COBIT 4, 4.1 I. - basics - alapok
Szenes 1
COBIT 4, COBIT 4.1Part I - Basics
I. rész: Alapok
Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSPÓbudai Egyetem, Neumann János Informatikai [email protected]
Szenes 2
designations
www.isaca.orgaz USA-ban alapított ISACA
- Information Systems Audit and Control Association
www.isc2.orgISC2: a szintén amerikai
- International Information Systems Security Certification Consortium
o CISA – Certified Information Systems Auditor, o CISM - Certified Information Security Manager, o CGEIT - Certified in Governance Enterprise IT ,
o CISSP - Certified Information Security Professional
civilben: rendszermérnök, rendszerszervező, IT biztonsági, külső ellenőr
COBIT 4, 4.1 I. - basics - alapok
Szenes 2
Szenes 3
TOC - tartalom - 1 - Part I
note: the English formulation doesn't always follows the original either - intentionally
o mire jó - example benefits onlypéldák - examples
2 folyamat a kiszállítás és támogatás 13 COBIT folyamatából -two taken from the 13 processes of IT Service Delivery and Support:
DS1 - a szolgáltatási szintek meghatározása és kezeléseDS1 - Define and Manage Service Levels
a [javasolt] részletes ellenőrzési célok - control objectives
DS2 - külső szolgáltatások kezeléseDS2 - Manage Third-party Services
a [javasolt] részletes ellenőrzési célok - control objectives
Szenes 4
TOC - tartalom - 2 - Part I
o control objective - ellenőrzési cél - return to it later againISACA, ISO
o control measure - ellenőrzési intézkedés- return to it later againISACA, ISO
COBIT 4, 4.1 I. - basics - alapok
Szenes 3
Szenes 5
TOC - tartalom - 3 - Part I
COBIT - Basics - Alapok
o COBIT mission - cél (COBIT 4.0 VERSUS 4.1)
o COBITverX support to the IT processes -az IT folyamatok COBITverX támogatása
o basic audit notions - ellenőrzési alapfogalmakcontrol objective - ellenőrzési cél - COBIT / COSO
control measure / procedure - ellenőrzési intézkedés / eljárás - COBIT / COSO
example - példa
./. cont'd
Szenes 6
TOC - tartalom - 4 - Part I
Basics - Alapok cont'd
o the components of the COBIT technics - a COBIT technika részeiCOBIT cube – kockaCOBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó folyamatmodelljéhez information criteria - információ (minőségi) kritériumokresources - erőforrásokroles - szereplők
o COBIT 4.1 basics: goal - process - activity - measurement COBIT 4.1 alapok: cél - folyamat - tevékenység - mérés
basic notions: business / IT goal, process, activity, measure
alapfogalmak – üzleti / IT cél, folyamat, tevékenység, mérték
./. cont'd
COBIT 4, 4.1 I. - basics - alapok
Szenes 4
Szenes 7
TOC - tartalom - 5 - Part I
Basics - Alapok cont'd
o COBIT 4.1 basics: goal - process - activity - measurement -COBIT 4.1 alapok: cél - folyamat - tevékenység - mérés(cont'd)
COBIT 4.1 relationship of the basic notions – example: information security az alapfogalmak összefüggése a COBIT 4.1-ben – példa: informatikai biztonság
o the 4 responsibility domains of the COBIT IT processes -a COBIT informatikai folyamatok 4 felelősségi tartománya
PO, AI, DS, MErelationships: the COBIT cylinder - összefüggések: a COBIT hengerthe relationship of the 4 domains - a 4 tartomány összefüggései
irodalomkjegyzék - references
Szenes 8
on the control objective (ellenőrzési cél) - COBIT / ISO
The COBIT control objective, quoted from the Glossary of COBIT 4.1 is:"A statement of the desired result or purpose to be achieved by implementing control
procedures in a particular process".
Actually COBIT handles control objective as a working concept, for expressing such management objectives, that belong to the best practice, and have to be achieved by IT activities, at the same time,
as it is stated in the Appendix VIII of COBIT 4.1:" Control objectives—Provide generic best practice management objectives for IT processes".
ISO 27000 control objective"is a statement describing what is to be achieved as a result of implementing controls", where "controls" mean the so-called control measures.
Szenes - nagyjából: stratégiát szolgáló cél, NEM az ellenőr célja! hanem az intézményé
we return to it later again
COBIT 4, 4.1 I. - basics - alapok
Szenes 5
Szenes 9
on the control measure - COBIT / ISO
COBIT"The policies, plans and procedures, and organisational structures designed to provide reasonable assurance that business objectives will be achieved and undesired events will be prevented or detected and corrected" [COBIT 4.1].
ISO "control" definition: "means of managing risk, including policies, procedures, guidelines, practices or organizational structures, which can be administrative, technical, management, or legal in nature.
