Prof. Molnár1 Podnikové informační systémy Audit, kvalita a ochrana PIS Prof. Ing. Zdeněk Molnár, CSc Ústav řízení a ekonomiky podniku

Prof. Molnár2 Obecné cíle auditu ISP zjistit skutečný rozsah informační podpory podnikových procesů a srovnat úroveň této podpory se „standardním“ řešením v daném oboru podnikání zjistit "úřední" a skutečná pravidla, tedy zákony, směrnice, zvyklosti, etalony a způsob organizace a řízení IS/IT a provnat toto s „obvyklým“ řešením najít funkčně odpovědnou osobu (y) za IS/IT zjistit disponibilní zdroje na IS/IT (kapacitu HW, úroveň SW, kapacitu informatiků) včetně ekonomických ukazatelů (nákladů a jejich kontrolu) zhodnotit počítačovou a informační gramotnost uživatelů vytipovat závažné nedostatky a riziková místa a neztrácet čas na maličkostech či evidentně bezproblémových aspektech odvodit jednoznačný a srozumitelný závěr ze zjištěných fakt navrhnout nápravu nejkřiklavějších nedostatků

Prof. Molnár3 Úrovně auditu IS hodnocení výkonnosti - provádí lidé z útvaru IS, informatici interní audit funkčnosti - provádí určení pracovníci z uživatelských útvarů, neinformatici externí audit výkonu i funkčnosti provádí externí (poradenská) organizace

Prof. Molnár4 Základní rozdíl auditu a informační analýzy Audit hodnotí: produkční procesy vymezené zakázkovou náplní dostupné informace předepsané výstupní informace, jejich přesnost, včasnost, úplnost a bezpečnost funkční odpovědnost v případě zjištěných nedostatků Výsledkem auditu je, jak procesy fungují a kde jsou slabiny. Informační analýza zjišťuje: jak se činnosti člení do funkčních oblastí, resp. procesů s jakými informacemi tyto činnosti pracují na jednotlivých úrovních řízení jak by měly být tyto informace zpracovány, aby uspokojily potřebu informační podpory klíčových činností nároky na zpracovatelské kapacity Výsledkem informační analýzy je především identifikace potřeb informační podpory

Prof. Molnár5 Oblasti auditu udit úrovně podpory podpory podnikových procesů, včetně rizikové analýzy podpory IS/IT podnikových procesů audit ochrany a bezpečnosti IS/IT audit efektivnosti řízení zdrojů IS/IT a útvarů pro IS/IT audit obnovy systémů po katastrofě testování systémů (penetrační testy, zátěžové testy, objemové testy apod.) speciální dle přání zákazníka

Prof. Molnár6 Pravidla auditu - 2 přístupy Horizontální přístup Vymezím kontrolované procesy. Ke každému procesu shromáždím relevantní pravidla. Vytvořím seznam pravidel a kontroluji jedno pravidlo po druhém. Postup důkladný, ale pracný. Vertikální přístup Při úvodním interview vytipuji problémové procesy. U problémového procesu vezmu pravidlo a zkontroluji. Postupuji na předchozí a navazující procesy. Mnohem rychlejší, ale převažují negativní (konfliktní) zjištění.

Prof. Molnár7 Obecný postup auditu definování cílů (požadavků na předmět) auditu formální náležitosti, plán prověrky, jmenování týmu auditorů, cena auditu interview, první shromáždění dokumentů vytipování kritických (problémových) procesů hlubší šetření vytipovaných procesů posouzení fakt z nálezu (posudek smí vycházet pouze z fakt uvedených v nálezu a srovnávat je s archivem, zkušenostmi a názory posuzovatele) výrok auditora (závěry jednotlivých posouzení) případné vyvození osobní odpovědnosti

Prof. Molnár8 Doporučený obsah auditorské zprávy jak se pracuje s informacemi jaké úrovně služeb se dosáhlo komu a jaké informace jsou distribuovány standardní a nestandardní informační procesy uspokojení reálných informačních potřeb riziková místa zpracování informací kompetence při řízení informací náklady při zpracování informací

Prof. Molnár9 z hlediska obsahuz hlediska prezentace „Dobré“ IS musí poskytovat informace významné pro daný účel dostatečně přesné dostatečně kompletní přiměřeně detailní získané ze spolehlivých zdrojů předávány správným osobám včas z hlediska účelu předávány vhodným způsobem srozumitelné příjemci

Prof. Molnár10 Kvalita software podle ISO Funkčnost (functionality), tj. přiměřenost, přesnost, otevřenost, zaměnitelnost, bezpečnost Spolehlivost (reliability) tj. vyzrálost, ověřenost, bezporuchovost, obnovitelnost Použitelnost (usability) tj. srozumitelnost, zvládnutelnost, provozovatelnost, přitažlivost, přehlednost Efektivita, účinnost (efficiency) tj. časové charakteristiky a nároky na zdroje

Prof. Molnár11 Kvalita software podle ISO ( pokračování) Udržovatelnost (maintainability) tj. analyzovatelnost, modifikovatelnost, stabilita, testovatelnost Přenositelnost (portability) tj. přizpůsobitelnost, možnost instalace, koexistence, nahraditelnost

