Upload
artie
View
90
Download
0
Embed Size (px)
DESCRIPTION
Nõuded infotehnoloogia ala korraldamiseks. Toomas Kirt Finantsinspektsiooni IT-audiitor 5.11.2004. Sisu. Mis on eesmärk? Mis on aluseks? Kuidas toimub rakendamine? Mida sisaldab?. Eellugu. - PowerPoint PPT Presentation
Citation preview
Nõuded infotehnoloogia ala korraldamiseks
Toomas Kirt
Finantsinspektsiooni IT-audiitor
5.11.2004
2
Sisu
• Mis on eesmärk?• Mis on aluseks?• Kuidas toimub rakendamine?• Mida sisaldab?
3
Eellugu
• Eesti Panga presidendi määrus nr. 23, 03.10.1997 Nõuded infotehnoloogia ala korraldamiseks krediidiasutustes
• 01.01.2002 alustas tegevust Finantsinspektsioon ja selle raames laienes ka IT-alane järelevalve
• Kasvav sõltuvus informatsioonist ja infosüsteemidest• Finantsinspektsiooni juhatuse 22.09.2004 otsusega
nr. 44-4 kinnitati soovituslik juhend “Nõuded infotehnoloogia ala korraldamiseks “
4
Eesmärk
• Finantssektori ettevõtete tegevus sõltub olulisel määral infotehnoloogiast (“IT”). Juhendi eesmärgiks on kehtestada miinimumnõuded finantssektori ettevõtetes infotehnoloogiaalaseks töökorralduseks, et suurendada finantssektori efektiivsust ja vähendada süsteemseid ning operatsioonilisi riske.
• Anda raamistik ettevõtte IT riskide hindamiseks
5
Cobit
• Juhendi koostamisel on võetud aluseks rahvusvaheliselt üldtunnustatud infotehnoloogia auditi ja juhtimise standard COBIT (Control Objectives for information and Related Technology) ning selle lühivariant COBIT Quickstart
• Cobitis 34 protsessi ja 318 juhtimiseesmärki• Cobit QS 30 protsessi ja 62 juhtimiseesmärki
6
Rakendamine
• Vaadata üle juhendis toodud protsesside korraldus ettevõttes ning hinnata nende juhtimist ja riske
• Selgitada välja, kas olukord on rahuldav, ning kui ei ole, siis määrata eesmärk, kuhu soovitakse jõuda
• Teha tegevuskava eesmärgi saavutamiseks
7
Juhendi ülesehitus
• I osa Üldsätted ja mõisted• II osa Planeerimine ja organiseerimine• III osa Hankimine ja rakendamine• IV osa Tarnimine ja tugi• V osa Seire• VI osa Lõppsätted
8
Planeerimine ja organiseerimine
1. Strateegia
2. Infoarhitektuur
3. IT organisatsioon
4. IT investeeringute juhtimine
5. Vastavus välisnõuetele
6. Riskihaldus
7. Projektide haldus
9
Strateegia
• Ettevõtte infotehnoloogiaalase tegevuse aluseks peab olema juhtkonna poolt kinnitatud ettevõtte ärieesmärkidest ja -strateegiast lähtuv strateegia (IT strateegia)
• IT strateegia loomisel tuleb hinnata, millist infotehnoloogilist tuge on vaja ettevõtte ärieesmärkide saavutamiseks ning kas olemasolevad IT lahendused võimaldavad saavutada soovitud ärilist tulemust
10
Infoarhitektuur
• Ettevõttel peavad olema üldised reeglid infovarade omanike määramiseks ja infovarade klassifitseerimiseks turvaklassidesse ning kõikidele infovaradele peavad olema nimetatud omanikud
• Infovara klassifitseerimise ja juurdepääsupiirangute kehtestamise eest vastutab vastava infovara omanik
11
IT organisatsioon
• Äriprotsessidele vajaliku infotehnoloogilise toe osutamiseks peab ettevõttes olema suuruselt ja kompetentsidelt sobiv IT organisatsioon
• Rakendada asjakohased värbamisprotseduurid• Töötajatel peavad olema selgelt määratletud
nõutavad oskused, õigused, vastutus ja kohustused • Tagada võimalusel töökohustuste lahusus
12
IT investeeringute juhtimine
• Infotehnoloogiasse tehtavate kulutuste ärieesmärkidele vastavaks ja optimaalseks juhtimiseks peab IT-investeeringute juhtimine toimuma läbi perioodiliselt toimuva eelarvestamise protsessi
13
Vastavus välisnõuetele
• Ettevõtte juhtkond peab tagama ettevõtte IT korraldamise vastavuse regulaarse hindamise välistele nõuetele (seadused, regulatsioonid, jmt) ning nende mõjudega arvestamise
14
Riskihaldus
• Ettevõtte juhtkond peab tagama infotehnoloogiaga seotud riskide haldamise protsessi toimimise, mis määratleks riskide juhtimise metoodika, aruandekohustuse ja kontrollmehhanismid
• Riskide hindamine peab kaasnema iga olulise muudatusega infosüsteemides või protsessides
15
Projektide haldus
• Iga olulisem arendustegevuse projekt infotehnoloogia valdkonnas peab omama täpselt määratletud ja mõõdetavat eesmärki ning täpset algust ja lõppu omavat tähtaega
16
Hankimine ja rakendamine
1. Süsteemiarendus
2. Protseduuride haldus
3. Muudatuste haldus
17
Süsteemiarendus
• Ärinõuete täitmiseks sobivate lahenduste loomiseks peab toimuma eelnev kasutajanõuete väljaselgitamine ja alternatiivsete lahenduste hindamine