NOTE Control is also used as a synonym for safeguard or countermeasure."[quoted from ISO 27000]
Szenes - nagyjából: egy ellenőrzési célt szolgáló intézkedés, NEM az ellenőr intézkedik! hanem a személyzet
we return to it later again
Szenes 10
DS1 - a szolgáltatási szintek meghatározása és kezeléseDefine and Manage Service Levels
o DS1.1 A szolgáltatási szintek kezelése kereteinek kialakításao DS1.2 Az egyes szolgáltatások definiálásao DS1.3 A szolgáltatási szintekre vonatkozó megállapodások o DS1.4 A működési szintekre vonatkozó megállapodások
a szolgáltatási szintekre vonatkozó teljesítmény kritériumok megadásaa kockázatviselők számára érthető jelentésekmonitorozó statisztikák és ezek vizsgálata teendők
o DS1.5 A szolgáltatási megállapodások teljesítésének felügyeletéről, és a helyzetjelentésekről szóló rendelkezések
o DS1.6 A szolgáltatási szerződések, és klauzuláik felülvizsgálata
COBIT 4, 4.1 I. - basics - alapok
Szenes 6
Szenes 11
DS2 - külső szolgáltatások kezeléseManage Third-party Services
o DS1.1 A szolgáltatási szintek kezelése kereteinek kialakításao DS1.2 Az egyes szolgáltatások definiálásao DS1.3 A szolgáltatási szintekre vonatkozó megállapodások o DS1.4 A működési szintekre vonatkozó megállapodások
a szolgáltatási szintekre vonatkozó teljesítmény kritériumok megadásaa kockázatviselők számára érthető jelentésekmonitorozó statisztikák és ezek vizsgálata teendők
o DS1.5 A szolgáltatási megállapodások teljesítésének felügyeletéről, és a helyzetjelentésekről szóló rendelkezések
o DS1.6 A szolgáltatási szerződések, és klauzuláik felülvizsgálata
Szenes 12
mission in 1998
ISACA COBIT presentation:
C ControlOB OBjectivesI for InformationT and Related Technology
COBIT mission' 98:“To research, develop, publicise and promote an authoritative, up-to-
date, international set of generally accepted Information Technology Control Objectives for day-to-day use by business managers and auditors.”
COBIT 4, 4.1 I. - basics - alapok
Szenes 7
Szenes 13
COBIT cél - 1998
ISACA COBIT prezentációból:
C ControlOB OBjectivesI for InformationT and Related Technology
a cél 1998-ban:
Jogosult forrásból származó, korszerű, helyi szokásoktól független, általánosan elfogadott IT ellenőrzési célok kutatása,fejlesztése, közlése a vezetők és az auditorok mindennapi használatára.
Szenes 14
COBIT mission 2005
COBIT4 mission: IT-based support of the enterprise management.
The new interpretation of "IT governance" might be:IT-based management
The scope of the COBIT keeps growing.
1998: management & control of informatics2005-2007:o management & control of the enterprise processeso focus: fulfillment of the business goalsmeaning of "control" - manifold !
COBIT 4, 4.1 I. - basics - alapok
Szenes 8
Szenes 15
COBIT cél 2005
A COBIT4 az intézmény irányítását informatikai alapon támogatja.
Az "informatikai alapú irányítás" a megújult "IT governance" fogalom egy célszerű interpretációja.
A COBIT hatóköre egyre bővül.
kiinduló állapot - 1998: az informatika irányítása és ellenőrzése 2005-2007:
o a vállalatok és intézmények átfogó irányítása, o középpontban tartva, természetesen, az üzleti célok teljesítését.
vigyázzunk a "kontroll" jelentésével!
Szenes 16
COBITverX support to the IT processes -az IT folyamatok COBITverX támogatása
COBIT support levels:
o the evaluation of the operation of the IS processes from the viewpoint of the maturity level aligned to the given organization, the definition of appropriate control objectives to the IS processes, the evaluation of the level of the fulfillment of these goals at a given point of review time
o assignment of control objectives to the IS processes
o identification of control measures / procedures to satisfy the control objectives
control objective, control measure?
COBIT 4, 4.1 I. - basics - alapok
Szenes 9
Szenes 17
COBITverX support to the IT processes -az IT folyamatok COBITverX támogatása
A COBIT támogatási szintjei:
o az informatikai folyamatok működésének az adott szervezetre vonatkozó fejlettségi szintjének elbírálása, az informatikai folyamatokhoz alkalmas célok definiálása, és e célok egy adott vizsgálati időpontban való megközelítése mértékének elbírálása
o az informatikai folyamatokhoz ellenőrzési célok hozzárendelése
o az ellenőrzési célok elérése alkalmas ellenőrzési intézkedések / eljárások meghatározása.
mik ezek?
Szenes 18
basic audit notions - control objective - COBIT
officialcontrol objectives:generic best practice management objectives for all IT activities
IT control objective: statement of the desired result or purpose to be achieved by implementing control procedures in a particular IT activity. COBIT’s control objectives are the minimum requirements for effective control of each IT process.
private interpretation - informally formulatedmy control objective:my best practice:
objective of top management sjould derived from corporate strategy
IT control objective: IT operation objective derived from higher level operational goals,in the form of a statement expressing a desired result. It can be achieved by implementing control measures / procedures concerning IT activities.
COBIT 4, 4.1 I. - basics - alapok
Szenes 10
Szenes 19
ellenőrzési alapfogalmak - ellenőrzési cél - COBIT
hivatalosellenőrzési cél: legjobb szakmai gyakorlatot követő általános cél, amit az IT-nek
tűz ki a legfelső vezetés
IT ellenőrzési cél: az a kívánt eredmény v. szándék, amit az adott IT tevékenységre vonatkozó ellenőrzési eljárással lehet elérni. Az informatikai folyamatok hatékony irányításához a COBIT ellenőrzési céljait kell teljesíteni.
saját értelmezésáltalános ellenőrzési cél: a legfelső vezetés az intézményi stratégiából
levezetett, a legjobb szakmai gyakorlatnak megfelelő ellenőrzési célja
IT ellenőrzési cél: általános ellenőrzési célból levezetett, az informatikai működésre vonatkozó ellenőrzési cél. A kívánt eredményt kifejező állítás. Az informatikai tevékenységekre vonatkozó ellenőrzési intézkedésekkel / eljárásokkal érhető el.
