Nõuded infotehnoloogia ala korraldamiseks

Toomas Kirt

Finantsinspektsiooni IT-audiitor

5.11.2004

2

Sisu

• Mis on eesmärk?• Mis on aluseks?• Kuidas toimub rakendamine?• Mida sisaldab?

3

Eellugu

• Eesti Panga presidendi määrus nr. 23, 03.10.1997 Nõuded infotehnoloogia ala korraldamiseks krediidiasutustes

• 01.01.2002 alustas tegevust Finantsinspektsioon ja selle raames laienes ka IT-alane järelevalve

• Kasvav sõltuvus informatsioonist ja infosüsteemidest• Finantsinspektsiooni juhatuse 22.09.2004 otsusega

nr. 44-4 kinnitati soovituslik juhend “Nõuded infotehnoloogia ala korraldamiseks “

4

Eesmärk

• Finantssektori ettevõtete tegevus sõltub olulisel määral infotehnoloogiast (“IT”). Juhendi eesmärgiks on kehtestada miinimumnõuded finantssektori ettevõtetes infotehnoloogiaalaseks töökorralduseks, et suurendada finantssektori efektiivsust ja vähendada süsteemseid ning operatsioonilisi riske.

• Anda raamistik ettevõtte IT riskide hindamiseks

5

Cobit

• Juhendi koostamisel on võetud aluseks rahvusvaheliselt üldtunnustatud infotehnoloogia auditi ja juhtimise standard COBIT (Control Objectives for information and Related Technology) ning selle lühivariant COBIT Quickstart

• Cobitis 34 protsessi ja 318 juhtimiseesmärki• Cobit QS 30 protsessi ja 62 juhtimiseesmärki

6

Rakendamine

• Vaadata üle juhendis toodud protsesside korraldus ettevõttes ning hinnata nende juhtimist ja riske

• Selgitada välja, kas olukord on rahuldav, ning kui ei ole, siis määrata eesmärk, kuhu soovitakse jõuda

• Teha tegevuskava eesmärgi saavutamiseks

7

Juhendi ülesehitus

• I osa Üldsätted ja mõisted• II osa Planeerimine ja organiseerimine• III osa Hankimine ja rakendamine• IV osa Tarnimine ja tugi• V osa Seire• VI osa Lõppsätted

8

Planeerimine ja organiseerimine

1. Strateegia

2. Infoarhitektuur

3. IT organisatsioon

4. IT investeeringute juhtimine

5. Vastavus välisnõuetele

6. Riskihaldus

7. Projektide haldus

9

Strateegia

• Ettevõtte infotehnoloogiaalase tegevuse aluseks peab olema juhtkonna poolt kinnitatud ettevõtte ärieesmärkidest ja -strateegiast lähtuv strateegia (IT strateegia)

• IT strateegia loomisel tuleb hinnata, millist infotehnoloogilist tuge on vaja ettevõtte ärieesmärkide saavutamiseks ning kas olemasolevad IT lahendused võimaldavad saavutada soovitud ärilist tulemust

10

Infoarhitektuur

• Ettevõttel peavad olema üldised reeglid infovarade omanike määramiseks ja infovarade klassifitseerimiseks turvaklassidesse ning kõikidele infovaradele peavad olema nimetatud omanikud

• Infovara klassifitseerimise ja juurdepääsupiirangute kehtestamise eest vastutab vastava infovara omanik

11

IT organisatsioon

• Äriprotsessidele vajaliku infotehnoloogilise toe osutamiseks peab ettevõttes olema suuruselt ja kompetentsidelt sobiv IT organisatsioon

• Rakendada asjakohased värbamisprotseduurid• Töötajatel peavad olema selgelt määratletud

nõutavad oskused, õigused, vastutus ja kohustused • Tagada võimalusel töökohustuste lahusus

12

IT investeeringute juhtimine

• Infotehnoloogiasse tehtavate kulutuste ärieesmärkidele vastavaks ja optimaalseks juhtimiseks peab IT-investeeringute juhtimine toimuma läbi perioodiliselt toimuva eelarvestamise protsessi

13

Vastavus välisnõuetele

• Ettevõtte juhtkond peab tagama ettevõtte IT korraldamise vastavuse regulaarse hindamise välistele nõuetele (seadused, regulatsioonid, jmt) ning nende mõjudega arvestamise

14

Riskihaldus

• Ettevõtte juhtkond peab tagama infotehnoloogiaga seotud riskide haldamise protsessi toimimise, mis määratleks riskide juhtimise metoodika, aruandekohustuse ja kontrollmehhanismid

• Riskide hindamine peab kaasnema iga olulise muudatusega infosüsteemides või protsessides

15

Projektide haldus

• Iga olulisem arendustegevuse projekt infotehnoloogia valdkonnas peab omama täpselt määratletud ja mõõdetavat eesmärki ning täpset algust ja lõppu omavat tähtaega

16

Hankimine ja rakendamine

1. Süsteemiarendus

2. Protseduuride haldus

3. Muudatuste haldus

17

Süsteemiarendus

• Ärinõuete täitmiseks sobivate lahenduste loomiseks peab toimuma eelnev kasutajanõuete väljaselgitamine ja alternatiivsete lahenduste hindamine

• Lahenduse väljatöötamisel on vaja spetsifitseerida lahenduse funktsionaalsed ja ekspluatatsioonilised nõuded

