cobit 4, cobit 4.1 part i - basics i. rész:...

COBIT 4, 4.1 I. - basics - alapok

Szenes 1

COBIT 4, COBIT 4.1Part I - Basics

I. rész: Alapok

Dr. Szenes Katalin, CISA, CISM, CGEIT, CISSPÓbudai Egyetem, Neumann János Informatikai [email protected]

Szenes 2

designations

www.isaca.orgaz USA-ban alapított ISACA

- Information Systems Audit and Control Association

www.isc2.orgISC2: a szintén amerikai

- International Information Systems Security Certification Consortium

o CISA – Certified Information Systems Auditor, o CISM - Certified Information Security Manager, o CGEIT - Certified in Governance Enterprise IT ,

o CISSP - Certified Information Security Professional

civilben: rendszermérnök, rendszerszervező, IT biztonsági, külső ellenőr


Szenes 2

Szenes 3

TOC - tartalom - 1 - Part I

note: the English formulation doesn't always follows the original either - intentionally

o mire jó - example benefits onlypéldák - examples

2 folyamat a kiszállítás és támogatás 13 COBIT folyamatából -two taken from the 13 processes of IT Service Delivery and Support:

DS1 - a szolgáltatási szintek meghatározása és kezeléseDS1 - Define and Manage Service Levels

a [javasolt] részletes ellenőrzési célok - control objectives

DS2 - külső szolgáltatások kezeléseDS2 - Manage Third-party Services

a [javasolt] részletes ellenőrzési célok - control objectives

Szenes 4


o control objective - ellenőrzési cél - return to it later againISACA, ISO

o control measure - ellenőrzési intézkedés- return to it later againISACA, ISO


Szenes 3

Szenes 5


COBIT - Basics - Alapok

o COBIT mission - cél (COBIT 4.0 VERSUS 4.1)

o COBITverX support to the IT processes -az IT folyamatok COBITverX támogatása

o basic audit notions - ellenőrzési alapfogalmakcontrol objective - ellenőrzési cél - COBIT / COSO

control measure / procedure - ellenőrzési intézkedés / eljárás - COBIT / COSO

example - példa

./. cont'd

Szenes 6


Basics - Alapok cont'd

o the components of the COBIT technics - a COBIT technika részeiCOBIT cube – kockaCOBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó folyamatmodelljéhez information criteria - információ (minőségi) kritériumokresources - erőforrásokroles - szereplők

o COBIT 4.1 basics: goal - process - activity - measurement COBIT 4.1 alapok: cél - folyamat - tevékenység - mérés

basic notions: business / IT goal, process, activity, measure

alapfogalmak – üzleti / IT cél, folyamat, tevékenység, mérték

./. cont'd


Szenes 4

Szenes 7


Basics - Alapok cont'd

o COBIT 4.1 basics: goal - process - activity - measurement -COBIT 4.1 alapok: cél - folyamat - tevékenység - mérés(cont'd)

COBIT 4.1 relationship of the basic notions – example: information security az alapfogalmak összefüggése a COBIT 4.1-ben – példa: informatikai biztonság

o the 4 responsibility domains of the COBIT IT processes -a COBIT informatikai folyamatok 4 felelősségi tartománya

PO, AI, DS, MErelationships: the COBIT cylinder - összefüggések: a COBIT hengerthe relationship of the 4 domains - a 4 tartomány összefüggései

irodalomkjegyzék - references

Szenes 8

on the control objective (ellenőrzési cél) - COBIT / ISO

The COBIT control objective, quoted from the Glossary of COBIT 4.1 is:"A statement of the desired result or purpose to be achieved by implementing control

procedures in a particular process".

Actually COBIT handles control objective as a working concept, for expressing such management objectives, that belong to the best practice, and have to be achieved by IT activities, at the same time,

as it is stated in the Appendix VIII of COBIT 4.1:" Control objectives—Provide generic best practice management objectives for IT processes".

ISO 27000 control objective"is a statement describing what is to be achieved as a result of implementing controls", where "controls" mean the so-called control measures.

Szenes - nagyjából: stratégiát szolgáló cél, NEM az ellenőr célja! hanem az intézményé

we return to it later again


Szenes 5

Szenes 9

on the control measure - COBIT / ISO

COBIT"The policies, plans and procedures, and organisational structures designed to provide reasonable assurance that business objectives will be achieved and undesired events will be prevented or detected and corrected" [COBIT 4.1].

ISO "control" definition: "means of managing risk, including policies, procedures, guidelines, practices or organizational structures, which can be administrative, technical, management, or legal in nature.

NOTE Control is also used as a synonym for safeguard or countermeasure."[quoted from ISO 27000]

Szenes - nagyjából: egy ellenőrzési célt szolgáló intézkedés, NEM az ellenőr intézkedik! hanem a személyzet

we return to it later again

Szenes 10

DS1 - a szolgáltatási szintek meghatározása és kezeléseDefine and Manage Service Levels

o DS1.1 A szolgáltatási szintek kezelése kereteinek kialakításao DS1.2 Az egyes szolgáltatások definiálásao DS1.3 A szolgáltatási szintekre vonatkozó megállapodások o DS1.4 A működési szintekre vonatkozó megállapodások

a szolgáltatási szintekre vonatkozó teljesítmény kritériumok megadásaa kockázatviselők számára érthető jelentésekmonitorozó statisztikák és ezek vizsgálata teendők

o DS1.5 A szolgáltatási megállapodások teljesítésének felügyeletéről, és a helyzetjelentésekről szóló rendelkezések

