Számítástechnikai audit emlékeztető összefoglalás. Témakörök. Az audit igénye

Számítástechnikai audit emlékeztető összefoglalás Dr. Kondorosi Károly Dr. Molnár Imre

Témakörök • • • • • • •

Áttekintés Kockázatkezelés Az audit folyamat A szervezet és az emberi tényező Az infrastruktúra Az adat A folyamatos üzem

Dr. Molnár Imre

Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.

E1/2

Az audit igénye • Biztonsági problémák hatása • Kollektív felelősség • Megoldás: Audit – Átvilágítás és felmérés – Szabályzatok, ajánlások és előírások teljesülésének mértékében – Külső és Belső – Felmérő-javasló és Ellenőrző-hitelesítő – Legfelső vezetői támogatással Dr. Molnár Imre


E1/3

1

Szabályzatok, ajánlások • Nincs egységes szabvány (még) • Tapasztalatok gyűjteménye • 90-es évek termékei – CC (93 ... 96) – COBIT (96, 98, 2000,...) – BS 7799 • -1 (95, 98, 99) (ISO 2000) • -2 (99, 2002) Dr. Molnár Imre


E1/4

Common Criteria • CC – Minden további ajánlás alapja – Műszaki szemléletű (vs. Üzleti szemléletű)

Dr. Molnár Imre


E1/5

CC története Kanada 1983

USA

Németország

DTIEC

1989 Rainbow Series

1991

1993

Anglia

Franciaország

TCSEC ZSIEC

SCSSI

ITSEC

CTCPEC

1996

Dr. Molnár Imre

FC

Common Criteria


E1/6

2

CC - modell • IT rendszer biztonságát veszélyeztető fenyegetettségek • + ezek kivédésére szánt biztonsági funkciók • = Struktúrális összegzés: Protection Profile, PP • 3 célcsoport: • fejlesztők: - PP alapján termékspecifikus Biztonsági Rendszerterv készül • felhasználók, - termékválasztást segíti • értékelők (auditorok): Common Evaluation Criteria

– (vs. COBIT: vezetők, felhasználók, auditorok) Dr. Molnár Imre


E1/7

CC – modell • Nem része a CC-nek: • (megoldottnak tekintett) – Környezet biztonsági kérdések • elhelyezés, beléptetés, tűzvédelem, stb.

– Szervezet biztonsági kérdések • jogosultságok, feladatkörök összeférhetősége, stb.

– Jogi és adminisztratív kérdések – Spec.biztonsági mechanizmusok (pl. kriptográfiai rendszerek) Dr. Molnár Imre


E1/8

CC – biztonsági koncepció Tulajdonos

Előír

Értékeli Minimalizálni akarja

Ellenintézkedések

Csökkentik Befolyásolják

Tud róla

Csökkenthető

Sebezhetőségek

Veszélyforrások Eredményeznek Okoznak

Veszélyek

Vezetnek

Kockázat

Növelik

Érinti Érintik

Vagyontárgyak

Károsíthatják

Dr. Molnár Imre


E1/9

3

CC – értékelési koncepció Garancia-biztosítási technikák Előállít

Értékelés

Biztosítja

Tulajdonos Igényli

Tanúskodik

Garancia

Bizalom, bizonyosság Miszerint

Ellenintézkedések Minimalizálják

Kockázat Érinti

Dr. Molnár Imre

Vagyontárgyak


E1/10

CC – garancia szintek 1. 2. 3. 4.

szint: funkcionálisan tesztelt szint: strukturálisan tesztelt szint: módszeresen tesztelt és ellenőrzött szint: tervszerűen tervezett, tesztelt és áttekintett 5. szint: félformálisan tervezett és tesztelt 6. szint: félformálisan igazoltan tervezett és tesztelt 7. szint: formálisan igazolt és tesztelt Dr. Molnár Imre


E1/11

COBIT • Control Objectives for Information and Related Technology • Ajánlás: • Information Systems Audit and Control Association (ISACA) – www.isaca.org

Dr. Molnár Imre


E1/12

4

COBIT – – – – – – –

Üzleti szemléletű Komplex vizsgálat (teljes környezet) Alapjai: nagygépes pénzügyi rendszerek ISACA nemzetközi szervezet Szakértői hitelesítés: CISA minősítés Elterjedt: US, CDN, F, D, .... Magyarországon elsősorban a pénzügyi szektorban • (PSZÁF)

Dr. Molnár Imre


E1/13

COBIT – a cél – Cél: • Üzleti célok megvalósításának biztosítása • Az IT eszközök felhasználásával

– Üzleti eredmények = Felső vezetői szemlélet – Felső vezetők = Enterprise Governance – Ennek mintájára – IT Governance • A structure of relationships and processes to direct and control the enterprise in order to achieve the enterprise’s goals by adding value while balancing risk versus return over IT and its processes.

