ITIL, COBIT vagy MSZ27001: melyikre van szükség az IT szabályozáshoz? Antidotum – 2011 Tőzsér Zoltán CISA, CSM, MCP
Nem „melyikre”, hanem MIÉRT van szükség az IT szabályozására? Jogszabályok Ellenőrzések (külső/belső) EU-s pályázatok, előírások Projektek … Saját, jól felfogott, ÜZLETI érdek!
Hogyan? Két megközelítés ITIL COBIT MSZ 27001 ISO … Ellopták a notebook-o(ka)t ! Kilépett a rendszergazda Csalódott a projektvezető VIP felhasználó távolról/külföldről szeretne belépni a céges hálózatba Lecserélnénk a pénzügyi rendszert Hatósági lefoglalás Csőtörés/árvíz volt a szervereknél Elromlott a klíma a szerverszobában Villám csapott a környékre …
Két megoldás - ITIL IT Infrastructure Library Service Strategy Service Design Service Transition Service Operation Continual Service Improvement
Két megoldás - ITIL Service Operation (példa) „Timescales must be agreed for all incident-handling stages (these will differ depending upon the priority level of the incident) – based upon the overall incident response and resolution targets within SLAs – and captured as targets within OLAs and Underpinning Contracts (UCs). All support groups should be made fully aware of these timescales. Service Management tools should be used to automate timescales and escalate the incident as required based on predefined rules.”
Két megoldás – COBIT (HUN!) Control Objectives for Information and Related Technology Tervezés és Szervezés Beszerzés és Megvalósítás Szolgáltatás és Támogatás Figyelemmel kísérés és Értékelés ME1 Az informatika teljesítményének figyelemmel kísérése és értékelése ME2 A belső irányítási és ellenőrzési rendszer figyelemmel kísérése és értékelése ME3 Külső követelményeknek való megfelelőség biztosítása ME4 Az informatikai irányítás megteremtése
Két megoldás – COBIT (HUN!) ME3 Külső követelményeknek való megfelelőség biztosítása ME3.1 A külső jogi, szabályozói és szerződéses megfelelőségi követelmények azonosítása Az olyan helyi és nemzetközi törvényeket, rendeleteket és egyéb külső követelményeket folyamatosan be kell azonosítása, amelyeknek meg kell felelni, és amelyeknek be kell épülnie a szervezet informatikai irányelveibe, szabványaiba, eljárásaiba és módszertanaiba. ME3.2 Külső követelményekre adott válaszok optimalizálása Az informatikai irányelveket, szabványokat, eljárásokat és módszertanokat felül kell vizsgálni és ki kell igazítani annak biztosítása érdekében, hogy a jogi, szabályozási és szerződési követelményeknek megfeleljenek, és erről tájékoztatást adjanak. ME3.3 A külső követelményeknek való megfelelőség értékelése Meg kell győződni arról, hogy az informatikai irányelvek, szabványok, eljárások és módszertanok megfelelnek a jogi és szabályozási követelményeknek. ME3.4 Bizonyosság nyújtása a megfelelőségről A megfelelőséget, és a belső utasításokból, illetve külső jogi, szabályozási, illetve szerződéses követelményekből származtatott összes belső irányelv betartását igazoló bizonyosságot kell beszerezni és azt jelenteni kell; meg kell győződni arról, hogy az esetleges megfelelőségi hiányosságokat rendezték, a helyesbítő intézkedéseket az azokért felelős folyamat felelős időben megtette. ME3.5 Integrált jelentéskészítés A jogi, szabályozási és szerződéses követelményekre vonatkozó informatikai jelentést integrálni kell az egyéb üzleti funkciók hasonló jelentéseivel.
Két megoldás - MSZ MSZ ISO/IEC 27001:2006 4.2. Az ISMS kialakítása és irányítása 4.2.1. Az ISMS kialakítása A szervezetnek a következőket kell elvégeznie: a) Meg kell határoznia az ISMS alkalmazási területét és annak határait a működési tevékenység jellemzői, a szervezet, annak elhelyezkedése, vagyontárgyai és technológiája szerint, beleértve az alkalmazási területből történő bárminemű kizárás részleteit és azok indoklását (lásd az 1.2. szakaszt). b) Meg kell határoznia ISMS szabályzatát a működés jellemzői, a szervezet, annak elhelyezkedése, vagyontárgyai és technológiája szerint, ami keretet ad a célok kitűzéséhez, valamint kijelöli az általános irányt és meghatározza a tevékenységek alapelveit az információbiztonsággal kapcsolatban; figyelembe veszi a működési és a jogi, illetve szabályozási követelményeket, valamint a szerződéses biztonsági kötelezettségeket; igazodik a szervezet stratégiai szintű kockázatkezelési környezetébe, amelyben az ISMS létrehozása és fenntartása, történni fog; kialakítja azokat az ismérveket, amelyek szerint a kockázatot majd értékelik (lásd a 4.2.1. szakasz c) pontját); és jóváhagyásra került a vezetés által.