o DS1.6 A szolgáltatási szerződések, és klauzuláik felülvizsgálata


Szenes 6

Szenes 11

DS2 - külső szolgáltatások kezeléseManage Third-party Services

o DS1.1 A szolgáltatási szintek kezelése kereteinek kialakításao DS1.2 Az egyes szolgáltatások definiálásao DS1.3 A szolgáltatási szintekre vonatkozó megállapodások o DS1.4 A működési szintekre vonatkozó megállapodások

a szolgáltatási szintekre vonatkozó teljesítmény kritériumok megadásaa kockázatviselők számára érthető jelentésekmonitorozó statisztikák és ezek vizsgálata teendők

o DS1.5 A szolgáltatási megállapodások teljesítésének felügyeletéről, és a helyzetjelentésekről szóló rendelkezések

o DS1.6 A szolgáltatási szerződések, és klauzuláik felülvizsgálata

Szenes 12

mission in 1998

ISACA COBIT presentation:

C ControlOB OBjectivesI for InformationT and Related Technology

COBIT mission' 98:“To research, develop, publicise and promote an authoritative, up-to-

date, international set of generally accepted Information Technology Control Objectives for day-to-day use by business managers and auditors.”


Szenes 7

Szenes 13

COBIT cél - 1998

ISACA COBIT prezentációból:

C ControlOB OBjectivesI for InformationT and Related Technology

a cél 1998-ban:

Jogosult forrásból származó, korszerű, helyi szokásoktól független, általánosan elfogadott IT ellenőrzési célok kutatása,fejlesztése, közlése a vezetők és az auditorok mindennapi használatára.

Szenes 14

COBIT mission 2005

COBIT4 mission: IT-based support of the enterprise management.

The new interpretation of "IT governance" might be:IT-based management

The scope of the COBIT keeps growing.

1998: management & control of informatics2005-2007:o management & control of the enterprise processeso focus: fulfillment of the business goalsmeaning of "control" - manifold !


Szenes 8

Szenes 15

COBIT cél 2005

A COBIT4 az intézmény irányítását informatikai alapon támogatja.

Az "informatikai alapú irányítás" a megújult "IT governance" fogalom egy célszerű interpretációja.

A COBIT hatóköre egyre bővül.

kiinduló állapot - 1998: az informatika irányítása és ellenőrzése 2005-2007:

o a vállalatok és intézmények átfogó irányítása, o középpontban tartva, természetesen, az üzleti célok teljesítését.

vigyázzunk a "kontroll" jelentésével!

Szenes 16

COBITverX support to the IT processes -az IT folyamatok COBITverX támogatása

COBIT support levels:

o the evaluation of the operation of the IS processes from the viewpoint of the maturity level aligned to the given organization, the definition of appropriate control objectives to the IS processes, the evaluation of the level of the fulfillment of these goals at a given point of review time

o assignment of control objectives to the IS processes

o identification of control measures / procedures to satisfy the control objectives

control objective, control measure?


Szenes 9

Szenes 17

COBITverX support to the IT processes -az IT folyamatok COBITverX támogatása

A COBIT támogatási szintjei:

o az informatikai folyamatok működésének az adott szervezetre vonatkozó fejlettségi szintjének elbírálása, az informatikai folyamatokhoz alkalmas célok definiálása, és e célok egy adott vizsgálati időpontban való megközelítése mértékének elbírálása

o az informatikai folyamatokhoz ellenőrzési célok hozzárendelése

o az ellenőrzési célok elérése alkalmas ellenőrzési intézkedések / eljárások meghatározása.

mik ezek?

Szenes 18

basic audit notions - control objective - COBIT

officialcontrol objectives:generic best practice management objectives for all IT activities

IT control objective: statement of the desired result or purpose to be achieved by implementing control procedures in a particular IT activity. COBIT’s control objectives are the minimum requirements for effective control of each IT process.

private interpretation - informally formulatedmy control objective:my best practice:

objective of top management sjould derived from corporate strategy

IT control objective: IT operation objective derived from higher level operational goals,in the form of a statement expressing a desired result. It can be achieved by implementing control measures / procedures concerning IT activities.


Szenes 10

Szenes 19

ellenőrzési alapfogalmak - ellenőrzési cél - COBIT

hivatalosellenőrzési cél: legjobb szakmai gyakorlatot követő általános cél, amit az IT-nek

tűz ki a legfelső vezetés

IT ellenőrzési cél: az a kívánt eredmény v. szándék, amit az adott IT tevékenységre vonatkozó ellenőrzési eljárással lehet elérni. Az informatikai folyamatok hatékony irányításához a COBIT ellenőrzési céljait kell teljesíteni.

saját értelmezésáltalános ellenőrzési cél: a legfelső vezetés az intézményi stratégiából

levezetett, a legjobb szakmai gyakorlatnak megfelelő ellenőrzési célja

IT ellenőrzési cél: általános ellenőrzési célból levezetett, az informatikai működésre vonatkozó ellenőrzési cél. A kívánt eredményt kifejező állítás. Az informatikai tevékenységekre vonatkozó ellenőrzési intézkedésekkel / eljárásokkal érhető el.