– Az IT nem kiszolgálója, hanem része az üzleti stratégiának Dr. Molnár Imre


E1/14

COBIT – a modell

Dr. Molnár Imre


E1/15

5

BS 7799 • 7799-1 Code of Practice = ISO 17799 – Nem ad implementációs javaslatot

• 7799-2 = Inf.Sec.Mnmt.Sys – 7799-2:99 - ISMS – build – 7799-2:02 - ISMS – operate and maintain

• BS 7799-2 megfelelőség = ISMS hitelesítése • Akkreditált szervezet hitelesíthet (pl. UKAS Group E) • Elterjedt: UK, NL, Asia/Pacific Dr. Molnár Imre


E1/16

Audit – szabványosítás • Nincs egységes szabvány: – ISO/IEC 17799 • US, CDN, F, D ellenzi • UK, NL, Asia-Pacific támogatja

– COBIT • Elterjedt az egész világon, elsősorban pénzintézeteknél

• Vannak azonban: – általános elvárások és normák Æ etika Dr. Molnár Imre


E1/17

Auditori etika • Etika: – – – – –

Bizalmas kezelés Lojalitás a megbízóhoz Előírások szerinti működés, továbbképzés Függetlenség Tárgyilagosság

Dr. Molnár Imre


E1/18

6

Témakörök • • • • • • •


Dr. Molnár Imre


E1/19

Kockázat • A biztonsági rés Æ „megéri-e?” • Kockázati elemek: – – – – – –

Vagyontárgy (assests) Sebezhetőség (vulnerabilities) Fenyegetettség (threats) Hatás (impacts) Kockázat (risks) Fennmaradó kockázat (residual risk)

Dr. Molnár Imre


E1/20

Kockázatelemzés • Teljes kockázat= hatás * valószínűség | minden fenyegetettségre

• Kvalitatív és Kvantitatív elemzés • Védelmi intézkedések (controls) – Megelőző – Felderítő – Javító Dr. Molnár Imre


E1/21

7

A kockázatelemzés lépései • 1.- vagyontárgyak és potenciális fenyegetettségük felmérése – hatásvizsgálat (assets, threats, impacts) • 2. Meglévő védelmi intézkedések vizsgálata (controls) • 3. További védelmi intézkedések bevezetésének lehetősége és hatása • 4. Intézkedések prioritás vizsgálata – Leghatékonyabb és leghatásosabb kiválasztása Dr. Molnár Imre


E1/22

A kockázatelemzés lépései • A kiválasztás szempontjai: – Bevezetési költség vs. Kockázat csökkentés értéke – A vezetőség által elfogadottnak tekintett kockázat szintje – A támogatott kockázat csökkentő módszer: • Valószínűség csökkentése, teljes kiküszöbölés, hatás csökkentés, biztosítás, stb. Dr. Molnár Imre


E1/23

A választott módszer • Számos kockázatelemzési módszer létezik • Nem a módszer a döntő • Fontosabb: – Kritikus szemlélet – Üzleti célú megközelítés – A lényeges kockázatok felismerése és értékelése – Az ésszerű ellenintézkedések kiválasztása Dr. Molnár Imre


E1/24

8

Védelmi intézkedések • A nem kívánatos események – elhárítása, vagy – észrevétele és azok hatásának kijavítása – Egyedi védelem és globális védelem

Dr. Molnár Imre


E1/25

Az informatikai biztonság célja Olyan állapot elérése, amelyben – a kockázatok – megvalósítható és értékarányos védelmi intézkedésekkel – elviselhető mértékűre csökkenthetők. Az üzleti célok elérhetőségének biztosítása a vezetőség által kívánt mértékben Dr. Molnár Imre


E1/26

Információ az üzleti célokért • Tehát: Információ – az üzleti célok szolgálatában Æ ezért üzleti elvárások vannak: – Minőségi követelmények – Felhasználási követelmények – Biztonsági követelmények