Szenes 20
basic audit notions - control measure / procedure
privatecontrol measure / procedure: series of measure: procd.
the organisational structures with their operational procedures and practicesthe guidelines and procedural rulebooks - ¬ policy!the technical developments and measures
designed to provide reasonable assurance that the business objectives will be achieved, andthat undesired events will be
prevented / detected / corrected
preventive - detective - corrective ∃ mitigation, too
COBIT 4, 4.1 I. - basics - alapok
Szenes 11
Szenes 21
ellenőrzési alapfogalmak - ellenőrzési intézkedés / eljárás
magánellenőrzési intézkedés / eljárás: intézkedés sorozat: eljárás
a szervezeti struktúrák, működési gyakorlatukkal és eljárásaikkalaz irányelvek és szabályzatok nem politika!a technikai fejlesztések és intézkedések
amelyeket ésszerű mértékű biztosítéknak alakítottak ki az üzleti célok elérése,a nem kívánt események megakadályozása / észrevétele / kijavítása
céljából
megakadályozó - vizsgálati - javító ∃ hatás csökkentés
Szenes 22
basic audit notions - control objective - COSO - ellenőrzési cél
COSO control objectives:(fiduciary)effectiveness and efficiency of operationsreliability of financial reportingcompliance to the applicable laws and regulations
ellenőrzési célok a COSO szerint:(hogy meglegyen a bizalom)az [üzleti] céloknak megfelelő és eredményes működésa pénzügyi jelentések megbízhatóságaaz adott esetre alkalmazható törványeknek és szabályozásnak
való megfelelés
COBIT 4, 4.1 I. - basics - alapok
Szenes 12
Szenes 23
basic audit notions - internal control [measure] - COSO ellenőrzési intézkedés
COSO internal control [measure]:a processeffected by an entity's board of directors
managementand other personnel
designed to provide reasonable assuranceregarding the achievement of the (COSO) control objectives
COSO belső ellenőrzés[i intézkedés]:az igazgatótanácsa vezetőséga többi dolgozó folyamata,
amelyet arra terveztek, hogy
ésszerű mértékben meg lehessen bizonyosodni a COSO ellenőrzési célok eléréséről
Szenes 24
example for control objective and control measure példa ellenőrzési célra és ellenőrzési intézkedésre
a COBIT 34 informatikai folyamatából egy:Alkalmazói rendszerek beszerzése és karbantartása
o a fejlesztés minden fázisában jóváhagyandó: o a rendszer funkcionalitása megfelel
a tervezési spec.nak, a fejlesztési és a doku. szabványoknak, és a minőségi követelményeknek
o a változtatási igények jóváhagyásao outsource esetén: jogi, szerződési követelmények kezelése
COBIT 4, 4.1 I. - basics - alapok
Szenes 13
Szenes 25
example for control objective and control measure példa ellenőrzési célra és ellenőrzési intézkedésre
Alkalmazói rendszerek beszerzése és karbantartása
o az üzleti követelményekből tervezési spec. készítéseo részletes terv, és a technikai követelmények előkészítéseo az alkalmazásba illesztendő ellenőrzési intézkedések
specifikálása – pl. a becsomagolás előkészítéserendszer-architektúrában: szervezet / feladatkör funkcionalitás követése
o az alkalmazásfejlesztésre módszertan kialakításao az alkalmazás karbantartási tervének elkészítéseo
Szenes 26
example for control objective and control measure példa ellenőrzési célra és ellenőrzési intézkedésre
preventive - detective - corrective control measures:
order, discipline, maintenance,testing, scanning,logs, preventive reviews,encryption, digital signature - PKI
megakadályozó – vizsgálati – kárenyhítő intézkedések:
rendezettség, fegyelem, karbantartás,tesztelés, szkennelés,naplózás, megelőző vizsgálatok,titkosítás, digitális aláírás - PKI
COBIT 4, 4.1 I. - basics - alapok
Szenes 14
Szenes 27
COBIT Cube source: ISACA materials - COBIT kocka (forrás: ISACA anyagok)
4.1: ∃ changes - változások
IT Res
ources
QualityFiduciary
Security
Information Criteria
IT P
roce
sses
Peop
leA
pplic
atio
n Sy
stem
s
Dat
a
Tech
nolo
gy
Faci
litie
s
Domains
Processes
Activities
Szenes 28
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
COBIT generic process model = 4 domain of IT activities:plan and organise - POacquire and implement - AIdeliver and support - DSmonitor and evaluate - ME
a COBIT átfogó folyamatmodellje az informatikai tevékenységeket4 tartományra osztja:tervezés és szervezet - PObeszerzés és megvalósítás - AIkiszállítás és támogatás - DSfelügyelet és értékelés - ME
COBIT 4, 4.1 I. - basics - alapok
Szenes 15
Szenes 29
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
"PC1 Process Goals and Objectives
o Define and communicate specific, measurable, actionable, realistic, results-oriented and timely (SMARRT) process goals and
o objectives for the effective execution of each IT process. o Ensure that they are linked to the business goals and supported by
suitable metrics. " COBIT 4.1 from now on in PCI in explanations
PC1 Az elérendő folyamat célkitűzések és célok
Szenes 30
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC1 Az elérendő folyamat célkitűzések és célokolyan célokat kell meghatározni és közzétenni, amelyek
a folyamatra jellemzőekmegközelítésük mérhetővégrehajthatóakvalósakeredmény - orientáltakszükség esetén időponthoz köthetőek
o mindegyik informatikai folyamathoz definiálni kell olyan célokat, amelyek a folyamat végrehajtását a célhoz igazítják
o az IT folyamatok céljait az üzleti célokhoz kell kötni, éso biztosítani kell, hogy megközelítettségük mérhető legyen
COBIT 4, 4.1 I. - basics - alapok
Szenes 16
Szenes 31
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC2 Process Ownership
o Assign an owner for each IT process, and o clearly define the roles and responsibilities of the process owner.
Include, for example,o responsibility for process design, o interaction with other processes, o accountability for the end results, o measurement of process performance and o the identification of improvement opportunities.
PC2 A folyamat tulajdonlása
Szenes 32
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC2 A folyamat tulajdonlása
A folyamat tulajdonoso kijelöléseo szerepköreinek éso felelősségének definiálása
Példa felelősség tárgyaira:o a folyamat megtervezéséérto más folyamatokkal való kölcsönhatásáért - együttműködéséért [ ! ]o a végeredményekért való elszámoltathatóságérto [mindezek ! ] mérhetőségéérto a folyamat teljesítményének mérhetőségéérto e fejlesztési lehetőségek felimeréséért.