Szenes 20

basic audit notions - control measure / procedure

privatecontrol measure / procedure: series of measure: procd.

the organisational structures with their operational procedures and practicesthe guidelines and procedural rulebooks - ¬ policy!the technical developments and measures

designed to provide reasonable assurance that the business objectives will be achieved, andthat undesired events will be

prevented / detected / corrected

preventive - detective - corrective ∃ mitigation, too


Szenes 11

Szenes 21

ellenőrzési alapfogalmak - ellenőrzési intézkedés / eljárás

magánellenőrzési intézkedés / eljárás: intézkedés sorozat: eljárás

a szervezeti struktúrák, működési gyakorlatukkal és eljárásaikkalaz irányelvek és szabályzatok nem politika!a technikai fejlesztések és intézkedések

amelyeket ésszerű mértékű biztosítéknak alakítottak ki az üzleti célok elérése,a nem kívánt események megakadályozása / észrevétele / kijavítása

céljából

megakadályozó - vizsgálati - javító ∃ hatás csökkentés

Szenes 22

basic audit notions - control objective - COSO - ellenőrzési cél

COSO control objectives:(fiduciary)effectiveness and efficiency of operationsreliability of financial reportingcompliance to the applicable laws and regulations

ellenőrzési célok a COSO szerint:(hogy meglegyen a bizalom)az [üzleti] céloknak megfelelő és eredményes működésa pénzügyi jelentések megbízhatóságaaz adott esetre alkalmazható törványeknek és szabályozásnak

való megfelelés


Szenes 12

Szenes 23

basic audit notions - internal control [measure] - COSO ellenőrzési intézkedés

COSO internal control [measure]:a processeffected by an entity's board of directors

managementand other personnel

designed to provide reasonable assuranceregarding the achievement of the (COSO) control objectives

COSO belső ellenőrzés[i intézkedés]:az igazgatótanácsa vezetőséga többi dolgozó folyamata,

amelyet arra terveztek, hogy

ésszerű mértékben meg lehessen bizonyosodni a COSO ellenőrzési célok eléréséről

Szenes 24

example for control objective and control measure példa ellenőrzési célra és ellenőrzési intézkedésre

a COBIT 34 informatikai folyamatából egy:Alkalmazói rendszerek beszerzése és karbantartása

o a fejlesztés minden fázisában jóváhagyandó: o a rendszer funkcionalitása megfelel

a tervezési spec.nak, a fejlesztési és a doku. szabványoknak, és a minőségi követelményeknek

o a változtatási igények jóváhagyásao outsource esetén: jogi, szerződési követelmények kezelése


Szenes 13

Szenes 25


Alkalmazói rendszerek beszerzése és karbantartása

o az üzleti követelményekből tervezési spec. készítéseo részletes terv, és a technikai követelmények előkészítéseo az alkalmazásba illesztendő ellenőrzési intézkedések

specifikálása – pl. a becsomagolás előkészítéserendszer-architektúrában: szervezet / feladatkör funkcionalitás követése

o az alkalmazásfejlesztésre módszertan kialakításao az alkalmazás karbantartási tervének elkészítéseo

Szenes 26


preventive - detective - corrective control measures:

order, discipline, maintenance,testing, scanning,logs, preventive reviews,encryption, digital signature - PKI

megakadályozó – vizsgálati – kárenyhítő intézkedések:

rendezettség, fegyelem, karbantartás,tesztelés, szkennelés,naplózás, megelőző vizsgálatok,titkosítás, digitális aláírás - PKI


Szenes 14

Szenes 27

COBIT Cube source: ISACA materials - COBIT kocka (forrás: ISACA anyagok)

4.1: ∃ changes - változások

IT Res

ources

QualityFiduciary

Security

Information Criteria

IT P

roce

sses

Peop

leA

pplic

atio

n Sy

stem

s

Dat

a

Tech

nolo

gy

Faci

litie

s

Domains

Processes

Activities

Szenes 28

COBIT control requirements to its generic process modelCOBIT ellenőrzési követelmények az átfogó foly.modelljéhez

COBIT generic process model = 4 domain of IT activities:plan and organise - POacquire and implement - AIdeliver and support - DSmonitor and evaluate - ME

a COBIT átfogó folyamatmodellje az informatikai tevékenységeket4 tartományra osztja:tervezés és szervezet - PObeszerzés és megvalósítás - AIkiszállítás és támogatás - DSfelügyelet és értékelés - ME


Szenes 15

Szenes 29


"PC1 Process Goals and Objectives

o Define and communicate specific, measurable, actionable, realistic, results-oriented and timely (SMARRT) process goals and

o objectives for the effective execution of each IT process. o Ensure that they are linked to the business goals and supported by

suitable metrics. " COBIT 4.1 from now on in PCI in explanations

PC1 Az elérendő folyamat célkitűzések és célok

Szenes 30


PC1 Az elérendő folyamat célkitűzések és célokolyan célokat kell meghatározni és közzétenni, amelyek

a folyamatra jellemzőekmegközelítésük mérhetővégrehajthatóakvalósakeredmény - orientáltakszükség esetén időponthoz köthetőek

o mindegyik informatikai folyamathoz definiálni kell olyan célokat, amelyek a folyamat végrehajtását a célhoz igazítják

o az IT folyamatok céljait az üzleti célokhoz kell kötni, éso biztosítani kell, hogy megközelítettségük mérhető legyen


Szenes 16

Szenes 31


PC2 Process Ownership

o Assign an owner for each IT process, and o clearly define the roles and responsibilities of the process owner.

Include, for example,o responsibility for process design, o interaction with other processes, o accountability for the end results, o measurement of process performance and o the identification of improvement opportunities.

PC2 A folyamat tulajdonlása

Szenes 32


PC2 A folyamat tulajdonlása

A folyamat tulajdonoso kijelöléseo szerepköreinek éso felelősségének definiálása

Példa felelősség tárgyaira:o a folyamat megtervezéséérto más folyamatokkal való kölcsönhatásáért - együttműködéséért [ ! ]o a végeredményekért való elszámoltathatóságérto [mindezek ! ] mérhetőségéérto a folyamat teljesítményének mérhetőségéérto e fejlesztési lehetőségek felimeréséért.