18

Protseduuride haldus

• Infosüsteemi halduseks ja kasutamiseks peavad olema kehtestatud dokumenteeritud tööjuhised ning protseduurid

19

Muudatuste haldus

• Infosüsteemi muudatuste tagajärjel tekkida võivate katkestuste ja vigade tõenäosuse vähendamiseks tuleb tagada muudatuste teostamise korrektsus ja kontrollitavus. Muudatuste teostamiseks tuleb koostada tegevusplaan

• Muudatuste tegemisest peab säilima kontrolljälg, mis võimaldaks tuvastada muudatuse tegemise aja, teostaja ja muudatuse sisu

20

Tarnimine ja tugi

1. Väliste teenusepakkujate kasutamine

2. Mahtude ja jõudluse haldus

3. Talitluspidevus

4. Süsteemide turvalisus

5. Konfiguratsioonihaldus

6. Probleemide ja intsidentide haldus

7. Ruumide haldus

8. Ekspluatatsiooni haldus

21

Väliste teenusepakkujate kasutamine

• Ettevõttes peavad olema rakendatud väliste teenusepakkujate valikuprotseduurid, mis tagaksid ettevõttele toimiva ja tõhusa teenuse kasutamise

• Välistele teenusepakkujatele ei tohi lubada juurdepääsu organisatsiooni vahenditele enne vajalike turvameetmete teostamist ja pääsutingimusi määratleva lepingu allakirjutamist

22

Mahtude ja jõudluse haldus

• Ettevõttes peab toimima protsess infosüsteemi jõudluse monitoorimiseks ning raporteerimiseks

• Olemasoleva süsteemi jõudluse monitoorimise ja tulevaste jõudlusvajaduste prognoosimise tulemuste põhjal peab olema tagatud infosüsteemi jõudlusvajaduste õigeaegne rahuldamine

23

Talitluspidevus

• Ettevõttes peab olema toimiv talitluspidevuse planeerimise protsess, mis võtab arvesse äriprotsesside kriitilisust ning tagab pidevusplaanide välja töötamise

• Ettevõttes peavad olema dokumenteeritud ja juurutatud varukoopiate tegemise protseduurid ning tagatud regulaarne varukoopiate tegemine

24

Süsteemide turvalisus

• Turbe korralduse aluseks/raamdokumendiks on infoturvapoliitika, milles tuuakse ära meetmed, kuidas tagatakse infoturbe kolm aspekti konfidentsiaalsus, terviklus ja käideldavus

• Ettevõttes peavad pääsuõiguste jaotuse reguleerimiseks olema rakendatud ametlikud protseduurid, mis hõlmavad pääsu elutsükli kõiki faase

• Enne kasutajatele infoteenustele juurdepääsu andmist peavad nad saama asjakohase väljaõppe

25

Süsteemide turvalisus(2)

• Ettevõttes tuleb tagada tundlike andmete kaitse nende edastamisel avaliku võrgu kaudu

• Seire korraldamiseks on vajalik infosüsteemis läbiviidavate toimingute kontrolljälg

• Ründetarkvara ja viiruste õigeaegseks avastamiseks ja tõkestamiseks peavad olema rakendatud vajalikud meetmed

26

Konfiguratsioonihaldus

• Ettevõttel peab olema kasutatava infotehnoloogilise riistvara ja tarkvara konfiguratsiooni täielik ja regulaarselt täiendatav inventariloend

• Kasutatav riist- ja tarkvaraline platvorm tuleb võimalusel standardiseerida

27

Probleemide ja intsidentide haldus

• Turvarünnetest, avariidest ja tõrgetest tingitud kahjude vähendamiseks, turvaintsidentide registreerimiseks, neile reageerimiseks ning nendest järelduste tegemiseks peavad olema kehtestatud ametlikud protseduurid ning töökohustused

• Kõigile asjaomastele töötajatele ja lepingupartneritele tuleb teatavaks teha teavitamisprotseduur eri tüüpi turvaintsidentide osas

28

Ruumide haldus

• Kriitilisi või tundlikke talitlusfunktsioone toetavad infotehnoloogiavahendid tuleb paigutada piiratud juurdepääsuga turvaaladele ning neid tuleb füüsiliselt kaitsta volitamata pöördumiste, kahjustuste, turvaohtude (nt. tulekahju) ja keskkonnariskide eest

29

Ekspluatatsiooni haldus

• Põhilisi tüüpseid IT-operatsioone tuleb regulaarselt dokumenteerida ja läbi vaadata, et tagada töötluse plaanipärasus (ajastuse, järjestuse, kvaliteedi jne mõttes)

• Töötluse õigsuse ja täielikkuse kindlustamiseks tuleb kontrollida ekspluatatsioonilogisid

30

Seire

1. Seire ja hindamine

31

Seire ja hindamine

• Ettevõttes peavad olema kehtestatud nõuded infotehnoloogiaalase tegevuse kontrolliks ja hindamiseks

• Infotehnoloogia juhtimismehhanismide, infotehnoloogiat puudutavate õigusaktide ja eeskirjade vastavuse ning infotehnoloogiaalaste lepinguliste kohustuste täitmise hindamiseks tuleb vajadusel kasutada välist auditit

32

Kokkuvõte

• Raamistik ettevõtete IT-ga seotud riskide hindamiseks

• Ka juhend on protsess, mis peab kaasas käima keskkonna arenguga

Tänud!

Veeb: www.fi.ee

E-post:

Toomas.Kirt@fi.ee

Ingrid.Krieger@fi.ee