COBIT 4, 4.1 I. - basics - alapok
Szenes 17
Szenes 33
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC3 Process Repeatability
o Design and establish each key IT process such that it is o repeatable and o consistently produces the expected results.
Provide for ao logical but flexible and scaleable sequence of activities that will lead to the desired
results and o is agile enough to deal with exceptions and emergencies.
Use consistent processes, where possible, and tailor only when unavoidable.
PC3 A folyamat ismételhetősége
Szenes 34
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC3 A folyamat ismételhetősége
A folyamatot úgy kell megtervezni, majd kialakítani, hogyo ismételhető legyen,o konzisztensen,o az elvárt eredményt adja.
Olyan tevékenységsorozatot kell megadni, amelyo logikus, deo rugalmas,o skálázható,o a kívánt eredményt adja,o képes a kivételek, és o a sürgős esetek kezelésére.
Legyenek a folyamatok lehetőleg konzisztensek, és csak akkor szabjuk át, ha muszáj.
COBIT 4, 4.1 I. - basics - alapok
Szenes 18
Szenes 35
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC4 Roles and Responsibilitieso Define
the key activities and end deliverables of the process.
o Assign and o communicate
unambiguous roles and responsibilities - for effective and efficient execution of the key activities and
their documentation as well as accountability for the process end deliverables.
PC4 Szerepkörök és felelősségek
Szenes 36
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC4 Szerepkörök és felelősségek
Meg kell határozni a folyamato kulcstevékenységeit éso végtermékeit.
Egyértelmű szerepköröket kello kiosztani éso kommunikálni, a következők érdekében:
a folyamat kulcstevékenységeinek hatékony és célravezetődokumentálása ésvégrehajtása
a folyamat végtermékeiért való elszámoltathatóság.
COBIT 4, 4.1 I. - basics - alapok
Szenes 19
Szenes 37
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC5 Policy, Plans and Procedures - Szabályzatok, irányelvek, tervek, eljárások IT folyamatokhoz
Define and communicate how all policies, plans and procedures that drive an IT process areo documented, o reviewed, o maintained,o approved, o stored, o communicated and o used for training. Assign responsibilities for each of these activities and, at appropriate times,o review whether they are executed correctly. Ensure that the policies, plans and procedures are o accessible, o correct, o understood ando up to date.
Szenes 38
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC5 Szabályzatok, irányelvek, tervek, eljárások IT folyamatokhoz
Meg kell határozni, és közzé kell tenni, az informatikai folyamatokatmeghatározó
ki kell jelölniszabályzatok, hogyan mindezekért a felelősöket, és
vannak dokumentálvairányelvek, felülvizsgálva megfelelőelvek, karbantartva időközönkénteljárások jóváhagyva
tárolva felülvizsgálat, hogyközzétéve mindeztoktatásra felhasználva megfelelően
hajtják végre.Biztosítani kell, hogya szabályzatok, irányelvek, tervek, eljárásokhozzáférhetőek, helyesek, megértették, naprakészek.
COBIT 4, 4.1 I. - basics - alapok
Szenes 20
Szenes 39
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC6 Process Performance Improvement - A folyamatok teljesítményének javítása
Identify a set of metrics that provides insight intoo the outcomes and o performance of the process.
Establish targets that reflect on theo process goals and o performance indicators
that enable the achievement of process goals.
Define how the data are to be obtained.Compare actual measurements to targets and take action upon deviations, where necessary. Align metrics, targets and methods with IT’s overall performance monitoring approach.
Szenes 40
COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez
PC6 A folyamatok teljesítményének javítása
Azonosítani kell egy olyan metrikakészletet, amelyből megítélhető a folyamatoko kimenetele, éso teljesítménye.
Ki kell jelölni olyan célterületeket, amelyekből láthatóo a folyamatok célja, éso azok a teljesítménymutatók, amelyek segítenek
a folyamatcélok elérésének [ ! ] megítélésében.
Meg kell határozni, hogyan kell az adatokat megkapni.Össze kell hasonlítani a tényleges mérési eredményeket a cél eredményekhez, éstenni kell, eltérés esetén, ahol szükséges.Össze kell illeszteni a metrikákat, cél értékeket és módszereket
az Informatikai részlegnél használatos teljesítménymonitorozással.
COBIT 4, 4.1 I. - basics - alapok
Szenes 21
Szenes 41
COBIT components - information [quality] criteria
quality + fiduciary + security
quality: quality - cost - delivery
fiduciary: effectiveness and efficiency of operationsreliability of financial reportingcompliance with laws and regulations
security:availability - confidentiality - integrity
Szenes 42
a COBIT alkotóelemei - információ [minőségi] kritériumok
minőség + bizalmi fedezet + biztonság
minőségi szempontok: minőség - költség - kiszállított eredmény
bizalmi fedezet: a műveletek célravezetőek és eredményeseka pénzügyi jelentések megbízhatóaka törvényeknek és szabályozásnak való megfelelés
biztonság:rendelkezésre állás - bizalmasság - sértetlenség
COBIT 4, 4.1 I. - basics - alapok
Szenes 22
Szenes 43
COBIT components - information [quality] criteria cont'd
o effectivenesso efficiencyo confidentialityo integrityo availabilityo complianceo reliability of Information
Szenes 44
a COBIT alkotóelemei - információ [minőségi] kritériumok folyt.
o a célnak való megfelelés - célravezető információ - effectivenesso eredményesség - efficiencyo bizalmasság - confidentialityo integritás, sértetlenség - integrityo rendelkezésre állás - availabilityo külső követelményeknek való megfelelés - complianceo megbízhatóság - reliability
COBIT 4, 4.1 I. - basics - alapok
Szenes 23
Szenes 45
COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok
effectiveness:the information is
o relevant and pertinent to the business process o delivered in a timely, correct, consistent and usable manner
megfelelés a célnak, célravezető
Szenes 46
COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok
efficiency:the provision of information through the optimal (most productive and economical) use of resources
eredményesség:A már meglévő rendszerek javítási értelemben valótovábbfejlesztését értékeli. Megköveteli, hogy az információbiztosításához az erőforrásokat optimálisan használják ki, azaz a lehető legtermelékenyebben és leggazdaságosabban. Ez biztosítja tehát az adott esetnek megfelelő költség / haszon megfontolások teljesítését. Annak a döntésnek a meghozatala, hogy a javítás költsége megéri-e azt az eredményt, amit a javító intézkedés / eljárás hoz(hat), a legfelső vezetés felelőssége!