Szenes 17

Szenes 33


PC3 Process Repeatability

o Design and establish each key IT process such that it is o repeatable and o consistently produces the expected results.

Provide for ao logical but flexible and scaleable sequence of activities that will lead to the desired

results and o is agile enough to deal with exceptions and emergencies.

Use consistent processes, where possible, and tailor only when unavoidable.

PC3 A folyamat ismételhetősége

Szenes 34


PC3 A folyamat ismételhetősége

A folyamatot úgy kell megtervezni, majd kialakítani, hogyo ismételhető legyen,o konzisztensen,o az elvárt eredményt adja.

Olyan tevékenységsorozatot kell megadni, amelyo logikus, deo rugalmas,o skálázható,o a kívánt eredményt adja,o képes a kivételek, és o a sürgős esetek kezelésére.

Legyenek a folyamatok lehetőleg konzisztensek, és csak akkor szabjuk át, ha muszáj.


Szenes 18

Szenes 35


PC4 Roles and Responsibilitieso Define

the key activities and end deliverables of the process.

o Assign and o communicate

unambiguous roles and responsibilities - for effective and efficient execution of the key activities and

their documentation as well as accountability for the process end deliverables.

PC4 Szerepkörök és felelősségek

Szenes 36


PC4 Szerepkörök és felelősségek

Meg kell határozni a folyamato kulcstevékenységeit éso végtermékeit.

Egyértelmű szerepköröket kello kiosztani éso kommunikálni, a következők érdekében:

a folyamat kulcstevékenységeinek hatékony és célravezetődokumentálása ésvégrehajtása

a folyamat végtermékeiért való elszámoltathatóság.


Szenes 19

Szenes 37


PC5 Policy, Plans and Procedures - Szabályzatok, irányelvek, tervek, eljárások IT folyamatokhoz

Define and communicate how all policies, plans and procedures that drive an IT process areo documented, o reviewed, o maintained,o approved, o stored, o communicated and o used for training. Assign responsibilities for each of these activities and, at appropriate times,o review whether they are executed correctly. Ensure that the policies, plans and procedures are o accessible, o correct, o understood ando up to date.

Szenes 38


PC5 Szabályzatok, irányelvek, tervek, eljárások IT folyamatokhoz

Meg kell határozni, és közzé kell tenni, az informatikai folyamatokatmeghatározó

ki kell jelölniszabályzatok, hogyan mindezekért a felelősöket, és

vannak dokumentálvairányelvek, felülvizsgálva megfelelőelvek, karbantartva időközönkénteljárások jóváhagyva

tárolva felülvizsgálat, hogyközzétéve mindeztoktatásra felhasználva megfelelően

hajtják végre.Biztosítani kell, hogya szabályzatok, irányelvek, tervek, eljárásokhozzáférhetőek, helyesek, megértették, naprakészek.


Szenes 20

Szenes 39


PC6 Process Performance Improvement - A folyamatok teljesítményének javítása

Identify a set of metrics that provides insight intoo the outcomes and o performance of the process.

Establish targets that reflect on theo process goals and o performance indicators

that enable the achievement of process goals.

Define how the data are to be obtained.Compare actual measurements to targets and take action upon deviations, where necessary. Align metrics, targets and methods with IT’s overall performance monitoring approach.

Szenes 40


PC6 A folyamatok teljesítményének javítása

Azonosítani kell egy olyan metrikakészletet, amelyből megítélhető a folyamatoko kimenetele, éso teljesítménye.

Ki kell jelölni olyan célterületeket, amelyekből láthatóo a folyamatok célja, éso azok a teljesítménymutatók, amelyek segítenek

a folyamatcélok elérésének [ ! ] megítélésében.

Meg kell határozni, hogyan kell az adatokat megkapni.Össze kell hasonlítani a tényleges mérési eredményeket a cél eredményekhez, éstenni kell, eltérés esetén, ahol szükséges.Össze kell illeszteni a metrikákat, cél értékeket és módszereket

az Informatikai részlegnél használatos teljesítménymonitorozással.


Szenes 21

Szenes 41

COBIT components - information [quality] criteria

quality + fiduciary + security

quality: quality - cost - delivery

fiduciary: effectiveness and efficiency of operationsreliability of financial reportingcompliance with laws and regulations

security:availability - confidentiality - integrity

Szenes 42

a COBIT alkotóelemei - információ [minőségi] kritériumok

minőség + bizalmi fedezet + biztonság

minőségi szempontok: minőség - költség - kiszállított eredmény

bizalmi fedezet: a műveletek célravezetőek és eredményeseka pénzügyi jelentések megbízhatóaka törvényeknek és szabályozásnak való megfelelés

biztonság:rendelkezésre állás - bizalmasság - sértetlenség


Szenes 22

Szenes 43

COBIT components - information [quality] criteria cont'd

o effectivenesso efficiencyo confidentialityo integrityo availabilityo complianceo reliability of Information

Szenes 44

a COBIT alkotóelemei - információ [minőségi] kritériumok folyt.

o a célnak való megfelelés - célravezető információ - effectivenesso eredményesség - efficiencyo bizalmasság - confidentialityo integritás, sértetlenség - integrityo rendelkezésre állás - availabilityo külső követelményeknek való megfelelés - complianceo megbízhatóság - reliability


Szenes 23

Szenes 45

COBIT components - information [quality] criteria a COBIT alkotóelemei - információ [minőségi] kritériumok

effectiveness:the information is

o relevant and pertinent to the business process o delivered in a timely, correct, consistent and usable manner

megfelelés a célnak, célravezető

Szenes 46


efficiency:the provision of information through the optimal (most productive and economical) use of resources

eredményesség:A már meglévő rendszerek javítási értelemben valótovábbfejlesztését értékeli. Megköveteli, hogy az információbiztosításához az erőforrásokat optimálisan használják ki, azaz a lehető legtermelékenyebben és leggazdaságosabban. Ez biztosítja tehát az adott esetnek megfelelő költség / haszon megfontolások teljesítését. Annak a döntésnek a meghozatala, hogy a javítás költsége megéri-e azt az eredményt, amit a javító intézkedés / eljárás hoz(hat), a legfelső vezetés felelőssége!


