IT

Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování

Audit provozu IS/IT

Diplomová práce

Autor:

Petr Strnadel BIVŠ - IT & Management

Vedoucí práce:

Praha

doc. Ing. Svatá Vlasta, CSc.

Duben, 2011

Prohlášení Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Praze dne 25. dubna 2011 Petr Strnadel

Poděkování Na tomto místě bych rád poděkoval paní doc. Ing. Vlastě Svaté, CSc. za cenné připomínky a odborné rady, kterými přispěla k vypracování této diplomové práce. Také bych touto cestou rád vyjádřil nadšení z knihy „Audit Informačního Systému“, kde autorkou této publikace je právě paní doc. Ing. Vlasta Svatá, CSc. Tato kniha mne provázela po celou dobu přípravy a zpracování této diplomové práce a zároveň tato publikace získává jedno z předních míst v rámci významné literatury pouţívané v mém pracovním ţivotě jako auditora sledujícího bezpečnost informací ve finanční instituci.

Anotace práce V anotaci je několika slovy popsán důvod a předmět této práce a zároveň je poukázáno na klíčová slova, která se vyskytují v této práci. Anotace je v české i anglické verzi.

Resumé Termín „Audit provozu IS/IT“ je velmi důleţitým aspektem v současných organizacích a jejich provozech. To znamená, ţe toto téma a oblast byla zvolena autorem na základě zkušeností s auditem provozu ve finanční instituci a moţnosti dále si rozšířit znalosti o další moţnosti z oblasti auditu IS/IT. Autor by chtěl v tomto dokumentu přiblíţit funkci auditu IS/IT jako nástroje moderní organizace a dále popsat jak vidí a vnímá vývoj, druhy auditu IS/IT a řízení identifikovaných rizik. Tento dokument se také zabývá návrhem ţivotního cyklu auditu, identifikace případného rizika, řízení a následné sniţování takových rizik na minimum akceptovatelné pro organizaci.

Summary The term “Operation Audit IS/IT” is a very important aspect in today's organizations and their operations. This means that the topic and the area was chosen by the author on the basis of audit experience in the operation of the financial institution, and to expand knowledge of other options from the audit of IS/IT. The author would like to bring in this document, the audit function of IS/IT as a tool of the modern organization and describe how to see and perceive the evolution, types of audit IS/IT and management of identified risks. This document also deals with an audit life cycle, identification of any risk, management and mitigation of such risks to the minimum acceptable for the organization.

OSNOVA / OBSAH ÚVOD ....................................................................................................................................... 3 1

VÝVOJ A DRUHY AUDITU IS/IT ................................................................................. 4 1.1 VÝVOJ AUDITU / OBECNÝ VÝVOJ AUDITU ....................................................................... 4 1.2 DEFINICE A ZÁKLADNÍ POJMY AUDITU / CO ZNAMENÁ AUDIT......................................... 7 1.3 DŮVOD A PRINCIP AUDITU ............................................................................................ 10 1.4 DRUHY A OBSAH AUDITU ............................................................................................. 12 1.4.1 Audit organizace jako celku ................................................................................. 12 1.4.2 Audit plánování a projektového řízení organizace ............................................... 13 1.4.3 Audit financí a rozpočtu organizace ..................................................................... 13 1.4.4 Audit procesů a souladu se standardy .................................................................. 13 1.4.5 Audit provozu organizace ..................................................................................... 13 1.4.6 Audit útvaru IS/IT (Informační audit) .................................................................. 14 1.4.7 Audit útvaru IS/IT (Bezpečnostní audit) ............................................................... 16 1.4.8 Aplikační audit ...................................................................................................... 16 1.4.9 Audit Interního (front-end / back-end) Informačního Systému ............................ 18 1.4.10 Audit Externího (front-end) Informačního Systému ............................................. 18 1.4.11 Audit webových prezentací a aplikací .................................................................. 19 1.4.12 Audit technologické infrastruktury ....................................................................... 19 1.4.13 Audit ETM (Electronic Transportable Media) ..................................................... 20 1.4.14 Audit přístupových práv v rámci aplikací a systémů ............................................ 21 1.4.15 Audit fyzické bezpečnosti a dohledových systémů ................................................ 21 1.4.16 Audit DWH (Data WareHouse) ............................................................................ 22 1.4.17 Audit outsourcingu a dodavatelů služeb (třetích stran) ....................................... 23 1.4.18 Audit efektivního systému managementu kvality procesů organizace .................. 23 1.4.19 Audit kontrolního systému organizace ................................................................. 25 1.4.20 Audit plnění požadavků vycházejících z nálezů předešlých auditů ...................... 26 1.4.21 Ostatní druhy auditu organizace .......................................................................... 26 1.5 POZITIVA A NEGATIVA AUDITU ..................................................................................... 27

2

STANDARDY PRO AUDIT IS/IT ................................................................................. 28 2.1 ZÁKONY ....................................................................................................................... 28 2.1.1 Zákon č. 93/2009 Sb., o auditorech ...................................................................... 29 2.1.2 Zákon č. 101/2000 Sb., o ochraně osobních údajů 101/2000 Sb. ...................... 29 2.2 OSTATNÍ ZÁKONNÉ POŢADAVKY .................................................................................. 30 2.3 ISO NORMY ................................................................................................................. 30 2.4 MEZINÁRODNÍ AUDITORSKÉ STANDARDY (ISA)........................................................... 32 2.5 METODIKY ................................................................................................................... 32

3

METODIKY AUDITU IS/IT .......................................................................................... 33 3.1 3.2 3.3 3.4

4

METODIKA COBIT ...................................................................................................... 34 METODIKA ITIL ........................................................................................................... 37 OSTATNÍ ZNÁMÉ METODIKY ......................................................................................... 38 POROVNÁNÍ UVEDENÝCH METODIK .............................................................................. 41

ŘÍZENÍ RIZIK A NÁVRH ŢIVOTNÍHO CYKLU AUDITU PROVOZU IS/IT ..... 43 4.1 4.2

BEZPEČNOST PROVOZU IS/IT ....................................................................................... 44 BEZPEČNOSTNÍ FUNKCE ............................................................................................... 45

4.3 KLASIFIKACE DAT ........................................................................................................ 46 4.4 INTERNÍ BEZPEČNOSTNÍ POLITIKA ................................................................................ 48 4.5 ZABEZPEČENÍ PŘÍSTUPU K DATŮM................................................................................ 50 4.6 IDENTIFIKACE A AUTENTIZACE ..................................................................................... 51 4.7 OCHRANA ULOŢENÝCH DAT ......................................................................................... 53 4.8 ŘÍZENÍ RIZIK ................................................................................................................. 54 4.8.1 Hrozba, riziko a dopad ......................................................................................... 54 4.8.2 Zranitelné místo (slabina) .................................................................................... 55 4.8.3 Bezpečnostní incident ........................................................................................... 55 4.8.4 Postup řízení rizik ................................................................................................. 56 4.8.5 Analýza rizik ......................................................................................................... 57 4.8.6 Provozní rizika a hrozby ....................................................................................... 59 4.8.7 Bezpečnostní hrozby roku 2011 ............................................................................ 61 4.9 NÁVRH ŢIVOTNÍHO CYKLU AUDITU IS/IT ..................................................................... 65 4.9.1 Uzavření smlouvy na audit ................................................................................... 66 4.9.2 Předběžné plánování auditu ................................................................................. 67 4.9.3 Kontroly ................................................................................................................ 68 4.9.4 Testování............................................................................................................... 69 4.9.5 Techniky výběru vzorků ........................................................................................ 70 4.9.6 PC aplikace a nástroje podporující audit............................................................. 70 4.9.7 Vytvoření plánu auditu ......................................................................................... 71 4.9.8 Realizace auditu ................................................................................................... 71 4.9.9 Výstupní auditorská zpráva .................................................................................. 72 4.9.10 Závěr a vydání auditorské zprávy ......................................................................... 74 4.9.11 Cílová populace očekávající výstup auditu .......................................................... 74 4.9.12 Sledování plnění závěrů auditorské zprávy .......................................................... 74 4.9.13 Ukončení auditu .................................................................................................... 75 5

SPECIFIKOVANÉ DRUHY AUDITU IS/IT................................................................ 76 5.1 5.2 5.3

AUDIT FYZICKÉ BEZPEČNOSTI A DOHLEDOVÝCH SYSTÉMŮ........................................... 76 AUDIT PŘÍSTUPOVÝCH PRÁV V RÁMCI APLIKACÍ A SYSTÉMŮ ........................................ 79 AUDIT TŘETÍCH STRAN A OUTSOURCINGU .................................................................... 82

ZÁVĚRY A DOPORUČENÍ ................................................................................................. 85 PŘEHLED POUŢITÉ LITERATURY A DALŠÍCH ZDROJŮ ........................................ 86 PŘEHLED POUŢITÝCH OBRÁZKŮ A TABULEK ........................................................ 87 PŘEHLED POUŢITÝCH ZKRATEK ................................................................................. 88 PŘÍLOHY................................................................................................................................ 89

2

Úvod Pojem „audit provozu informačních systémů a informační technologie“ představuje v současné době jeden z nejvýznamnějších trendů a nástrojů v rozvoji moderních organizací, kde je kladen důraz na řízení rizik a sniţování moţných negativních dopadů na příslušnou organizaci a její procesy. Toto mnoţství sledování rizik a ověřování souladu se standardy se neustále zvyšuje a rozšiřuje. Také obecně dochází k vyšší efektivitě nastavených kontrol a testování potřebné pro určení výše souladu se standardy, metodikami a procedurami dané organizace.

Běţným zjištěním dojdeme k závěru, ţe audit znamená aţ sekundární proces zajištění a ověření souladu interních a externích procesů se standardy a metodikami příslušné organizace a platné legislativy příslušné země, kde daná organizace provozuje své sluţby, výrobu a podnikání. Do oblasti sekundárního procesu lze také zahrnout proces kontrol a testování. Zatímco do rámce primárního procesu lze zahrnout veškeré běţně fungující procesy a jejich soulad se standardy a metodikami příslušné organizace.

Tento dokument má za úkol přiblíţit a popsat pojem auditu a to z několika úhlů pohledu. Bude moţné se seznámit s profesí auditora provozu informačních systémů a informačních technologií. Dále se standardy, dostupnými a nejpouţívanějšími metodikami auditu a podpůrnými nástroji pro výkon funkce auditu. Určitá část dokumentu je věnována popisu vývoje a druhům auditu IS/IT, řízení rizik. Následně je uveden návrh ţivotního cyklu auditu, jakým způsobem identifikovat a řídit rizika s následným sniţováním identifikovaných rizik na minimum akceptovatelné pro organizaci. Poslední součástí této práce je několik specifikovaných (vybraných) návrhů auditu IS/IT a příkladů cílených dotazů auditora.

Autor se v tomto dokumentu zaměřuje především na popis auditu a rizik z oblasti bezpečnosti informací, dat a příslušně navazujících procesů a jejich souladu a ověřování pomocí kontrol a vlastního auditu, který má prokázat plnění poţadavků vycházejících z platných zákonů, norem a dále příslušných metodik dané organizace.

3

1 Vývoj a druhy auditu IS/IT Na začátek je nutné vysvětlit jeden z hlavních pojmů, který se prolíná celým tímto dokumentem. Tímto pojmem je stěţejní slovo „audit“. Pojem audit je překladem anglického termínu audit, který pochází z latinského slova odvozeného od slovesa „naslouchat, poslouchat“. Proto se snaţme během auditu nejenom pozorovat dění a stav okolo nás, ale především naslouchejme a poslouchejme dění uvnitř organizace a včas (preventivně) hledejme případné nedostatky a to dříve, neţ-li takové nedostatky negativně ovlivní chod organizace.

1.1 Vývoj auditu / obecný vývoj auditu V dávné minulosti v dobách starého Egypta a Babylonu, kdy lidé neuměli číst a psát, předávali vládcům a auditorům jen ústní informace o stavu zemědělské půdy, domacích zvířat, apod. Úkolem takových osob - auditorů, byla právě evidence předaných informací a následné shromaţďování a porovnávání nahlášených aktiv. Ve starém Řecku a Římě k takové základní formě auditu přibyl i tzv.audit veřejných účtů. Následně ve středověku a především ve Velké Británii, se principy auditu dále rozpracovaly vyuţívající jiţ úředníků a jejich rolí, kdy úředník auditor fungoval jako dozor – dohled nad funkcí úředníka výběrčího a úředníka zaznamenávajícího platby od obyvatelstva. V době průmyslové revoluce jiţ vznikaly první společnosti registrované státem a to také vedlo k definici pravidel a zákonů. Zde jiţ docházelo k tzv.kontrole finančních výkazů. Na konci 19. a začátkem 20. století jiţ řada států převzala britský model auditu. To znamená, ţe případný audit se převáţně zaměřoval na hospodaření dané společnosti, činnosti jejich managementu a dále na odhalování případných podvodů. V 80. letech se jiţ můţe hovořit o tom, ţe se z auditu informačního systému (audit IS/IT) stala inţenýrská disciplína. V 90. letech se audit provozu rozvíjel především v bankách a v organizacích se zahraniční účastí, kdy se postupně zřizovali funkce vnitřních auditorů, přičemţ v mnoha případech se

4

kladl hlavní důraz především na aktivity spojené s finančním auditem. Nicméně jiţ začínalo docházet a to právě u organizací se zahraniční účastí k prvním kontrolám z pohledu auditu informačního systému, které byly zajišťovány buď zahraničními experty, nebo zaměstnanci světových poradenských firem. V současné době se nesetkáváme s termínem audit jiţ jen v rámci ve spojení s kontrolou finančního hospodaření dané organizace, ale především tento termín proniká i do mnoha dalších oblastí řízení a to jak v rámci dané organizace, tak i mimo organizaci, především v souvislosti s vyuţíváním sluţeb poskytovaných třetí stranou. V tomto případě můţe docházet, nebo dochází k procesní spolupráci a přístupu a sdílení informací, dat dané organizace. Významným hráčem garantujícím vývoj disciplíny auditu informačního systému je organizace ISACA (Information Systems Audit and Control Association), která v celosvětovém měřítku zajišťuje šíření povědomí o auditu, technikách a poţadavcích kladených na na splňení souladu s bezpečností, kvalitou a efektivitou provozu organizace. ISACA Czech Republic Chapter (ISACA CRC) je lokální pobočkou (chapterem) této mezinárodní profesní asociace ISACA® Jejím cílem je především lokální šíření celosvětově šířeného povědomí o oblasti a technikách auditu, řízení, kontroly a bezpečnosti systémů a procesů. V České republice působí od roku 1997 a v současné době sdruţuje přes 210 odborníků z různých podnikatelských oblastí a státní správy (zdroj: http://www.isaca.cz). ISACA se začala formovat v roce 1967. Oficiálně vznikla aţ v roce 1969 v USA, státě Illinois jako Asociace EDP auditorů. Během třiceti let svého působení se stala mezinárodní organizací sdruţující celosvětově přes 86.000 profesionálů ve více neţ 170 pobočkách (local chapters). Takto rozsáhlá a rozmanitá členská základna umoţňuje mezi svými členy efektivně sdílet velké mnoţství informací a zkušeností po celém světě. (zdroj: http://www.isaca.com) ISACA zastřešuje program mezinárodně uznávaných certifikací CISA® (Certified Information Systems Auditor), CISM® (Certified Information Security Manager) a CGEIT® (IT Governance Certification), CRISC® (Certified in Risk and Information Systems Control), které umoţnují odborníkům na audit si významně zvýšit vědomosti a následně získat případný certifikát, který je velmi uznáván v rámci nadnárodních společností 5

a firem v mnoha oblastech podnikání. ISACA dále organizuje mezinárodní konference a odborné semináře zaměřené na technická i manaţerská témata, vytváří celosvětově platné standardy pro audit a řízení informačních technologií, vydává odbornou literaturu a časopis Information Systems Audit Journal. (zdroj: http://www.isaca.com/certifications) ISACA zaloţila v roce 1976 nadaci ISACF (Information Systems and Audit Foundation), jejímţ posláním je provádět rozsáhlé průzkumy a výzkum v oblasti řízení a kontroly IS/IT. Z důvodu velkého nárůstu informačních technologií v posledním desetiletí a kritickému zvýšení jejich vlivu na úspěch v podnikání vznikl ve spolupráci s ISACA v roce 1998 IT Governance Institute. Posláním institutu je pomáhat manaţerům nalézat rovnováhu mezi řízením IT a řízením podnikatelských cílů. Prostřednictvím výzkumů, pořádáním vzdělávacích seminářů a konferencí, publikací odborné literatury a poskytováním elektronických zdrojů a nástrojů pomáhá manaţerům lépe chápat a efektivně řídit společnosti s vyuţitím informačních technologií. (zdroj: http://www.isaca.cz/cs/isaca-crc) ISACA spolu s IT Governance Institute jsou lídry v oblasti řízení kontroly informačních technologií a poskytují v neustále se měnícím podnikatelském prostředí odborné veřejnosti profesionální servis v této oblasti. V současné době jsou nejpouţívanějšími metodikami COBIT a ITIL. Více detailů k metodikám viz kapitola „Metodiky auditu IS/IT“. V České republice tedy působí několik zastoupení a zdruţení podporující vývoj auditu v ČR. ISACA ČR – je lokálním chapterem (pobočkou) mezinárodní profesní asociace ISACA. KACR – Komora auditorů České republiky – V roce 1997 byla zpracována a přijata jedna z významných příruček pro provádění auditu v počítačovém prostředí, která zahrnuje prvky auditu informačního systému, zpracované z hlediska potřeb finančního auditu, kdy se jednalo o auditorskou směrnici vydanou Komorou auditorů České republiky.

6

ČIIA – Český institut interních auditorů. ČIIA je občanské zdruţení auditorů za účelem prosazování a podpory rozvoje interního auditu v České republice. Zároveň se tento subjekt snaţí o jednotnou platformu a koordinaci práce interních auditorů.

1.2 Definice a základní pojmy auditu / Co znamená audit Pojmem „Audit“ obecně rozumíme zjištění, nebo porovnání zjištěného stavu oblasti oproti poţadavkům (zakonům, standardům, lokálním – interním poţadavkům), které jsou definované pro danou oblast podnikání (zdroj autor). Audit je systematický proces objektivního získávání a vyhodnocování důkazů, týkajících se informací o ekonomických činnostech a provozních událostech organizace, s cílem zjistit míru souladu mezi těmito informacemi a stanovenými kritérii a sdělit výsledky zainteresovaným zájemcům. (zdroj: Audit Informačního Systému, doc. Ing. Vlasta Svatá, CSc., ISBN 978-80-7431-034-8, str.16.) Poţadavky na vykonání auditu a povinnosti auditorské profese definuje Zákon č.93/2009 Sb.o auditorech

(zdroj:

http://www.kacr.cz/Data/files/Metodika/Legislativa/Audit/93_2009.pdf,

případně http://portal.gov.cz/wps/portal/_s.155/701?kam=zakon&c=93/2009). Více detailů k tomuto zákonu viz. kapitola “Standardy pro audit IS/IT“. Základní druhy auditu lze rozdělit z podstaty věci na následující rozdělení: Finanční audit – kontrola financí, rozpočtů, daňových povinností, apod. Nefinanční audit – kontrola stavu dané oblasti (informační systém, produkt, sluţba, apod.) Dále se setkáváme s rozdělením dle typu vykonavatele takového auditu: Audit interní – jedná se o vykonaný audit uvnitř organizace, pověřeným zaměstnancem, nebo určeným útvarem odpovědným za interní audit Audit externí – v tomto případě se jedná o audit provedený externí organizační jednotkou, nebo jejím pověřeným pracovníkem. Tento typ auditu je vykonáván specializovanými organizacemi, které se zaměřují převáţně na provádění kontrol a

7

různých typových auditů v organizacích na základě objednávky, nebo příslušné smlouvy. Audit dále musí splňovat několik základních vlastností, jako: Komplexnost (celistvost) – musí pokrývat veškeré navazující prvky a jejich vazby v dané auditované oblasti. Objektivnost – musí vyuţívat existující poţadavky plynoucí z platných zákonů, standardů, lokálních – interních pravidel a technicko-organizačnách poţadavků dané organizace. Nezávislost – případný audit, auditor by neměl mít ţádné přímé vazby s objektem auditu, aby nedocházelo ke konfliktu zájmu. Formalizovanost – nebo také dodrţování metodik a existujících standardů určených pro provádění auditu (zdroj: Audit Informačního Systému, doc. Ing. Vlasta Svatá, CSc., ISBN 978-80-7431034-8, str.19.) Pojem „audit“ má obecně blízko k pojmu „kontrola“, avšak audit představuje nejvyšší úrovně kontroly. Kdeţto kontrola je zaměřující se právě na dílčí porovnání jednotlivých prvků provozu, nebo porovnávání výstupních dat oproti předchozímu výstupu, apod. Dalšími podobnými pojmy jsou „ujištění, přezkoumání, ověření postupů“. Veškeré uvedené kontrolní a auditní pojmy jsou blíţe specifikované v níţe uvedené tabulce a zároveň se jedná o klíčové pojmy prolínají se napříč touto diplomovou prací. Kontrola

Audit

Control

Prověření dílčích aspektů, jevů, procesů s předem určenou

objective,

hodnotou. Jeden kontrolní cíl můţe být zajištěn řadou

control

různých kontrol

Audit

Komplexní, formalizované nezávislé prověření kontrol (existence, realizace, efektivnosti) vzhledem k existujícím standardům

Ujištění

Assurance

Komplexní

nezávislé prověření kontrol, které jsou

delegovány

na

jiné

subjekty

(existence,

efektivnosti) vzhledem k cílům řízení.

8

realizace,

Přezkoumání

Review

V porovnání s auditem niţší forma ujištění, jejímţ cílem je prověření

existence

moţných

překáţek

negativně

ovlivňujících kontroly (negativního ujištění) Ověření

Agreed-upon

Ujištění o dodrţování regulací a postupů bez hodnocení

postupů

procedures

jejich efektivnosti

Tabulka 1: Porovnání pojmu kontrola, audit, ujištění (zdroj: Audit Informačního Systému, doc. Ing. Vlasta Svatá, CSc., ISBN 978-80-7431-034-8, str.17) Výše uvedené oblasti „kontroly, auditu, ujištění, přezkoumání, ověření postupů“ mohou být a jsou dále rozdělované na dvě základní skupiny Jednorázové a neopakující se v rámci organizace – v tomto případě lze uvaţovat o jednorázově provedené kontrole a přezkoumání stavu za účelem zjištění, zda poţadovaný produkt, sluţba, nebo proces splňuje nastavené a poţadované parametry. Tato jednorázová kontrola můţe být učiněna například u produktů, kde jiţ končí ţivotnost, avšak je nutné ověření stavu souladu se standardy dané organizace. Také se můţe jednat o jednorázově, nebo doplňující provedené kontroly v případě nákupů nových produktů a sluţeb, případně při zavádění nových procesů, kdy finální rozsah kontrol a auditů ještě není znám a takový výsledek můţe následně slouţit pro navrţení finálně opakující se kontroly a auditu. Opakující se a to pravidelně, nebo nepravidelně v rámci organizace – tato skupina opakujících se kontrol a auditů zahrnuje jiţ pevně stanovené rozsahy a pokrytí kontrol a auditů, které daná organizace uskutečňuje na základě stanovené klasifikace procesu a případné výše identifikovaného rizika. Takové kontroly se většinou opakují v pravidelných intervalech a to na denní, týdenní, měsíční, čtvrtletní, půlroční a roční bázi s následnou nezávislou kontrolou plňení poţadavků a výsledků kontrol a to pomocí stanoveného audite, který můţe být uskutečňován také v časových intervalech a to od měsíčních, čtvrtletních, půlročních, ročních intervalů. V některých případech a objemu rozsahu lze uvaţovat i o delších intervalech nad rámec jednoho roku, avšak v takových případech se jiţ jedná o rozhodnutí dané organizace, nebo regulátora v návaznosti na jiţ příjmuté kontrolní mechanismy v rámci dané organizace.