Dr. Molnár Imre


E1/27

9

A Cobit üzleti szemlélete • Szokásos üzleti elvárások

• COBIT kritériumok

• Minőség

• • • • • • •

• Felhasználhatóság • Biztonság

Dr. Molnár Imre

Hatásosság (effectiveness) Hatékonyság (efficiency) Bizalmasság (confidentiality) Sértetlenség (integrity) Elérhetőség (availability) Megfelelőség (compliance) Valósághűség (reliability)


E1/28

COBIT – a modell Erőforrások (adat, alkalmazás, technológia, környezet, emberek)

Üzleti események Dr. Molnár Imre

IT folyamatok

Üzleti kritériumok


E1/29

COBIT - domains • Üzleti fogalmak és ne auditori zsargon – – – –

Tervezés és Szervezet Beszerzés és Használatbavétel Üzemeltetés és Szolgáltatások Ellenőrzés

Dr. Molnár Imre


E1/30

10

Cobit család

Dr. Molnár Imre


E1/31

Cobit család • Magas szintű = Framework – 4 domain – 34 folyamat

• Részletes = Detailed Control Objectives – 3-30 részletes intézkedés folyamatonként – összesen 318

• Audit = Audit Guidelines – ellenőrzési javaslatok a 34 folyamatra

• Vezetői segítség = Management Guidelines – Célok és mutatók a 34 folyamathoz Dr. Molnár Imre


E1/32

Témakörök • • • • • • •


Dr. Molnár Imre


E1/33

11

Vezetői garancia • Elfogadható biztosíték a vezetőknek, hogy az intézkedési célok megvalósultak • Hol vannak gyenge pontok? • Hogyan lehet a fennmaradó hibákat korrigálni? Æ válasz: audit Dr. Molnár Imre


E1/34

A kockázat alapú audit • A probléma megközelítési mód alapján: • Legelterjedtebb módszer – Mivel cél a védelmi intézkedések ellenőrzése – Kockázat oldaláról megközelítve egyszerűbb Æ költség-előny analízis végezhető Æ vezetői döntésekhez segítség Dr. Molnár Imre


E1/35

Az audit folyamata • • • • • •

Áttekintés és tervezés Az ellenintézkedések megismerése Megfelelőségi teszt (Compliance testing) Lényegi teszt (Substantive testing) Értékelés Beszámoló

Dr. Molnár Imre


E1/36

12

A tesztek • ASSESSING COMPLIANCE – The audit steps to be performed to ensure that the control measures established are working as prescribed, consistently and continuously and to conclude on the appropriateness of the control environment.

COBIT

Dr. Molnár Imre


E1/37

A tesztek • SUBSTANTIATING THE RISK – The audit steps to be performed to substantiate the risk of the control objective not being met by using analytical techniques and/or consulting alternative sources. The objective is to support the opinion and to ‘shock’ management into action. Auditors have to be creative in finding and presenting this often sensitive and confidential information.

COBIT Dr. Molnár Imre


E1/38

Az értékelés • Bizonyítékok gyűjtése – Beszélgetés, kérdőív, mintavétel, – Számítógépes támogatás

• A bizonyíték értékelése – materiality • Beszámoló és Exit Interview • CAR és Follow up

Dr. Molnár Imre


E1/39

13

A bizonyítékok • Minden, ami meghatározza az audit eredményét. • Fontos: a bizonyíték megbízhatósága – Az információforrás függetlensége • Pl. Külső igazoló levél

– Az információforrás képesítése, gyakorlata • Nem mindegy, hogy ki mondja...

– Tárgyilagosság, egyértelműség • Ne kelljen magyarázni...