COBIT 4, 4.1 I. - basics - alapok
Szenes 24
Szenes 47
COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok
confidentiality:the protection of sensitive information from unauthorised disclosure
access according to the roles - job descriptions
bizalmasság:vizsgálja, megfelelően védett-e a valamilyen okból érzékenynek tekintett információ az akár szándékos, akár véletlen jogosulatlan hozzáféréssel szemben
a külső- és a belső támadások elleni védelem követelménye
mindenki pontosan ahhoz férjen hozzá, amihez szerepköre - munkaköri leírása szerint szükséges
Szenes 48
COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok
integrity:o accuracy and completeness of information o its validity in accordance with business values and expectations
integritás:Ez az információ kritérium az intézmények informatikai rendszerei, sőt,
a bármilyen úton, akár kézi feldolgozással közvetített információo - pontosságáto - teljességéto - az üzleti értékeknek és elvárásoknak megfelelő érvényességét
követeli meg.Ez a sértetlenség azt is jelenti, hogy az adatok ne változzanak a
feldolgozás során.
COBIT 4, 4.1 I. - basics - alapok
Szenes 25
Szenes 49
COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok
availability:o the information is available when required by the business process
now and in the future o the safeguarding of necessary resources and o associated capabilities.
rendelkezésre állás:
o amikor csak szüksége van az üzleti folyamatnak az információra, az rendelkezésre áll - és fog is állni
o a szükséges erőforrások biztosítása, o a hozzájuk szükséges képességekkel
Szenes 50
COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok
compliance:
complying with those o laws, o regulations and o contractual arrangements
to which the business process is subject, i.e., o externally imposed business criteria, as well as o internal policies - [ ! ] guidelines & procedural rulebooks
COBIT 4, 4.1 I. - basics - alapok
Szenes 26
Szenes 51
COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok
+ saját értelmezés:megfelelés (külső követelményeknek)
Ez az adott üzleti folyamatra vonatkozó külső elvárások teljesítését jelenti. Ilyen elvárások például:
o - azon törvények, szabályok, amelyek az adott országban a vizsgált folyamatra vonatkoznak - Magyarországon, például, a személyi adatok kezelése meg kell, hogy feleljen az Adatvédelmi törvény éppen érvényes változatának
o az intézmény vonatkozó irányelvei és szabályzataio azok a szerződéses megállapodások, amelyeknek teljesítését a
folyamatért felelős vezető elvállaltao az adott üzleti folyamatra érvényes üzleti követelmények
Szenes 52
COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok
reliabilityo appropriate information for management to operate the entityo to exercise its fiduciary and o governance responsibilities
megbízhatóságo menedzsmentnek megfelelően megalapozott információra van
szüksége ahhoz, hogy biztosítsao - az intézmény működését,o és fel tudja vállalnio - a pénzügyio - és a (most tárgyalt) megfeleléssel kapcsolatos jelentési
felelősséget
COBIT 4, 4.1 I. - basics - alapok
Szenes 27
Szenes 53
COBIT components - resources a COBIT alkotóelemei - erőforrások
Besides satisfying the quality, fiduciary and security requirements for information & all assets management should also optimise the use of available IT resources:
o applicationso information o infrastructure o people.
A vezetés felelőssége, hogy az erőforrások optimális kihasználása mellett biztosítsa az információ és minden vagyontárgy minőségét + bizalmi fedezetét + biztonságát.
Az erőforrások:o alkalmazásoko információo infrastruktúrao emberek.
mik ezek? . / .
Szenes 54
COBIT components - resources a COBIT alkotóelemei - erőforrások
o Applications are the automated user systems and manual procedures that process the information.
o Information is the data in all their forms input, processed and output by the information systems, in whatever form is used by the business.
o Infrastructure is the technology and facilities (hardware, operating systems, database management systems, networking, multimedia, etc., and the environment that houses and supports them) that enable the processing of the applications.
o People are the personnel required to plan, organise, acquire, implement, deliver, support, monitor and evaluate the information systems and services. They may be internal, outsourced or contracted as required.
COBIT 4, 4.1 I. - basics - alapok
Szenes 28
Szenes 55
COBIT components - resources a COBIT alkotóelemei - erőforrások
o Alkalmazások: az információfeldolgozó felhasználói rendszerek, és a kézi eljárások.
o Információ: az adat, minden formájával együtt, amit az üzleti szakterület használ - mindenfajta input, feldolgozási és output formájával együtt.
o Infrastruktúra: az alkalmazások működését lehetővé tévő technológia, és a létesítmények - HW, operációs rendszer, adatbáziskezelő rendszer, hálózat, multimédia, stb., és az ezt körülvevő - támogató környezet
o Emberek: az információs rendszerek tervezéséhez, szervezéséhez, beszerzéséhez, bevezetéséhez, támogatásához, felügyeletéhez és értékeléséhez szükséges belső - kihelyezett - szerződéses személyzet.