Szenes 24

Szenes 47


confidentiality:the protection of sensitive information from unauthorised disclosure

access according to the roles - job descriptions

bizalmasság:vizsgálja, megfelelően védett-e a valamilyen okból érzékenynek tekintett információ az akár szándékos, akár véletlen jogosulatlan hozzáféréssel szemben

a külső- és a belső támadások elleni védelem követelménye

mindenki pontosan ahhoz férjen hozzá, amihez szerepköre - munkaköri leírása szerint szükséges

Szenes 48


integrity:o accuracy and completeness of information o its validity in accordance with business values and expectations

integritás:Ez az információ kritérium az intézmények informatikai rendszerei, sőt,

a bármilyen úton, akár kézi feldolgozással közvetített információo - pontosságáto - teljességéto - az üzleti értékeknek és elvárásoknak megfelelő érvényességét

követeli meg.Ez a sértetlenség azt is jelenti, hogy az adatok ne változzanak a

feldolgozás során.


Szenes 25

Szenes 49


availability:o the information is available when required by the business process

now and in the future o the safeguarding of necessary resources and o associated capabilities.

rendelkezésre állás:

o amikor csak szüksége van az üzleti folyamatnak az információra, az rendelkezésre áll - és fog is állni

o a szükséges erőforrások biztosítása, o a hozzájuk szükséges képességekkel

Szenes 50


compliance:

complying with those o laws, o regulations and o contractual arrangements

to which the business process is subject, i.e., o externally imposed business criteria, as well as o internal policies - [ ! ] guidelines & procedural rulebooks


Szenes 26

Szenes 51


+ saját értelmezés:megfelelés (külső követelményeknek)

Ez az adott üzleti folyamatra vonatkozó külső elvárások teljesítését jelenti. Ilyen elvárások például:

o - azon törvények, szabályok, amelyek az adott országban a vizsgált folyamatra vonatkoznak - Magyarországon, például, a személyi adatok kezelése meg kell, hogy feleljen az Adatvédelmi törvény éppen érvényes változatának

o az intézmény vonatkozó irányelvei és szabályzataio azok a szerződéses megállapodások, amelyeknek teljesítését a

folyamatért felelős vezető elvállaltao az adott üzleti folyamatra érvényes üzleti követelmények

Szenes 52


reliabilityo appropriate information for management to operate the entityo to exercise its fiduciary and o governance responsibilities

megbízhatóságo menedzsmentnek megfelelően megalapozott információra van

szüksége ahhoz, hogy biztosítsao - az intézmény működését,o és fel tudja vállalnio - a pénzügyio - és a (most tárgyalt) megfeleléssel kapcsolatos jelentési

felelősséget


Szenes 27

Szenes 53

COBIT components - resources a COBIT alkotóelemei - erőforrások

Besides satisfying the quality, fiduciary and security requirements for information & all assets management should also optimise the use of available IT resources:

o applicationso information o infrastructure o people.

A vezetés felelőssége, hogy az erőforrások optimális kihasználása mellett biztosítsa az információ és minden vagyontárgy minőségét + bizalmi fedezetét + biztonságát.

Az erőforrások:o alkalmazásoko információo infrastruktúrao emberek.

mik ezek? . / .

Szenes 54


o Applications are the automated user systems and manual procedures that process the information.

o Information is the data in all their forms input, processed and output by the information systems, in whatever form is used by the business.

o Infrastructure is the technology and facilities (hardware, operating systems, database management systems, networking, multimedia, etc., and the environment that houses and supports them) that enable the processing of the applications.

o People are the personnel required to plan, organise, acquire, implement, deliver, support, monitor and evaluate the information systems and services. They may be internal, outsourced or contracted as required.


Szenes 28

Szenes 55


o Alkalmazások: az információfeldolgozó felhasználói rendszerek, és a kézi eljárások.

o Információ: az adat, minden formájával együtt, amit az üzleti szakterület használ - mindenfajta input, feldolgozási és output formájával együtt.

o Infrastruktúra: az alkalmazások működését lehetővé tévő technológia, és a létesítmények - HW, operációs rendszer, adatbáziskezelő rendszer, hálózat, multimédia, stb., és az ezt körülvevő - támogató környezet

o Emberek: az információs rendszerek tervezéséhez, szervezéséhez, beszerzéséhez, bevezetéséhez, támogatásához, felügyeletéhez és értékeléséhez szükséges belső - kihelyezett - szerződéses személyzet.