Prof. Molnár12 Bezpečnost IS/IT není problém technický, ale lidský Cenu IS poznáme až v okamžiku, kdy ho ztratíme, ale to je již obyčejně pozdě na jeho záchranu. K čemu, je mi informační systém, na který se nemohu spolehnout? Několik citátů na úvod Bezpečnost celého systému je rovna bezpečnosti jeho nejslabšího článku

Prof. Molnár13 Zásady ochrany ISP Ochranou IS/IT rozumíme komplex technických, programových, organizačních a personálních opatření spojených s minimalizací možných ztrát vzniklých v důsledku poškození, zničení nebo zneužití IS/IT Ochranou IS/IT je třeba se zabývat po celou dobu životního cyklu IS/IT (plánování, výstavba, zavádění, užívání) Ochrana IS/IT musí být integrální součástí bezpečnostní strategie podniku

Prof. Molnár14 Roviny bezpečnosti Důvěrnost - informace musí být dostupné jen pro autorizované uživatele a ne pro nikoho jiného Integrita - nesmí docházet k neautorizovaným úpravám informace, případně ztrátě informace, ať již jde o úmyslnou či neúmyslnou činnost uživatele, softwaru či hardwaru Dostupnost - příslušné funkce a data IS musí být vždy dostupné pro uživatele, tj. IS nesmí být vyřazen z provozu zcizením, cíleným útokem či závadou.

Prof. Molnár15 Cena bezpečnosti zvýšenými pořizovacími náklady (kvalitní HW, SW, zdvojování funkcí apod.) zvýšenými provozními náklady (prodloužení doby zpracování, placení speciálních služeb apod.) omezením pohodlí uživatelů (přihlašování se do systému, omezení svobody pohybu, omezení funkčnosti apod.) Za bezpečnost IS/IT vždy musím platit a vždy to bude kompromis mezi náklady, funkčností a akceptovatelnou mírou rizika, protože nikdy nejsme schopni zajistit 100% bezpečnost

Prof. Molnár16 Chráněné objekty technické prostředky - proti fyzickému zcizení a technickým závadám komunikační cesty - proti nežádoucímu monitorování a neautorizovaným vstupům programové vybavení - před modifikacemi měnícími jeho funkčnost datová základna - před ztrátou obsahu, porušením integrity a neautorizovaným přístupem

Prof. Molnár17 Hrozby fyzické ohrožení - přírodní katastrofy požáry, povodně apod.), poruchy dodávky el. energie, technické závady programové ohrožení - chybná funkčnost, viry, trojské koně či monitorovací programy lidské ohrožení „zevnitř“ i „zvenčí“ - úmyslné i neúmyslné - zloději, průnikáři (hackeři), nepoučení uživatelé a pod.

Prof. Molnár18 Ochranné mechanizmy fyzické zabezpečení - bezpečené uložení serverů a kopií dat, ochrana kabeláže, stabilní dodávka el. energie technické zabezpečení - spolehlivý (značkový) HW, zdvojení technických prostředků (servery, diskové jednotky), záložní napájení (UPS) programové zabezpečení - autentizace, monitoring, auditing, šifrování (kryptování) organizační zabezpečení - rozdělení kompetencí, plán záložních zpracování a pod. Ty je třeba obvykle kombinovat, protože sám o sobě jeden ochranný mechanizmus nestačí

Prof. Molnár19 Přihlašování do systému uživatelské jméno a heslo - heslo by nemělo nic „znamenat“ tj. neměla by to být nějaká „smysluplná“ kombinace znaků a mělo by se pravidelně měnit přihlašování předmětem (magnetická nebo čipová karta, čárový kód, elektronické klíče apod.) biologické prvky (sítnice oka, kresba palce apod.) Nejlépe ve vzájemné kombinaci

Prof. Molnár20 Ukazatele spolehlivosti IT MTBF - Mean Time Between Failure (střední doba mezi dvěma poruchami) MTTR - Mean Time to Restart (střední doba nutná k odstranění poruchy) CA - Coefficient of Availability (koeficient dostupnosti) MTBF CA = MTBF + MTTR

Prof. Molnár21 Výsledky průzkumu E&Y v oblasti informační bezpečnosti v roce 2003 v ČR téměř 50% organizací vletech 2001/2 roce bylo postiženo bezpečnostním incidentem s průměrnou škodou 800 tis. Kč největšími hrozbami je Internet a elektronická pošta, následují vlastní uživatelé výrazně se zvýšil počet firem chránících se firewallem, antiviry a interními směrnicemi přetrvává obecně nízké povědomí potřeby informační bezpečnosti jen 13% organizací zaměstnává pracovníka, který se plně věnuje informační bezpečnosti od roku 2001 došlo k relativnímu snížení rozpočtu na bezpečnost z 10% na 8% z celkového rozpočtu na IS/IT výrazně vedoucí postavení v úrovni bezpečnosti má finanční sektor

Prof. Molnár22

Prof. Molnár23

Prof. Molnár24