Szenes 56
COBIT components - roles a COBIT alkotóelemei - szereplők
Roles who might profit from COBIT = those who: have interest v give service v are responsible
Those who are interested in generating value from IT investments:o Those who make procurement / investment decisionso Those who decide about requirementso Those who use IT servicesThose (internals and externals) who provide IT services:o Those who manage the IT organisation and processeso Those who develop the soultions capabilities and the solutionso Those who operate the servicesThose (internals and externals) who have a control/risk responsibility:o Those with security, privacy and/or risk responsibilitieso Those performing compliance functionso Those requiring or providing assurance services ./. cont'd
COBIT 4, 4.1 I. - basics - alapok
Szenes 29
Szenes 57
COBIT components - roles a COBIT alkotóelemei - szereplők
Azok profitálhatnak a COBIT szolgáltatásaiból, akik:érdekeltek v szolgáltatnak v felelősök
Azok, akik érdekeltek abban, hogy értéket hozzon az IT szolgáltatás:o azok, akik a beruházási / beszerzési döntéseket hozzáko azok, akik jóváhagyják a követelményeketo az It szolgáltatások felhasználóiA (külső és belső) IT szolgáltatók::o azok, akik a szervezetet és a folyamatokat irányítjáko azok, akik kifejlesztik a megoldási képességeket és a megoldásokato azok, akik üzemeltetik a szolgáltatásokatAzok (a belsők és külsők), akik az ellenőrzésért / kockázatkezelésért felelősek:o a biztonsági, adatvédelmi, kockázatkezelési területek felelőseio a compliance szakterület felelőseio azok, akik a szolgáltatások biztosítását igénylik, vagy végzik ./. cont'd
Szenes 58
COBIT components - roles a COBIT alkotóelemei - szereplők
explaining, whose duty is what, who is responsible for what:
o the actor, who performs the activityo the actor, who uses the activityo the actor, who (is able to) measure - check the activityactivity - quality criteria of the activities - possibility to measure them
ha el kell magyarázni, kinek, mi a teendője / kötelessége:
o tevékenységet végző szereplőo tevékenységet felhasználó / fogadó szereplőo tevékenységet mérni / ellenőrizni (képes) szereplőtevékenyság - tevékenység minőségi kritériuma - ezek mérésének lehetősége
COBIT 4, 4.1 I. - basics - alapok
Szenes 30
Szenes 59
COBIT 4.1 basics: goal - process - activity - measurementCOBIT 4.1 alapok: cél - folyamat - tevékenység - mérés
basic notions:
business goals determineIT goals (serve achievement of) business goals
processes (serve achievement of) IT goalsactivities (serve achievement of) process goals
measures: help estimating (NOT ctrl. measure ! )to what extent are the business goals achieved
ITprocessactivity
principle, guideline implementation, realityhow?
COBIT helps:planning the goals, and to the goalsprovides concrete outcome & performance measures
Szenes 60
COBIT 4.1 basics: goal - process - activity - measurementCOBIT 4.1 alapok: cél - folyamat - tevékenység - mérés
alapfogalmak:
üzleti célok meghatározzák, milyenIT célokat kell elérni, mely
folyamatok érik el az IT célokat, és ezeket milyentevékenységekkel lehet elérni
mérték: segít felbecsülnimennyire értük el az üzleti célokat
ITfolyamattevékenység
elv, irányelv implementáció, valósághogyan?
COBIT segít:a célok tervezésében, és a célokhoz konkrét mérőszámokat ad: kimeneteli & teljesítmény mértéket
COBIT 4, 4.1 I. - basics - alapok
Szenes 31
Szenes 61
COBIT 4.1 relationship of the basic notions - example: inf. securityCOBIT 4.1 kapcsolatok az alapfogalmak közt - pl.: inf. biztonság
(private formulation: ) ☺
business goalsmaintain enterprise reputation & leadership
IT goalsensure that the IT services are able to resist attacks and to be rebuilt in case of need
processesdetect and handle / solve problems (e.g. illegal access attempts)
activitiesunderstand requirements, threats and vulnerabilities
Szenes 62
COBIT 4.1 relationship of the basic notions - example: inf. securityCOBIT 4.1 kapcsolatok az alapfogalmak közt - pl.: inf. biztonság
(saját értelmezés: ) ☺
üzleti célpiaci tekintély és vezetés fenntartása
IT célokbiztosítják, hogy az IT szolgáltatások ellenállnak a támadásoknak,utána újraépíthetőek
folyamatokészreveszik, és kezelik a problémákat (pl. illegális hozzáférési kísérleteket)
tevékenységeksegítik a követelmények, sérülékenységek és fenyegetések megértését
COBIT 4, 4.1 I. - basics - alapok
Szenes 32
Szenes 63
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
The process focus of COBIT is illustrated by a process model, which subdivides IT into 34 processes [series of activities]in line with the responsibility areas of plan, build, run and monitor, providing an end-to-end view of IT.
plan and organise - POacquire and implement - AIdeliver and support - DSmonitor and evaluate - ME
. / .Enterprise architecture concepts help identify those resources essential for
process success, i.e., applications, information, infrastructure and people.(COBIT3: data, applications systems, technology, ITF, people)
to the process – resource – criteria triple control objectives are assigned, and to these:control measures / procedures that realize these goals
Szenes 64
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
A COBIT folyamat modellje az informatikát 34 IT folyamatra [tev.sorozat] osztjaa 34 informatikai folyamat a felelősségi körök szerint:tervezés – felépítés – futtatás – felügyelet – ez lefedi az egész informatikát
tervezés és szervezet - PObeszerzés és megvalósítás - AIkiszállítás és támogatás - DSfelügyelet és értékelés - ME
. / .a vállalati architektúra fogalom segítségével a COBIT meghatározza a folyamatok
sikeréhez szükséges erőforrásokat (erőforrások: alkalmazói rendszer, információ, infrastruktúra, és emberek)
(COBIT3 erőforrások: adat, alkalmazói rendszer, technológia, létesítmény [elhelyezés, támogatás], emberek)
a folyamat - erőforrás - kritérium hármashoz ellenőrzési célokat, és ezekhez pedig az e célokat megvalósító ellenőrzési intézkedéseket / eljárásokat rendelünk.