Szenes 56

COBIT components - roles a COBIT alkotóelemei - szereplők

Roles who might profit from COBIT = those who: have interest v give service v are responsible

Those who are interested in generating value from IT investments:o Those who make procurement / investment decisionso Those who decide about requirementso Those who use IT servicesThose (internals and externals) who provide IT services:o Those who manage the IT organisation and processeso Those who develop the soultions capabilities and the solutionso Those who operate the servicesThose (internals and externals) who have a control/risk responsibility:o Those with security, privacy and/or risk responsibilitieso Those performing compliance functionso Those requiring or providing assurance services ./. cont'd


Szenes 29

Szenes 57


Azok profitálhatnak a COBIT szolgáltatásaiból, akik:érdekeltek v szolgáltatnak v felelősök

Azok, akik érdekeltek abban, hogy értéket hozzon az IT szolgáltatás:o azok, akik a beruházási / beszerzési döntéseket hozzáko azok, akik jóváhagyják a követelményeketo az It szolgáltatások felhasználóiA (külső és belső) IT szolgáltatók::o azok, akik a szervezetet és a folyamatokat irányítjáko azok, akik kifejlesztik a megoldási képességeket és a megoldásokato azok, akik üzemeltetik a szolgáltatásokatAzok (a belsők és külsők), akik az ellenőrzésért / kockázatkezelésért felelősek:o a biztonsági, adatvédelmi, kockázatkezelési területek felelőseio a compliance szakterület felelőseio azok, akik a szolgáltatások biztosítását igénylik, vagy végzik ./. cont'd

Szenes 58


explaining, whose duty is what, who is responsible for what:

o the actor, who performs the activityo the actor, who uses the activityo the actor, who (is able to) measure - check the activityactivity - quality criteria of the activities - possibility to measure them

ha el kell magyarázni, kinek, mi a teendője / kötelessége:

o tevékenységet végző szereplőo tevékenységet felhasználó / fogadó szereplőo tevékenységet mérni / ellenőrizni (képes) szereplőtevékenyság - tevékenység minőségi kritériuma - ezek mérésének lehetősége


Szenes 30

Szenes 59

COBIT 4.1 basics: goal - process - activity - measurementCOBIT 4.1 alapok: cél - folyamat - tevékenység - mérés

basic notions:

business goals determineIT goals (serve achievement of) business goals

processes (serve achievement of) IT goalsactivities (serve achievement of) process goals

measures: help estimating (NOT ctrl. measure ! )to what extent are the business goals achieved

ITprocessactivity

principle, guideline implementation, realityhow?

COBIT helps:planning the goals, and to the goalsprovides concrete outcome & performance measures

Szenes 60

COBIT 4.1 basics: goal - process - activity - measurementCOBIT 4.1 alapok: cél - folyamat - tevékenység - mérés

alapfogalmak:

üzleti célok meghatározzák, milyenIT célokat kell elérni, mely

folyamatok érik el az IT célokat, és ezeket milyentevékenységekkel lehet elérni

mérték: segít felbecsülnimennyire értük el az üzleti célokat

ITfolyamattevékenység

elv, irányelv implementáció, valósághogyan?

COBIT segít:a célok tervezésében, és a célokhoz konkrét mérőszámokat ad: kimeneteli & teljesítmény mértéket


Szenes 31

Szenes 61

COBIT 4.1 relationship of the basic notions - example: inf. securityCOBIT 4.1 kapcsolatok az alapfogalmak közt - pl.: inf. biztonság

(private formulation: ) ☺

business goalsmaintain enterprise reputation & leadership

IT goalsensure that the IT services are able to resist attacks and to be rebuilt in case of need

processesdetect and handle / solve problems (e.g. illegal access attempts)

activitiesunderstand requirements, threats and vulnerabilities

Szenes 62

COBIT 4.1 relationship of the basic notions - example: inf. securityCOBIT 4.1 kapcsolatok az alapfogalmak közt - pl.: inf. biztonság

(saját értelmezés: ) ☺

üzleti célpiaci tekintély és vezetés fenntartása

IT célokbiztosítják, hogy az IT szolgáltatások ellenállnak a támadásoknak,utána újraépíthetőek

folyamatokészreveszik, és kezelik a problémákat (pl. illegális hozzáférési kísérleteket)

tevékenységeksegítik a követelmények, sérülékenységek és fenyegetések megértését


Szenes 32

Szenes 63

The 4 responsibility domains of the COBIT IT processes - a COBIT informatikai folyamatok 4 felelősségi tartománya

The process focus of COBIT is illustrated by a process model, which subdivides IT into 34 processes [series of activities]in line with the responsibility areas of plan, build, run and monitor, providing an end-to-end view of IT.

plan and organise - POacquire and implement - AIdeliver and support - DSmonitor and evaluate - ME

. / .Enterprise architecture concepts help identify those resources essential for

process success, i.e., applications, information, infrastructure and people.(COBIT3: data, applications systems, technology, ITF, people)

to the process – resource – criteria triple control objectives are assigned, and to these:control measures / procedures that realize these goals

Szenes 64


A COBIT folyamat modellje az informatikát 34 IT folyamatra [tev.sorozat] osztjaa 34 informatikai folyamat a felelősségi körök szerint:tervezés – felépítés – futtatás – felügyelet – ez lefedi az egész informatikát

tervezés és szervezet - PObeszerzés és megvalósítás - AIkiszállítás és támogatás - DSfelügyelet és értékelés - ME

. / .a vállalati architektúra fogalom segítségével a COBIT meghatározza a folyamatok

sikeréhez szükséges erőforrásokat (erőforrások: alkalmazói rendszer, információ, infrastruktúra, és emberek)

(COBIT3 erőforrások: adat, alkalmazói rendszer, technológia, létesítmény [elhelyezés, támogatás], emberek)

a folyamat - erőforrás - kritérium hármashoz ellenőrzési célokat, és ezekhez pedig az e célokat megvalósító ellenőrzési intézkedéseket / eljárásokat rendelünk.