9

Četnost příslušných kontrol a auditů se řídí příslušnými poţadavky, které je nutné předem definovat a schválit příslušným vedením organizace v návaznosti na poţadavky zákonů a předpisů, nebo případně mimořádného poţadavku ze strany regulátora.

1.3 Důvod a princip auditu V současné době je dán velký důraz na co největší a nejširší nabídku portfólia produktů a sluţeb a tím získat konkurenční výhodu. Tyto produkty a sluţby není moţné nabízet v rozporu s existujícími především zákonnými normami a dalšími legislativními poţadavky. Také v dnešní době neexistuje organizace (ať uţ se jedná o komerční subjekt nebo orgán veřejné správy), která by nedisponovala nějakými důleţitými a citlivými údaji (více detailů v kapitole „Klasifikace dat“), například běţně pouţívaných – spravovaných osobních údajů zákazníků, nebo informací a dat, které mohou být z různých oblasti a to například týkající se technického know-how, obchodních informací nebo jen osobních údajů zaměstnanců příslušné organizace. Jedno však mají společné – je nutné je patřičně chránit a udrţovat (spravovat) na bezpečném místě a zajistit tak, aby nedošlo k nepovolenému přístupu k takovým senzitivním informacím a datům organizace. Není těţké si představit, co se můţe stát, pokud důleţité informace (např. databáze klientů, účetní data, apod.) budou nenávratně zničeny, nebo bude originální výrobní a procesní postup případným zaměstnancem vyzrazen konkurenci. Proto je nutné se především zaměřit uvnitř organizace na následující oblasti:

Bezpečnost informací – tato oblast si klade za cíl chránit a zabezpečit informace v jakékoliv podobě. Je zcela nepodstatné, jakou mají formu (listinnou nebo elektronickou), kde se uchovávají (zdali v trezoru nebo ve vzdáleném informačním centru, nebo počítačovém systému). To co je podstatné pro danou organizaci a správce takových dat, je hodnota chráněných informací, případně velikost škody vzniklé v souvislosti s „poškozením“, nebo případným nemoţným obnovením těchto informací. Efektivita procesu – provádět procesy jen takové, které přináší určitou hodnotu směrem k organizaci, případně provádět procesy, které jsou hospodárné a účelné pro organizaci a neobsahují neefektivní části, které mohou způsobovat určité funkční problémy s dopadem na organizaci a jeho klienta. Kvalita – organizace by měla provádět jen takové činnosti, které vykazují očekávanou kvalitu a soulad se zákonnou povinností k dané činnosti, sluţbě, nebo výrobku. 10

V dnešní době jiţ nemusí řešení bezpečnosti informací, efektivity a kvality interních procesů (alespoň na první pohled) představovat aţ tak významný problém pro danou organizaci. K dispozici je celá řada standardů, norem, vyhlášek či doporučení pro řešení a řízení bezpečnosti informací, kvality a efektivity procesů. Více detailů viz. kapitola „Standardy pro audit IS/IT“.

Právě provedením auditu a zjištěním stavu souladu z několika moţných úhlů pohledu lze zjistit a získat zpětnou vazbu na kolik je daný proces v souladu s poţadavky, které musí organizace splnit.

Princip auditu tedy spočívá v ujištění, nebo-li zpětné vazbě pro stakeholdery – vlastníky aktiv, ţe daná organizace splňuje zakonné poţadavky, standardy a doporučení. Případně, ţe veškeré identifikované nedostatky jsou pod kontrolou a rizika jsou sníţena na minimum akceptovatelné pro danou organizaci.

Obrázek 1: Princip auditu a ujištění pomocí zpětné vazby. (zdroj: IT Assurance Guide)

Oddělení provádějící takový interní audit, nebo zjištění souladu (procesů a sluţeb, systému kontrol, rizikové analýzy, testování, výběry vzorků, dokumentaci auditu, průkaznosti auditu a

11

v neposlední řadě i stanovuje vhodnou volbu podpůrných technik a nástrojů příslušného auditu) je, nebo by mělo být většinou začleněno v rámci organizace a umístěno s přímou reportovací strukturou vedenou přímo k managementu a představenstvu dané organizace. Takové oddělení interního auditu by mělo fungovat zcela nezávisle na ostatní organizační struktuře a jednotlivých odděleních. Jen tak je moţné zajistit nezávislost a objektivnost případně provedeného auditu.

1.4 Druhy a obsah auditu Většina auditů je vykonávána dle předem stanovených pravidel, metodik a plánů, avšak průběţně můţe dojít a dochází k různým situacím, které je nutné operativně řešit z důvodu náhlého zjištění, ţe daný identifikovaný nedostatek má větší rozměr a dopad na organizaci a ţe takový nedostatek není pokryt jedním druhem auditu. V tomto případě je nutné doplnit současně plánovaný, nebo přímo prováděný audit o další druh auditu, který doplní a pokryje případný zjištěný nedostatek v plném rozsahu. Tento doplňující audit je ve většině případů učiněn s okamţitou platností a to z důvodu moţného postupu a rozšiřování identifikovaného nedostatku a zvyšování tak rizika a konečného dopadu na danou organizaci. Avšak v kaţdém prováděném auditu je nutné vzít v potaz patřičnou kapacitu auditora, nebo týmu auditorů. Proto pokud je tato kapacita naplánována jen s malou rezervou, která by nevystačila na pokrytí celého nově identifikovaného loţiska zjištěného nedostatku, tak je nutné takové zjištění řádně zdokumentovat ve finálně vydávané auditorské zprávě, která má za úkol informovat vedení organizace o stavu procesů a nastavení v rámci dané – auditované oblasti organizace. Další rozdělení auditu lze jiţ dle cílového zaměření (viz následující kapitoly). Avšak tento výčet typových auditů není zdaleka úplný, reprezentuje příklady nejčastějších variant. Tyto varinaty lze navíc různě kombinovat.

1.4.1 Audit organizace jako celku Jedná se o ucelený audit dané organizace skládající se z dílčích částí (níţe uvedených) a vzájemných kombinací, například auditu vedení dané organizace, provozu, nakládání s financemi, efektivitou procesů a produktů, auditorů.

12

a dalšími oblastmi, které vyţadují dohled

1.4.2 Audit plánování a projektového řízení organizace Audit plánování a projektového řízení organizace má za cíl zjistit, zda veškeré plánované akce, jsou plně v souladu se strategii a cíli dané organizace a zda organizace opravdu efektivně vyuţívá svých zdrojů k efektivnímu dosaţení svých cílů rozvoje a přínosu sluţeb pro své klienty. Tento typ auditu se zaměřuje také na kontroly jednotlivých fází plánování a ţivotního cyklu projektového řízení dané organizace.

1.4.3 Audit financí a rozpočtu organizace Tento typ auditu je převáţně zaměřen na finanční a rozpočtovou oblast v rámci organizace a to zda organizace vykazuje řádně vedené účetnictví, vyváţený rozpočet a veškerý soulad s daňovou povinností dané země ve které podniká svojí podnikatelskou činnost. Tento rozsah auditu také řeší finanční efektivnost a hospodárnost provozu organizace, apod. V tomto finančním auditu se postupuje také dle metodik SOX a BASEL II.

1.4.4 Audit procesů a souladu se standardy Auditem procesů a jejich souladu se standardy rozumíme kontrolu procesních map, jednotlivých procesů a návazností a jejich soulad se standardy dané organizace, případně metodikami a platnou legislativou dané země. Tento typ auditu prochází jednotlivé procesy a sleduje případné nedostatky a moţná rizika a to jak interně, tak i externě případně navazující na sluţby dodavatelů v ramci dané organizace. Kontrola procesů má za úkol odhalit případné nedostatky a rizika, které mohou případně způsobit škody, nebo mít jiný dopad na organizaci a její oddělení provozu.

1.4.5 Audit provozu organizace Timto auditem se rozumí kontrola procesu a pouţívaných aplikací, manuálních nástrojů (MS Excel sešity, apod.) Zde se prolíná několik druhů a typu auditu a to od informačního, bezpečnostního, aplikačního, outsourcingu a infrastruktury, aţ po kontrolu havarijního plánu provozu včetně průběţných výsledků pravidelných testů obnovy provozu dané organizace. Audit provozu organizace zahrnuje především prověření následujících oblastí. Vazby mezi strategií organizace a strategií rozvoje IS/IT Politiky, standardy, technicko-organizační metodiky a postupy útvarů IS/IT Procesy a sluţby a jejich hodnocení na základě příjmuté metodiky 13

Způsob řízení a financování útvaru a projektů IS/IT Organizační struktury na úrovni organizace a útvarů IS/IT Etapy ţivotního cyklu prvků provozu (výběrová řízení, instalace a testování, zálohování, řízení kontinuity, monitoring, apod Automatizované nástroje pro podporu řízeníIS/IT v organizaci Prvky (komponenty) provozu (audit HW platformy), audit systémového SW, audit databázových systémů, audit aplikačních systémů a jejich bezpečnost, audit sítí, apod. Pouţívání náhradních aplikačnách řešení ve formě EUC (End User Computing Activities) jako dokumenty a výpočtové (kalkulační) Excel sešity a jiné manuální SW nástroje a programy Pouţívání a evidence ETM (Electronical Transportable Media) elektronických médií Pouţívání třetích stran jako dodavatelů sluţeb Seznam a zpracování identifikovaných bezpečnostních nedostatků a incidentů (Incident management) Systémy a aplikace se senzitivními (transakčními) procesy v kombinaci se systémem čtyř očí (Maker vs Checker) Provozní plány obnovy podnikání (BCP / DRP) a výsledky pravidelných testů plánu obnovy

1.4.6 Audit útvaru IS/IT (Informační audit) Cílem auditu útvaru IS/IT je ohodnocení efektivity a účinnosti provozu a fungování tohoto útvaru v rámci organizace. Jiţ v průběhu samotného auditu a po jeho ukončení by auditor měl být schopen vyhodnotit a odpovědět na následující oblasti: Prověření organizačního řízení a začlenění útvaru IS/IT v rámci organizace Odhalení adekvátnosti vynaloţených prostředků na informační technologie Ohodnocení způsobu řízení a financování útvaru IS/IT Prověření způsobu řízení a financování projektů IS/IT Určení, nakolik jsou vyuţívány informační zdroje a dostupná data Prověření efektivnost vazeb se spolupracujicími odděleními a dodavateli Odhalení bezpečnostních rizik, slabých a silných stránek informačního systému Prověření bezpečnostní a organizačně technické politiky a předpisů dané organizace Překontrolování havarijních plánů obnovy a kontinuity podnikání (BCP / DRP)

14

V rámci informačního auditu je hodnocena informační soustava v návaznosti na útvar IS/IT dané organizace. Je proveden audit vhodnosti hardware a technologické infrastruktury. V rámci hodnocení ekonomické efektivity je proveden audit smluv s dodavateli hardware, software a sluţeb. Je vyhodnocena datová infrastruktura z hlediska její výtěţnosti a optimálnosti. Procesní a personální audit také zhodnotí rezervy v servisní podpoře vlastními i "outsourcovanými" zdroji. Informační audit je základním dokumentem, ze kterého je tvořena informační strategie. V závěru auditu by mělo dojít k prezentování návrhů na moţné změny a opatření včetně kalkulace jejich návratnosti s výhledem na jeden aţ tři roky. Tento typ auditu by měl poskytnout managementu odpovědi na následující otázky. Je hardwarová a technologická infrastruktura vhodná, nebo zastaralá? Jsou nutné investice do technologické infrastruktury; v jakém rozsahu a časovém horizontu? Jaké informační systémy jsou vyuţívány v rámci organizace? Nakolik je vyuţívána funkcionalita informačních systémů? Jak je vyuţívána servisní podpora informačních systémů a nakolik je efektivní? Jak efektivní jsou vnitřní procesy akvizice, zprávy a likvidace informačních systémů? Jak je kapacitně vytíţen útvar IS/IT? Jaká jsou doporučení na změny v informačních systémech a jejich servisním zabezpečení? Je vhodné některý informační systém nakoupit, přepracovat a rozšířit dle poţadavků provozu nebo případně zlikvidovat? Informační audit a audit IS/IT je nezbytným podkladem pro vypracování plánů organizace a pro efektivní rozhodování o investicích do informačních technologií a lidských zdrojů.

15

1.4.7 Audit útvaru IS/IT (Bezpečnostní audit) Základní bezpečnostní audit zhodnotí v hrubých rysech kritická místa z hlediska platné legislativy. Tento informační audit lze provádět na základě metodiky COBIT a dále vycházet z poţadavků zákona o ochraně osobních údajů (č.101/2000 Sb.). Bezpečnostní audit útvaru IS/IT má za cíl: Odhalení bezpečnostnch rizik. Určení vhodnosti realizace preventivních opatření a náklady s nimi spojené. Návrh systematické změny vedoucí ke zvýšení bezpečnosti dat a informací. Analýza bezpečnosti IS je prováděna dle standardů norem řady ISO 27000. V rámci analýzy bezpečnosti je provedena analýza bezpečnostních rizik. Kaţdé riziko je klasifikováno, je odhadnuta pravděpodobnost a náklady spojené s realizací rizika. Jsou navrţena bezpečnostní opatření na úrovni hardware, software a na organizační úrovni. Součástí bezpečnostní analýzy je i návrh bezpečnostní strategie a systému penetračních testů. Analýza bezpečnosti je výchozím bodem pro zavedení systému řízení bezpečnosti IS/IT. Hlavním přínosem bezpečnostního auditu je identifikace, pojmenování a zhodnocení bezpečnostních rizik, která mohou vyústit aţ v soudní incident spojený s vysokými náklady a negativní medializací. Přínosem je také návrh koncepčního a postupného odstraňování rizik dle jejich závaţnosti a nákladů. Bezpečností analýza výrazně zlevňuje proces zavádění systému řízení bezpečnosti informací dle norem řady ISO 27 000.

1.4.8 Aplikační audit Hlavním přínosem aplikačního auditu je zjištění provozování aplikací v souladu se zákony, standardy a lokálním – interním doporučením dané organizace. Jaká-koliv aplikace podléhá pravidelným a nepravidelným kontrolám v rámci celého ţivotního cyklu dané aplikace. To znamená od samotné specifikace zadavatelem, následného vývoje ve vývojovém prostředí, testování v testovacím prostředí, implementace aplikace do produkčního prostředí, provoz v produkčním prostředí, testování na záloţním serveru

16

slouţícím pro případ havárie produkčního serveru, na základě BCP a DRP plánů, aţ po ukončení provozu dané aplikace z důvodu nepotřebnosti. Pro účely auditu aplikace je nejlépe vyuţít dotazník s předem definovanými dotazy – viz níţe: Audit aplikace obsahuje: Uvedení standardů a předpisů pro tvorbu aplikačního SW (Platforma - O/S, Prostředí ASP, ASP.NET, XML, apod., vývojové prostředí, datová část – MS SQL Server, bezpečnost – User & Password management, audit trail reporty a logy, admin část, systém 4 očí, Metody, algoritmy, protokoly, apod.) Seznam kontaktních osob za dodavatele a objednavatele Adresy za dodavatele a objednavatele Ceník prací a jednotlivých oblastí spolupráce Projektová dokumentace k aplikaci vs poţadavek (zadání) vývoje a dodání aplikace Způsob otestování a nasazení do produkčního prostředí Způsob otestování v případě výpadku, nebo havarie dle havarijního plánu organizace Přístup vývojářů ke zdrojovému kódu po přemístění z vývojového do produkce? Seznam obecných poţadavků na aplikaci (přihlašovací formulář, logo, údaje o uţivateli, Audit Trail Reporty, Security logy, Report pro databazi práv, Nastavení politiky hesel (Password Management), Systém 4 očí – Maker / Checker, Oddělení práv uţivatelů, 3-úrovňová architektůra, Rozlišení grafických prvků, apod.) Název aplikace Verze aplikace a příslušné řízení změn a verzí (Change Management Process) Popis aplikace Vlastník aplikace Inventární číslo aplikace Rizikovost aplikace Klasifikace procesovaných a ukládaných dat v rámci aplikace IT podpora aplikace Přístupová práva k datům v rámci aplikace, databáze a umístění aplikace Bezpečnostní logy a deníky akcí Práva administrátorů a jiných uţivatelů s vyšším rozsahem práv Rozsah moţných práv a předem definovaných skupin 17

Příslušné technologické kontroly vztahující se k aplikaci Rozsah a ukládání dat, šifrování, přenosy dat, napojení na další systémy a aplikace Plán na další rozvoj aplikace a systémů dle potřeb organizace

1.4.9 Audit Interního (front-end / back-end) Informačního Systému Pod pojmem „Audit Interního Informačního Systému“ rozumíme pouţívání dané aplikace pouze pro interní účely. To znamená, ţe taková aplikace, nebo informační systém nesmí vyuţívat veřejného webu, respektivě nesmí se jednat o webovou aplikaci, která podléhá mnohem vyšším nárokům na bezpečnost. Audit interního informačního systému je podobný auditu aplikace – aplikačnímu auditu. Avšak tento audit můţe být mnohem rozsáhlejší v závislosti na rozsahu informačního systému dané organizace a případných napojení k dodavatelům (třetím stranám), nebo regulatorům.

1.4.10 Audit Externího (front-end) Informačního Systému Pod pojmem „Audit Externího Informačního Systému“ rozumíme kontrolu a prověření pouţívání dané aplikace jak pro interní, tak i pro externí účely, případně jen pro externí účely. To znamená, ţe takova aplikace, nebo informační systém lze vyuţívat jak interně, tak i prostřednictvím veřejného webu, respektive můţe se jednat o webovou aplikaci, typicky nějaké internetové bankovnictví, nebo CRM (Customer Relationship Management) System, které v případě vyuţití na veřejném webu, tak podléhá mnohem vyšším nárokům na bezpečnost. Audit externího informačního systému je podobný auditu interního informačního systému a aplikace. Avšak v tomto rozsahu auditu je kladen především důraz na externí bezpečnost, kdy je nutné mít během auditu následující nadstandardní dokumentaci: PT – Penetration Test - Penetrační test, neboli také průnikový test do aplikace a zjištění případných aplikačních slabin a nedostatků. VA – Vulnerability Assessment – test pomocí známých a dostupných hrozeb a zjištění souladu se standardy webových a externích apliakcí EHT – Ethical Hacking Test – jedná se o test největšího rozsahu, kde se zjišťují výše uvedené poţadavky. Zároveň se jedná o několikrát za sebbou opakující se test

18

z mnoha pohledů testování bezpečnosti externě dostupných aplikací vyuţívajících přístupu z veřejného internetu. Výše uvedené testy je nutné provádět na pravidelné bázi a případně identifikované nálezy a významné nedostatky je nutné řádně opravit a odstranit s okamţitou platností, protoţe se jedná o provozování externího informačního systému, viz info výše.

1.4.11 Audit webových prezentací a aplikací Tento typ auditu má za úkol prověřit, zda má organizace aktualizované prezentace komunikované prostřednictvím webu a zda jsou takto uveřejněné materiály plně v souladu se standardy organizace, které jsou definované a schválené odpovědnými útvary v rámci organizace a kterými jsou: Marketing & Branding (Marketingové oddělení) Legal (Právní oddělení) Compliance (Soulad s normami, standardy a metodikami) IS – Information Security (Bespečnost informací) IT – Informační technologie Sales (Prodej) Dále je cílem tohoto auditu zjistit soulad s poţadavky týkající se případně umístěné webové aplikace a to zda taková aplikace vyhovuje interním poţadavkům na bezpečnost, plánovanou prodejní strategií organizace, případně na jiné technické a netechnické poţadavky organizace včetně řádně otestované a dokumentované web aplikace a strategie.

1.4.12 Audit technologické infrastruktury Tento rozsah auditu známe téţ jako TI Audit – Technology Infrastructure Audit, který je převáţně zaměřen na kontrolu infrastruktury a plnění předem definovaných poţadavků z mnoha oblastí (IS, apod.) Audit infrastruktury zahrnuje následující oblasti: Kontrola map a dokumentace infrastruktury dané organizace

19

Kontrola řízení a nastavení konfigurace včetně řízení změn a verzí (Change Management process) Kontrola HW a inventury HW prvků Kontrola uzlových a přípojných bodů Kontrola systémového SW Kontrola smluv s HW dodavateli a následné podpory 24/7 Prověření bezpečnosti SW Kontrola přenosové rychlosti v rámci TI a organizace Kontrola analýzy zatíţení infrastruktury Kontrola UPS a Záloţního generátoru pro případ výpadku Prověření havarijního plánu a výsledky posledního testovaní tohoto havarijního plánu Audit pravidelně prováděných kontrol v rámci TI

1.4.13 Audit ETM (Electronic Transportable Media) Cílem auditu ETM je zjištění stavu pouţívání a nakládání s elektronickými médii, protoţe ETM proces je velmi důleţitou a rizikovou oblastí pro organizace, kde jsou pouţívané tzv. ETM (Electronic Transportable Media) – Elektronická přenosná paměťová média. Jedná se o relativně velmi rizikový proces na který by měla jasně reagovat předem definovaná a komunikovaná bezpečnostní politika, která určuje podmínky pouţívání elektronických přenosných médií v rámci organizace. Tento technicko organizační předpis by měl jasně vymezovat jaký typ dat a na jakých médiích lze uchovávat, jakým způsobem (šifrování), na jak zabezpečeném místě ukládat a kdo můţe mít k danému médiu přístup a za jakých podmínek. Posledním ukazatelem je doba skladovatelnosti média s důrazem na soulad se zákonem o informační povinnosti dané organizace. Audit ETM zahrnuje: Kontrola existence a rozsahu interní směrnice definující povinnosti při správě ETM Důvody a typy drţených médií (FDD, HDD, CD, DVD, TAPE, USB Flash Disk) Místo uloţení přenosných médií Inventarizace příslušných médií včetně jasně definovaného obsahu a vlastníka Uvedená doba nutné skladovatelnosti ETM ţivotnosti s datem následné likvidace Místo a fyzické zabezpečení skladovaných ETM nosičů Příslušné schválené, evidované a přiřazené evidenční protokoly k médiím 20

Uvedení dalších bezpečnostních znaků jako například šifrování obsahu, apod.

1.4.14 Audit přístupových práv v rámci aplikací a systémů Tento typ auditu kontroluje rozsah udělených a nastavených práv uţivatelům (běţný uţivatel, administrátor), systémovým a aplikačním procesům (FID – Functional IDs) v rámci organizace a pouţívaných aplikací a systémů. Audit sleduje rozsah udělených práv uţivateli a to zda takový rozsah práv je nezbytně nutný pro vykonání schválené činnosti daného uţivatele v rámci provozu organizace. Tento audit také sleduje proces nastavování a přidělování práv na základě schválené procedury, jakým způsobem a kdo poţadovaná práva přístupů schvaluje a uţivatelům uděluje. Dále je nutné kontrolovat ţivotní cyklus pouţívání přidělených práv a to na pravidelné bazi cca 6 měsíců, případně dříve pokud nastane určitá skutečnost změny (odchod zaměstnance, přechod zaměstnance do jiného oddělení, apod.). Kaţdá taková skutečnost by měla tuto změnu reflektovat co nejdříve, avšak nejdéle do 24 hodin od zjištění. Audit také sleduje proces a proceduru pro uloţení tzv. Emergency passwords, to znamená jakým způsobem organizace řeší důleţité a mimořádné přístupy v případě, ţe daný uţivatel není přítomen a nastala mimořádná situace. Tyto mimořádné přístupy jsou řešené především pro vyšší úrovně práv například administrátorských práv, FID – Functional IDs. Tento audit také v neposlední řadě můţe kontrolovat způsoby přihlašování uţivatelů do aplikací a zda výsledný report slouţící pro kontrolu uţivatelských práv skutečně odpovídá schválenému a nabízenému rozsahu práv dané aplikace v rámci organizace.