Dr. Molnár Imre


E1/40

A mintavételezés • Ok: idő- és költség csökkentés • A vizsgálandó elemek részhalmaza alapján nyilatkozik a teljes halmaz jellemzőiről. • Típusai: – Statisztikai vagy Nem-statisztikai – Tulajdonság szerinti (attribute) vagy érték szerinti (variable)

• Van viszont: mintavételi kockázat – (sampling risk) Dr. Molnár Imre


E1/41

A mintavételezés – A mintavétel folyamata: • A teszt céljának meghatározása • A tesztelendő teljes halmaz kijelölése • A mintavételezési módszer meghatározása – Attribute vs. Variable

• A minta méretének meghatározása • A mintavétel • Értékelés az audit céljai szerint

Dr. Molnár Imre


E1/42

14

Az audit eredménye • Csak akkor hatásos, ha ezután történik valami. • Æ vezetőknek elő kell írni • Corrective Actions Report (CAR)

• Ennek folyamatát nyomon kell követni – Audit Follow Up

Dr. Molnár Imre


E1/43

A folyamatos audit • Normál működés közben állandó ellenőrzés • Előny: azonnali intézkedés lehetősége • Banki rendszerekben gyakori

Dr. Molnár Imre


E1/44

COBIT Audit Guidelines

Dr. Molnár Imre


E1/45

15

COBIT Audit Guidelines • Audit cél – Folyamatok

• Kockázatok – Üzleti – Örökölt – „benne rejlő”

Dr. Molnár Imre


E1/46

COBIT Audit Guidelines • Generic Audit Guidelines • • • •

Dr. Molnár Imre

Obtaining Understanding Evaluating the Controls Assessing Compliance Substantiating the Risk


E1/47

COBIT Audit Guidelines Detailed Audit Guidelines „Van-e arra biztosíték, hogy az üzleti célok elérhetők?” 1. Nem tekintendő komplett audit tervnek 2. Nem foglalkozik CAAT-tal 3. Általános, ezért kiegészítendő az adott üzletágra jellemző sajátosságokkal „obtaining understanding” alapján Dr. Molnár Imre


E1/48

16

Témakörök • • • • • • •


Dr. Molnár Imre


E1/49

Az IT és a vállalat

• Az IT nem kiszolgálója, hanem része az üzleti stratégiának • Æ megfelelő stratégiai tervezés szükséges • Hosszú távú (3-5 év) és rövid távú (1 év) Dr. Molnár Imre


E1/50

Az irányelvek és ügymenet

Cég irányelvek - Corporate Policy Szervezeti egységek saját irányelvei – top-down vagy bottom-up származtatás

Cég ügymenet - Procedures Dr. Molnár Imre


E1/51

17

Az emberi tényező • Mire figyeljen az auditor? • Az okok • Fontos: tehát: Az emberi környezet ellenőrzése.

Dr. Molnár Imre


E1/52

A szervezet auditja • Átnézendő dokumentumok: – – – – – –

IT stratégia, költségvetés, Steering Committee jegyzőkönyvek HR irányelvek, ügymenet, alkalmazotti kézikönyv Szervezeti felépítés, függőségi viszonyok Munkaköri leírások ( Feladat-elkülönítés !! ) Működtetési eljárások – felelősség meghatározás – Rendszerfejlesztési és változtatási eljárások – Biztonsági irányelvek és védelmi intézkedések (bizalmas)

Dr. Molnár Imre


E1/53

A szervezet auditja • Különösen fontos: – – – – – – – – –

PO4: Define the IT Organisation and Relationship – 15 PO6: Communicate Management Aims and Directions - 11 PO7: Manage Human Resources - 8 AI4: Develop and Maintain Procedures - 4 AI6: Manage Changes – 8 DS4: Ensure Continuous Services - 13 DS7: Educate and Train Users – 3 DS13: Manage Operations – 8 M1: Monitor the Processes - 4

Dr. Molnár Imre


E1/54

18

A vezetői felelősség • „Meddig kell elmennünk és vajon az előnyök igazolják-e a költségeket?” • „Mi az intézkedések helyes mértéke, amely a cég üzleti céljait támogatja? • Válasz: COBIT Management Guidelines – – – –

Dr. Molnár Imre

Hogyan állunk a többiekhez képest? – Maturity model Mik a jó teljesítmény jellemzői? -- KPI Mi a fontos és mi kevésbé fontos? -- CSF Valóban teljesülnek-e a céljaink? -- KGI


E1/55

A vezetői felelősség • „CSF’s are the most important things you need to do based on the choices made in the Maturity Model, whilst monitoring through KPIs whether you will likely reach the goals set by the KGIs” COBIT Management Guidelines

Dr. Molnár Imre


E1/56

Érettségi szintek • 0 Non-Existent. Fel sem ismert problémák. • 1 Initial. Felismert problémák, de csak ad-hoc módszerek egyéni esetekben. A vezetés szervezetlen.