Szenes 33

Szenes 65


o Tervezés és szervezet (PO)a megoldás- és a szolgáltatás kiszállításnak, azaz a "Beszerzéshez és megvalósításhoz", illetve a "Kiszállításhoz és támogatáshoz" az útmutatást a "Tervezés és szervezés" adja.

o Beszerzés és megvalósítás (AI)a megoldásokat "beszerzésből" vagy "megvalósításból" nyerjük, AI támogatja a megoldások létrehozását, és továbbadja [DS-nek], hogy szolgáltatásokká alakítsák ezeket

o Kiszállítás és támogatás (DS)megkapja a megoldásokat, és a végfelhasználók számára felhasználhatóvá alakítja át ezeket, a megoldásokat "szolgáltatássá" a "Kiszállítás és támogatás" csiszolja, hiszen ezek a fázisok teszik hozzá a már kész megoldáshoz azt, aminek eredményeképpen a végfelhasználó már valódi terméket fog kapni.

o Felügyelet és értékelés (ME)felügyeli a folyamatokat, hogy biztosítsa, a megadott irányt [PO] követik, A "Tervezési és szervezési" folyamat során született specifikációk betartását pedig a " Felügyelet és értékelés" biztosítja

Szenes 66


PLAN AND ORGANISE (PO):

o strategy and tactico how IT can best contribute to the achievement of the business

objectives

The realisation of the strategic vision needs to be planned, communicated and managed for different perspectives. A proper organisation as well as technological infrastructure should be put in place.

Questions to the management:o Are IT and the business strategy aligned?o Is the enterprise achieving optimum use of its resources?o Does everyone* in the organisation understand the IT objectives?o Are IT risks understood and being managed?o Is the quality of IT systems appropriate for business needs?o and?

* not only the IT members!


Szenes 34

Szenes 67


TERVEZÉS ÉS SZERVEZET (PO):

o stratégia és taktikao az üzleti célok elérését hogyan tudja az IT a legjobban szolgálni

A stratégia megvalósítását meg kell tervezni, informálni kell a dolgozókat, és le kell vezényelni. A szervezetet és a technológiai infrastruktúrát megfelelővé kell alakítani.

A vezetés feladatai, hogy valósítsa meg:o az IT és az üzleti stratégia összehangolásáto az (IT?) erőforrások optimális kihasználásáto az IT célok elmagyarázását az összes* dolgozónako az IT kockázatokat értsék, akiknek kell, és kezeljéko az IT rendszerek az ületi célokat szolgáljáko és?

* nemcsak az informatikusoknak!

Szenes 68


ACQUIRE AND IMPLEMENT (AI)To realise the IT strategy and to meet business objectives IT solutions need to be: o identifiedo developed or acquiredo implemented o integrated into the business process. In existing systems:o changes should be documented, releases should be followed,o maintenance should be well - organized (∀ aspects of "well"!)

Questions to the management:o Are new projects likely to deliver such solutions that meet business needs?o Are new projects likely to be delivered on time and within budget?o Will the new systems work according to specification when implemented?o Will changes be made without upsetting current business operations?o and?


Szenes 35

Szenes 69


BESZERZÉS ÉS MEGVALÓSÍTÁS (AI)Az IT strat. megvalósítása, és az üzl. célok teljesítése érdekében az IT megold.kat: o meg kell határozni, o kifejleszteni vagy beszereznio megvalósítanio beintegrálni az üzleti folyamatokba. A már meglévő rendszerek:o változtatásait dokumentálni, release-it követni kell,o jól meg kell szervezni a karbantartást (∀ szempontból!)

A vezetés feladatai, hogy valósítsa meg:o az új projektek az üzleti céloknak megfelelő megoldásokat adjanako az új projektek beleférjenek az előre megadott idő- és ktg.keretekbeo az új rendszerek a bevezetés után a specifikációjuk szerint működjeneko a változtatások ne zavarják az éppen folyamatban lévő üzleti műveleteketo és?

Szenes 70


DELIVER AND SUPPORT (DS) of required services:o service deliveryo management of security o management of continuity o service support for userso management of data o management of operational facilities.

Questions to the management:o Are IT services being delivered in line with business priorities?o Are IT costs optimised?o Is the workforce able to use the IT systems productively and safely?o Is the level of confidentiality, integrity and availability optimal to the enterprise

strategy (e.g. cost / effective)?o és?


Szenes 36

Szenes 71


a kért szolgáltatások KISZÁLLÍTÁSA ÉS TÁMOGATÁSA (DS): o szolgáltatás biztosítása ? kiszállításao biztonság o (IT ?) üzletmenetfolytonosság o felhasználók támgatása a szolgáltatás igénybe vételébeno adatkezeléso az üzemeltetési feltételek - környezet biztosítása.

A vezetés feladatai, hogy valósítsa meg:o az IT szolgáltatások az üzlet elsőbbségi szempontjai szerint készüljenek elo optimális IT ktg.gelo a felhasználók az IT rendszereket termelékenyen és biztonságosan használjáko a rendelkezésre állás, bizalmasság, integritás teljesüljön az üzleti céloknak

megfelelő mértékbeno és?

Szenes 72


MONITOR AND EVALUATE (ME)All IT processes need to be regularly assessed over time for their quality and

compliance with control requirements. Most important aspects:o performance management, o monitoring of internal control, o regulatory complianceo governance.

Questions to the management:o Is IT’s performance measured to detect problems before it is too late?o Does management ensure that internal controls are effective and efficient?o Can IT performance be linked back to business goals?o Are adequate confidentiality, integrity and availability controls in place for

information security?o and?