COBIT 4, 4.1 I. - basics - alapok
Szenes 33
Szenes 65
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
o Tervezés és szervezet (PO)a megoldás- és a szolgáltatás kiszállításnak, azaz a "Beszerzéshez és megvalósításhoz", illetve a "Kiszállításhoz és támogatáshoz" az útmutatást a "Tervezés és szervezés" adja.
o Beszerzés és megvalósítás (AI)a megoldásokat "beszerzésből" vagy "megvalósításból" nyerjük, AI támogatja a megoldások létrehozását, és továbbadja [DS-nek], hogy szolgáltatásokká alakítsák ezeket
o Kiszállítás és támogatás (DS)megkapja a megoldásokat, és a végfelhasználók számára felhasználhatóvá alakítja át ezeket, a megoldásokat "szolgáltatássá" a "Kiszállítás és támogatás" csiszolja, hiszen ezek a fázisok teszik hozzá a már kész megoldáshoz azt, aminek eredményeképpen a végfelhasználó már valódi terméket fog kapni.
o Felügyelet és értékelés (ME)felügyeli a folyamatokat, hogy biztosítsa, a megadott irányt [PO] követik, A "Tervezési és szervezési" folyamat során született specifikációk betartását pedig a " Felügyelet és értékelés" biztosítja
Szenes 66
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
PLAN AND ORGANISE (PO):
o strategy and tactico how IT can best contribute to the achievement of the business
objectives
The realisation of the strategic vision needs to be planned, communicated and managed for different perspectives. A proper organisation as well as technological infrastructure should be put in place.
Questions to the management:o Are IT and the business strategy aligned?o Is the enterprise achieving optimum use of its resources?o Does everyone* in the organisation understand the IT objectives?o Are IT risks understood and being managed?o Is the quality of IT systems appropriate for business needs?o and?
* not only the IT members!
COBIT 4, 4.1 I. - basics - alapok
Szenes 34
Szenes 67
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
TERVEZÉS ÉS SZERVEZET (PO):
o stratégia és taktikao az üzleti célok elérését hogyan tudja az IT a legjobban szolgálni
A stratégia megvalósítását meg kell tervezni, informálni kell a dolgozókat, és le kell vezényelni. A szervezetet és a technológiai infrastruktúrát megfelelővé kell alakítani.
A vezetés feladatai, hogy valósítsa meg:o az IT és az üzleti stratégia összehangolásáto az (IT?) erőforrások optimális kihasználásáto az IT célok elmagyarázását az összes* dolgozónako az IT kockázatokat értsék, akiknek kell, és kezeljéko az IT rendszerek az ületi célokat szolgáljáko és?
* nemcsak az informatikusoknak!
Szenes 68
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
ACQUIRE AND IMPLEMENT (AI)To realise the IT strategy and to meet business objectives IT solutions need to be: o identifiedo developed or acquiredo implemented o integrated into the business process. In existing systems:o changes should be documented, releases should be followed,o maintenance should be well - organized (∀ aspects of "well"!)
Questions to the management:o Are new projects likely to deliver such solutions that meet business needs?o Are new projects likely to be delivered on time and within budget?o Will the new systems work according to specification when implemented?o Will changes be made without upsetting current business operations?o and?
COBIT 4, 4.1 I. - basics - alapok
Szenes 35
Szenes 69
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
BESZERZÉS ÉS MEGVALÓSÍTÁS (AI)Az IT strat. megvalósítása, és az üzl. célok teljesítése érdekében az IT megold.kat: o meg kell határozni, o kifejleszteni vagy beszereznio megvalósítanio beintegrálni az üzleti folyamatokba. A már meglévő rendszerek:o változtatásait dokumentálni, release-it követni kell,o jól meg kell szervezni a karbantartást (∀ szempontból!)
A vezetés feladatai, hogy valósítsa meg:o az új projektek az üzleti céloknak megfelelő megoldásokat adjanako az új projektek beleférjenek az előre megadott idő- és ktg.keretekbeo az új rendszerek a bevezetés után a specifikációjuk szerint működjeneko a változtatások ne zavarják az éppen folyamatban lévő üzleti műveleteketo és?
Szenes 70
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
DELIVER AND SUPPORT (DS) of required services:o service deliveryo management of security o management of continuity o service support for userso management of data o management of operational facilities.
Questions to the management:o Are IT services being delivered in line with business priorities?o Are IT costs optimised?o Is the workforce able to use the IT systems productively and safely?o Is the level of confidentiality, integrity and availability optimal to the enterprise
strategy (e.g. cost / effective)?o és?
COBIT 4, 4.1 I. - basics - alapok
Szenes 36
Szenes 71
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
a kért szolgáltatások KISZÁLLÍTÁSA ÉS TÁMOGATÁSA (DS): o szolgáltatás biztosítása ? kiszállításao biztonság o (IT ?) üzletmenetfolytonosság o felhasználók támgatása a szolgáltatás igénybe vételébeno adatkezeléso az üzemeltetési feltételek - környezet biztosítása.
A vezetés feladatai, hogy valósítsa meg:o az IT szolgáltatások az üzlet elsőbbségi szempontjai szerint készüljenek elo optimális IT ktg.gelo a felhasználók az IT rendszereket termelékenyen és biztonságosan használjáko a rendelkezésre állás, bizalmasság, integritás teljesüljön az üzleti céloknak
megfelelő mértékbeno és?
Szenes 72
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
MONITOR AND EVALUATE (ME)All IT processes need to be regularly assessed over time for their quality and
compliance with control requirements. Most important aspects:o performance management, o monitoring of internal control, o regulatory complianceo governance.
Questions to the management:o Is IT’s performance measured to detect problems before it is too late?o Does management ensure that internal controls are effective and efficient?o Can IT performance be linked back to business goals?o Are adequate confidentiality, integrity and availability controls in place for
information security?o and?