• 2 Repeatable. Különböző személyek által végzett, független folyamatok. A felelősség az egyéneké, és a cég függ az egyéntől.

• 3 Defined. Szabványosított, dokumentált és betanított, de nem

ellenőrzött és nem számonkért egyszerű folyamatok, melyek csak a meglévő szokásokat rögzítik.

• 4 Managed. Lehetséges a folyamatok ellenőrzése és intézkedések történnek eltérés esetén, de nincs automatizmus.

• 5 Optimised. Integrált és automatizált folyamatok a legjobbnak elismert módszer szerint. Gyors alkalmazkodás a változó igényekhez. Dr. Molnár Imre


E1/57

19

Témakörök • • • • • • •


Dr. Molnár Imre


E1/58

Az infrastruktúra auditja • • • •

Beszerzés Működtetés, karbantartás Kapacitás tervezés Változás kezelés

Dr. Molnár Imre


E1/59

Infrastruktúra auditja • Stratégiai és taktikai tervezés – üzleti célok érdekében, lehetőségek és várt eredmények összhangja (PO2, PO3)

• Fejlesztés – költségkereten belül, elvárások szerint (PO5, AI1, AI2, AI3)

• Üzemeltetés és karbantartás – folyamatos rendelkezésre állás, technológiai szint (AI6, DS3, DS9, DS10, DS13) Dr. Molnár Imre


E1/60

20

Az infrastruktúra auditja Biztonság Ellenőrzés lehetősége (M1) szabályozott és dokumentált nyomon követhető

Dr. Molnár Imre


E1/61

Az infrastruktúra auditja • Audit szempontból különösen fontos: – – – – – – –

Felügyelet nélküli működés Input és Output Service Level Erőforrás használat Változás kezelés Minőségbiztosítás Service Desk-Help desk

Dr. Molnár Imre


E1/62

Témakörök • • • • • • •


Dr. Molnár Imre


E1/63

21

Adat = vagyontárgy • Information Asset • Fontosabb, mint az infrastruktúra (eszközök) • Information security Æ Information assurance • Integerity , Confidentality, Availability • sértetlenség, bizalmasság, rendelkezésre állás

• Nem minden adatot kell védeni, csak azt, amit értékesnek tartunk. Æ kockázatelemzés

Dr. Molnár Imre


E1/64

Adatok védelme • Az adat vagy az adattárolón van, vagy mozog a tárolók között. • Vizsgálni kell: – A logikai hozzáférés biztonsága – tervezése, megvalósítása és felügyelete

– A hálózati infrastruktúra biztonsága – A fizikai hozzáférés biztonsága

Dr. Molnár Imre


E1/65

Biztonsági irányelvek • Security Policy – Vezetői támogatás – Csak a szükségeshez való hozzáférés elve • „need to know, need to do”

– Törvényi előírások betartása – Tudatosítás • • • • Dr. Molnár Imre

Előírások írásbeli terjesztése – bizalmas részletek nélkül Oktatás, folyamatos tájékoztatás (hírlevél, stb.) Az előírások látható betartása Biztonsági demo, teszt, stb. Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.

E1/66

22

Hozzáférési jogok • Adat tulajdonos – megfelelő vezető Feladat elkülönítés jogok

• Biztonsági ügyintéző

Dr. Molnár Imre


E1/67

Hozzáférési utak • • • • •

Operátori terminál Online munkahely Batch feldolgozás Dial-up Telecom hálózat (wan, internet, ..)

Dr. Molnár Imre


E1/68

Tipikus fenyegetettség • • • • • • •

Adatmanipuláció bevitel során Adatmanipuláció kerekítéssel, csonkítással Alkalmazásba épített „hátsó ajtó” használata Trójai program Vírus, féreg, logikai bomba (zsarolás) Shut down, Denial of Service támadás Piggybacking, Wire-tapping, Asynchron támadás, Man-in-the-Middle

Dr. Molnár Imre


E1/69

23

A valóság • FBI tanulmány, 2001: • • • • • •

A biztonsági problémák évente duplázódnak A támadások 64%-a pénzügyi veszteséget okozott A támadások 70%-a az Internetet használja .... 35% privát internet használat munkaidőben Az esetek 90%-ban érkezik legalább heti egy „spam” email • Az alkalmazottak 30%-a bizalmas adatot is küld ki emailen Dr. Molnár Imre


E1/70

Védelmi eszközök Hozzáférés

Azonosítás

Fenyegetettség

Dr. Molnár Imre


E1/71

Védelmi eszközök • User Admin, SSO, PKI eszközök • Access Control eszközök – Identification – azonosítás – bejelentkező név – Authentication – hitelesítés – valóban ő az? • • • • Dr. Molnár Imre

Valami, amit csak ő tud: jelszó,.... Valami, ami csak nála van: kártya, token, ... Valami, ami csak rá jellemző: biometrics.. Vagy ezek kombinációja. Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.