• Lahenduse väljatöötamisel on vaja spetsifitseerida lahenduse funktsionaalsed ja ekspluatatsioonilised nõuded
18
Protseduuride haldus
• Infosüsteemi halduseks ja kasutamiseks peavad olema kehtestatud dokumenteeritud tööjuhised ning protseduurid
19
Muudatuste haldus
• Infosüsteemi muudatuste tagajärjel tekkida võivate katkestuste ja vigade tõenäosuse vähendamiseks tuleb tagada muudatuste teostamise korrektsus ja kontrollitavus. Muudatuste teostamiseks tuleb koostada tegevusplaan
• Muudatuste tegemisest peab säilima kontrolljälg, mis võimaldaks tuvastada muudatuse tegemise aja, teostaja ja muudatuse sisu
20
Tarnimine ja tugi
1. Väliste teenusepakkujate kasutamine
2. Mahtude ja jõudluse haldus
3. Talitluspidevus
4. Süsteemide turvalisus
5. Konfiguratsioonihaldus
6. Probleemide ja intsidentide haldus
7. Ruumide haldus
8. Ekspluatatsiooni haldus
21
Väliste teenusepakkujate kasutamine
• Ettevõttes peavad olema rakendatud väliste teenusepakkujate valikuprotseduurid, mis tagaksid ettevõttele toimiva ja tõhusa teenuse kasutamise
• Välistele teenusepakkujatele ei tohi lubada juurdepääsu organisatsiooni vahenditele enne vajalike turvameetmete teostamist ja pääsutingimusi määratleva lepingu allakirjutamist
22
Mahtude ja jõudluse haldus
• Ettevõttes peab toimima protsess infosüsteemi jõudluse monitoorimiseks ning raporteerimiseks
• Olemasoleva süsteemi jõudluse monitoorimise ja tulevaste jõudlusvajaduste prognoosimise tulemuste põhjal peab olema tagatud infosüsteemi jõudlusvajaduste õigeaegne rahuldamine
23
Talitluspidevus
• Ettevõttes peab olema toimiv talitluspidevuse planeerimise protsess, mis võtab arvesse äriprotsesside kriitilisust ning tagab pidevusplaanide välja töötamise
• Ettevõttes peavad olema dokumenteeritud ja juurutatud varukoopiate tegemise protseduurid ning tagatud regulaarne varukoopiate tegemine
24
Süsteemide turvalisus
• Turbe korralduse aluseks/raamdokumendiks on infoturvapoliitika, milles tuuakse ära meetmed, kuidas tagatakse infoturbe kolm aspekti konfidentsiaalsus, terviklus ja käideldavus
• Ettevõttes peavad pääsuõiguste jaotuse reguleerimiseks olema rakendatud ametlikud protseduurid, mis hõlmavad pääsu elutsükli kõiki faase
• Enne kasutajatele infoteenustele juurdepääsu andmist peavad nad saama asjakohase väljaõppe
25
Süsteemide turvalisus(2)
• Ettevõttes tuleb tagada tundlike andmete kaitse nende edastamisel avaliku võrgu kaudu
• Seire korraldamiseks on vajalik infosüsteemis läbiviidavate toimingute kontrolljälg
• Ründetarkvara ja viiruste õigeaegseks avastamiseks ja tõkestamiseks peavad olema rakendatud vajalikud meetmed
26
Konfiguratsioonihaldus
• Ettevõttel peab olema kasutatava infotehnoloogilise riistvara ja tarkvara konfiguratsiooni täielik ja regulaarselt täiendatav inventariloend
• Kasutatav riist- ja tarkvaraline platvorm tuleb võimalusel standardiseerida
27
Probleemide ja intsidentide haldus
• Turvarünnetest, avariidest ja tõrgetest tingitud kahjude vähendamiseks, turvaintsidentide registreerimiseks, neile reageerimiseks ning nendest järelduste tegemiseks peavad olema kehtestatud ametlikud protseduurid ning töökohustused
• Kõigile asjaomastele töötajatele ja lepingupartneritele tuleb teatavaks teha teavitamisprotseduur eri tüüpi turvaintsidentide osas
28
Ruumide haldus
• Kriitilisi või tundlikke talitlusfunktsioone toetavad infotehnoloogiavahendid tuleb paigutada piiratud juurdepääsuga turvaaladele ning neid tuleb füüsiliselt kaitsta volitamata pöördumiste, kahjustuste, turvaohtude (nt. tulekahju) ja keskkonnariskide eest
29
Ekspluatatsiooni haldus
• Põhilisi tüüpseid IT-operatsioone tuleb regulaarselt dokumenteerida ja läbi vaadata, et tagada töötluse plaanipärasus (ajastuse, järjestuse, kvaliteedi jne mõttes)
• Töötluse õigsuse ja täielikkuse kindlustamiseks tuleb kontrollida ekspluatatsioonilogisid
30
Seire
1. Seire ja hindamine
31
Seire ja hindamine
• Ettevõttes peavad olema kehtestatud nõuded infotehnoloogiaalase tegevuse kontrolliks ja hindamiseks
• Infotehnoloogia juhtimismehhanismide, infotehnoloogiat puudutavate õigusaktide ja eeskirjade vastavuse ning infotehnoloogiaalaste lepinguliste kohustuste täitmise hindamiseks tuleb vajadusel kasutada välist auditit
32
Kokkuvõte
• Raamistik ettevõtete IT-ga seotud riskide hindamiseks
• Ka juhend on protsess, mis peab kaasas käima keskkonna arenguga