1.4.15 Audit fyzické bezpečnosti a dohledových systémů Jedná se o jeden z nejrozšířenějších typů auditu. Dohledové systémy – nástroje efektivního řízení a auditu provozu. Většina současně podnikajících organizací klade významný důraz na bezpečnost svých aktiv a v mnoha případech je pouţíván tzv.kamerový a dohledový monitoring. Jedná se většinou o kamery umístěné v datacentrech, serverovnách a dalších přilehlých koridorech, nebo skladech, nebo jiných významných a rizikových místech v rámci organizace. Audit fyzické bezpečnosti a dohledových systémů zahrnuje:

21

Technicko organizační předpis definující povinnosti provozu kamerového systému Seznam a plánek umístěných kamer a dohledových nástrojů Povolení a souhlas úřadu pro ochranu osobních údajů s pouţíváním kamer za účelem, který byl řádně oznámen citovanému úřadu (ÚOOÚ) Označení polepy, které jasně informují, ţe se jedná o kamerově monitorovaný prostor Způsob pořizovaní záznamů, doba uloţení za účelem dohledání Způsob likvidace nepotřebných kamerových záznamů Seznam pověřených osob s přístupem ke kamerovému systému Seznam osob a práva osob v rámci přístupů v objektu organizace Způsob vyhodnocování dostupných logů a případných neoprávněných pokusů o přístup do zakázaného prostoru Proces a připojení na centrální pult ochrany včetně kontroly smluv se subjektem vykonávající vzdálený fyzický dohled s následným výjezdem a kontrolou na místě Testování nastavení kamerových systémů a procesu monitorování

1.4.16 Audit DWH (Data WareHouse) Audit DWH je zaměřen na kontroly dílčích vrstev datového skladu DWH, včetně auditu příslušné databáze. Tento typ auditu má za úkol zjistit efektivitu a splnění standardů v rámci následujících oblastí: Dokumentace datového skladu DWH a provozování na základě definovaných poţadavků provozu organizace Optimalizace výkonnosti systému Analýza HW slouţící pro provoz DWH Optimalizace pohledů v rámci přístupů jednotlivých uţivatelů Identifikace nevyuţívaných (nadbytečných) dat Identifikace dlouho běţících dotazů, které mohou nadměrně zatěţovat systém Analýza přihlašování uţivatelů a kontrola nastavení práv uţivatelů Odhalení neaktivních uţivatelů, respektive uţivatelů, kteří jiţ nevyuţívají daný rozsah práv, protoţe přešli na jinou práci, nebo dokonce opustili organizaci. Zde je především dopad na uţivatelské licence, nastavení řádné zastupitelnosti v rámci poţadovaných procesů dané organizace

22

Analýza duplicitních dotazů Analýza vlastního obsahu SQL dotazu Identifikace vysoce frekventovaných dat

1.4.17 Audit outsourcingu a dodavatelů sluţeb (třetích stran) Další ze specifických auditů je audit třetích stran a outsourcingu včetně příslušných dodavatelů takového definovaného rozsahu sluţeb, případně audit dodavatelů s umístěním dat organizace, apod. Více detailů viz kapitola „Specifikované druhy auditu IS/IT“.

1.4.18 Audit efektivního systému managementu kvality procesů organizace Audit oblasti „Systém managementu kvality procesů organizace“ je v poslední době velmi častým pojmem se kterým se lze setkat jak v nabídkách sluţeb a produktů příslušných organizací, tak i v rámci poptávek na dané sluţby a produkty. Tento systém managementu kvality umoţňuje na první pohled reprezentovat danou organizaci a informovat případného zákazníka, ţe daná organizace splňuje zásady managementu kvality definované v rámci mezinárodní normy ISO 9001:2009, která byla v ČR schválena Českým normalizačním institutem s označením ČSN EN ISO 9001:2008. (zdroj: http://www.unmz.cz/urad/unmz). Úkolem auditora je zjištění, zda výše uvedená norma je plně implementována v rámci organizace a zda příslušná organizace splňuje následující oblasti a zásady efektivního řízení kvality procesního přístupu aplikace a identifikace vyuţívaných procesů a jejich vzájemné působení a řízení. Zaměření na zákazníka - pochopení úplného rozsahu poţadavků, potřeb a očekávání zákazníka plnění poţadavků zákazníků a dalších zainteresovaných stran (zaměstnanci, majitelé, banky, region ….) a překonání jejich očekávání sdílení těchto potřeb a očekávání uvnitř celé organizace měření spokojenosti zákazníků a vyvozování dalších aktivit na základě analýzy tohoto měření Vedení zaměstnanců (vůdčí role – Leadership) - vlastní aktivita a příklad pro ostatní zajistit potřebné zdroje a podmínky pro plnění cílů jakosti na všech úrovních stanovení jasné vize organizace do budoucnosti, budování důvěry a vyloučení strachu u zaměstnanců neustálé zohledňování potřeb zaměstnanců a ostatních zainteresovaných stran inspirovat, dodávat odvahu zaměstnancům a uznávat jejich přínosy rozvíjet otevřenou a důstojnou komunikaci v celé organizaci

23

Zapojení zaměstnanců - zapojit všechny zaměstnance na všech úrovních do trvalého zlepšování procesů, získávat podněty, vyhodnocovat je a navrhovat opatření ke zlepšení aktivně vyhledávat příleţitosti ke zvyšování znalostí a zkušeností sdílet znalosti a zkušenosti v týmech a skupinách usilovat o inovační a tvůrčí přístup při dosahování cílů podporovat a vyuţívat schopností zaměstnanců ve prospěch jakosti zapojit zaměstnance do trvalého procesu vzdělávání motivovat zaměstnance k odvedení lepší práce, k uspokojení z vlastní práce a k hrdosti být součástí organizace Procesní přístup - definovat procesy pro dosaţení poţadovaných výsledků určit vzájemné působení procesů (mapa procesů) a stanovit jasné odpovědnosti a pravomoci pro řízení procesů identifikovat vnitřní a vnější zákazníky, dodavatele a další účastníky kaţdého procesu, měřit/monitorovat vstupy a výstupy z jednotlivých procesů a vyhodnocovat jejich efektivnost a účinnost optimalizovat průběh všech klíčových procesů Systémový přístup k managementu - definování systému identifikováním a rozvíjením procesů, které mohou ovlivnit daný cíl strukturování systému k dosaţení efektivní cesty, neustálé zlepšování systému prostřednictvím měření a vyhodnocování systematické zjišťování moţných zdrojů problémů před zahájením akce a důsledná aplikace projektového managementu a týmové práce Neustálé zlepšování - neustálé zlepšování výrobků, procesů a systému je cílem organizace a cílem kaţdého zaměstnance lze vyuţívat principů přírůstkového zlepšování podle metody P-D-C-A (plánuj – dělej – kontroluj – zlepšuj) pravidelné přezkoumávání a sebehodnocení podle stanovených kritérií řízení změn a inovace procesů Přístup k rozhodování zakládající se na faktech - monitorovat, měřit a sbírat údaje a informace pro daný záměr a cíl zajistit, aby údaje a informace byly přesné, spolehlivé a přístupné na příslušných místech v organizaci, analyzovat údaje a informace pomocí určených vhodných metod rozhodovat a přijímat opatření na základě výsledků analýz, při zohlednění praktických zkušeností a intuice při rozhodovacím procesu vyhodnocovat moţná rizika, souvislosti a dopady procesů na zákazníky, dodavatele a další strany, zúčastněné v procesech analyzovat jednotlivé kroky, činnosti, vybavení, potřeby výcviku, metody měření, materiály a další zdroje k dosaţení poţadovaných výsledků

24

Vzájemně prospěšné dodavatelské vztahy - identifikace a výběr vhodných dodavatelů, pěstovat v organizaci dobré vztahy s dodavateli přenášet na dodavatele poţadavky svých zákazníků, iniciovat společné rozvíjení a zlepšování výrobků a procesů sdílet informace a plány do budoucna, uznávat úspěchy dodavatelů

1.4.19 Audit kontrolního systému organizace Audit kontrolního systému organizace se zajímá především o nastavený kontrolní mechanismus v rámci organizace. Takový kontrolní mechanismus by měl být robusní, efektivní, pravidelně aktualizovaný a testovaný, výstupy kontrol neustále monitorované a okamţitě reflektované dle závaţnosti případně identifikovaného nedostatku. Činnost kontrolního systému organizace lze pokrýt nasledujícími nástroji: Manuálně prováděné kontroly dle předem definovaného poţadavku a rozsahu na základě schválené procedůry a popisu, poţadovaného výstupu dané kontroly. Automaticky prováděné kontroly dle předem definovaného poţadavku a rozsahu na základě schválené procedůry a popisu, poţadovaného výstupu dané kontroly. KRI – Key Risk Indicators – jedná se o předem definovaný rozsah kontrol, kde je přesně uveden poţadavek takové kontroly a případná akceptovaná úroveň výsledku kontroly, nebo mnoţství (počet) identifikovaného nedostatku. Pokud je však nastaveno akceptování s nulovou tolerancí nedostatku, nebo porušení, tak v případě porušení a nedodrţení definovaného poţadavku vyššího neţ je stanovená KRI hodnota, se jedná o porušení a poţadované hlášení v detailu pomocí skutečně identifikovaných hodnot indikátorů KRI. KPI – Key Performace Indicators – jedná se o výkonostní metriku sledující dosaţené, případně nedosaţené úrovně plánovaných výkonů provozu organizace. RCSA – Regular Control SelfAssessment – znamý téţ jako kontrolní dotazník, který je pouţíván na pravidelné opakující se bázi. Dotazník obsahuje definovaný rozsah včetně příslušného popisu kontrol a jméno odpovědné osoby provádějí zjištění, zda poţadovaný rozsah poţadavku byl splněn dle předem definovaného a schváleného rozsahu poţadované procesní kontroly v rámci provozu organizace. Ostatní kontolní nástroje jako mimořádné procesní a kontrolní dotazníky, apod. Na základě dodaných výsledků a výstupů z výše uvedených kontrolních mechanismů se následně provádí CAP – Corrective Action Plan. Jedná se o přípravu plánu nápravy 25

identifikovaných nedostatků. Kaţdý CAP plán by měl obsahovat přesné znění identifikovaného nedostatku a přesné řešení takového nedostatku, včetně informace kdo, kdy, kde a jak identifikovaný nedostatek tecnicky, nebo procesně vyřeší. Přehled kontrolních výsledků a nedostatků by měl být pravidelně předkládán vedení organizace, které následně odsouhlasí navrhované řešení identifikovaných nedostatků a případně uvolní poţadované kapacitní a finanční zdroje.

1.4.20 Audit plnění poţadavků vycházejících z nálezů předešlých auditů Veškeré provedené interní a externí audity v rámci organizace by měly být řádně evidované, respektive veškeré auditorské zprávy a především jejich výsledky je nutné mít pod aktualizovanou evidencí dané organizace a následně je povinností příslušného útvaru organizace, pravidelně monitorovat plnění poţadovaných nápravných opatření definovaných a oboustranně odsouhlasených. Evidence provedených auditů a jejich výsledků by měla minimálně obsahovat: Seznam provedených auditů a popisu rozsahu, pokrytí auditované oblasti Seznam veškerých nálezů a zjištění z provedených auditů Seznam dodaných nápravných opatření ze strany organizace Detailní popis jednotlivých nápravných opatření (CAP – Corrective Action Plan) a stav jednotlivých opatření včetně detailu ţivotního cyklu u uzavřených poloţek a u řešených poloţek dodání podkladů o stavu nápravy. Komunikace v písemné formě na jednotlivé odpovědné osoby Komunikace v písemné formě směrem k vedení organizace, aby bylo zřejmé, ţe veškeré zjištění a nápravné kroky byly řádně komunikované vedení dané organizace.

1.4.21 Ostatní druhy auditu organizace Audit havarijního plánu (BCP / DRP) Audit poţadavků první pomoci (osvěta, školení příslušných zaměstnanců, technické poţadavky, apod.) v rámci organizace Audit poţadavků na BOZP (Bezpečnost a Ochrana Zdraví při Práci) v organizaci Audit prověření řidičů (školení, testy, osvěta, apod.) Audit ţivotního prostředí a plnění poţadavků organizací

26

Audit plnění protipoţárních opatření (školení zaměstnanců, technické opatření, osvěta) Audit plnění poţadavků stavebního zákona a stavebního úřadu

1.5 Pozitiva a negativa auditu Občas můţe být audit vnímán jako něco zbytečného a finančně nákladného, avšak jsou organizace, které mají povinnost zřídit interní jednotku auditu, nebo příjmout takové opatření, aby bylo moţné vykonat audit schválenou externí auditní společností na pravidelné bázi a tím získat nezávislý přehled o stavu provozu a souladu se standardy, případně o identifikovaných nedostatcích a rizicích dané organizace. Takový poţadavek také vychází například z poţadavku zákona č. 93/2009 Sb., kde jsou podmínky určující povinnosti organizace ustanovit, nebo zajistit poţadovaný rozsah dohledu pomocí auditní jednotky. Tento zákon č.93/2009 Sb. o auditorech, nabyl účinnosti dne 14. dubna 2009 a nahradil doposud platný zákon o auditorech č. 254/2000 Sb. Kromě dopadů na auditorskou profesi, samotné auditory, auditorské společnosti a asistenty auditora má tento nový zákon některé přímé dopady i na obchodní společnosti a další subjekty podléhající povinnému auditu. Na druhou stranu jsou i organizace a malé firmy, kde nemají povinnost vykonávat audit, avšak i menší organizace a firmy jiţ začínají zjišťovat, ţe je pro ně výhodnější splňovat patřičnou legislativu a získat potřebné ISO certifikace i za cenu pravidelných auditů a tím mít otevřenější cestu na trh a k případným zakázkám, kde klientovi mohou rovnou sdělit, ţe splňují

poţadavky

na

moderní,

bezpečnou

27

a

efektivní

organizaci

/

firmu.

2 Standardy pro audit IS/IT Oběcně lze definovat, ţe příslušné standardy představují nedílnou součást práce auditora a jeho činností v rámci výkonávání funkce příslušného auditu. Pojem standard lze chápat jako oblast předpisů, zákonů, norem, metodik, metrik, politik, apod. Právě tato oblast závazných dokumentů je vydávána na základě patřičných poţadavků, nebo nově identifikovaných rizik a nálezů případných nedostatků během auditů a kontrol v rámci procesů a provozů subjektů a organizací. Tato diplomová práce se především prezentuje z pohledu auditu bezpečnosti dat a informací. Proto stěţejním poţadavkem v tomto dokumentu je především zákon na ochranu osobních údajů. Avšak je nutné postupovat i dle následujícího seznamu zákonných poţadavků. Z pohledu auditu provozu IS/IT lze standardy rozdělovat dle míry závaznosti na zákony, ISO normy, best practice, metodiky a dále na externí a interní, na obecné a odvětvové (např. pro finanční instituce Basel). Zákony je také moţné dělit na mezinárodní (SOX), EU- Direktivy o ochraně osobních údajů a na lokálně závaznou legislativu v ČR viz. níţe.

2.1 Zákony Zákon č. 93/2009 Sb., o auditorech Zákon č. 101/2000 Sb., o ochraně osobních údajů Zákon č. 106/1999 Sb., o svobodném přístupu k informacím Zákon č. 121/2000 Sb,. Autorský zákon Zákon č. 127/2005 Sb. o elektronických komunikacích a o změně některých souvisejících předpisů Zákon č. 151/2000 Sb., o telekomunikacích Zákon č. 227/2000 Sb., o elektronickém podpisu, ve znění pozdějších předpisů Zákon č. 365/2000 Sb., o informačních systémech veřejné správy Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnosti způsobilosti NBÚ 2011. Zákon č. 480/2004 Sb., o některých sluţbách informační společnosti

28

2.1.1 Zákon č. 93/2009 Sb., o auditorech Jedná se o zákonný poţadavek popisující veškeré poţadavky a náleţitosti na vykonávání práce auditora. Tento zákon jasně specifikuje několik oblastí práce a povinností auditora: Dodrţovat vnitřní předpisy Komory auditorů, kam se řadí i Etický kodex mít řádné vzdělání, potřebné certifikace a další průběţné školení pro práci auditora zákon zmiňuje také povinnost „nenařizovat změny a opravy údajů vykázaných účetní jednotkou, platit povinný příspěvek na činnost Komory spolupracovat s Radou při výkonu veřejného dohledu nad auditem (§21) zajištění pojištění odpovědnosti za škodu způsobenou při výkonu auditorské činnosti.“ (§23) mít oprávnění poţadovat přiměřenou sounáleţitost auditované účetní jednotky při provádění auditorské činnosti a účetní jednotka je povinna mu poskytnout veškeré poţadované dokumenty, včetně vysvětlení. mít moţnost zúčastnit se inventarizace majetku a závazků účetní jednotky, případně si můţe provedení inventarizace vyţádat. má také právo poţádat o odměnu za provedenou činnost a v neposlední řadě moţnost „vyţádat si písemné pověření k přístupu k informacím vedeným o účetní jednotce u bank, dluţníků a věřitelů“ (§21). Dodrţovat stanovený obsah a formu zprávy auditora, která by měla být podle §20 tohoto zákona (zdroj: http://www.kacr.cz/Data/files/Metodika/Legislativa/Audit/93_2009.pdf).

2.1.2 Zákon č. 101/2000 Sb., o ochraně osobních údajů 101/2000 Sb. Senzitivní informace a data jsou strategickým zdrojem a jako takové jsou to nejcennější, co je uloţeno v počítačových a informačních systémech dané organizace a to především pokud se případně jedná právě o informace obsahují senzitivní, respektive osobní data klientů a zákazníků. Z tohoto důvodu je nutné taková data a informace patřičně zabezpečit ve zvýšených kontrolních reţimech dle dostupných bezpečnostních nástrojů a technickoorganizačních pravidel a

předepsaných postupů dané organizace. Většina takových

organizací tak činí aktivně jiţ od prvopočátku jejich fungování na trhu a následného pořízení a správy dat. Nicméně je nutné stanovit jasný poţadavek, předpis, směrnici, nebo zákon a

29

jako takový poţadavek ve formě zákona je právě vydán zákon č. 101/2000 Sb., o ochraně osobních údajů s dohledem ze strany ÚOOÚ - Úřad pro ochranu osobních údajů. Působnost Úřadu je vymezena v § 2 a v § 29 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Pro některé zvláštní agendy je působnost vymezena ve zvláštních právních předpisech. Úřad při výkonu správních činností postupuje podle zákona č. 101/2000 Sb. a podle obecného procesního předpisu - zákona č. 500/2004 Sb., správní řád. Úřad spravuje informační systémy veřejné správy podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů. Dále úřad provádí dozor nad dodrţováním povinností při zpracováním osobních údajů v oblasti elektronických komunikací. Úřad má plné právo prověřovat dodrţování správy dat v rámci organizací a to dle zákona, který tuto moţnost upřesňuje. Úřad pro ochranu osobních údajů takové kontroly provádí i preventivně, avšak ve většině případů takových kontrol, dochazí na základě určitých podnětů zaloţených na konkrétních stíţnostech osob (klientů i neklientů), nebo firem a organizací. (zdroj: http://www.uoou.cz)

2.2 Ostatní zákonné poţadavky Pokud není jinak přesně určeno v rámci zákonných norem, vyhlášek a zákonů, tak je povinností organizací a jednotlivců postupovat dle následující platné legislativy. Obchodní zákoník – definující práva a povinnosti právnických subjektů a organizací Občanský zákoník – definující práva a povinnosti fyzických osob V případě porušení následuje: Trestní zákoník – definující případy porušeni a tresty, které následují v případě porušení zákonné legislativy a nařízení.

2.3 ISO Normy ISO 27000 – definice pojmů a terminologický slovník pro všechny ostatní ISO normy ISO 27001 (BS7799-2) – hlavní norma pro Systém řízení bezpečnosti informací (ISMS), dříve známá jako BS7799, podle které jsou systémy certifikovány. Norma ČSN ISO/IEC 27001 poskytuje organizacím návod a poţadavky na zavedení tzv.

30

Systému managementu bezpečnosti informací (ISMS – Information Security Management System). Obsahuje soubor pravidel pro ochranu a bezpečnost informačních aktiv (tedy nejen informací, ale např. klíčového hardwaru, softwaru, zaměstnanců, know-how atd.) uvnitř organizace. ISO 27002 – je sbírka bezpečnostních praktik a můţe být vyuţita jako kontrolní seznam všeho správného, co je nutno pro bezpečnost informací v organizaci udělat. ISO 27003 – návod pro návrh a zavedení ISMS v souladu s ISO 27001 ISO 27004 – norma s názvem „Information security management – Measurement“ ISO 27005 – norma s názvem „Information security risk assessment“ ISO 27006 – norma na informační technologie – Bezpečnostní techniky- Poţadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací ISO 27011 – doporučení a poţadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů ISO 15489:2001 - Information and Documentation – Records Management (Správa informací a dokumentů – spisová sluţba) ISO 9000:2000 - Systém managementu jakosti – základy, zásady a slovník pojmů ISO 9001:2008 - Systém managementu jakosti – poţadavky ISO 9004:2000 - Systém managementu jakosti – směrnice pro zlepšení ISO 90003:2004 - Softwarové inţenýrství – Návody pro aplikaci ISO 9001:2000 na počítačový software ISO 9001:2009 - mezinárodní norma, která byla v ČR schválena Českým normalizačním institutem s označením ČSN EN ISO 9001:2008. Tato norma poskytuje organizacím soubor doporučení a minimálních poţadavků pro implementaci (zavedení) efektivního systému managementu kvality. Obsahuje tedy soubor pravidel, jejichţ dodrţování organizacím přináší zlepšení v mnoha směrech. (zdroj: http://www.unmz.cz/urad/unmz) Detailní popis výše uvedených norem není předmětem této práce, lze jej však nalézt například na webových stránkách portálu veřejné zprávy České republiky (zdroj: http://portal.gov.cz)

31

2.4 Mezinárodní auditorské standardy (ISA) Mezinárodním standardům pro řízení kvality, audit, prověrky a pro ostatní ověřovací a související sluţby (nazývanými téţ mezinárodní auditorské standardy nebo standardy IAASB). IAASB si klade za cíl vypracovávat soubor mezinárodních standardů, které budou všeobecně přijímány po celém světě. Podle materiálů IAASB se řídí auditorské zakázky, ověřovací zakázky a zakázky na zajištění souvisejících sluţeb, které se realizují v souladu s Mezinárodními standardy. Nejsou nadřazeny platným domácím zákonům a předpisům pro audit historických údajů účetních závěrek nebo pro zakázky na ověření jiných informací v jednotlivých zemích, kteréţto zákony a předpisy je třeba dodrţovat podle národních standardů. Jestliţe se ale domácí zákony nebo předpisy v určitém konkrétním ohledu odlišují od standardů IAASB, nebo jim dokonce odporují, pak zakázka realizovaná podle takových domácích zákonů či předpisů nemůţe být automaticky v souladu i se standardy IAASB. Profesionální účetní nemůţe tvrdit, ţe postupoval v souladu se standardy IAASB, pokud plně nerespektoval všechny standardy podle IAASB, které se vztahovaly k dané zakázce.

(zdroj: http://www.kacr.cz)

2.5 Metodiky Metodiky auditu provozu IS/IT jsou detailněji popsané v rámci kapitoly „Metodiky auditu IS/IT“.

32

3 Metodiky auditu IS/IT Proces auditu vyţaduje patřičnou strukturu, organizovanost a v neposlední řadě také řádné pokrytí všech oblastí, které jsou cílem poţadovaného auditu. Pro tyto účely lze vyuţít jiţ upravené a připravené metodiky, které příslušnému auditorovi napomohout nastavit spravný seznam poţadavků pro dané oblasti plánovaného auditu. Příklady metodik, které auditor můţe vyuţít při provádění auditu: ISACA - COBIT 4.1 (Control Objectives for Information and related Technology) a návazné dokumenty, např. IT Assurance Guide ITCG - IT Control Guidelines (CICA– Chartered Accountants of Canada) SysTrustTM Principles and Criteria for systems Reliability (AICPA – American Institute of Certified Public Accountants, CICA) CoCo – Criteria of Control (CICA) Mezinárodní standardy ISA (zdroj “Mezinárodní standardy ISA“: http://www.kacr.cz) Případně lze čerpat z metodik slouţících pro nastavení provozu IS/IT dle: ITIL (The IT Infrastructure Library) SOX (Sarbanes – Oxley Act) BASEL II MMDIS (Multidimensional Management and Development of Information System) Některé výše uvedené metodiky jsou více přiblíţené v následujících podkapitolách, případně je lze dále rozdělit a vyuţít dle pouţití v rámci jednotlivých níţe uvedených fází: Co musíme udělat? Je nutné dodrţet příslušnou legislativu (zákony, standardy – SOX, BASEL II, česká legislativa, EU legislativa) Co můţeme pouţít k zavedení a měření kontrol a shody? Vyuţijme audit a metodik k provádění auditu například pomocí dostupných metodik COSO, COBIT.