COBIT 4, 4.1 I. - basics - alapok
Szenes 37
Szenes 73
The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya
FELÜGYELET ÉS ÉRTÉKELÉS (ME)Az informatikai folyamatok minőségét és az ellenőrzési követelményeknek való
megfelelését rendszeresen ellenőrizni kell. Legfontosabb szempontok:o teljesítmény menedzsment (?!)o a belső ellenőrzés felülvizsgálatao a főhatósági előírásoknak való megfelelés o governance.
vezetés feladatai, hogy valósítsa meg:o az IT teljesítmény mérését, hogy a problémák időben előjöjjeneko a célnak megfelelő és eredményes belső ellenőrzés biztosításao az IT teljesítmény az üzleti célokat szolgáljao rendelkezésre állási, bizalmassági, integritási ellenőrzési pontok, intézkedések
/ eljárások biztosításao és?
Szenes 74
relationships: the COBIT cylinder - összefüggések: a COBIT henger
COBIT 4, 4.1 I. - basics - alapok
Szenes 38
Szenes 75
the relationship of the 4 domains - a 4 tartomány összefüggései
o Plan and Organise (PO)Provides direction to solution delivery (AI) and service delivery (DS)
o Acquire and Implement (AI)Provides the solutions and passes them to be turned into services
o Deliver and Support (DS)Receives the solutions and makes them usable for end users
o Monitor and Evaluate (ME)Monitors all processes to ensure that the direction provided is followed
Szenes 76
the relationship of the 4 domains - a 4 tartomány összefüggései
o Tervezés és szervezet (PO)a megoldás- és a szolgáltatás kiszállításnak, azaz a "Beszerzéshez és megvalósításhoz", illetve a "Kiszállításhoz és támogatáshoz" az útmutatást a "Tervezés és szervezés" adja.
o Beszerzés és megvalósítás (AI)a megoldásokat "beszerzésből" vagy "megvalósításból" nyerjük, AI támogatja a megoldások létrehozását, és továbbadja [DS-nek], hogy szolgáltatásokká alakítsák ezeket
o Kiszállítás és támogatás (DS)megkapja a megoldásokat, és a végfelhasználók számára felhasználhatóvá alakítja át ezeket, a megoldásokat "szolgáltatássá" a "Kiszállítás és támogatás" csiszolja, hiszen ezek a fázisok teszik hozzá a már kész megoldáshoz azt, aminek eredményeképpen a végfelhasználó már valódi terméket fog kapni.
o Felügyelet és értékelés (ME)felügyeli a folyamatokat, hogy biztosítsa, a megadott irányt [PO] követik, A "Tervezési és szervezési" folyamat során született specifikációk betartását pedig a " Felügyelet és értékelés" biztosítja
COBIT 4, 4.1 I. - basics - alapok
Szenes 39
Szenes 77
references - irodalomjegyzék
[COBIT 4.1, 2007] COBIT® 4.1 Framework, Management Guidelines, Maturity ModelsCopyright © IT Governance Institute® , 2007editor: ISACA
[CRM] 1998 - 2014 CISA Review Technical Information Manualpublished yearly, editor: ISACA(from the year of 1999 Katalin Szenes contributes to the Manual as a member of the Quality
Assurance Team, with the exception of CRM 2011mostly to the chapters Protection of information assets, and Business continuity planning; Manual 2014 is under edition)
[ISO 27000]International Standard ISO/IEC 27000 First edition 2009-05-01Information technology — Security techniques — Information security management systems —
Overview and vocabularyReference number: ISO/IEC 27000:2009(E)Copyright © ISO/IEC 2009(Szenes note: the updated 27000 family started in 2013)
Szenes 78
references - irodalomjegyzék
[Szenes, 2006, COBIT] Szenes, K:Az ISACA auditálási alapelvei, és a COBIT® módszertan bemutatásaAz Informatikai biztonság kézikönyve, 21. aktualizálásVerlag Dashöfer, 2006. augusztus, 7.2.1. old. - 7.2.83. old. - 83 oldal
[Szenes, 2006, SOX] Szenes, K.: Informatikai biztonsági megfontolások a Sarbanes -Oxley törvény ürügyén
(A 2002-es Sarbanes - Oxley törvény hatásai az informatikai biztonsági rendszerekre és az informatikai ellenőrök feladataira. A jelentésszolgálat és a többi kulcsfontosságúalkalmazás felügyeletének kérdései)
Az Informatikai biztonság kézikönyve, 22. aktualizálásVerlag Dashöfer, 2006. október, 2.2.1.1. old. - 2.2.8.8. old. - 96 oldalp. 2.2.1.1. - 2.2.8.8. total: 96 pages
[Szenes, 2007, COBIT] Szenes, K: A COBIT 4.0 és 4.1 újdonságai Az Informatikai biztonság kézikönyve, 27. aktualizálásVerlag Dashöfer, 2007. november, 7.3 1. old. - 7-3 64. old. - 54 oldal
COBIT 4, 4.1 I. - basics - alapok
Szenes 40
Szenes 79
references - irodalomjegyzék
[Szenes, 2009, risk] Szenes, K.: Kockázatkezelés szempontrendszerrel irányított értékelési módszerrelHungarian - Classification systems based evaluation in risk managementAz Informatikai biztonság kézikönyve, 32. aktualizálásVerlag Dashöfer, 2009. február, 8.6.1. old. - 8.6.5.2.2.6 old. - 62 oldal
[Szenes, 2010, outsource] Szenes, K.: Az informatikai erőforrás-kihelyezés auditálási szempontjai, I., II. részHungarian - Auditing outsourcing of IT resources, Part I., Part II.Az Informatikai biztonság kézikönyve, Verlag Dashöfer,I. rész: 36. aktualizálás, 2010. február, 8.10. 1. old. – 26. old. (26 oldal), II. rész: 39. aktualizálás, 2010. december 8.10. 27. old. – 158. old. (132 oldal)(összesen 158 oldal)