Azaz: kevés a konkrétum… Következtetés? Keretrendszerek! Azaz: kevés a konkrétum…
JPÉ megközelítés Ellopták a notebook-o(ka)t ! VIP felhasználó távolról/külföldről szeretne belépni a céges hálózatba Adatkezelési szabályzat, Üzemeltetési szabályzat, Távoli hozzáférés szabályai Kilépett a rendszergazda Csalódott a projektvezető SZMSZ, IT Biztonsági szabályzat Lecserélnénk a pénzügyi rendszert SZMSZ, Fejlesztési szabályzat, Projekttervek Hatósági lefoglalás Csőtörés/árvíz volt a szervereknél Elromlott a klíma a szerverszobában Villám csapott a környékre Katasztrófaelhárítási terv (DR), Üzletfolytonossági terv (BCP) …
Ez összesen hányféle szabályzat???
Ne tévesszük szem elől a célt! Az üzleti folyamatok támogatása!
JPÉ megközelítés/2 Mekkora a cég/szervezet? Van-e anyavállalat? Mi és hogyan van szabályozva jelenleg? Mekkora az IT? Mik a kritikus üzleti folyamatok? (NEM a számítógépek vagy felhasználók!) Mik az elsődleges szempontok? Van-e „apropó”, sürgető tényező? Milyen erőforrásokat tudnak biztosítani? (NEM pénz!) …
Példák - mikro Informatikai szabályzat Üzemeltetés Jogosultságok Üzemkimaradás Adatkezelés (weblap!)
Példák – nagy(obb)
Fontos! Nem keverendő fogalmak/célok a: Folyamatok javítása, optimalizálás, racionalizálás Dokumentáltság
DR tartalomjegyzék - részlet 5.1 KRITIKUS ÜZLETI FOLYAMATOK, ALKALMAZÁSOK ÉS ESZKÖZÖK MEGHATÁROZÁSA 5.1.1 Kritikus üzleti tevékenységek 5.1.2 Kritikus infrastruktúra elemek 5.1.3 Az érintett rendszerek rendelkezésre állási szintjeinek meghatározása 5.2 EMBERI ERŐFORRÁSOK 5.2.1 Riadólánc 5.2.2 Helyreállító csapat és válságstáb 5.2.3 A csapat felelőssége 5.2.4 A csapat feladata 6 HELYREÁLLÍTÁSI FOLYAMATOK 6.1 LÉPÉSEK MUNKAIDŐBEN BEKÖVETKEZŐ VÉSZHELYZETRE 6.2 LÉPÉSEK MUNKAIDŐN KÍVÜL BEKÖVETKEZŐ VÉSZHELYZETRE 6.3 REAGÁLÁS 6.4 KÁRÉRTÉKELÉS 6.5 MENTÉS 6.6 BESZERZÉS 6.7 ALTERNATÍV HELYSZÍN ELŐKÉSZÍTÉSE 6.8 INFRASTRUKTÚRA ELEMEK ÖSSZEKÉSZÍTÉSE 6.9 INFRASTRUKTÚRA REKONSTRUKCIÓ 6.10 VISSZAÁLLÍTANDÓ ÜZLETI FOLYAMATOK 6.11 SZERVEREK TELEPÍTÉSE 6.11.1 Adatbázis szerver installálása 6.11.2 Internet szerver installálása 6.12 MENTÉS VISSZATÖLTÉS (RESTORE) 6.13 ALKALMAZÁSOK TELEPÍTÉSE 6.14 ELLENŐRZÉS
Üzemeltetési szabályzat tartalomjegyzék - részlet 2 SZOLGÁLTATÁSI SZINTEK 2.1 A FELHASZNÁLÓKNAK MUNKAIDŐBEN BIZTOSÍTOTT SZOLGÁLTATÁSOK 2.2 SZOLGÁLTATÁSI IDŐSZAK, SZOLGÁLTATÁSOK ELÉRHETŐSÉGE 2.3 SZOLGÁLTATÁSTÁMOGATÁS - ÜGYFÉLSZOLGÁLAT 2.4 AZ ÜZEMELTETÉS MÉRÉSE 2.5 JOGOSULTSÁGI MÁTRIX A SZOLGÁLTATÁSI SZINTEK ALAKÍTÁSÁHOZ 3 IT ÜZEMELTETÉS 3.1 ESEMÉNYKEZELÉS 3.2 INCIDENSKEZELÉS 3.3 PROBLÉMAKEZELÉS 3.4 HOZZÁFÉRÉSKEZELÉS 3.5 VÁLTOZÁSKEZELÉS 3.6 KONFIGURÁCIÓKEZELÉS 3.7 MONITORING ÉS ELLENŐRZÉS 3.8 MENTÉS ÉS HELYREÁLLÍTÁS 3.9 SZERVEREK ÜZEMELTETÉSE 3.10 HÁLÓZATMENEDZSMENT 3.11 ALKALMAZÁS- ÉS ADATBÁZIS ADMINISZTRÁCIÓ 3.12 CÍMTÁRSZOLGÁLTATÁS 3.13 INTERNET/INTRANET MENEDZSMENT 3.14 INFORMÁCIÓBIZTONSÁG 3.15 FELELŐSSÉGI MÁTRIX AZ IT ÜZEMELTETÉSHEZ
Kérdés? zoltan.tozser@tmsi.hu