33

Co můţeme pouţít k definici cílů a k implementaci procesů? Nejlépe postupovat dle dostupných praktik „Best Practice“, například ITIL, BS7799, ISO +17799, BS 15000) Jak bychom měli přizpůsobit funkčnost příslušné organizace? Mělo by být vyuţíváno

organizačních

politik,

směrnic,

procedur,

matic

odpovědností,

technologických postupů, například pomocí ITSM, Bezpečnost dat a informací, Mgmt & Data Retention, Obnova dat, apod. Jak bychom měli ujistit různé staholdery, ţe se stanovené cíle, procesy a kontroly dodrţují? Měl by fungovat nezávislý útvar, interního auditu, případně zajistit provedení auditu externí jednotkou (auditorem) Nejznámější z výše uvedených metodik jsou COBIT a ITIL, které jsou více přiblíţené v následujících podkapitolách.

3.1 Metodika COBIT Metodika COBIT (Control Objectives for Information and Related Technology) je povaţována za významný soubor těch nejlepších praktik pro řízení informatiky (IT Governance), které by měly umoţnit dosaţení strategických cílů organizace díky efektivnímu vyuţití dostupných zdrojů a minimalizaci IT rizik. Metodika COBIT je pevně spojena s organizacemi ISACA (Information Systems Audit and Control Association) a IT Governance Institute. Metodikou COBIT vznikl obecný standard, který je přijímán jako sada návodů a všeobecných praktických zkušeností. Tato obecně uznávaná metodika, při řádném pouţití a vyuţití, umoţňuje maximalizovat uţitek IS/IT, zvýšit kvalitu a bezpečnost IS/IT definováním nezbytných kontrolních cílů podle jednotlivých oblastí (domén) a procesů specializovaných pro IS/IT. Metodika COBIT je především určena pro odpovědné a příslušné manaţery IS/IT, ale i pro ostatní uţivatelé z řad zástupců organizací a jejich oddělení, kterými mohou být auditoři IS/IT, pracovníci kontrolních útvarů a ostatní zástupci oddělení zajišťující řádný chod IS/IT v rámci příslušné organizace. V současné době je vyuţívána verze COBIT 4.1, avšak organizace ISACA připravuje verzi COBIT 5.0, kdy tato připravovaná verze by měla těţit z více jak patnástiletých zkušeností organizace ISACA.

34

Metodika COBIT reprezentuje několik hlavních oblastí a dokumentů, z nichţ je kaţdý určen jiné profesi a úrovni řízení. Příklady takových dokumentů jsou: pro oblast řízení informační bezpečnosti: Cobit Security Baseline, Information Security Governance: Guidance for Boards of Directors and Executive Management pro malé a střední podniky: Cobit Quickstart pro organizace spadající pod SOX: IT Cobit Objectives for Sarbanex-Oxley pro podporu řízení investic v oblasti IT: Val IT pro podporu řízení rizik v oblasti IT: Risk IT Úkolem metodiky COBIT je především: Moţnost zvýšit účinnost a efektivitu IT Pomoci pochopit potřeby podnikání Napomáhat definovat postupy, aby byly splněny obchodní potřeby co nejefektivněji Pomoci vedení pochopit a řídit investice do IT v průběhu jejich ţivotního cyklu Poskytovat metodu pro posouzení, zda IT sluţby jsou v souladu s novou iniciativou a obchodními zájmy a poţadavky, které by mohly zajistit očekávané přínosy Pomáhat rozvíjet a dokumentovat odpovídající organizační struktury, procesy a nástroje pro efektivní správu IT Poskytovat autoritativní, mezinárodní soubor obecně uznávaných postupů, které napomáhájí vedoucím pracovníkům a manaţerům zvýšit hodnotu IT a sníţit související rizika Na první pohled lze identifikovat prokazatelný rozdíl mezi organizacemi a podniky, které spravují vlastní IT správným způsobem a v souladu s modernimi poţadavky vycházející z různých doporučovaných metodik a organizacemi, které zatím nemají definovanou převáţnou část procesů dle metodik, nebo si nemohou dovolit vyčlenit odborníky na vlastní implementaci a definici vnitřních procesů dle vyhlášených a uznávaných metodik. Implementace metodiky COBIT je znakem dobře nastavené a zaběhnuté organizace, nebo podniku, kde je metodika COBIT přijímána jako osvědčený a mezinárodně přijímaný soubor nástrojů a technik pro efektivní a srozumitelné nastavení interních a externích procesů dané organizace. Mezi hlavní přínosy zavedení metodiky COBIT patří:

35

Společný jazyk pro manaţery, odpovědné pracovníky a odborný IT personál Ucelený pohled, srozumitelné řízení Lepší pochopení toho, jak podnikání a IT mohou pracovat společně při společně orientovaném poskytování produktů a IT sluţeb Lepší utřídění na základě podnikatelského zaměření Lepší kvalita IT sluţeb a dalších navazujicích procesů Zvýšená efektivita a optimalizace nákladů Sníţení provozních rizik Efektivnější správu IT Jasné rozvoj interní politiky organizace Efektivnější a úspěšné audity Jasné vlastnictví a odpovědnosti, na základě procesní orientace Metodika COBIT se rozděluje a je uspořádána dle následujícího členění: 4 Domény (PO – Plan and Organise / AI – Acquire and Implement / DS – Deliver and Support / ME – Monitor and Evaluate) 34 IT procesů a obecně definovaných kontrolních cílů (high-level control objectives) (ke kaţdému IT procesu se vztahuje jeden obecně definovaný kontrolní cíl) 318 detailních cílů (control objectives) 4 IT zdrojů orientovaných dle rozdělení (Aplikace, Informace, Infrastruktura. Lidé) 7 Informačních kritérií Výše uvedené členění je popsané v detailu (viz. příloha č.1). Zároveň lze a je moţné zobrazit metodiku COBIT pomocí jaké-si troj-rozměrné kostky, která má tři dimenze: Procesy, zdroje a cíle řízení, nebo také informační kritéria (viz. příloha č.2). Metodika COBIT poskytuje dva druhy návodů (guide): Cobit Control Practices– Guidance to Achieve Control Objectives for Successful ITG: pomáhají zavést kontrolní cíle do praxe

36

IT Assurance Guide: Using Cobit - je zaloţen na etapách a testech, které jsou společné všem auditům (assurance steps) Ve vazbě na audit mají tedy význam následující dokumenty: Cobit Framework: Co je třeba udělat pro zavedení systému kontrol Control Practices: Jak dosáhnout cílů kontrol Assurance Guide: Jaké kroky (etapy) má audit obecně a jaké testy se mají realizovat ve vazbě na procesy Cobit Framework.

3.2 Metodika ITIL Metodika ITIL (Information Technology Infrastrukture Library) byla vyvinuta v 80. letech pro vládní a veřejný sektor britskou vládní organizací CCTA (Central Computer and Telecommunication Agency). V metodice ITIL se jedná o soubor knih popisující poţadavky z pohledu IT (Information Technology), TI (Technology Infrastructure), IS (Information Security), které se neustále aktualizují v rámci výdávaných vyšších verzí metodiky ITIL. Metodika ITIL přináší moderní, procesně orientovaný přístup k řízení IT sluţeb. Tato metodika je tedy

převáţně orientována na zákaznicky orientovaný přístup, kdy kaţdá

procesní aktivita, kaţdý úkon v kaţdém procesu musí přinášet nějakou přidanou hodnotu pro zákazníka - pokud ne, pak je taková činnost neefektivní a nadbytečná.

Metodika ITIL vyuţívá jednoznačné terminologie, která přináší pomoc v případě, kdyţ řešíme případné nedorozumění plynoucí z toho, ţe někdo pouţívá stejný termín v jiném významu, neţ očekáváme. Metodika ITIL je nezávislý na jakékoliv platformě. Dokonce je moţné ITIL pouţít i pro navrţení procesů (úplně mimo oblast ICT) v jakékoliv firmě, která podniká například ve sluţbách. Metodika ITIL a její knihovny jsou dostupné, coţ znamená, ţe kaţdý si můţe knihy ITIL koupit a procesy ITSM podle ITIL ve svém podniku implementovat, aniţ by musel platit jakékoliv další licenční poplatky. Tato skutečnost mj. přispěla k rychlému celosvětovému rozšíření ITIL. Přínosy metodiky ITIL jsou převáţně: 37

zvýšená spokojenost uţivatelů a zákazníků se sluţbami IT zlepšená dostupnost sluţeb, coţ přímo vede ke zvýšeným ziskům a obratu businessu finanční úspory plynoucí ze sníţení opakovaných prací, ztraceného času, zlepšené správy a vyuţití zdrojů zkrácení času pro uvedení nových produktů a sluţeb na trh zlepšení podkladů pro rozhodování a optimalizace rizik. Dodávka IT sluţeb (IT Service Delivery) a Podpora IT sluţeb (IT service Support) se běţně dohromady označují jako IT Service Management (ITSM) a obsahuje následující oblasti: Plánování a organizace - pokrývá úroveň strategického a taktického plánování a organizování IT včetně řízení přidané hodnoty IT pro business. Pořízení a implementace - Identifikace IT řešení vhodného pro realizaci zvolené IT strategie. Řešení můţe být vyvíjeno vlastními silami nebo pořízeno z vnějších zdrojů, následně musí být implementováno a integrováno se stávajícími systémy a procesy. V této doméně je také zahrnuto potřebné řízení změn – v nových i stávajících systémech. Dodávka sluţeb a podpora - Tato doména je zaměřená na řízení IT sluţeb, coţ zahrnuje poskytování sluţeb, řízení bezpečnosti a kontinuity sluţeb, podporu sluţeb, správu dat a potřebné infrastruktury. Monitorování a hodnocení - všechny IT procesy musí být pravidelně monitorovány a vyhodnocovány – tzn. kontrolovat, zda jejich výstupy jsou v poţadované kvalitě a zda splňují definovaná kontrolní kritéria. Tato doména pokrývá oblasti řízení výkonnosti, monitorování, interní kontroly a správy IT. (zdroj:http://www.itil.cz/index.php?id=1020) Výše uvedené členění je popsané v detailu (viz. příloha č.3).

3.3 Ostatní známé metodiky Ostatní známé a pouţívané metodiky se kterými se běţně setkáváme v rámci organizací a provádění auditu při práci auditora.

BASEL II V metodice BASEL II se jedná o rámec pro stanovení kapitálových poţadavků, tzv. Basel II, představující nejvýznamnější změnu v regulaci kapitálu v oblasti finančních sluţeb za 38

posledních 15 let a zásadní záleţitost v oboru s dalekosáhlými strategickými dopady na následující oblasti: Metodika BASEL II byla vydána v roce 2004 Basilejským orgánem pro bankovní dohled a to s cílem posílit stabilitu a bezpečnost bank a finančních institucí, Metodika BASEL II se zabývá řízením rizik (např. selhání vnitřních procesů) – zavádí postupy pro jejich výpočet. Tato metodika má celosvětový vliv na organizace a jejich IT: ERP, Business Intelligence, Data Warehouse, Business proces management atd. Za úspěšné bude moţné povaţovat tyto organizace: organizace, které rozumně investují v oblasti řízení rizik banky s rozsáhlým retailovými portfolii, zvláště zajištěnými velké úvěrové ústavy s propracovanými finančními operacemi banky schopné trţní mikrosegmentace a identifikace kapitálově efektivních úvěrových příleţitostí banky s prvotřídními podnikovými úvěry instituce s efektivním zajištěním úvěrů instituce schopné prokázat řádné zajištění řízení provozních rizik chytré banky zvládnou také přechod díky IAS/IFRS a v rámci implementace kapitálového konceptu Basel II usilují o transformaci úseků řízení financí a rizik Mezi neúspěšnými organizacemi mohou být takové, které vykazují některý nebo všechny následující rysy, nepřistoupí-li k nápravným opatřením: nízká míra úvěrové angaţovanosti v retailové oblasti vysoká míra speciálních úvěrů významné majetkové účasti nebo menší banky s méně propracovanými systémy řízení rizik nedostatečné zkušenosti v oblasti provozních rizik – subjekty, které sekuritizují, musí pečlivě zvaţovat kaţdý krok (zdroj: www.deloitte.com/view/cs_CZ/cz/.../basel2/index.htm)

39

Sarbanes – Oxley Act (SOX) Pod pojmem SOX se skrývá kontrolní proces známý téţ jako „Reforma účetnictví ve veřejně obchodovatelných společnostech a ochrana investorů“. Důleţitou informací je v tomto případě zakotvení SOXu v americké legislativě od 30. července 2002. To znamená, ţe kaţdý podnikatelský subjekt, jenţ je kótován na newyorské burze má za povinnost provádět činnosti podniku tak, aby nedocházelo k porušování poţadavků stanovených principů SOX, které jsou následující: Nařizuje plnou dokladovatelnost účetních aktivit firem obchodovaných na americké burze (vztahuje se i na dceřinné společnosti – týká se i některých českých firem) Záruka generálního a finančního ředitele za správnost účetních výkazů Renovace finančního výkaznictví, interních kontrol, ukládání dat – způsobem, aby byly splněny poţadavky na rychlost, konzistenci a přesnost Dokumentování a monitorování celé řady procesů Investice do software pokrývající funkcionalitu: Business proces management – monitorování a kontrola procesů Records management – řízení záznamů E-mail archiving – řídnáí archivace elektronické pošty (e-mailů) Document management – správa dokumentů Řešení bezpečnosti

MMDIS Metodika MMDIS (Multidimensional Management and Development of Information System). Cílem metodiky MMDIS je vývoj, údrţba a provoz komplexního a integrovaného informačního systému organizace, která optimálně vyuţívá potenciálu dostupných informačních technologií a informatických sluţeb k maximální podpoře podnikových cílů a procesů. Jde tedy o komplexní metodiku, sloţenou z 11 principů a 5 konceptuálních modelů (konceptů řízení) daného systému (firmy, IS,..) Principy metodiky MMDIS: multidimenzionalita vrstvenost integrace

40

flexibilita otevřenost standardizace kooperace procesní pojetí učení a růstu (postupné zlepšování procesů) lokalizace zdrojů a rozhodnutí měřitelnost (metriky) Základní konceptuální modely metodiky MMDIS: model procesně řízené organizace integrace strategie, procesů, sluţeb a zdrojů (model SPSR) integrace oblastí řízení (model systémové integrace) rozvoj integrovaného IS (model tvorby a dalšího rozvoje IS) systém řízení IS (model řízení informatických procesů ve firmě) (zdroj: VOŘÍŠEK, Jiří. Principy a modely řízení podnikové informatiky. Praha: Oeconomica, Praha, 2008. ISBN 978-80-245-1440-6)

3.4 Porovnání uvedených metodik Velmi zajímavé je případné porovnání výše uvedených metodik COBIT a ITIL. Metodika COBIT prezentuje činnost ICT vůči okolí, které nemá znalosti o ICT. Záběr metodiky COBIT je tedy širší a uţitečnější pro práci auditora, neţ záběr metodiky ITIL, která je určena víceméně jen pro účely útvaru IS/IT a navazujících procesů z pohledu IS/IT. Metodiky ITIL a COBIT se navzájem nevylučují, ale doplňují - existují podniky, které deklarují, ţe mají zavedeny jako procesy ITSM podle ITIL, tak i procesy podle metodiky COBIT. Procesy ITIL jsou pak pouţívány pro operativní a taktické řízení, zatímco COBIT je pouţíván jako nástroj strategického řízení organizace. ITIL je s procesy podle COBIT kompatibilní - jednotlivé procesy i dílčí kontrolní cíle COBIT lze přehledně mapovat na jednotlivé procesy, resp. aktivity ITIL. Avšak COBIT je rozšířen ještě o následující druhy návodů (guide):

41

Cobit Control Practices– Guidance to Achieve Control Objectives for Successful ITG: pomáhají zavést kontrolní cíle do praxe IT Assurance Guide: Using Cobit - je zaloţen na etapách a testech, které jsou společné všem auditům (assurance steps) Ve vazbě na audit mají tedy význam především následující dokumenty: Cobit Framework: Co je třeba udělat pro zavedení systému kontrol Control Practices: Jak dosáhnout cílů kontrol Assurance Guide: Jaké kroky (etapy) má audit obecně a jaké testy se mají realizovat ve vazbě na procesy Cobit Framework Metodika COBIT, na rozdíl od metodiky ITIL, nevzešla z praxe, ale je produktem několika profesionálních auditorských společností, coţ je na jazyku a srozumitelnosti metodiky COBIT podstatně znatelné. Takţe implementace procesů dle metodiky COBIT je oproti metodice ITIL mnohem sloţitější, a procesy COBIT jsou pro lidi z ICT praxe podstatně méně "čitelné" neţ jasné a přehledné procesy ITIL.

42

4 Řízení rizik a návrh ţivotního cyklu auditu provozu IS/IT Řízení rizik je proces, v jehoţ rámci se organizace - subjekt řízení snaţí zamezit působení jiţ existujících i budoucích rizik a taková případná rizika přijímá, sniţuje, přesouvá, nebo odstraňuje (eliminuje) vhodným návrhem procesního, nebo technického řešení. Organizace a její odpovědné osoby se mají řádně snaţit o odstranění (eliminování) případného rizika a jeho neţádoucího vlivu a naopak umoţňit vyuţít příleţitosti působení pozitivních vlivů a tím sníţit případný dopad na proces a organizaci na akceptovatelné minimum. Bezpečnost, efektivitu a soulad s interními předpisy a dalšimi závaznými poţadavky, je nutné řádně řídit a nikoliv ponechat samovolnému působení a očekávání, ţe vše bude bezpečně fungovat bez případných negativních vlivů a následných dopadů na organizaci. Proto je nutné zavedení vhodné prevence a preventivních opatření a snaţit se přiblíţit k následujícímu pravidlu „Prevence a organizace je v bezpečí“. Prevence tedy není jen o řízení rizik, ale především o včasné a efektivně podané prevenci ve formě různých SW a HW nástrojů a dále o kvalitní prevenci ve formě poţadovaného školení zaměstnanců a dodavatelů sluţeb, řádném plánování v rámci organizace, pravidelném zálohování, detekci případného incidentu, moţnosti obnovy obchodní činnosti a v neposlední řadě o nastavení efektivních kontrol a testování procesů dané organizace. Je dobré si také uvědomit, ţe ačkoliv zajištění bezpečnosti informací představuje jisté vynaloţení určitých finančních prostředků, zdrojů a provozních nákladů, nejedná se o investici, která ţádný přímý uţitek na první pohled nepřináší a pouze zatěţuje rozpočet organizace. Ve skutečnosti lze přínos bezpečnosti informací ocenit právě výší škod a pravděpodobností škod, které by mohly nastat, pokud bychom bezpečnost informací neřešili. Je samozřejmě logické poţadovat, aby cena za řešení nedosahovala a nepřevyšovala hodnotu spravovaných dat a informací.

43

4.1 Bezpečnost provozu IS/IT Oblasti provozu a počítačové bezpečnosti jsou velmi široké, od hrozeb a zranitelných míst aţ po způsoby ochrany proti škodám, hrozbám a slabinám. Základní bezpečností problémy mohou být identifikovány jako porušení důvěrnosti, integrity, dostupnosti a jako takové se objevují v procesech, programech, aplikacích, operačních systémech, počítačových sítích, databázích, apod. Problematiku bezpečnosti nelze podceňovat a je třeba k ní přistupovat jako k řešitelnému problému. Obecně lze říct, ţe neexistuje ţádný absolutně bezpečný informační systém, jsou pouze systémy, jejichţ zranitelnost je sníţena na nejniţší moţnou míru, případně na míru, kterou definuje společnost - organizace, která systém provozuje. Pod pojmem bezpečnost provozu IS/IT obvykle rozumíme ochranu odpovídajících systémů, procesů a informací, které jsou v nich uchovávány, zpracovávány a přenášeny. Bezpečnost informačního systému a informačních technologií je komplexní záleţitostí a skládá se z následujících několika dílčích oblastí, které jsou definované například dle poţadavků zákona č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti, který definuje základní druhy zajištění ochrany utajovaných informací: Personální bezpečností, kterou tvoří výběr fyzických osob, které mají mít přístup k utajovaným informacím, ověřování podmínek pro jejich přístup k utajovaným informacím, jejich výchova a ochrana. Průmyslovou bezpečností, kterou tvoří systém opatření k zjišťování a ověřování podmínek pro přístup podnikatele k utajovaným informacím a k zajištění nakládání s utajovanou informací u podnikatele v souladu s tímto zákonem. Administrativní bezpečností, kterou tvoří systém opatření při tvorbě, příjmu, evidenci, zpracování, odesílání, přepravě, přenášení, ukládání, skartačním řízení, archivaci, případně jiném nakládání s utajovanými informacemi. Fyzickou bezpečností, kterou tvoří systém opatření, která mají neoprávněné osobě zabránit nebo ztíţit přístup k utajovaným informacím, popřípadě přístup nebo pokus o něj zaznamenat. Bezpečností informačních nebo komunikačních systémů, kterou tvoří systém opatření, jejíchţ cílem je zajistit důvěrnost, integritu a dostupnost utajovaných informací, s nimiţ tyto systémy nakládají, a odpovědnost správy a uţivatele za jejich činnost v informačním nebo komunikačním systému.

44

Kryptografickou ochranou, kterou tvoří systém opatření na ochranu utajovaných informací pouţitím kryptografických metod a krzptografických materiálů při zpracování, přenosu nebo ukládání utajovaných informací. (zdroj „druhy zajištění ochrany utajovaných informací“: Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnosti způsobilosti. http://www.nbu.cz/_downloads/pravnipredpisy/container-nodeid-604/412-2005-po-11-2011---.pdf). Pouze při komplexním řešení všech výše uvedených oblastí je moţné dosáhnout „bezpečného“ provozu IS/IT a vlastního informačního systému, který je provozován v rámci organizace. Proto stále platí známá zásada, ţe informační systém je tak bezpečný, jak bezpečný je jeho nejslabší článek. Celou problematiku bezpečnosti lze jednodušeji shrnout pod pojmem „bezpečnostní strategie“ společnosti, nebo organizace. Tato bezpečnostní strategie by měla procházet pravidelnou revizí nezávislým auditem a to ať uţ interním, tak i případně externím auditem působícím pro organizaci.