Szenes 37

Szenes 73


FELÜGYELET ÉS ÉRTÉKELÉS (ME)Az informatikai folyamatok minőségét és az ellenőrzési követelményeknek való

megfelelését rendszeresen ellenőrizni kell. Legfontosabb szempontok:o teljesítmény menedzsment (?!)o a belső ellenőrzés felülvizsgálatao a főhatósági előírásoknak való megfelelés o governance.

vezetés feladatai, hogy valósítsa meg:o az IT teljesítmény mérését, hogy a problémák időben előjöjjeneko a célnak megfelelő és eredményes belső ellenőrzés biztosításao az IT teljesítmény az üzleti célokat szolgáljao rendelkezésre állási, bizalmassági, integritási ellenőrzési pontok, intézkedések

/ eljárások biztosításao és?

Szenes 74

relationships: the COBIT cylinder - összefüggések: a COBIT henger


Szenes 38

Szenes 75

the relationship of the 4 domains - a 4 tartomány összefüggései

o Plan and Organise (PO)Provides direction to solution delivery (AI) and service delivery (DS)

o Acquire and Implement (AI)Provides the solutions and passes them to be turned into services

o Deliver and Support (DS)Receives the solutions and makes them usable for end users

o Monitor and Evaluate (ME)Monitors all processes to ensure that the direction provided is followed

Szenes 76

the relationship of the 4 domains - a 4 tartomány összefüggései

o Tervezés és szervezet (PO)a megoldás- és a szolgáltatás kiszállításnak, azaz a "Beszerzéshez és megvalósításhoz", illetve a "Kiszállításhoz és támogatáshoz" az útmutatást a "Tervezés és szervezés" adja.

o Beszerzés és megvalósítás (AI)a megoldásokat "beszerzésből" vagy "megvalósításból" nyerjük, AI támogatja a megoldások létrehozását, és továbbadja [DS-nek], hogy szolgáltatásokká alakítsák ezeket

o Kiszállítás és támogatás (DS)megkapja a megoldásokat, és a végfelhasználók számára felhasználhatóvá alakítja át ezeket, a megoldásokat "szolgáltatássá" a "Kiszállítás és támogatás" csiszolja, hiszen ezek a fázisok teszik hozzá a már kész megoldáshoz azt, aminek eredményeképpen a végfelhasználó már valódi terméket fog kapni.

o Felügyelet és értékelés (ME)felügyeli a folyamatokat, hogy biztosítsa, a megadott irányt [PO] követik, A "Tervezési és szervezési" folyamat során született specifikációk betartását pedig a " Felügyelet és értékelés" biztosítja


Szenes 39

Szenes 77

references - irodalomjegyzék

[COBIT 4.1, 2007] COBIT® 4.1 Framework, Management Guidelines, Maturity ModelsCopyright © IT Governance Institute® , 2007editor: ISACA

[CRM] 1998 - 2014 CISA Review Technical Information Manualpublished yearly, editor: ISACA(from the year of 1999 Katalin Szenes contributes to the Manual as a member of the Quality

Assurance Team, with the exception of CRM 2011mostly to the chapters Protection of information assets, and Business continuity planning; Manual 2014 is under edition)

[ISO 27000]International Standard ISO/IEC 27000 First edition 2009-05-01Information technology — Security techniques — Information security management systems —

Overview and vocabularyReference number: ISO/IEC 27000:2009(E)Copyright © ISO/IEC 2009(Szenes note: the updated 27000 family started in 2013)

Szenes 78


[Szenes, 2006, COBIT] Szenes, K:Az ISACA auditálási alapelvei, és a COBIT® módszertan bemutatásaAz Informatikai biztonság kézikönyve, 21. aktualizálásVerlag Dashöfer, 2006. augusztus, 7.2.1. old. - 7.2.83. old. - 83 oldal

[Szenes, 2006, SOX] Szenes, K.: Informatikai biztonsági megfontolások a Sarbanes -Oxley törvény ürügyén

(A 2002-es Sarbanes - Oxley törvény hatásai az informatikai biztonsági rendszerekre és az informatikai ellenőrök feladataira. A jelentésszolgálat és a többi kulcsfontosságúalkalmazás felügyeletének kérdései)

Az Informatikai biztonság kézikönyve, 22. aktualizálásVerlag Dashöfer, 2006. október, 2.2.1.1. old. - 2.2.8.8. old. - 96 oldalp. 2.2.1.1. - 2.2.8.8. total: 96 pages

[Szenes, 2007, COBIT] Szenes, K: A COBIT 4.0 és 4.1 újdonságai Az Informatikai biztonság kézikönyve, 27. aktualizálásVerlag Dashöfer, 2007. november, 7.3 1. old. - 7-3 64. old. - 54 oldal


Szenes 40

Szenes 79


[Szenes, 2009, risk] Szenes, K.: Kockázatkezelés szempontrendszerrel irányított értékelési módszerrelHungarian - Classification systems based evaluation in risk managementAz Informatikai biztonság kézikönyve, 32. aktualizálásVerlag Dashöfer, 2009. február, 8.6.1. old. - 8.6.5.2.2.6 old. - 62 oldal

[Szenes, 2010, outsource] Szenes, K.: Az informatikai erőforrás-kihelyezés auditálási szempontjai, I., II. részHungarian - Auditing outsourcing of IT resources, Part I., Part II.Az Informatikai biztonság kézikönyve, Verlag Dashöfer,I. rész: 36. aktualizálás, 2010. február, 8.10. 1. old. – 26. old. (26 oldal), II. rész: 39. aktualizálás, 2010. december 8.10. 27. old. – 158. old. (132 oldal)(összesen 158 oldal)

cobit 4, cobit 4.1 part i - basics i. rész:...

Documents