET ÉS ÉRTÉKELÉS (ME) Az informatikai folyamatok minőségét és az ellenőrzési követelményeknek való megfelelését rendszeresen ellenőrizni kell. Legfontosabb szempontok: o teljesítmény menedzsment (?!) o a belső ellenőrzés felülvizsgálata o a főhatósági előírásoknak való megfelelés o governance. vezetés feladatai, hogy valósítsa meg: o az IT teljesítmény mérését, hogy a problémák időben előjöjjenek o a célnak megfelelő és eredményes belső ellenőrzés biztosítása o az IT teljesítmény az üzleti célokat szolgálja o rendelkezésre állási, bizalmassági, integritási ellenőrzési pontok, intézkedések / eljárások biztosítása o és? Szenes

73

relationships: the COBIT cylinder - összefüggések: a COBIT henger

Szenes

Szenes

74

37


the relationship of the 4 domains - a 4 tartomány összefüggései o Plan and Organise (PO) Provides direction to solution delivery (AI) and service delivery (DS) o Acquire and Implement (AI) Provides the solutions and passes them to be turned into services o Deliver and Support (DS) Receives the solutions and makes them usable for end users o Monitor and Evaluate (ME) Monitors all processes to ensure that the direction provided is followed

Szenes

75

the relationship of the 4 domains - a 4 tartomány összefüggései o

o

o

o

Tervezés és szervezet (PO) a megoldás- és a szolgáltatás kiszállításnak, azaz a "Beszerzéshez és megvalósításhoz", illetve a "Kiszállításhoz és támogatáshoz" az útmutatást a "Tervezés és szervezés" adja. Beszerzés és megvalósítás (AI) a megoldásokat "beszerzésből" vagy "megvalósításból" nyerjük, AI támogatja a megoldások létrehozását, és továbbadja [DS-nek], hogy szolgáltatásokká alakítsák ezeket Kiszállítás és támogatás (DS) megkapja a megoldásokat, és a végfelhasználók számára felhasználhatóvá alakítja át ezeket, a megoldásokat "szolgáltatássá" a "Kiszállítás és támogatás" csiszolja, hiszen ezek a fázisok teszik hozzá a már kész megoldáshoz azt, aminek eredményeképpen a végfelhasználó már valódi terméket fog kapni. Felügyelet és értékelés (ME) felügyeli a folyamatokat, hogy biztosítsa, a megadott irányt [PO] követik, A "Tervezési és szervezési" folyamat során született specifikációk betartását pedig a " Felügyelet és értékelés" biztosítja

Szenes

Szenes

76

38


references - irodalomjegyzék [COBIT 4.1, 2007] COBIT® 4.1 Framework, Management Guidelines, Maturity Models Copyright © IT Governance Institute® , 2007 editor: ISACA [CRM] 1998 - 2014 CISA Review Technical Information Manual published yearly, editor: ISACA (from the year of 1999 Katalin Szenes contributes to the Manual as a member of the Quality Assurance Team, with the exception of CRM 2011 mostly to the chapters Protection of information assets, and Business continuity planning; Manual 2014 is under edition) [ISO 27000] International Standard ISO/IEC 27000 First edition 2009-05-01 Information technology — Security techniques — Information security management systems — Overview and vocabulary Reference number: ISO/IEC 27000:2009(E) Copyright © ISO/IEC 2009 (Szenes note: the updated 27000 family started in 2013) Szenes

77

references - irodalomjegyzék [Szenes, 2006, COBIT] Szenes, K: Az ISACA auditálási alapelvei, és a COBIT® módszertan bemutatása Az Informatikai biztonság kézikönyve, 21. aktualizálás Verlag Dashöfer, 2006. augusztus, 7.2.1. old. - 7.2.83. old. - 83 oldal [Szenes, 2006, SOX] Szenes, K.: Informatikai biztonsági megfontolások a Sarbanes Oxley törvény ürügyén (A 2002-es Sarbanes - Oxley törvény hatásai az informatikai biztonsági rendszerekre és az informatikai ellenőrök feladataira. A jelentésszolgálat és a többi kulcsfontosságú alkalmazás felügyeletének kérdései) Az Informatikai biztonság kézikönyve, 22. aktualizálás Verlag Dashöfer, 2006. október, 2.2.1.1. old. - 2.2.8.8. old. - 96 oldal p. 2.2.1.1. - 2.2.8.8. total: 96 pages [Szenes, 2007, COBIT] Szenes, K: A COBIT 4.0 és 4.1 újdonságai Az Informatikai biztonság kézikönyve, 27. aktualizálás Verlag Dashöfer, 2007. november, 7.3 1. old. - 7-3 64. old. - 54 oldal

Szenes

Szenes

78

39


references - irodalomjegyzék [Szenes, 2009, risk] Szenes, K.: Kockázatkezelés szempontrendszerrel irányított értékelési módszerrel Hungarian - Classification systems based evaluation in risk management Az Informatikai biztonság kézikönyve, 32. aktualizálás Verlag Dashöfer, 2009. február, 8.6.1. old. - 8.6.5.2.2.6 old. - 62 oldal [Szenes, 2010, outsource] Szenes, K.: Az informatikai erőforrás-kihelyezés auditálási szempontjai, I., II. rész Hungarian - Auditing outsourcing of IT resources, Part I., Part II. Az Informatikai biztonság kézikönyve, Verlag Dashöfer, I. rész: 36. aktualizálás, 2010. február, 8.10. 1. old. – 26. old. (26 oldal), II. rész: 39. aktualizálás, 2010. december 8.10. 27. old. – 158. old. (132 oldal) (összesen 158 oldal)

Szenes

Szenes

79

40

Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSP Óbudai Egyetem, Neumann János Informatikai Kar

Recommend Documents