4.2 Bezpečnostní funkce Pojmem „bezpečnostní funkce“ rozumíme sluţby podporující a zvyšující výši bezpečnosti přístupu k datům, datových procesů a přenosů v rámci dané organizace. Základní definice informační bezpečnosti (např. podle ISO 27002) pracuje se základními následujícími pojmy: Důvěrnost (confidentiality, utajení) - k aktivům mají přístup pouze autorizované subjekty (osoby, systémy, procesy) Integrita (integrity) - aktiva smí modifikovat jen autorizované subjekty, respektivě je zde nutnost zajištění kvalitní kontroly přístupu k datům. Dostupnost (accessibility, availability) - aktiva (data nebo sluţby) jsou autorizovaným subjektům dostupná, nedojde tedy k odmítnutí sluţby, kdy subjekt nedostane to na co má právo (zdroj: http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-Brochure.pdf) Materiály, týkající se IT Governance (především COBIT), se s touto komplexní tématikou vypořádavají tak, ţe nepracují s pojmem kvalita IS, ale s pojmem kvalita informací, které chápou jako souhrn následujících atributů:

45

Účelnost (Effectiveness) – předmět, sluţba nebo proces by měl slouţit jen pro dané a schválené účely a měl by vykazovat splnění původního poţadavku. Účinnost (Efficiency) – předmět, sluţba, nebo proces by měl být vyuţit na maximální povolenou míru. Důvěrnost (Confidentiality) – popis viz výše Správnost a úplnost (Integrity) – popis viz výše Dostupnost (Availability) – popis viz výše Soulad s normami (Compliance) – jedná se o soulad s normami a splnění poţadavků Spolehlivost (Reliability) – funkčnost výrobku, nástroje, nebo sluţby (zdroj: Audit Informačního Systému, doc. Ing. Vlasta Svatá, CSc., ISBN 978-80-7431-034-8, str.57)

4.3 Klasifikace dat Veškeré informace a data v informačních systémech podléhají bezpečnostnímu procesu, který nazýváme „klasifikace dat“ a kdy rozdělujeme data na čtyři základní skupiny a pro kaţdou takovou, níţe uvedenou skupinu je vyţadován jiný rozsah zabezpečení a to od ţádného, respektive nulového (minimálního) zabezpečení aţ po významné zabezpečení pomocí kombinace šifrování a fyzické bezpečnosti, nebo dalších bezpečnostních prvků zvyšující poţadované zabezpečení na základě identifikované úrovně případného rizika: Veřejná data - jako například hudba, filmy, informace určené pro veřejné šíření, informace o produktech, ceníky sluţeb, kurzovní lístky, atd. Zde je nulová ochrana a je jedno, kdo se k nim dostane. Citlivá data - jako například rodinné foto, interní bezpečnostní politika, popisy interních procesu, manuály a standardy určené jen pro vnitřní pouţití v rámci organizace, apod. Zde je postačující stupeň ochrany na úrovni například hesla na PC. Důvěrná data - jsou taková data, které běţně pouţíváme na úřadech, v bankách a jedná se především o senzitivní a osobní data jako například číslo platební karty, PIN, hesla, různé identifikační kódy, rodná čísla, čísla dokladů, zůstatky na účtech, dále se můţe jednat o různé projekty, strategické plany, dokumentaci. Zde je důleţité kvalitní zabezpečení proti získání a zneuţitím neoprávněnou osobou například pomocí šifrování, nebo prostřednictím vhodného fyzického zabezpečení.

46

Tajná data - jedná se o soubor informací, které mohou mít významnou cenu pro vlastníka a v případě získání takových dat, nebo odcizení by taková skutečnost znamenala významný finanční dopad a v některých případech by se mohlo jednat i o porušení zákona na ochranu osobních údajů, nebo jiných předpisů, které stanovuje a vydává regulátor (ČNB). Tato nejvyšší a nejsenzitivnější skupina dat vyţaduje maximálního zabezpečení pomocí šifrování, nebo kvalitního fyzického zabezpečení s kvalitním kontrolním mechanismem. Zákon 412/2005 Sb. ještě definuje další stupně klasifikace utajovaných informací, Přísně tajné, jestliţe její vyzrazení neoprávněné osobě nebo zneuţití můţe způsobit mimořádně váţnou újmu zájmům České republiky, Tajné, jestliţe její vyzrazení neoprávněné osobě nebo zneuţití můţe způsobit váţnou újmu zájmům České republiky, Důvěrné, jestliţe její vyzrazení neoprávněné osobě nebo zneuţití můţe způsobit prostou újmu zájmům České republiky, Vyhrazené, jestliţe její vyzrazení neoprávněné osobě nebo zneuţití můţe být nevýhodné pro zájmy České republiky. (zdroj: Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnosti způsobilosti. http://www.nbu.cz/_downloads/pravni-predpisy/container-nodeid-604/412-2005-po-11-2011--.pdf). Veškeré informace a data, které jsou ve správě dané organizace, je nutné mít v neustále aktualizované, detailní a ucelené evidenci včetně výše uvedené specifikace z pohledu klasifikace, umístění a vlastnictví - odpovědnosti v rámci organizace. Tato evidence podléhá pravidelné kontrole a analýze ze strany jmenovaného odpovědného pracovníka, nebo útvaru dohledu a kontroly v rámci organizace. Cílem kontroly je identifikace případného nedostatku v rámci zabezpečení dat a tím předejití moţnému riziku v podobě přístupu neoprávněné osoby k nedostatečně zabezpečeným informacím, nebo v horším případě i moţnému úniku senzitivních informací a dat mimo organizaci.

47

4.4 Interní bezpečnostní politika Bezpečnost je nutné řidit a nikoliv ponechat osudu a jen očekávat, kdy a kde se objeví první bezpečnostní nedostatek. Nejlepší a nejjednodušší moţností je ve většině případů právě včasná prevence a proškolení příslušných odpovědných osob a zaměstnanců. V tomto případě by měl být kaţdý důkladně seznámen s interním provozně organizačním předpisem a také s interní bezpečnostní politikou dané organizace. V oblasti provozu a bezpečnosti IT a TI je termín „bezpečnostní politika“ velice frekventovaným pojmem. Často bývá pouţívána jako synonymum pro systém nastavení parametrů konkrétních bezpečnostních produktů a procesů. Bezpečnostní politika je dokument, který vydává nejvyšší vedení, aby vyjádřilo podporu a zájem o vytvoření ISMS – information security management systém) – viz ISO 27002. Tato bezpečnostní politika je následně podporována řadou dalších politik, interními standardy, apod. Pojmem „bezpečnostní politika“ se také rozumí skupina standardů, pravidel a činností za účelem regulace a řízení zpracování dat, jejich příslušné ochrany a bezpečné distribuce. Většina takových všeobecných bezpečnostních politik je veřejná a přístupná komu-koliv, avšak některé bezpečnostní politiky jsou speciálně a výhradně vytvářené pro distribuci jen v rámci uzavřených skupin a organizací a zde takovou politiku, nebo pravidla označujeme jako „interní bezpečnostní politika“ dané organizace. Bezpečnostní politika je většinou zpracována jako základní písemný dokument vedení organizace, obsahující představu vedení o řešení bezpečnosti a základní poţadavky na jednotlivé oblasti dané organizace. Hlavním a významným úkolem „interní bezpečnostní politiky“ je předcházet neţádoucím situacím jako neoprávněnému přístupu a následnému zneuţití dat (kompromitace, vydírání, korupce), nebo neoprávněné modifikaci dat (manipulace, falšování, podvod) a v neposlední řadě především předcházet jakému-koliv poškození a zničení dat (porušení integrity dat). Při detailním pohledu na interní bezpečnostní politiky lze prohlásit, ţe nejpřísnější interní bezpečnostní politiky vyţadují blokaci a změny přístupů příslušných uţivatelských práv zaměstnanců, nebo dodavatelů do aplikací a provozních systémů a to nejpozději do 24 hodin od vzniku poţadavku na takovou změnu a to z několika důvodů: Odchod zaměstnance – ukončení pracovního poměru, dále přechod zaměstnance do jiného oddělení s odlišným

48

přístupem do systému, ukončení / změna spolupráce s externími dodavateli, nebo z jiných důvodů ke kterým můţeme řadit i významné porušení práva přístupu zaměstnance (uţivatele), které označujeme jako bezpečnostní incident. Bezpečnostní politiku organizace můţeme rozdělit na několik jiţ běţně se vyskztujících a pouţívaných skupin, kde tyto skupiny jsou detailněji rozepsané a vysvětlené níţe v příslušných částech této práce (dokumentu). Bezpečnostní politika se řídí platnou lokální a regionální (EU) legislativou, metodikami a standardy, které jsou uvedeny na začátku tohoto dokumentu. Všeobecná „bezpečnostní politika organizace - je souhrnem zásad a předpisů definujících způsob zabezpečení organizace od fyzické ostrahy, přes ochranu profesních zájmů aţ po ochranu soukromí a lidských práv. Bezpečnostní politika IT - organizace se zabývá výběrem bezpečnostních zásad a předpisů, které obecně definují bezpečné pouţívání informačních zdrojů v rámci organizace nezávisle na konkrétně pouţitých informačních technologiích. Systémová bezpečnostní politika IT - určuje detaily konkrétních norem a předpisů, které definují způsob správy, ochrany a distribuce informací v rámci dané organizace. Také specifikuje bezpečnostní opatření a způsob jejich implementace a určuje způsob pouţití těchto opatření, přičemţ jsou respektovány pouţité IT prostředky, produkty a procesy. Vychází z bezpečnostní politiky IS organizace a právě zpřesňuje poţadavky na bezpečnostní prvky jednotlivých oblastí. Při jednotném řešení bezpečnosti organizace nemusí být vţdy tento dokument zpracováván. Technicko organizační předpis - popisuje a určuje začlenění bezpečnostní politiky jako takové do procesů dané organizace. Tento předpis můţe být ve formě uceleného – komplexního dokumentu s příslušným schválením vedením organizace, nebo se skládá s dílčích částí popisující jednotlivé oblasti provozu organizace. BCP (Business Continuity Plan) - popisuje způsob pokračování provozu v případě, ţe nastane situace přerušení provozu z důvodu způsobeného rizika, nebo hrozby. BCP, nebo také COB (Continuity of Business) plán by měl být vypracován pro celou organizaci a tento plán by měl popisovat veškeré procesy v rámci organizace a způsob jejich obnovy. To znamená, ţe je nutné mít předem určené i případné náhradní COB prostory ze kterých bude moţné zajistit poţadovaný náhradní provoz do doby

49

kompletní obnovy do původního rozsahu bţného provozu. Také je nutné definovat pro kaţdý proces potřebně časy obnovy a poţadované dostupnosti, potřebné interní a externí zdroje, HW, SW, aplikace, výstupy a návazné procesy. BCP a COB plány je nutné testovat na pravidelné bázi a to minimálně jednou za 6 měsíců. Odpovědné osoby a COB koordinátoři podléhají pravidelnému školení. DRP (Recovery Plan) - je podobný BCP a COB procesnímu plánu a popisuje proces obnovy provozu v případě, ţe nastane situace přerušení provozu z důvodu způsobeného rizika, nebo hrozby. DRP Plán by měl být k dispozici a zpracován pro celou organizaci a veškeré procesy. Avšak DRP plán můţe být následně vyuţit jen pro obnovu funkčnosti jen určité části provozu dle rozsahu výpadku, nebo poškození. Při tvorbě bezpečnostních politik a technicko organizačních předpisů, vycházíme z předpokladu, ţe správná bezpečnostní politika a technicko organizační předpisy musí vţdy zapadat do ţivota dané organizace, tj. musí „zasáhnout“ doslova kaţdého v dané organizaci. Vlastní zpracování bezpečnostní politiky a technicko organičních předpisů vychází z podmínek a potřeb organizace a průběţně provedené analýzy rizik. Slova některých IT a IS expertů zní, ţe je horší mít napsanou interní bezpečnostní politiku, která není pravidelně a důsledně komunikována a prosazována v rámci organizace, neţ nemít politiku ţádnou. Podobná slova jsou platná i pro technicko organizační předpisy, avšak v tomto případě velmi záleţí na oblast podnikání a provozu dané organizace, protoţe nelze srovnávat drobné organizace s minimální odpovědností za provoz, produkt, zaměstnance a na druhé straně s organizacemi, které mají významné a představují určité bezpečnostní provozní riziko jak pro zaměstnance, tak i pro danou organizaci s vyššími riziky na produkt, sluţby a okolí.

4.5 Zabezpečení přístupu k datům Termín zamezení neoprávněného přístupu k datům by se dal rozdělit do dvou základních skupin. Za prvé je to zamezení uţivateli v tom, aby jakým-koli způsobem mohl citlivá data neoprávněně zobrazit či dokonce modifikovat. V tomto případě není důleţité, zda mu k přístupu dopomůţe chyba software nebo zachycení či rozluštění přístupového hesla. Druhá skupina bezpečnosti se vztahuje k fyzické bezpečnosti zařízení, kdy jejím principem je zabránit neoprávněným osobám, aby se fyzicky zmocnili datového nosiče, například krádeţí 50

počítače. O této druhé skupině pojednává více téma fyzické zabezpečení dat, které není hlavním předmětem tohoto dokumentu. Nicméně platí základní bezpečnostní pravidlo a to pokud se nepovolaná osoba jakýmkoli způsobem dostane k citlivým datům, existuje zde ještě jedna moţnost jejich ochrany, totiţ jejich šifrování a tím ujištění, ţe je jen velmi malá pravděpodobnost, ţe se tato nepovolaná osoba dostane k zašifrovanému obsahu a prostřednictvím různých metod zkoušet data rozšifrovat.. V tomto případě by útočník bez znalosti hesla víceméně nemohl data dekódovat a informace pouţít. Riziko odcizení či prozrazení dat dvěma prvními způsoby nelze nikdy zcela odstranit, proto je nezbytné pouţívat k ochraně zvlášť citlivých informací šifrování (viz kapitola o bezpečnosti a šifrování). Data běţně obsaţená v intranetových sítích patří ve většině případů buď k běţně dostupným informacím, či interním informacím organizace, které jsou sice důvěrné, ale k jejich zabezpečení není nutné pouţívat kryptografické metody. Pokud pomineme fyzickou krádeţ dat, můţe k nim útočník přijít několika různými způsoby: Průnikem z vnější sítě za pouţití chyby v software, nesprávné konfigurace nebo nedostatečně zabezpečeného přístupu - jen za předpokladu, ţe je podniková síť (intranet) propojena s veřejným internetem, to však platí v převáţné většině případů; toto riziko lze podstatně sníţit pomocí firewallu Průnikem z vnitřní sítě - zneuţitím cizího uţivatelského konta (hesla) nebo nesprávné konfigurace přístupových práv

4.6 Identifikace a autentizace Kaţdá organizace by měla obecně vycházet z pravidla, ţe spravované informace mají cenu zlata a proto je nutné řádně dbát o bezpečný přístup k takovým datům a zajistit, aby k informacím a datům měl přístup jen prověřený a schválený uţivatel, nebo skupina uţivatelů a naopak, aby bylo řádně zabráněno v přístupu ostatním, kteří nemají nic společného s takovým rozsahem dat a informací. Bezpečnost provozu IS/IT, případně vlastních a spravovaných dat a informací je jedna z nejdůleţitějších priorit kaţdé společnosti a organizace. Proto vhodná investice do systému zajišťujících bezpečnost, monitorování datových toků, nastavení přístupových práv

51

uţivatelům a předcházení útoků je velmi potřebná, a je především měřítkem, jak si společnost cení vlastních dat. Právě tato oblast podléhá zvýšené pravidelné kontrole a nezávislému testování s následně provedeným auditem, který porovná skutečný stav s veškerými bezpečnostními poţadavky a interními směrnicemi. Ke splnění úkolu definovaných ve výše uvedené interní bezpečnostní politice organizace a zamezení neoprávněného přístupu k datům se v prvé řadě pouţívá termínů jako identifikace, autentizace, autorizace uţivatelů, kontrola přístupů uţivatelů. Pod pojmem identifikace rozumíme zjištění uţivatelovy identity, například tím, ţe zadá své uţivatelské jméno nebo kód (User ID). Autentizace znamená ověření toho, ţe je uţivatel skutečně tou osobou, za kterou se vydává. K tomuto účelu se pouţívá mnoţství technik, z nichţ nejstarší a nejčastěji pouţívanou je ověření uţivatele pomocí uţivatelského hesla, tedy posloupnosti znaků, která by měla být známá pouze jemu a nikomu dalšímu, pokud se jedná jen o běţný přístup a nikoliv o speciální tzv. funkční přístup, kde lze sdílet přístupové jméno a heslo s více uţivateli, avšak za předpokladu, ţe takovou moţnost dovoluje a definuje interní bezpečnostní politika dané organizace. Většina autentifikačních technik je uvedena v rámci této práce, nicméně jsou autentifikační techniky, které vyţadují existenci jistých spolupracujících technických zařízení a to například následně uvedených: HardToken - Token Management System Smart Card USB Tokens Smart Cards Hybrid (OTP / SC / Storage) Tokens OTP (One Time Password) Tokens SoftToken - Software / Mobile authenticators Biometrické ověřování vyuţívající různé váţení, nebo měření osoby (vstup do provozu vydávání platebních karet), snímání oka, nebo otisku prstu

52

Autorizací se rozumí zjištění, zda má uţivatel právo provést určitou akci, získat data či vyuţít sluţbu. Identifikace, autentifikace, autorizace uţivatelů a kontrola uţivatelů jsou v počítačových systémech neodlučitelně spojeny. Autentizace uţivatelů vychází z následujících metod: Uţivatel něco ví - uţivatel prokáţe znalost nějakého smluveného kódu, který by měl být znám pouze jemu. Typickým příkladem je pouţití hesla či číselného kódu “PINu”. Uţivatel něco vlastní - uţivatel se prokáţe jedinečným technickým zařízením, například čipovou kartou, kartou s magnetickým prouţkem, generátorem PINu vázaným na daného klienta, apod. Uţivatel něčím je - jde o aplikaci metod biometrie, tedy porovnání otisku prstu, struktury oční sítnice či analýzu hlasu. Pojmem kontrola přístupů, respektive přístupových práv se rozumí pravidelná, nebo nepravidelná kontrola, zda uţivatel vstupuje opravdu tam kam je mu dovoleno a zda profil uţivatele obsahuje jen taková práva, které vyţaduje povaha práce pro kterou je vyţadované právě dané nastavení práv. Bezpečnost lze jednoduše a značně zvýšit kombinací výše uvedených metod. Jedním z nejpouţívanějších příkladů je moţnost přihlášení do internetového bankovnictví, kdy uţivatel vlastní generátor PINu, heslo a uţivatelské jméno (login ID). Dalším běţným příkladem můţe být výběr finanční hotovosti z (ATM) bankomatu pouze pro vlastníka platební karty, který zná její přístupový kód PIN, nebo v neposlední řadě i běţné pouţívání interního systému v rámci dané organizace, ale také i pouţívání nadstandardních autentizačních nástrojů v případě například fyzického přístupu do senzitivnějších prostoru (místnost se servery, bankovní trezor, apod.)

4.7 Ochrana uloţených dat Uloţená data lze zabezpečit a ochránit pomocí následujících dvou základních rozdělení: Offline – vybrané soubory a sloţky si uţivatel exciplitně chrání šifrováním v nainstalovaném příslušném šifrovacím programu jako například PGP – Pretty Good

53

Privacy, nebo šifrované v rámci komprimačních programů jako například ARJ, RAR, WinZIP, SecureZIP. Online – šifrovací program je nainstalován přímo v operačním systému, nebo v rámci aplikace a speciálně po řádné konfiguraci zajišťuje automatické šifrování veškerých příslušných souborů a sloţek, která splňují nastavená kritéria. V tomto případě se můţe jednat o speciální „chráněné“ sloţky, nebo soubory odesílané prostřednictvím elektronické pošty, apod.

4.8 Řízení rizik Řízení rizik je proces, v jehoţ rámci se organizace - subjekt řízení snaţí zamezit působení jiţ exitujících i budoucích rizik a navrhuje řešení, která pomáhají eliminovat účinek neţádoucích vlivů a naopak umoţňují vyuţít příleţitosti působení pozitivních vlivů. Součástí procesu řízení rizik je i rozhodovací proces, vycházející z analýzy rizik (viz kapitola níţe „Analýza rizik“), ve kterém management dané organizace, nebo příslušný útvar pro řízení rizik vyvíjí, analyzuje a srovnává moţná preventivní a regulační opatření. Posléze z nich vybere ta, která existující rizika minimalizují. Jako nedílnou součást řízení rizik bývá chápáno i šíření informací o riziku v rámci dané organizace a v neposlední řadě také vnímání, přijmutí rizika příslušným vlastníkem, nebo útvarem s následujícími kroky v rámci ţivotnosti a ţivotního cyklu případného rizika, které můţe být po celou dobu stejné, nebo se můţe měnit a to v lepším případě sniţovat a v horším ještě zvyšovat a působit i na jiné procesy, neţ-li původně identifikované. Kaţdé podezření na moţné identifikované riziko je nutné hlásit odpovědnému útvaru v rámci organizace a to dle interní procedury Incident a Risk Management, která by měla být součástí kaţdé organizace.

4.8.1 Hrozba, riziko a dopad Velmi často pouţívané termíny v rámci interních auditů, bezpečnostních kontrol a analýz rizik mohou být: Hrozba – potenciální moţnost vyuţití zranitelného místa k útoku, respektivě ke způsobení škody, ke zničení dat a informací s charakteristikou hrozeb - zdrojem (vnější, vnitřní), motivace (finanční zisk, průmyslová špionáţ, …) a frekvencí. Riziko – pravděpodobnost vyuţití zranitelného místa s charakteristikou takového rizika jako pravděpodobnost výskytu nechtěného incidentu a následně způsobené

54

škody, nebo-li nebezpečí vzniku škody, poškození, ztráty či zničení, nebo jiné neţádoucí události či jiného negetivního vlivu. zdroj definice? Dopad – důsledek incidentu

4.8.2 Zranitelné místo (slabina) Pod pojmem zranitelné místo rozumíme určitý bezpečnostní nedostatek, nebo slabinu v rámci (informačního) systému, nebo procesu, která můţe být vyuţitelná ke způsobení škod nebo ztrát útokem. Můţe se vyskytovat například ve fyzickém uspořádání, v organizačních schématech, v administrativních opatřeních, v personální politice, ve správě nebo managementu dané organizace, v logických a technických opatřeních a dále ve vlastním informačním systému. Hlavními příčinami jsou především chyby v analýze, návrhu, implementaci, dále případná nepřehlednost ve sloţitosti software a občas se objevujících existenci skrytých (postranních) kanálů v rámci aplikací a procesů, které mohou být úmyslně, nebo neúmyslně opomenuté, případně i nadále vyuţívané bez vědomí majitele takových aplikací, nebo procesů.

4.8.3 Bezpečnostní incident Bezpečnostním incidentem (útokem) rozumíme: buďto úmyslné vyuţití zranitelného místa ke způsobení škodě / ztrátě na tzv. aktivech, nebo neúmyslné uskutečnění akce, jejímţ výsledkem je škoda na aktivech, respektive datech procesovaných, přenášených, nebo uloţených v rámci informačního systému dané organizace. Bezpečnostní incident tedy představuje narušení bezpečnosti IT a pravidel definovaných k jeho ochraně (bezpečnostní politiky). Můţe se tedy jednat například o: vydávání se za jinou oprávněnou osobu a zneuţívání jejích privilegií neoprávněné zvýšení svých privilegií přístupu k informacím pokaţení funkcionality softwaru doplněním skrytých funkcí zařazení se jako skrytého mezičlánku v konverzaci jiných subjektů poţár, potopa, případně jiné přírodní poškození Denial of Service (DoS – odepření sluţby), Distributed Denial of Service (DDoS – distribuované odepření sluţby – např. Červ CodeRed).

55

Bezpečnostní incident můţe vzniknout v rámci oblasti informačního systému (dané organizace), ve kterém jsou zpracovávána, uchovávána, přenášena data, která jsou nositeli informací, obsahuje následující prvky, nebo oblasti nazývané také jako aktiva organizace. Hardware – síťové prvky, procesor, paměti, terminály, telekomunikace atd. Software - aplikační programy, aplikace, operační systém atd. Data - data uloţená v databázi, výsledky, výstupní sestavy, vstupní data atd. Kaţdý identifikovaný bezpečnostní incident by měl podléhat přísnému procesu dle interní bezpečnostní politiky a to v takovém rozsahu, ţe je nutné kaţdý takový bezpečnostní incident řádně a včas oznámit pověřené osobě a vedení a následně zajistit maximální rozsah detailu pro zápis, který musí stručně popisovat veškeré náleţitosti jako místo a čas vykonání, identifikace a nahlášení incidentu, dále rozsah narušení, nebo poškození hardware, software, souboru dat. Také je nutné kaţdému takovému identifikovanému incidentu stanovit výši a rozsah dopadu dle předem definované klasifikační tabulky (má být definována a k dispozici v rámci organizace a její interní bezpečnostní politiky, která by měla popisovat přesný postup pro případný bezpečnostní incident) a oklasifikovat o jaký typ poškozených dat se jedná. Tato klasifikace je velmi důleţitá pro vypracování detailní zprávy, dokumentace, analýzy, která určí případný dopad a následné kroky a to například oznámení vzniklého incidentu regulačnímu úřadu ÚOOÚ (Úřad pro ochranu osobních údajů), ČNB (Česká Národní Banka), nebo přímo na PČR (Policie České Republiky).