E1/72

24

Védelmi eszközök • A jelszó biztonsága – – – – –

5-8 karakter (biztonság-elfelejthetőség) Kisbetű, nagybetű, szám Nem kitalálható Nem ismételhető Kötelező csere

Dr. Molnár Imre


E1/73

Védelmi eszközök • • • • •

Tűzfal VPN Antivirus Behatolás védelem – Intrusion Detection Tartalomszűrés – Content Inspection

Dr. Molnár Imre


E1/74

Védelmi eszközök - audit • Policy Compliance – Automatikus fenyegetettség vizsgálat

• Audit – Működés biztonsági nyomkövetése

Dr. Molnár Imre


E1/75

25

Védelmi eszközök – PKI (küld)

DES

Titkos kód

Küldő Privat Azonosítás és letagadhatatlanság

CA

Fogadó Public Bizalmasság

Dr. Molnár Imre


E1/76

Védelmi eszközök – PKI (fogad)

? =

DES

Küldő titkos Fogadó privat Bizalmasság

CA

Küldő public Azonosítás és letagadhatatlanság

Dr. Molnár Imre


E1/77

Hasznos intézkedések • Hozzáférési szintek meghatározása – Need to know, need to do

• • • •

Automatikus logoff Automatikus deaktiválás Hozzáférési minták elemzése – szokatlan? Adat minősítés (US National Institute of Standards and Technology): – – – –

Dr. Molnár Imre

Sensitive – érzékeny (pl. Jelszó, kódolási paraméterek,..) Confidential – bizalmas (forráskód, ...) Privat – személyes (ügyféladatok, ...) Public – nyilvános (web tartalom,...) Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.

E1/78

26

PC használat • A PC a legnagyobb veszélyforrás – Logikai védelem: jelszó, titkosítás, stb. – Fizikai védelem: lopásvédelem, ...

• Jó megoldás lehet a fizikai elhelyezés védelme is – ha lehetséges

Dr. Molnár Imre


E1/79

Audit – Fontos tanulmányozni: • • • • • • • • •

Dr. Molnár Imre

Hozzáférési utak Irányelvek, eljárások és azok betartása Biztonság tudatossága Adat tulajdonviszonyok Hozzáférési log Azonosítási eljárás (jelszó, token,...) Jogosultság-megsértési jegyzőkönyvek és következmények Biztonsági kerülőutak lehetősége …. Stb.


E1/80

Környezeti veszélyek – – – – – –

Víz, Tűz, Természeti katasztrófa Áramkimaradás Légkondicionálás hibája Betörés, szabotázs, bombariadó, ....

Dr. Molnár Imre


E1/81

27

Az adat védelme - folyamatok • Legfontosabb folyamatok: – – – – – – –

PO2: Defining the Information Architecture DS4: Ensure Continuous Service DS5: Ensuring System Security DS7: Educate and Train Users DS12: Managing Facilities M1: Monitor the Process M2: Assess Internal Control Adequacy

Dr. Molnár Imre


E1/82

Témakörök • • • • • • •


Dr. Molnár Imre


E1/83

Folyamatos üzem • Disaster Recovery • Business Continuity Planning – IT környezet – Személyzet és anyagok – Létesítmények és berendezések

Dr. Molnár Imre


E1/84

28

Elhárítási terv • Stratégiai dokumentum • Külső helyszínen tárolandó – (pl. Döntéshozók lakása, stb.)

• Legfelső vezetés (üzleti vezetés) hatásköre

Dr. Molnár Imre


E1/85

Terv részei • Emergency Directory (elérhetőség) – – – – – – – – –

Értesítendő személyek, döntéshozók Katasztrófakezelő team-vezetők Hw/sw szállítók Szolgáltatók Hálózat/telecom adminisztrátorok Off-site media tárolók Biztosítási ügyintézők Tartalék létesítmények gazdái Stb.