4.8.4 Postup řízení rizik Kaţdá organizace řešící řízení rizik „Risk Management“ má vlastní postupy, které lze převáţně rozdělit na následující fází, kdy tyto fáze se cyklicky opakují pro kaţdé takové identifikované riziko. Identifikace rizika – podstatou je zjištění a strukturovaná evidence významných rizik v rámci dané organizace, ůtvarů, procesů, nebo aplikací Analýza rizika – jde o stanovení a rozbor zdrojů rizika a stanovení indikátorů včasného varování, jakoţ i stanovení vlastního rizika. Měření rizika – spočívá v určení pravděpodobnosti vzniku a velikosti dopadu rizika buď v kvantitativní škále (nejlépe v peněţním ocenění výše škody), nebo v kvalitativní škále. 56

Strategie řízení rizika – spočívá ve výběru nejvhodnějšího postupu pro zvládání příslušného rizika, a to v souladu s celkovou strategii řízení rizik a interní politikou v rámci společnosti. Procesy a postupy zvládání rizika (konkrétní řízení) – jsou zaloţeny na aktivním ovlivňování pozice rizika – sniţování potencionálních škod a pravděpodobnosti jejich vzniku a jsou konkretizací přijaté strategie a taktiky řízení rizika. Monitorování rizika – je zaloţeno na pravidelném operativním sledování daného rizika, vyhodnocování indikátorů v podobě KPI (Key Performance Indicators), kdy se jedná o vykazování limitů výkonnosti a KRI (Key Risk Indicators), kde se jedná o vykazování limitů rizikových předem definovaných faktorů a to vzhledem k přijatým a schváleným limitům daného provozu organizace s následným posuzováním opatření při vykázání a identifikace vyšších hodnot. Vykazování o rizicích – obsahuje pravidelné vykazování sledovaných ukazatelů rizik za jednotlivá rizika, oblasti a celou společnost. Toto vykazování je velmi podobné jiţ prezentovaným KPI a KRI ukayatelům výkonnosti a rizikovosti. Konsolidace rizik – představuje agregaci (sloučení) dílčích sloţek komplexního rizika za celou společnost (např. aplikační, procesní, nebo systémové). (zdroj: ISO 27005 „Information security risk assessment“ http://www.unmz.cz/urad/unmz)

4.8.5 Analýza rizik Analýza rizik je nezbytným krokem systémového řešení bezpečnosti. Je moţné ji provádět pro organizaci nebo informační systém, před zpracováním plánů kontinuity a to jak organizace, procesů, tak i informačního systému. V rámci ţivotního cyklu informačního systému předchází vytvoření technicko-organizačních pravidel, nebo-li„ bezpečnostní politiky“, která by měla být aktualizována při kaţdé změně ohroţení nebo zabezpečení. Analýza rizik představuje nástroj, který pomáhá odhalit bezpečnostní rizika působící na informační systém a přispívá k návrhu bezpečnostních opatření s následujícím sledováním průběhu opatření, sniţování rizika příslušnou adekvátní kontrolou a následnou poţadovanou nápravou dle interni bezpečnostní politiky dané organizace. V prvním kroku se tedy provádí hodnocení bezpečnostních rizik, které představuje identifikaci aktiv a hrozeb. V dalším kroku se hodnotí zranitelnost aktiv vůči těmto hrozbám a pravděpodobnost výskytu. V rámci hodnocení bezpečnostních rizik se také běţně provádí odhad jejich potencionálního dopadu. 57

Na základě výskedků hodnocení bezpečnostních rizik se navrhují bezpečnostní poţadavky pro systém, které mají zajistit bezpečný provoz v rámci vyuţívání informačních systémů. Analýza rizik by měla zahrnovat nasledující hlavní body: Identifikace aktiv Identifikace hrozeb Ohodnocení aktiv Určení pravděpodobnosti uplatnění hrozby Určení zranitelnosti kaţdého aktiva hrozbou Při hodnocení rizik: se zvaţuje poškození aktiv, kde poškození můţe být způsobeno selháním bezpečnosti. Při hodnocení rizik je nutné vzít v úvahu potencionální důsledky ze ztráty důvěryhodnosti, integrity nebo dostupnosti informací a jiných aktiv. se posuzují reálné pravděpodobnosti výskytu chyb z pohledu převaţujících hrozeb, zranitelnosti a aktuálně implementovaných opatření v rámci organizace. Výsledky hodnocení rizik pomáhají vedení organizace určit priority a stanovit potřebné kroky, které povedou ke zvládání bezpečnostních rizik u informací a k realizaci opatření určených k zamezení jejich výskytu. V některých případech je moţné, ţe proces hodnocení rizik a stanovení opatření se bude opakovat několikrát, aby byly pokryty různé části dané organizace nebo její jednotlivé informační systémy. Vlastní revizi případných bezpečnostních rizik a přijatých opatření je důleţité provádět pravidelně (periodicky), aby bylo moţné: určit změny hrozeb a z toho vyplývajících poţadavků a priorit organizace vzít v úvahu nové druhy hrozeb a slabin potvrdit na základě získaných zkušeností vhodnost a účinnost přijatých opatření

58

Revize rizik by se měla provádět v různých hloubkách závisejících na výsledcích předcházejících vykonaných analýz a změn v úrovni rizik, které je vedení organizace připraveno akceptovat. Hodnocení rizik je často zpočátku realizováno na obecné úrovni. Zde se hodnocení rizik vyuţívá jako prostředek ke stanovení priority zdrojů v oblasti závaţných rizik. V kaţdém, případě je nutné si stanovit úroveň, na které je nutné analyzovaná rizika eliminovat. Snaha o odstranění všech rizik by samozřejmě vedla k neúměrným nákladům při realizaci příslušných opatření a zákonitě by se podepsala i na propustnosti informačního systému dané organizace. Z tohoto důvodu se v rámci analýzy rizik posuzují také otázky zbytkových rizik ve vztahu k hrozbám, úrovni zranitelnosti a navrhovaných protiopatření v podobě úpravy procesů a zavaděním adekvátních kontrol. Případně identifikované riziko lze ještě rozdělit a rozlišovat na níţe uvedené: Riziko přirozené „Inherentní“ (Inherent Risk), které je běţně součástí procesů a informačních systémů dané organizace. Jedná se tedy o riziko tak zvané zbytkové. Takto získaná inherentní rizika lze sníţit o existující mitigační faktory, které jsou v rámci organizace naimplementovány. Mitigačním faktorem můţe být například zavedení mezinárodních standardů, existence vnitřních předpisů a metodik, kontrolních mechanismů atd.

Riziko kontrol (kvality) – zde se jedná o riziko, ţe se i přes implementované kontroly né vţdy podaří odhalit drobné chyby. Riziko auditu – jedná se o riziko auditora, respektive chyby, které se né vţdy podaří odhalit během provádění příslušného auditu Riziko residuální (Residual Risk) - po zohlednění mitigačních faktorů tedy po sníţení inherentního rizika o stávající kontrolní mechanismy získáme reziduální (zbytkové) riziko. Toto výsledné riziko je třeba pro srovnatelnost finančně ohodnotit (nebo-li vyčíslit dopad reziduálního rizika - pokud je to ovšem moţné) a dále stanovit pravděpodobnost výskytu v rámci provozu organizace.

4.8.6 Provozní rizika a hrozby Samozřejmě, ţe největším rizikem jsou uţivatelé z řad zaměstnanců a dodavatelů. Dalším významným rizikem mohou být obecně nedostatečně definované interní předpisy v rámci 59

organizace a nedostečně definovaný a nastavený kontrolní mechanismus. Hrozbou můţe být například poţár, povodeň, nebo jiný přírodní ţivel, nebo katastrofa. Obecně rizikové faktory lze rozdělit dle následujících skupin: Zaměstnanci – neznalý a nepoučený zaměstnanec, který neprojde řádným školením se stáva hrozbou pro organizaci. Samozřejmě, ţe i proškolený zaměstnanec můţe představovat určité riziko pro organizaci, avšak v takovém případě se většinou jedná jen o neúmyslné nedodrţení interních předpisů. V horším případě se můţe jednat o úmyslné nedodrţení interních předpisů, například nespokojeným zaměstnancem, který úmyslně způsobí škodu zaměstnavateli (organizaci). Dodavatelé – podobný případ jako u běţného zaměstnance, kde neznalý a nepoučený zaměstnanec dodavatelé, který neprojde řádným školením se stáva rizikovým faktorem pro organizaci. Nedostatečně definované procesy E2E – sebemenší opomenutí, nebo i drobný nedostatek v rámci definice procesu můţe znamenat také určité riziko pro organizaci a její procesy. Nedostatečně zpracovaná interní bezpečnostní politika – můţe představovat riziko pro organizaci v případě, ţe organizace má nedostatečně definovanou interní bezpečnostní politiku, nebo dokonce takovou politiku nemá definovanou vůbec. Nedostatečně zpracované interní technicko organizační pravidla organizace – můţe se jednat o podobné riziko pro organizaci jako nedostatečně zpracovaná interní bezpečnostní politika, avšak v tomto případě se jedná o definování procesů Nedostatečně otestované a komunikované výše uvedené poţadavky v rámci organizace, zaměstnanců a třetích stran – opět můţe dojít k riziku a to pokud daná organizace neuskuteční vše potřebné pro řádné otestování a komunikaci příslušné skupině uţivatelů, nebo jen jednotlivcům. Obecně faktory hrozeb lze rozdělit dle následujících skupin: Povodeň – můţe způsobit častečné, nebo i úplné poškození provozu organizace. Kaţdá organizace, která má provoz v zátopových oblastech by měla mít vytvořený krizový plán (COB, BRP) pro případ povodně a moţného zatopení provozu.

60

Poţár - můţe způsobit častečné, nebo i úplné poškození provozu organizace. Kaţdá organizace by měla mít řádně implementované veškeré protipoţární opatření na základě rozsahu a rizikovosti svého podnikání. Blesk a jiné elektrické přepětí – organizace by měla příjmout taková bezpečnostní opatření, která zajistí implementaci a instalaci jen plně schváleného, certifikovaného a kontrolovaného elektrotechnického zařízení. Organizace ma za povinnost provádět pravidelná měření a zajistit provedení revize nezávislým revizním technikem. Externí útočník - organizace by měla příjmout taková bezpečnostní opatření, která znemoţní, nebo stíţí moţnost poškození zařízení provozu externím útočníkem, myšleno cizí osobou a proniknutí do provozu zvenčí.

4.8.7 Bezpečnostní hrozby roku 2011 V této části je uvedeno několik hrozeb, které neustále slýcháváme na různých konferencích a seminářích z pohledu IS/IT. Takové hrozby rozhodně není radno podceňovat a je nutné příjmout takové organizační opatření, aby v případě takových hrozeb došlo jen k velmi minimálnímu dopadu na příslušnou organizaci.

4.8.7.1 PSIB ČR - průzkum stavu bezpečnosti v ČR Společnosti Ernst & Young, NBÚ, DSM – data security management provádějí na pravidelné bázi průzkum stavu bezpečnosti v ČR pod názvem „PSIB ČR“.

Obrázek 2: PSIB ČR (zdroj: http://www.dsm.tate.cz/cz/download/ - 2009 © Ernst & Young, NBÚ, DSM – data security management ISBN 978-80-86813-19-6)

61

Tento průzkum stavu bezpečnosti vyuţívá

odpovědí skupiny respondentů, kdy v rámci

průzkumu jsou osloveny společnosti s nejméně 100 zaměstnanci. Mezi respondenty jsou nejvíce zastoupeny (61 %) společnosti do 500 zaměstnanců. Organizační zabezpečení Hodnocení informační bezpečnosti Bezpečnostní politika a standardy Plány obnovy funkčnosti Řešení bezpečnosti Outsourcing Internet a Elektronický podpis Problematika ochrany osobních údajů a utajovaných informací

4.8.7.2 Rizika Mobilního Bankovnictví Pouţívání mobilních telefónů a především tak zvaných „chytrých telefónů“ je na významném vzestupu. Tyto chytré telefóny jsou stále více a více pouţívané například pro bankovnictví. Dokonce i někteří odborníci říkají, ţe mobilní bankovnictví provozované v mobilních telefonech pomocí interně instalovaných bankovních aplikací by nemělo být aţ tak cíleno podvodníky, jako tomu bude u internetového bankovnictví, které bude provozované na mobiních telefonech jen v rámci příslušného mobilního prohlíţeče.

4.8.7.3 Rizika Sociálních Sítí a Web 2.0 Ţijeme ve světě, ve kterém technologie výrazně změnily způsob, jakým lidé komunikují, jak jsou informováni a jakým způsobem dělají svojí práci. Tradiční společensko-sociální vazby se rozšířily z několika desítek známých na stovky přátel, jejich přátel a kontaktů. Růst sociálních sítí je neuvěřitelný: milióny lidí po celém světě jsou členy jedné nebo více sociálních sítí a na pravidelné bázi i několikrát denně se tak připojují k Facebooku, Twitteru, LinkedIn, apod. Sociální sítě na pracovišti mají své výhody i nevýhody. Mezi výhody lze jednoznačně shrnout: Efektivnější oslovení trhu

62

Osobní kontakt Zlepšení vlastní reputace Účinný marketing - Firemní stránka (zeď) slouţí pro marketing a prodejní akce , dále lze vloţit informace o nás (o firmě), hodnocení, diskuze, odkazy, fotky a videa, apod. Mezi nevýhody lze zařadit: Sociální inţenýrství – můţe vést ke zcizení dat a identity. Tato oblast představuje v současné době čím dál rozšířenější problém a má stále více obětí. Viry a malware – Hackeři jsou stránkami sociálních sítí přímo přitahováni, protoţe v nich vidí velký potenciál k páchání nekalých aktivit typu spamových útoků či distribuce škodlivého kódu. Zatíţení internetové konektivity dle rozsahu přenosu dat (videa a rozsáhlejší síťové aplikace). Reputace a právní odpovědnost – můţe být způsobena škoda zaměstnavateli a to pokud případný zaměstnanec komentuje svého zaměstnavatele, coţ můţe vést ke sníţení reputace celé firmy. Sníţení produktivity zaměstnance a nesoustředění se na daný proces odpovědnosti. Výsledkem je otázka a to, zda zakázat, nebo ponechat moţnost vyuţívání sociálních sítí zaměstnanci. Jednoznačně je nutné definovat politiku bezpečnosti při vyuţívání internetu a všechny zaměstnance seznámit a proškolit s poţadavky a zájmy organizace. Jsou organizace, kde je nutné zakázat jaký-koliv přístup k sociálním sítím z důvodů povahy a správy senzitivních dat (banky, finanční instituce, apod). Avšak nejjednodušší je nastavit určité omezení a zakázat přístup uţivatelům, kde není důvod pouţívání sociálních sítí a kde je určité známé riziko v případě pouţívání některých sociálních sítí. Na druhou stranu jsou však firmy a zaměstnanci, kde je nutné mít moţnost pouţívání sociálních sítí z důvodu nutnosti a to například pouţívání dalšího komunikačního kanálu s klientem a být tím klientům blíţe. Dále je pouţívání vhodné při poţadavku na zvýšení marketingu a propagace sluţeb a výrobků dané společnosti. V tomto případě je vhodné pouţívání sociálních sítí umoţnit a to plně, nebo alespoň v určitém časovém rozsahu před a po pracovní době a případně i během polední přestavky a tím neumoţnit sníţení produktivity zaměstnance. Tento druhý způsob je však vhodný pouze pro organizace s nízkým rizikem, které nejsou z oblasti bankovnictví, státních

63

úřadů, nebo finančních sluţeb, apod. Také je nutné příjmout určitá bezpečnostní pravidla v rámci pouţívání jednotlivých sociálních aplikací a to například pomocí nastavení práv (Admin, Přátelé, Fanoušci, apod.).

4.8.7.4 Rizika „Malware, Botnets a DDoS“ útoků Distributed Denial-of-Service, nebo-li DDoS útoky se také postupně zvyšují. Ve skutečnosti se jedná o útoky proti vedoucím e-commerce webům o které je nyní zvýšený zájem mezi útočníky. Také mezi bankovními institucemi se očekává zvýšený počet moţných útoků.

4.8.7.5 Rizika Phishing Především bankovní sféra a finanční instituce čelí útokům Phishingu, kdy se útočník – podvodník snaţí získat senzitivní informace a přihlašovací údaje klienta pomocí podvodných zpráv a emailů, které jsou podvodníkem posílané jako jménem banky, nebo finanční instituce. Čím více je pouţíván veřejný Internet, tím více uţivatelé spoléhají na jeho pohodlné zprostředkování sluţeb jako jsou například bankovní sluţby, nákupy on-line prostřednictvím internetových obchodů a podobně. Avšak bohuţel je Internet téţ zneuţíván podvodníky, kteří rozesílají e-maily, které mají vzbuzovat dojem, ţe pocházejí od nějaké takové sluţby. Tyto emaily vypadají neuvěřitelně věrohodně a běţně se jim říká „Phishing“ (tento název je odvozen od anglického slova „Fishing“ neboli přeloţeno do českého jazyka „Rybolov“). Jejich jediným cílem je samozřejmě „ulovit“ jaké-koliv osobní data osob a klientů finančních společností za které se Phishing podvodníci vydávají prostřednictvím právě velmi důvěryhodných e-mailů (viz obrázek níţe). Phishing e-maily se rovněţ řadí ke spamu, ale mají však daleko k neškodnosti, jde především o pokus cizí strany, která se vydává za banku či jinou finanční důvěryhodnou instituci, o získání citlyvých informací (hesla, kódy ke kreditní kartě). Obvykle formou ţádosti o ověření údajů, které má uţivatel poslat přes nějaký podvodný formulař, který ma za úkol být velmi „důvěryhodný“ a podobný oficiálním formulářům, které vyuţívájí banky a finanční instituce.

4.8.7.6 Corporate Account Takeover Velkým rizikem jsou především zaměstanci, kteří mají přístup k informacím a datum a hrozí, ţe případně chybně zabezpečená data mohou být zneuţita právě zaměstancem dané oranizace. Je nutné zajistit maximální mnoţství bezpečnostních prvků, které ochrání informace před případným neoprávněným přístupem a následným transportem mimo organizaci.

64

4.8.7.7 Skimming Výrazné zastoupení představuje tak zvané kopírování platebních prostředků ve formě platebních karet, kdy stále dochází k odcizování identity jakým-koliv způsobem k získání ověřovacích údajů příslušné platební karty a tím zneuţití tohoto platebního nástroje podvodníkem ve svůj prospěch. Odhalování a následné dokazování je velmi sloţité a má výrazný dopad na příslušnou organizaci jako finanční instatituci provozující platební karty.

4.9 Návrh ţivotního cyklu auditu IS/IT Kaţdý audit by měl mít definovan ţivotní cyklus včetně jednotlivě navazujících částí, které jdou po sobě a tím se zadavatel, nebo vykonavatel auditu dostane od původního a předběţného plánování k vlastní realizaci auditu a následně aţ k fazí vydání závěrečné auditorské zprávy s následným sledováním dodrţování nápravných opatření a to pokud došlo k identifikaci určitých procesních nedostatků a nálezů. Ţivotní cyklus auditu je převáţně standardně definován a skládá se z několika základních oblastí (fází), kdy kaţdá níţe jmenovaná oblast musí splňovat předem definované náleţitosti. Jednotlivé definované oblasti (fáze) lze doplňovat o případné další poţadavky a specifika na základě koncových poţadavků dané organizace (objednavatele a zadavatele auditu), případně na základě změny v legislativě, apod. Fáze uzavření smlouvy na audit Předběţné plánování Návrh kontrol a testů Techniky výběru vzorků Stanovení PC aplikace slouţící pro provedení auditu Vznik plánu auditu Vlastní realizace auditu Závěr a vydání auditorské zprávy Cílová skupina očekávající výstup auditu Sledování plnění závěrů auditorské zprávy Ukončení procesu výstupu auditu

65

Pro vykonání samotného auditu lze vyuţít mnoha různých pomůcek a to od specializovaných pomocných softwarových balíčků, specifických auditních aplikací a programů pro danou auditovanou oblast aţ po jednoduché formy pomůcek auditora v podobě běţných počítačových editorů, nebo dokonce i běţného bloku a tuţky slouţící k zapisování okamţitého zjištění ověřovaného stavu dané organizace. Převáţná většina auditů však probíhá na základě jasně definovaných a předem plánovaných poţadavků (viz kapitola věnující se specifikovaným druhům auditu).

4.9.1 Uzavření smlouvy na audit Samotnému vykonání auditu, vţdy předchází určitá dohoda, nebo plán v rámci organizace a to v podobě schváleného písemného dokumentu, plánu, nebo procedury, kde je jasně uveden poţadavek na vykonání pravidelného, nebo nepravidelného (jednorázového) auditu a popis oblasti, která má být při tomto auditu prověřena - auditována. Tato dohoda by měla být vţdy schválená představenstvem a odpovědným výborem, který je odpovědný za řízení rizik dané organizace. Samozřejmě, ţe v případě auditu vykonávaného externím dodavatelem (zdrojem), nelze uvaţovat jen o jednodušší variantě interně schválené dohody, avšak je nutné takovou dohodu podloţit řádně oboustranně schválenou smlouvou, která bude definovat potřeby, jednotlivé kroky, závazky a povinnosti a to jak objednavatele (zadavatele), tak i dodavatele takového auditu. V tomto případě se jedná převáţně o dodavatele v podobě specializovaných společností, které se externě zabývají prováděním odborných a specializovaných auditů v organizacích. Smlouva na takový audit musí jasně popisovat následující body a to v minimálním rozsahu níţe uvedeném (kdo, co, kdy, kde, jak, apod.): Objednavatel (zadavatel) auditu Dodavatel auditu Cíl auditu a očekávání ze strany organizace (zadavatele auditu) Místo vykonání auditu a poţadavky s podmínkami pro vykonání auditu Časová náročnost auditu (datum zahájení a ukončení auditu) Rozsah a pokrytí auditu Kritéria poţadovaného auditu Kritéria výběru a rozsah vzorku slouţící pro vykonání funkce auditu

66

Popis a specifikace auditované oblasti a jednotlivých fází poţadovaného auditu Popis a zaměření poţadovaného auditu, případně jiné přílohy definující proces vykonání auditu Výstup a forma sdělení výsledku auditu Mlčenlivost pro obě strany Podmínky pro vzájemné pouţívání loga a ochranných známek Cena (odměna za provedení a způsob platby za provedený audit, finanční rozsah a kapacitní náročnost poţadovaného auditu Podmínky a postihy (penále) v případě nedodrţení dohodnutého rozsahu smlouvy Kontaktní osoby za obě zůčastněné strany Další kritéria dle zákona č.93/2009 Sb., v rámci §17 - poţadavky na smlouvu o povinném auditu (zdroj: http://www.kacr.cz/Data/files/Metodika/Legislativa/Audit/93_2009.pdf) Případně další specifické poţadavky, které mohou hrát významnou roli v rámci zadávání potřeby auditu a následného provedení a dokončení poţadovaného auditu. V tomto případě se můţe jednat o specifika získávání podkladů pro audit před zahájením vlastního auditu a v době během vykonávaného auditu, dále způsob výběru vzorku pro vykonání auditu, případně přehled pouţitých auditních technik, nebo přehled standardů a vyhlášek, které budou brány v potaz v rámci vykonání poţadovaného auditu a dle typu auditu očekávaného ze strany zadavatele.

4.9.2 Předběţné plánování auditu Většina organizací vyuţívá a má implementované jak krátkodobé, tak i dlouhodobé plánování svých provozních čiností. Jedná se o běţné (pravidelné) i neběţné (nepravidelné) provozní činnosti v rámci dané organizace. Součástí takového plánování je však také nutné mít prostor na případný audit a to jak jednorázově provedený, nebo pravidelně se opakující na základě interních, nebo externích poţadavků. Kaţdému provedení auditu samozřejmě předchází vhodné předběţné plánování a to jak samotného auditu, tak i případné přípravy na audit v podobě vyhrazení vhodné pracovní kapacity, dále přípravy provozu na samotný audit a to pokud se jedná například o audit provozu s očekávaným získáním certifikace kvality a splnění ISO norem. V případě ostatních

67

auditů je nutné připravit a naplánovat průběh samotného auditu s ohledem na porozumění chodu a činností dané organizace, pochopení pouţívaných aplikací a technických prostředků, dále porozumění systému následných vnitřních předpisů, nařízení, procedůr a kontrol provozu. V neposlední řadě je nutné také přihlédnout k nabídce produktů a sluţeb dané organizace a během přípravy auditu, mít moţnost nahlédnout do procesních map příslušných útvarů a pochopit jednotlivé procesy jako celku auditované organizace. Příslušné objekty poţadovaného auditu jsou zvolené dle poţadavků dané organizace, případně dle poţadavků příslušného zákona, nebo na základě podnětu regulátora. Cílené objekty auditu jsou následně zvolené dle procesní návaznosti na výše uvedený příslušný poţadavek. Výstupem fáze předběţného plánování slouţícího pro vykonání auditu, je zpravidla dokument s popisem činností organizace a navazujících procesů, dokumentace implementovaného systému, interní bezpečnostní politiky, finanční dokumentace a dalšího rozsahu dokumentace dle rozsahu plánovaného a poţadovaného auditu.

4.9.3 Kontroly Pojem kontrola je součástí kaţdého auditu a procesu řízení, kdy kontrola zjišťuje stav věci, nebo procesu a poskytuje zpětnou vazbu. Kontrola je tedy prověření dílčích aspektů, jevů, procesů s předem určenou hodnotou. Jeden kontrolní cíl můţe být zajištěn řadou různých kontrol a ověření. Výstupem kontroly by měl být podaný výsledek o stavu věci, nebo procesu. Kaţdá vykonaná kontrola by měla být řádně zadokumentována a výsledek by měl být předán odpovědné osobě a zároveň zaloţen do archivu jako důkaz provedení poţadované kontroly. Kontroly jsou prováděné v plném rozsahu na základě analýzy rizik. Kontroly můţeme rozlišovat z časového hlediska na: Pravidelné (D - Denní, W-Týdenní, M - Měsíční, Q - Čtvrtletní, S - Půlroční, A Roční) Nepravidelné (jednorázové). Dále kontroly dělíme na:

68

Automatické – Jedná se o automaticky provedené kontroly, například pomocí předem definovaných počítačových procesů, nebo skriptů, kdy je úkolem počítače a programu, nebo aplikace sledovat nastavený stav procesu a případně okamţitě informovat obsluhu a odpovědnou osobu, ţe došlo k odchýlení od původně nastavených hodnot. Manuální – Jedná se o kontroly provedené manuálním způsobem, kdy prověření provádí osoba znalá a zároveň vyhodnocuje zda ověřený stav odpovídá původně nastaveným hodnotám, nebo zda kontrolovaný proces je prováděn dle předem schválených metodik a procedůry. Další dělení kontrol můţe být dle rozsahu na detailní, nebo rozsáhlé, obecné, aplikační, systémové, apod.

4.9.4 Testování Testování je dalším důleţitým významem auditu společně s jiţ uvedenou kontrolou, kdy je nutné zjistit stav, zda nastavená kontrola, nebo proces probíha dle předem definovaných poţadavků. Testování by mělo být komplexní, formalizované nezávislé prověření kontrol (existence, realizace, efektivnosti) vzhledem k existujícím standardům. Testování je moţné provádět pomocí předem definovaných dotazníků a zároveň je akceptovatelné provádět testování jen na určitém vzorku a není tedy nutné brát v potaz 100% populaci. Více info k výběru vzorku v následující kapitole. Testování můţeme rozlišovat z časového hlediska na: Pravidelné (D - Denní, W-Týdenní, M - Měsíční, Q - Čtvrtletní, S - Půlroční, A Roční) Nepravidelné (jednorázové). Dále testování dělíme na: Automatické – Jedná se o automaticky provedené testování, například pomocí předem definovaných počítačových procesů, nebo skriptů, kdy je úkolem počítače a programu, nebo aplikace sledovat nastavenou kontrolu a případně okamţitě

69

informovat obsluhu a odpovědnou osobu, ţe došlo k odchýlení od původně nastavených hodnot a potřeb kontroly. Manuální – Jedná se o testování provedené manuálním způsobem, kdy prověření provádí osoba znalá a zároveň vyhodnocuje zda ověřený stav – provedená kontrola odpovídá původně nastaveným hodnotám, nebo zda testovaný proces je prováděn a kontrolován dle předem schválených metodik a procedůry. Výstupem testování by měl být podaný výsledek o stavu věci, nebo procesu. Kaţdé vykonané testování by mělo být řádně zadokumentováno a výsledek by měl být předán odpovědné osobě a zároveň zaloţen do archivu jako důkaz provedení poţadovaného testování.

4.9.5 Techniky výběru vzorků Výběr vzorků pro výkon auditu, nebo jen pouhého testování je prováděn dle předem stanovených pravidel dané organizace. V některých případech lze pouţít jen jednoduchou techniku, kdy je moţné brát za vzorek 5-10%, nebo výběr kaţdého pátého, nebo desátého kusu výrobku, nebo dokumentu, apod. V některých případech však taková jednoduše zvolená technika není moţná a postupuje se jiţ dle výpočtů a podmínek, kdy při niţším mnoţství neţ 10 kusů dochází k testování na 100% kusů, nebo jsou techniky výběru vzorku matematicky vypočítávané v závislosti na spolehlivosti, očekávané chybovosti, průměrné poţadované přesnosti a standardní odchylky souboru dat. Také se přistupuje k hodnocení rizikovosti a dopadu z mnoha úhlů pohledu.

4.9.6 PC aplikace a nástroje podporující audit Některé organizace pouţívají speciální aplikace při výkonu auditu, avšak ve většině případů se jedná o následující, nebo kombinaci níţe uvedených nástrojů: Aplikace podporující audit a vstupy písemného zadávání jednotlivých výsledků auditora v podobě databáze, kde jsou jiţ předem definované dotazy auditora včetně příslušné reference a citace pouţívaných metodik a standardů. Aplikace, nebo elektronický nástroj, který umí monitorovat určitou oblast a tak poskytnout výstup zjištění provádějícímu auditorovi. V tomto případě se většinou jedná o výstup v podobě reportu, který je následně auditorem analyzován a vyhodnocení je vyuţito při zpracování auditorské zprávy.

70

Aplikace, nebo databáze, kde příslušná organizace vede veškeré výsledky provedených auditů a případných nálezů. V této databázi se jedná o zadokumentovaní s následným monitorováním zjištěného nedostatku a zajištění, ţe nález bude diskutován, řešen a následně uzavřen jako vyřešený. V tomto případě je také velmi dobré navzájem kombinovat a propojovat identifikované rizika a případně nálezy a tím mít obraz moţného dopadu rizika i na jiné oblasti, neţ bylo původně auditem cíleno.

4.9.7 Vytvoření plánu auditu Kaţdý audit by měl být řádně naplánován a to z mnoha úhlů pohledu. Fáze vytvoření samotného plánu auditu jiţ navazuje na uvedené odsouhlasené předběţné plánování auditu a jiţ mnohem přesněji definuje průběh samotného auditu. Plán auditu zohledňuje hodnocení rizik provozu dané organizace pomocí analýzy rizik, ohodnocení testů a kontrol a zároveň popisuje potřebné zdroje pro vykonání auditu a jejich časový harmonogram. Výstupem fáze plánování slouţícího pro vykonání auditu, je zpravidla finální dokument popisující přesně specifikované cíle (předmět) poţadovaného auditu, průběh jednotlivých fází s rozpisem plánovaných činností a testů v rámci vykonání auditu. Tento dokument lze také jednoduše nazvat jako plán auditu.

4.9.8 Realizace auditu Na základě vhodně naplánovaného a odsouhlaseného plánu auditu, dochází k vlastní realizaci auditu. Vlastní audit by měl co nejméně omezovat standardní proces organizace,a proto je doporučováno nejprve vyuţít nastudování dostupné dokumentace (vnitřních předpisů a vyhlášek) a následně zahájit jednotlivé pohovory s odpovědnými osobami a vedoucími pracovníky dané organizace. Také je moţné vyuţít různých moţností, které pomohou urychlit vlastní pohovory s pracovníky a to například vyuţitím předem definovaných dotazníků, nebo jen vlastním pozorováním procesu ze strany auditora. Samotná realizace auditu spočívá v zahájení výběru vzorků a testování identifikovaných kontrol, prověřování dokumentace, ověřování organizačních a procesních postupů, analýz a srovnávání (vyhodnocování) současných výsledků a stavu se stavem a výsledky v minulých obdobích, apod. Celý proces realizace auditu samozřejmě provází vlastní zkušenost certifikovaného auditora pro oblast auditu IS/IT, kdy tento auditor by měl být schopen jen při vyuţití jen běţného pozorování a otestování výše uvedených oblastí, identifikovat případné nedostatky na které je povinnen

71

upozornit ve svém hlášení nálezů provozních nedostatků dané organizace. Postupné hlášení se následně stanou podkladem pro závěr auditu a budou součástí následně vypracované auditorské zprávy. Výstupem fáze vlastní realizace auditu je zpravidla finální seznam nálezů a identifikovaných nedostatků na základě provedených testů procesních kontrol a jejich výstupů, kdy výsledky a popis těchto testů včetně dokumentace nalezených slabin (viz IT Assurance Guide) jsou nedílnou součástí této předběţné auditorské zprávy. Tento dokument také popisuje jednotlivě provedené testy kontrol a procesů, kde k takovému testu případně došlo, kdo byl přítomen ze strany organizace a jaká dokumentace byla součástí realizace příslušných testů, jaká dokumentace případně chyběla, nebo nebyla dodána, apod. Tato předběţná auditorská zpráva by měla být vţdy projednána s příslušnými odpovědnými pracovníky, kde byl prováděn vlastní audit. Také je vhodné informovat o předběţném stavu zadavatele auditu, případně i vedení organizace a tím umoţnit případně reagovat na drobná zjištění, kde je moţná okamţitá náprava. V takových případech je moţné jen obecně informovat o takovém drobném nálezu v rámci auditorské zprávy a tím sníţit význam takové napravené události na minimum.

4.9.9 Výstupní auditorská zpráva Auditorská zpráva je formálně zpracovaná písemná komunikace mezi auditorem a auditovaným (vedením organizace) jako zadavatelem auditu. Příslušná výstupní auditorská zpráva musí splňovat podmínky zákona č.93/2009 Sb., kde §20 definuje příslušné náleţitosti výstupní zprávy auditora. (zdroj: Zákon 93/2009 Sb. O auditorech - §20 Zpráva auditora). Obecně lze definovat následující body jako „náleţitosti výstupní auditorské zprávy“ a to v minimálním rozsahu níţe uvedeném (kdo, co, kdy, kde, jak, apod.): Pojmenování (název) auditorské zprávy Objednavatel auditu Dodavatel auditu Cíl auditu a očekávání ze strany organizace (zadavatele auditu) Místo vykonání auditu a poţadavky s podmínkami pro vykonání auditu Časová náročnost auditu (datum zahájení a ukončení auditu) Rozsah a pokrytí auditu včetně odkazů na příslušné standardy v souladu s kterými byl audit proveden

72

Popis a specifikace auditované oblasti a jednotlivých fází poţadovaného auditu Popis a zaměření poţadovaného auditu, případně jiné přílohy definující proces vykonání auditu Výstup a forma sdělení zjištěného výsledku provedeného auditu Popis a uvedení cílové skupiny očekávající výstup auditu Zjištěné nálezy a nedostatky a jejich ohodnocení dle závaţnosti Doporučení na nápravu zjištěných nedostatků Výrok auditora, který musí jasně vyjádřit stanovisko auditora Kontaktní osoby za obě zůčastněné strany Dále by měla výstupní auditorská zpráva obsahovat i jasně definované prohlášení a to dle G20 (ISACA standard): ţe za údrţbu struktury efektivních kontrol včetně auditované oblasti je odpovědné vedení dané organizace, ţe auditor prováděl hodnocení s cílem vyjádřit názor na efektivnost kontrolních postupů, ţe audit byl proveden v souladu se standardy ISACA nebo jinými standardy upravujícími auditorskou profesi, ţe vzhledem k nevyhnutelným omezením jakých-koliv interních kontrol, můţe dojít k úmyslným, nebo neúmyslným chybám, které nebudou podchyceny, ţe jakékoliv spoléhání se na výsledek hodnocení v následujících obdobích po auditu není vhodné vzhledem k měnícím se okolnostem a podmínkám auditované oblasti, audit není určen pro detekci všech slabin, protoţe neprobíhá nepřetrţitě a testování se provádí jen na vzorcích. (zdroj „Prohlášení“: Audit Informačního Systému, doc. Ing. Vlasta Svatá, CSc., ISBN 97880-7431-034-8, str.161.) Případně i další specifické poţadavky a náleţitosti výstupní auditorské zprávy, které mohou hrát významnou roli v rámci vykonání příslušného auditu. Tyto poţadavky je však nutné předem definovat zadavatelem a odsouhlasit dodavatelem (vykonavatelem) auditu v rámci přípravné fáze na samotný auditu.

73

4.9.10 Závěr a vydání auditorské zprávy Na základě projednané předběţné auditorské zprávy je moţné přistoupit k vypracování a vydání finální auditorské zprávy. Tato finalní auditorská zpráva by měla být vydána teprve tehdy, pokud je tým auditorů přesvědčen, ţe veškeré identifikované nálezy a nedostatky jsou relevantní a veškerá moţná provozní rizika byla brána v potaz. Výstupem fáze závěru vykonaného auditu, je zpravidla finální dokument popisující přesně specifikované cíle (předmět) poţadovaného auditu, průběh jednotlivých fází s rozpisem plánovaných činností a testů v rámci vykonání auditu. Tento dokument lze také jednoduše nazvat jako zjištění auditu, nebo zpráva auditora, případně nejpouţívaně jako auditorská zpráva. Předloţení finální auditorská zpráva je většinou včetně verbálního výkladu předkládána vedení organizace, nebo minimálně zadavateli příslušného auditu. V tomto případě záleţí na prováděném rozsahu auditu a zda byl audit prováděn interním, nebo externím dodavatelem. Více detailu k obsahu auditorské zprávy, viz kapitola „Výstupní auditorská zpráva“.

4.9.11 Cílová populace očekávající výstup auditu Vydaná auditorská zpráva by měla být doručena především představenstvu a příslušnému vedení dané organizace a dále samotným vlastníkům a akcionářům. V některých případech jsou identifikované nedostatky konzultovany a schválené před samotným vydáním finální verze auditorské zprávy, avšak v některých případech dochází k přímému vydání zprávy bez předchozí reakce na zjištěné nedostatky ze strany organizace. Více detailů, viz kapitola „Návrh ţivotního cyklu auditu“, nebo přímo v kapitole „Závěr a vydání auditorské zprávy“.

4.9.12 Sledování plnění závěrů auditorské zprávy Kaţdá vydaná auditorská zpráva by měla jasně definovat zjištěné nedostatky, které byly identifikované během vlastní realizace auditu. Kaţdá taková zjištěná poloţka s nedostatky by měla být řádně zadefinována a ohodnocena výší rizika a dopadu na organizaci. Je povinností kaţdé organizace, aby reflektovala případná zjištění nedostatků z realizace auditu a to tak, aby veškeré takové nedostatky byly řádně adresované majiteli v rámci provozu dané organizace a 74

aby bylo sledováno plnění výstupu auditorské zprávy. Toto lze jednodušě splnit pomocí vytvoření plánu sledování závěrů auditorské zprávy. Tento plán sledování závěrů by měl být připraven a sledován nezávislou osobou, nebo nezávislým oddělením, nejlépe pokud organizace ma jmenované oddělení interního auditu, nebo oddělení řízení kvality, apod. Úkolem odpovědné osoby (oddělení) je řádné sledování vývoje nalezených nedostatků a jejich nápravy. Proces sledování, změna stavu nalezených nedostatků a jejich náprava by mělo být pravidelně hlášeno vedení organizace.

4.9.13 Ukončení auditu Audit nekončí vydáním samotné výstupní auditorské zprávy, ale naopak některé navazující procesy jsou právě odstartované, započaty případnou výstupní auditorskou zprávou. To znamená, ţe vykonavatel auditu, nebo pověřená osoba sleduje nápravuí případných nedostatků, které byly identifikované a uvedené v auditorské zprávě, viz více detailů v kapitole „Sledování závěrů auditorské zprávy“. Je i běţné, ţe kaţdý následující audit se bude vţdy zajímat o veškeré provedené audity v minulosti a jaké byly případné výsledky takových auditů. Také někdy dochazí v určitých případech i o tak zvané průběţné monitorování nápravy nedostatků, kdy toto monitorování provadí na pravidelné, nebo nepravidelné bázi právě původní vykonavatel auditu.

75

5 Specifikované druhy auditu IS/IT V této kapitole bude detailněji představeno několik druhů auditů se kterými máme moţnost se setkávat v rámci auditů organizací a jejich provozů. Jednotlivé představené audity představují samostatně zpracované auditní jednotky, nebo v některých případech specifikovaných auditů mohou představovat i komplexnější vykonání auditu v podobě kombinace jednotlivých typů do celku představující komplexní audit organizace. V převáţné části se vţdy jedná o vyuţití auditu ke zjištění efektivnosti, účinnosti, bezpečnosti a určení rozsahu souladu s poţadavky vycházejících ze zákonů, standardů, vyhlášek, metodik a doporučení.

5.1 Audit fyzické bezpečnosti a dohledových systémů V současné době se hojně vyuţívá dohledových systémů jako nástroje efektivního řízení, kontrol a auditu provozu, protoţe většina současně podnikajících organizací klade významný důraz na bezpečnost svých aktiv a v mnoha případech je pouţíván tzv.kamerový a dohledový monitoring. Jedná se většinou o kamery umístěné v datacentrech, serverovnách a dalších přilehlých koridorech, nebo skladech, případně jiných strategicky důleţitých prostorách organizace. Příslušný auditor během auditu prochází a zjišťuje stav fyzické bezpečnosti v rámci organizace a jejího provozu. Audit fyzické bezpečnosti a dohledových systémů zahrnuje sadu dotazů auditora (viz níţe), který si takový seznam připraví v rámci přípravy a vytvoření plánu auditu a označí si příslušné dotazy poţadovanou populací, kdy některé dotazy musí být 100% vzorkem a některé jako detailní kontrola přístupových práv určitého mnoţství osob bude vykonáno jen na předem definovaném vzorku minimálního počtu 10-15% z celkového počtu osob. Tento minimální vzorek se bude týkat i kontroly a testování výstupů (logů a deníků akcí) z přístupových systémů a dohledových kamer v rámci organizace. Sada dotazů auditora: 1) Předloţte technicko organizační předpis popisující řízení fyzické bezpečnosti, dohledových systémů, případně provozu kamerového systému v rámci organizace. 2) Jsou senzitivní informace a data uloţeny v zabezpečené části s omezeným přístupem pouze pro oprávněné osoby?Vyuţíváte elektronického přístupového systému? Popište způsob

76

vyhodnocování dostupných logů a případných neoprávněných pokusů o přístup do zakázaného prostoru. 3) Provádíte kontrolu fyzického zabezpečení objektu? Popište tuto kontrolu, včetně toho kdo ji provádí, co je kontrolováno a jak často. 4) Sídlíte v budově, která je v nájmu společně s jinými právními subjekty? Pokud ano, popište prostor, který je obsazen ve vaší budově ostatními právními subjekty. Případně popište případné komunikační (kabelové) trasy, které jsou sdílené s jiným právním subjektem. 5) Specifikujte identifikované právní subjekty, se kterými sdílíte společné prostory, apod. 6) Máte vykladací / nakládací prostory? Pokud ano, popište kontrolu přístupu v této oblasti. 7) Popište pouţité zabezpečení vyuţívající sluţeb bezpečnostní agentury. Předloţte umístění ostrahy a členů bezpečnostní agentury a popis jejich kontrolních stanovišť a koridorů. 8) Popište pouţité bezpečnostní prvky jako například kamerový systém, nebo jiné automatické dohledové prvky a předloţte následující dokumentaci: Seznam a plánek umístění kamer a dohledových nástrojů Povolení a souhlas úřadu pro ochranu osobních údajů s pouţíváním kamer za účelem, který byl řádně oznámen citovanému úřadu (ÚOOÚ) Označení polepy, které jasně informují, ţe se jedná o kamerově monitorovaný prostor Způsob pořizovaní záznamů, doba uloţení za účelem dohledání Způsob likvidace nepotřebných kamerových záznamů Seznam pověřených osob s přístupem ke kamerovému systému 9) Musí se návštěva napsat do navštěvní knihy při příchodu - odchodu? Případně máte jiné bezpečnostní prvky zaznamenávající příchod / odchod návštěv vaší společnosti například pomocí elektronického vstupního systému? 10) Musí být návštěva, po dobu pobytu v prostorách s omezeným přístupem doprovázena odpovědnou osobou? Má taková návštěva informativní cedulku, ţe se jedná o návštěvu organizace? 11) Máte zařízení / kontrolu, která omezuje přístup z / na střechu budovy? 12) Jsou poţadována odlišná přístupová práva do serverovny, datového skladu, apod., tam kde jsou uloţena data a senzitivni dokumentace? Pokud ano, popište vstupní kontrolní prvky. 13) Předloţte seznam a práva osob v rámci přístupů v objektu organizace

77

14) Jsou poţadována odlišná přístupová práva do telekomunikačních místností, kde mohou být uloţena data vaší společnosti? Pokud ano, popište vstupní kontrolní prvky. 15) Jsou poţadována odlišná přístupová práva do trezorů, kde jsou uloţena data vaší společnosti? Pokud ano, popište vstupní kontrolní prvky. 16) Nachází se v datovém centru (serverovna) dvojité podlahy nebo stropy? 17) Nachází se v telekomunikační místnosti dvojité podlahy nebo stropy? 18) Máte zavedný proces pro kontrolu vstupních karet (přidělování, rušení, soupis karet)? 19) Máte zavedný proces pro kontrolu klíčů (přidělování, rušení, kontrolní soupis)? 20) Máte zavedný proces pro kontrolu změn přístupových kódů / kombinací pro trezory? 21) Pokud máte kamerový systém nebo digitální nahrávání, prosím popište? Můţe toto zařízení nepřetrţitě zaznamenávat 31 dní nebo více? V jaké kvalitě (rozlišení)? 22)

Je

budova

střeţena

soukromou bezpečnostní

sluţbou nebo veřejnoprávními

bezpečnostními sloţkami? 23) Je budova chráněna alarmem, nebo jiným elektronickým zabezpečením? Jsou takové alarmy monitorovány z budovy nebo vzdáleně? Je tento proces a připojení na případný centrální pult ochrany řádně dokumentován a schválen v rámci interní procedůry. Je sepsána a schválena řádná smlouva se subjektem vykonávající takový vzdálený fyzický dohled s následným výjezdem včetně poţadované kontroly na místě v případě vyhlášeného výjezdu? 24) Pokud je příslušenství/budova vedena jako datové centrum, nebo jiný senzitivní prostor, je snadno zvenčí identifikovatelné nebo označené? 25) Mají správci budovy přístup do telekomunikačních místností a rozvoden? 26) Popište dodatečné kontrolní prvky přístupu do budovy (např. kontrolní body po obvodu, prohledávání zavazadel ,apod.) Po získání odpovědí a otestování výše uvedených poţadavků bude případný auditor schopen vyhodnotit situaci a určit po srovnání s příslušným standardem popisujícím poţadavky fyzické bezpečnosti, zákonem č.101/2000 Sb., na ochranu osobních údajů (ÚOOÚ) a příslušným metodickým pokynem (COBIT, ITIL) zda má organizace plně implementovaný a zabezpečený proces fyzické bezpečnosti dohledových systémů. Pokud auditor identifikuje určité odlišnosti a nedostatky, tak je povinnen na takovou skutečnost upozornit v rámci předběţného seznamu zjištěných nedostatků a následně je povinnen takové nedostatky ohodnotit a oklasifikovat na základě výše rizika a moţného dopadu na organizaci. Takto vytvořený kompletní seznam s detaily se stavá podkladem pro 78

předání vedení organizace, která má za povinnost na taková zjištění patřičně zareagovat a připravit popis nápravných opatření tzv. CAP – Corrective Action Plan. Seznam detailních nálezů příslušného auditora a reakce vedení (CAP) na prezentované nedostatky se následně stává podkladem pro vypracování finální auditorské zprávy, která je předána vedení organizace pro následné odstranění identifikovaných nedostatků dle návrhu technických a procesních úprav viz plán nápravných opatření v rámci organizace.