Dr. Molnár Imre


E1/86

Terv részei • • • • • • • •

Szükséges eszközök, anyagok listája Feladatok és Felelősök Rendszerek fontossági rangsora A kritikus visszaállítási határidők Adatfeldolgozási összefüggések Feldolgozási prioritások Hálózati lehetőségek Biztosítási kérdések

Dr. Molnár Imre


E1/87

29

Környezeti alternativák • Hot-site • • • •

Csak a személyzetre és éles adatokra van szükség Bérelhető – különböző lehetőségek Pl. Használható többlet erőforrásként is Általában max. néhány hétig használható

Dr. Molnár Imre


E1/88

Környezeti alternativák • Warm site • Létesítmény, kapcsolatok, perifériák vannak • Drága eszközök (pl. Számítógép, programok) hiányoznak • Néhány nap/hét kell a beüzemeléshez

• Cold site • Csak alap infrastruktúra (pl. Épület, elektromos és kommunikációs kábelezés) • Jó néhány hét kell a beüzemeléshez. Dr. Molnár Imre


E1/89

Környezeti alternativák • Duplikált feldogozás • • • •

Dr. Molnár Imre

Ne legyen ugyanolyan katasztrófának kitéve Kompatibilitásra folyamatosan vigyázni kell Erőforrás tartalékot folyamatosan figyelni kell Rendszeresen tesztelni kell


E1/90

30

Környezeti alternativák • Kölcsönösségi megállapodás • Hasonló környezetű cégek között • Különösen egyedi környezet esetén • Hátrányai: – A használati jog sokszor nem érvényesíthető – A konfiguráció változása problémát okoz – Kapacitás hiány léphet fel

Dr. Molnár Imre


E1/91

Backup – Mentések elvégzése • • • •

Periodikusan A szükséges intervallumban Automatikus rendszerek előnyben !! Speciális támogatás (pl. Online, open-file,..)

– Mentések tárolása • • • • •

Dr. Molnár Imre

Off-site tárolás biztonsága (személy és természet) Pontos leltár (mozgásokról is) Ne legyen „reklámozva” Ne legyen ugyanannak a katasztrófának kitéve A media szállítása is biztosítandó !!


E1/92

Backup • Nem csak adatok, hanem: – Alapszoftver, könyvtárak, stb. – Dokumentációk, kézikönyvek • • • • • Dr. Molnár Imre

Operating Procedures System and Program Documentation Special Procedures Input Source Documents, Output Documents Business Continutiy Plan Számítástechnikai Audit - emlékeztető BME-IIT 2002/2003 I.

E1/93

31

A teszt • Olyan időben, amikor nem okozhat zavart • Teszteli – A terv aktualitását és teljességét – A személyzet teljesítményét – Méri a backup környezet megfelelőségét

• Gyakorlatot ad és tudatosít

Dr. Molnár Imre


E1/94

A terv karbantartása • Rendszeres felülvizsgálat – – – –

Pl. Szervezeti változások hatása Pl. Új alkalmazások hatása Pl. Üzleti stratégia változásának hatása Pl. A környezet (hw, sw, hálózat) változása

Dr. Molnár Imre


E1/95

A BCP auditja • • • • •

A terv vizsgálata Korábbi végrehajtási tesztek eredménye Backup tárak vizsgálata Kulcs-emberek kikérdezése Alternatív feldolgozás lehetősége – Szerződések

• Biztosítási lefedettség vizsgálata Dr. Molnár Imre


E1/96

32

A BCP folyamatok • • • • • • • • • • • • •

PO1 – Define a Strategic IT Plan PO2 – Defining the Information Architecture PO3 – Determine the Technological Direction PO5 – Manage the IT Investments PO9 – Assess Risks PO10 – Managing Projects PO11 – Managing Quality AI1 – Identify Solutions AI2 – Acquire and Maintain Application Software AI4 – Develop and Maintain IT Procedures AI5 – Install and Accredit Systems AI6 – Manage Changes DS4 – Ensure Continuous Services

Dr. Molnár Imre


E1/97

Köszönöm

33

Számítástechnikai audit emlékeztető összefoglalás. Témakörök. Az audit igénye

Recommend Documents