5.2 Audit přístupových práv v rámci aplikací a systémů Není organizace, nebo provoz, kde by se nevyuţívala nějaká aplikace, systém, nebo DWH – datový sklad, kde mohou být a jsou uloţeny senzitivní informace a proto je nutné mít různé uţivatelské úrovně práv dle předem povolené úrovně přístupů (administrace aplikace, administrace přístupových práv, účetní, prodejce, sklad, kontrola a mnoho dalších úrovní a uţivatelských rolí, které je nutné řádně řídit a mít pod neustálou kontrolou a monitorováním případných změnových poţadavků v rámci organizace. Příslušný auditor během auditu prochází a zjišťuje stav řízení přístupových práv v rámci aplikací a systémů organizace a jejího provozu. Tento typ auditu kontroluje rozsah udělených a nastavených práv uţivatelům a zahrnuje sadu dotazů auditora (viz níţe), který si takový seznam připraví v rámci přípravy a vytvoření plánu auditu a označí si příslušné dotazy poţadovanou populací, kdy některé dotazy musí být 100% vzorkem a některé jako detailní kontrola přístupových práv určitého mnoţství osob bude vykonáno jen na předem definovaném vzorku minimálního počtu 10-15% z celkového počtu osob. Tento minimální vzorek se bude týkat i kontroly a testování výstupů (logů a deníků akcí) z aplikací a systémů pouţívaných v rámci organizace. Sada dotazů auditora: 1) Jaký je proces pro udělování přístupových práv do informačního systému a jejich následná úprava, nebo zrušení takového oprávnění. 2) Jaký je postup pro odmítnutí neoprávněného přístupu do informačního systému? 3) Jsou všechny poţadavky na povolení nebo odmítnutí přístupu do systému řádně a pravidelně dokumentovány?

79

4) Uveďte prosím seznam osob / skupin zodpovědných za povolování a odmítání přístupu k vašim aplikacím nebo systémům zpracovávající senzitivní informace. 5) Kdo má oprávnění povolit nebo odmítnout přístup k aplikacím a systémům? 6) Jak dlouho po oznámení změny statusu zaměstnance, trvá provední změny přístupových práv pro takového zaměstnance a nezaměstnance (např. brigádnici). 7) Jsou uţivatelé systémů, kteří přijdou do styku s informacemi společnosti, omezeni pouze jedním uţivatelským ID na systém, aplikaci? 8) Máte zdokumentovaný postup, který umoţňuje manaţerům a vedoucím týmů revidovat přístupová práva jejich uţivatelů a to minimálně kaţdých 6 měsíců? 9) Jaké mechanismy ověřování / kontroly vzdáleného přístupu jsou pouţívány k přístupu do vaší firemní sítě? 10) Mohou zaměstnanci, kteří mají povolený vzdálený přístup k společnosti, pouţívat zařízení, která nejsou majetkem společnosti (např. domácí PC, PDA, apod.) 11) Dovolujete vyuţivání bezdrátové lokální sítě (WLAN) a jiných bezdrátových zařízení ve Vaší síti a v rámci vaší společnosti? 12) Jaký bezdrátový /wireless/ protokol vyuţíváte? Poţadavek: Jaké bezpečnostní prvky jsou implementovány (např. skenování přístupových bodů (AP))? 13) Jaké bezpečnostní prvky jsou implementovány k ochraně přístupu do externích internetových účtů elektronické pošty (např. @seznam.cz, @yahoo.com)? 14) Povolujete svým zaměstnancům pouţívání elektronické komunikátory (instant messaging, peer-to-peer networks), případně jaká máte pravidla pro moţnost přeposílání dat a souborů? 15) Je na všech Vašich serverech a počítačích nastaven zákaz bootovaní z periferních zařízení? 16) Máte implementované předpisy pro pouţívání externích zařízení jako USB Flash disky, externí USB disky, USB Tokens, apod. Případně jaké kontroly máte pro monitorování přístupu a připojování takových externích zařízení? 17) Je implementovaný process pro autorizovaný přístup k systémovým souborům, kontrolu a údrţbu? Jakým způsobem jsou systémové soubory chráněny? 18) Je přístup k systémovým souborům nastaven, kontrolován a spravován? 19) Jak jsou vaše sensitivní informace chráněny před neoprávněným přístupem v produkčním, testovacím, vývojovém prostředí? 20) Uveďte všechny bezpečnostní produkty, které jsou pouţity k ochraně vašich senzitivních informací? 80

21) Platí kontrola přístupu pro všechny zaměstnance, kteří mají přístup k senzitivním informacím vaší společnosti? 22) Jsou uvedené kontroly aplikovány pro všechny brigádníky jenţ mají přístup k vaším senzitivním datům? 23) Jsou uvedené kontroly aplikovány pro všechny sub-dodavatele jenţ mají přístup k vašim senzitivním datům? 24) Předloţte předpis pro nastavení systémů, které ukládají, zpracovávají nebo přenášejí sensitivní data v rámci organizace a spolupracujících společností a třetích stran. Jak často monitorujete nebo kontrolujete aktuálnost tohoto předpisu pro zpracování a přenos dat vaší společnosti? 26) Jsou ve všech systémech, síťových zařízeních a aplikacích odstraněny všechny přednastavené účty (včetně hesel)? Po získání odpovědí a otestování výše uvedených poţadavků bude případný auditor schopen vyhodnotit situaci a určit po srovnání s příslušným standardem popisujícím poţadavky na řízení přístupových práv v rámci aplikací a systémů organizace a jejího provozu, zda má organizace plně implementovaný a zabezpečený proces řízení přístupových práv v rámci aplikací a systémů a to se zákonem č.101/2000 Sb., na ochranu osobních údajů (ÚOOÚ) a příslušným metodickým pokynem (COBIT, ITIL) Pokud auditor identifikuje určité odlišnosti a nedostatky, tak je povinnen na takovou skutečnost upozornit v rámci předběţného seznamu zjištěných nedostatků a následně je povinnen takové nedostatky ohodnotit a oklasifikovat na základě výše rizika a moţného dopadu na organizaci. Takto vytvořený kompletní seznam s detaily se stavá podkladem pro předání vedení organizace, která má za povinnost na taková zjištění patřičně zareagovat a připravit popis nápravných opatření tzv. CAP – Corrective Action Plan. Seznam detailních nálezů příslušného auditora a reakce vedení (CAP) na prezentované nedostatky se následně stává podkladem pro vypracování finální auditorské zprávy, která je předána vedení organizace pro následné odstranění identifikovaných nedostatků dle návrhu technických a procesních úprav viz plán nápravných opatření v rámci organizace.

81

5.3 Audit třetích stran a outsourcingu Další z vybraných auditů je audit třetích stran a outsourcingu, včetně příslušných dodavatelů takového definovaného rozsahu sluţeb, případně audit dodavatelů s umístěním dat organizace, apod. V tomto případě se příslušný auditor zaměřuje na dodrţování stanovených pravidel a dále, zda veškeré takové poţadavky jsou řádně smluvně ošetřené a schválené příslušnou odpovědnou sobou za kaţdou spolupracující stranu. Pro příslušného auditora je důleţité, ţe soukromoprávní ochrana vychází především ze smluv uzavřených provozovatelem informačního systému s jinými subjekty, a to jak se zaměstnanci, tak s dalšími osobami (ať uţ fyzickými nebo právnickými) nebo z jiných moţností, daných normami soukromého práva (občanský nebo obchodní zákoník, autorský zákon apod.), přičemţ cílem je především jiţ několikrát uváděné sniţování rizik a následného dopadu (finančního, procesního, mediálního) na subjekt, nebo organizaci. Příslušný auditor by si měl být vědom, ţe největším rizikem a problémem můţe být jiţ v samotném začátku právě samotná uzavřená smlouva, protoţe většina smluv je uzavírána chybně v rámci vzniklé euforie a s představou, ţe vše bude fungovat. Opak je však pravdou. Právě obsahu smlouvy je celkově věnována minimální pozornost a to z časových důvodů, dale se všichni těší (na dodávku, na peníze…). Avšak vzniká nedostatečná spolupráce mezi věcným a právním zpracovatelem takové smlouvy. Audit by tedy měl vzít v potaz následující poţadavky na smluvní spolupraci organizace s partnery, dodavateli a třetími stranami: Kaţdá smlouva musí mít určité náleţitosti a měla by být velmi pečlivě připravována. Taková smlouva by měla splňovat několik velmi základních pořadavků a právě úkolem příslušného auditora je překontrolovat a učinit rozbor, zda taková smlouva je a byla uzavřena za správným účelem, zda existoval vůbec důvod takovou spolupráci zahájit a zda jsou veškeré povinnosti pro obě strany rovnoměrně a správně definované. Smlouva musí přesně specifikovat kdo, s kým, kde a za jakým účelem a na jak dlouhou dobu uzavřel danou smluvně definovanou spolupráci mezi subjekty.

82

Smlouva musí definovat také moţnost kontroly a vykonání auditu, smluvní penále za nedodrţení obsahu spolupráce definované ve smlouvě, náhradní moţnosti plnění smlouvy v případě výpadku, sub-dodavatele zúčastněných smluvních stran, apod. Před zahájením samotné spolupráce by měly obě zúčastněné strany jasně definovat rozsah spolupráce a analýzu případných rizik, které moho nastat v rámci společné spolupráce mezi subjekty. Dále by měl být znám a překontrolován rozsah následujících oblastí a to nakolik daná organizace splňuje tyto oblasti. Případné jakékoliv nedostatky musí být jasně definované a ohodnocené z pohledu dopadu moţného rizika. Tato kontola je prováděna odpovědnou osobou za organizaci, nicméně celá oblast spolupráce s třetí stranou podléhá i nezávislé kontrole a vykonání auditu příslušným auditorem. Jmenovaná kontrola je většinou prováděna na základě jiţ známých oblastí a rozsahu kontrol, které lze definovat v rámci určitého seznamu, bodů, nebo ucelených hodnotících dotazníků pokrývající následující oblasti rozsahu auditu a které by měl mít příslušný auditor k dispozici. Níţe uvedené oblasti jsou jen jako vymezení rozsahu takového auditu, kdy kaţdá jmenovaná oblast obsahuje určité mnoţství detailně specifikovaných dotazů na dané téma. Oblasti odborného zaměření příslušného auditora při auditu spolupráce s třetí stranou: Pravidla & Předpisy pouţívané v organizaci Identifikace a Autentizace pro uţivatele a pouţívané aplikace Přidělování uţivatelských práv a kontroly příslušných přístupů daných uţivatelů – viz audit přístupových práv v rámci aplikací a systémů (kapitola 5.2) Utajení & Integrita Zjištění Bezpečnostních incidentů a reakce na takové riziko Administrace Školení a Informovanost v rámci organizace Firewally & Detekční systémy a jejich způsob vyuţívání Vývoj & Správa Informačního Systému a případných aplikací Fyzická ochrana v rámci organizace – viz audit fyzické bezpečnosti a dohledových systémů (kapitola 5.1) Kontinuita obchodní činnosti a havarijní plány definující řádné pokračování procesů Subdodavatelé dané organizace

83

Právní pohled v rámci organizace Shrnutí odezvy odpovědné osoby na rozsah spolupráce a případná známá rizika a hrozby, případně výsledky předchozích auditů a kontrol. Po ukončení příslušného auditu rozsahu outsourcingu a spolupráce organizace s třetí stranou a kontroly výše uvedených oblastí a jejich souladu se standardy, by případný auditor měl být schopen vyhodnotit situaci a určit po srovnání s příslušným standardem popisujícím poţadavky na outsourcing a spolupráci s dodavateli a třetími stranami, zda má organizace plně implementovaný a zabezpečený proces řízení výše uvedené spolupráce a to se zákonem č.101/2000 Sb., na ochranu osobních údajů (ÚOOÚ) a příslušným metodickým pokynem (COBIT, ITIL). Pokud auditor identifikuje určité odlišnosti a nedostatky, tak je povinnen na takovou skutečnost upozornit v rámci předběţného seznamu zjištěných nedostatků a následně je povinnen takové nedostatky ohodnotit a oklasifikovat na základě výše rizika a moţného dopadu na organizaci. Takto vytvořený kompletní seznam s detaily se stavá podkladem pro předání vedení organizace, která má za povinnost na taková zjištění patřičně zareagovat a připravit popis nápravných opatření tzv. CAP – Corrective Action Plan. Seznam detailních nálezů příslušného auditora a reakce vedení (CAP) na prezentované nedostatky se následně stává podkladem pro vypracování finální auditorské zprávy, která je předána vedení organizace pro následné odstranění identifikovaných nedostatků dle návrhu technických a procesních úprav viz plán nápravných opatření v rámci organizace.

84

Závěry a doporučení Obsahem této diplomové práce bylo popsat oblast auditu provozu IS/IT, přiblíţit druhy standardů a nejčastěji pouţívaných metodik pro úspěšné provádění poţadovaného auditu. Dále se tato práce zabývá řízením případných identifikovaných rizik na základě provedeného auditu, který můţe mít několik podob, které jsou autorem popsané ve druhé části této práce. Audit je velmi důleţitou disciplínou pro organizace, avšak i sebelepší audit vykonaný odborníky, nemusí odhalit veškeré nedostatky, rizika a hrozby případné organizace. Proto je stalé nejjednodušší a poměrně levnou záleţitostí právě oblast prevence a řádného proškolení samotného uţivatele (zaměstnance) a nastavení robusního kontrolního mechanismu napříč organizací a zapojení odpovědných zaměstnanců do procesu nezávislého testování funkčnosti procesů a tím zajistit určitý několika-úrovňový rozsah kontrol procesů a provozu v rámci dané organizace. Doporučení autora zní, ţe kaţdý auditor vykonávající tuto funkci by měl být neustále ve střehu a měl by být schopen analyzovat a vyhodnocovat nejen běţné poţadavky auditu, ale především následující a související sekvence, které mohou celý průběh auditu úplně změnit z důvodu případně neočekávaných skutečnosti se kterými by se znalý auditor měl velmi jednoduše vyrovnat a tím poskytnout maximálně profesionální přístup vůči zadavateli auditu (organizaci).

85

Přehled pouţité literatury a dalších zdrojů 1. COBIT Brochure [online]. 2011 [cit. 2011-04-23]. COBIT. Dostupné z WWW: http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-Brochure.pdf. 2. Česká republika. Zákon č. 101/2000 Sb. o ochraně osobních údajů. ÚOOU. 2011. Dostupný také z WWW: http://www.uoou.cz. 3. Česká republika. Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní

způsobilosti.

NBÚ

2011.

Dostupný

také

z WWW:

http://www.nbu.cz/_downloads/pravni-predpisy/container-nodeid-604/412-2005-po11-2011---.pdf. 4. Česká republika. Zákon č.93/2009 Sb.o auditorech. KACR 2011. Dostupný také z WWW: http://www.kacr.cz/Data/files/Metodika/Legislativa/Audit/93_2009.pdf. 5. ISACA Information Systems Audit and Control Association [online]. 2011 [cit. 201104-23]. ISACA. Dostupné z WWW: http://www.isaca.org. 6. IT SECURITY 2011 – Prague Conference (Feb. 22–23, 2011) – www.konference.cz. 7. ITIL Information Technology Infrastrukture Library [online]. 2011 [cit. 2011-04-23]. Dostupné z WWW: http://www.itil.org.uk. 8. STRNADEL, Petr. Identifikace a autentizace v informačních systémech. Praha, 2009. 61 s. Bakalářská práce. BIVŠ. 9. SVATÁ, Vlasta. Audit informačního systému. Praha: VŠE Praha, 2005. ISBN 80-2450975-X 10. SVATÁ, Vlasta. Audit Informačního Systému. První vydání. Praha : Professional Publishing, 2011. 230 s. ISBN 978-80-7431-034-8. 11. Úvodní přehled ITIL V3 Information Technology Infrastructure Library. Praha: itSMF – The IT Service Management Forum, 2007. ISBN 0-9551245-8-1 12. VOŘÍŠEK, Jiří. Principy a modely řízení podnikové informatiky. Praha: Oeconomica, Praha, 2008. ISBN 978-80-245-1440-6 13. Průzkum informační bezpečnosti v ČR 2009. © Ernst & Young, NBÚ, DSM – data security

management.

ISBN

978-80-86813-19-6.

http://www.dsm.tate.cz/cz/download/.

86

Dostupný

také

z WWW:

Přehled pouţitých obrázků a tabulek Seznam vloţených obrázků: Obrázek 1: Princip auditu a ujištění pomocí zpětné vazby. (zdroj: IT Assurance Guide)...11 Obrázek 2: PSIB ČR (zdroj: http://www.dsm.tate.cz/cz/download/ - 2009 © Ernst & Young, NBÚ, DSM – data security management ISBN 978-80-86813-19-6)… 61 Obrázek 3: Seznam COBIT procesů a ţivotního cyklu COBIT. (zdroj: COBIT Framework)... 89 Obrázek 4: Kostka COBIT. (zdroj: Audit Informačního Systému, doc. Ing. Vlasta Svatá, CSc., ISBN 978-80-7431-034-8, str.80)... 92 Obrázek 5: Zobrazení ITIL® V3 (zdroj: http://www.itsmportal.cz/cs/ITIL/Co-je-ITILV3.alej)... 93

Seznam vloţených tabulek: Tabulka 1: Porovnání pojmu kontrola, audit, ujištění (zdroj: Audit Informačního Systému, doc. Ing. Vlasta Svatá, CSc., ISBN 978-80-7431-034-8, str.17)... 9

87

Přehled pouţitých zkratek BCP – Business Continuity Plan CAP – Corrective Action Plan COB – Continuity of Business COBIT – Control Objectives for Information and related Technology ČSN – Česká státní norma DSM – Data Security Management DRP – Disaster Recovery Plan DWH – Data Warehouse – Datový sklad EHT – Ethical Hacking Test ETM – Electronic Transportable Media EUC – End User Computing HW - Hardware IS – Informační systém IS – Information Security – Bezpečnost informací ISO – International Organization for Standardization IT – Informační technologie ITIL - Information Technology Infrastructure Library KPI - Výkonostní metrika „Key performace indicators“ KRI – Výkonostní metrika „Key risk indicators“ NBÚ – Narodně Bezpečnostní Úřad OTP - One Time Password PC – Personal Computer – Osobní počítač PT – Penetration Test SOX – Sarbanes-Oxley Act SQL – Programovací a analytický jazyk vyuţívaný při tvorbě a správě databází SW - Software TI – Technology infrastructure – Technologická infrastruktura ÚOOÚ – Úřad pro ochranu osobních údajů VA – Vulnerability Assessment

88

Přílohy Příloha 1: Zobrazení ţivotního cyklu metodiky COBIT a jednotlivých procesů:

Obrázek 3: Seznam COBIT procesů a ţivotního cyklu COBIT. (zdroj: COBIT Framework) PO – Plan and Organise / Plánování a organizace – jedná se o taktické a strategické plánování a organizování provozu IS/IT. Výstupem se očekává optimální vyuţití

89

potřebných zdrojů a zajištění plné efektivity provozu IS/IT. V rámci plánování je nutné vzít v potaz potřeby organizace, ale také i moţná rizika. 

PO1 – Definice strategického plánu IT



PO2 – Definice informační architektury



PO3 – Určení technologického směru



PO4 – Definice organizace a vztahů pro IT



PO5 – Řízení investic do IT



PO6 – Komunikace cílů vedení



PO7 – Řízení lidských zdrojů



PO8 – Zajištění shody s vnějšími poţadavky



PO9 – Hodnocení rizik



PO10 – Řízení projektů



PO11 – Řízení kvality

AI – Acquire and Implement / Akvizice a implementace – zde je nutné zda příslušný provozní poţadavek lze splnit interně v rámci organizace, nebo zda je nutné o takové poţadované řešení poţádat třetí stranu. 

AI1 – Identifikace automatizovaných řešení



AI2 – Pořízení a údrţba aplikačního software



AI3 – Pořízení a údrţba technologické infrastruktury



AI4 – Postupy vývoje a údrţby



AI5 – Instalace a akreditace systému



AI6 – Řízení změn

DS – Deliver and Support / Poskytování a podpora – do této oblasti spadá včasné a správné poskytování poţadované sluţby ze strany útvaru IS/IT a to směrem k provozu dané organizace s veškerou IS/IT podporou na dostupnost poţadované sluţby v rámci organizace. 

DS1 – Definice a řízení úrovní sluţeb



DS2 – Řízení sluţeb třetích stran



DS3 – Řízení výkonu a kapacity



DS4 – Zajištění nepřetrţitosti sluţeb



DS5 – Zajištění bezpečnosti systému



DS6 – Identifikace a alokace nákladů



DS7 – Vzdělávání a příprava uţivatelů

90



DS8 – Podpora uţivatelů a zákazníků



DS9 – Řízení konfigurace



DS10 – Řízení problémů



DS11 – Správa dat



DS12 – Správa vybavení



DS13 – Řízení provozu

ME – Monitor and Evaluate / Monitorování a vyhodnocování – příslušné procesy a sluţby je nutné kontolovat na pravidelné bázi s následným auditem, který nám ohodnotí plnění poţadavku váţící se k provozovanému procesu, sluţbě a tím ujištění, ţe daný proces a výstup jsou prováděné dle posledně schválených procesních postupů a platných standardů. 

ME1 – Monitorování a vyhodnocování procesů



ME2 – Posouzení adekvátnosti interních opatření



ME3 – Zajištění souladu s Externími poţadavky



ME4 – Pokrytí poţadavku IT Governance

(zdroj: http://www.isaca.org/Knowledge-Center/cobit/Documents/CobiT-4.1-Brochure.pdf)

91

Příloha 2: Zobrazení metodiky COBIT a jednotlivých dimenzí pomocí modelu „Kostka COBIT“: Informační kritéria IT Procesy Zdroje IT

Obrázek 4: Kostka COBIT. (zdroj: Audit Informačního Systému, doc. Ing. Vlasta Svatá, CSc., ISBN 978-80-7431-034-8, str.80)

92

Příloha 3: Zobrazení metodiky ITIL® V3 grafické znázornění jako kolo se „sebezdokonalujícími“ částmi Aktuální ITIL® verze 3 se na rozdíl od předchozích verzí zaobírá uţ jenom ITSM – řízením IT sluţeb (řízení infrastruktury IT je redukováno na minimum) a na IT sluţbu se dívá z nového pohledu – z pohledu jejího ţivotního cyklu (Service Lifecycle). Knihovna ITIL® V3 je popsaná v pěti základních publikacích: 1. Service Strategy 2. Service Design 3. Service Transition 4. Service Operation (obsahově de facto tituly Service Support a Service Delivery z ITIL® verze 2) 5. Continual Service Improvement Verzi ITIL® V3 lze graficky znázornit jako kolo se „sebezdokonalujícími“ částmi:

Zdroj:

Obrázek 5: Zobrazení ITIL® V3 (zdroj: http://www.itsmportal.cz/cs/ITIL/Co-je-ITIL-V3.alej)

93

Základním prvkem modelu ITIL® V3 je Strategie, s pomocí které definujeme sluţby uţitečné pro byznys organizace (titul Service Strategy), kolem strategie se odvíjí ţivotní cyklus sluţeb – jejich Design, Nasazení a vyřazení z/do provozu, samotný Provoz sluţby (tituly Service Design, Service Transition a Service Operation). Neustálé zlepšování celého cyklu sluţeb je popsané v knize Continual Service Improvement. ITIL® verze 3 kromě uvedených hlavních publikací obsahuje i dodatkové tituly, které se zaobírají problematikou IT Governance, projektovým řízením, ISO/IEC 20000, SOX a jinými vlivy na cyklus sluţeb. (zdroj: http://www.itsmportal.cz/cs/ITIL/Co-je-ITIL-V3.alej)

94