26
Regulace a normy v IT
Mezinárodní regulaceNárodní legislativaMezinárodní normyNárodní normyOborové standardyBest practicesImplementa ní standardy................
Legislativa
Sarbanes-Oxley SOXPatriotic Act
Zákon o ochran osobních údajZákon o utajovaných skute nostechZákon o svobodném p ístupu kinformacím
Normy a standardySN ISO/IEC 27001:2005 - BS 7799SN ISO/IEC 20000:2006 - ITILSN ISO/IEC 15408:2001 - CC
COBIT (Control Objectives forInformation and related Technology)ITIL (Information TechnologyInfrastructure Library)Bezpe nostní standardy výrobc (MS)
IT Governance
Úkolem IT Governance je ídit aktivity IT v rámciorganizace tak, aby byly zajišt ny následující cíle:
Propojení a sjednocení business a IT strategie v rámcispole nosti tak, aby byly oboustrann spln ny p edemdefinované požadavky a o ekávání (tj. odvození IT strategiez jednotlivých cíl definovaných v business strategii)Maximální a ízené využití p íležitostí, které IT businessunabízíZodpov dné využívání IT zdroj
ízení rizik spojených s vývojem / po ízením / provozovánímIT
IT GovernanceCobIT (ISACA):IT Governance je definovaná struktura vztah a proces , pomocí kterých lze ídit akontrolovat organizaci tak, aby IT v maximální mí e umo ovalo a podporovalo dosaženípodnikatelských cíl . P idanou hodnotou je redukce a ízení rizik nad procesy v IS.It Governance ovliv uje zvýšení efektivity organizace pomocí:Zajišt ní a zabezpe ení integrity, bezpe nosti a spolehlivosti strategických a jiných citlivýchinformací.Ochrany investic do IT a komunikacíNastavení odpovídajícího vedení a ízení informa ních aktiv, na nichž p ímo závisí úsp chnebo p ežití organizaceZvyšování hodnoty podnikatelských proces pomocí IT (vazba IT na podnikatelské procesy)
ITIL:IT Governance se zabývá kooperací businessu a IT managementu. Tato kooperace jest žejní pro podnikové cíle a procesy, které jsou závislé na správném fungování IT.Oblasti zájmu IT GovernanceSjednocení strategií (podniková versus IT strategie)
ízení zm n (change management)Business ContinuityIT Asset Management
ízení zdrojízení znalostí
CobITIT procesy - základní IT procesy jsou:
Plánování a organizaceAkvizice a implementacePoskytování a podporaMonitorování
IT zdrojeAplikaceInformaceInfrastrukturaLidské zdroje
Informa ní kritériaÚ elnostHospodárnostD v ryhodnostIntegritaDostupnostSouhlasnost/ShodaSpolehlivost
Cobit
CobITPlánování a organizacePokrývá úrove strategického a taktického plánování a organizování IT v etnízení p idané hodnoty IT pro business. V této ásti naleznete odpov di na otázky
typu:Jsou business a IT strategie ve vzájemném souladu?Využívá naše organizace své IT zdroje optimáln ?Jsou zmapována a ízena všechna rizika spojená s IT?Jsou jasn definované cíle IT projekt a jsou tyto cíle všeobecn známé?
Po ízení a implementaceIdentifikace IT ešení vhodného pro realizaci zvolené IT strategie. ešení m žebýt vyvíjeno vlastními silami nebo po ízeno z vn jších zdroj , následn musí býtimplementováno a integrováno se stávajícími systémy a procesy. V této doménje také zahrnuto pot ebné ízení zm n – v nových i stávajících systémech. V tétoásti naleznete odpov di na otázky typu:
Splní plánovaný IT projekt o ekávání a požadavky businessu?Bude nový projekt dokon en v plánovaném ase, bude dodržen rozpo et projektu?Bude nový systém pracovat po implementaci správn ?Neohrozí plánované zm ny fungování sou asných podnikových proces ?
CobITDodávka služeb a podporaTato doména je zam ená na ízení IT služeb, což zahrnujeposkytování služeb, ízení bezpe nosti a kontinuity služeb, podporuslužeb, správu dat a pot ebné infrastruktury. V této ásti nalezneteodpov di na otázky typu:
Jsou služby IT poskytovány v souladu s prioritami a pot ebami businessu?Jsou služby IT nákladov optimální?Jsou spln ny všechny požadavky na d v ryhodnost, integritu a dostupnostIT služeb?
Monitorování a hodnoceníVšechny IT procesy musí být pravideln monitorovány a vyhodnocovány– tzn. kontrolovat, zda jejich výstupy jsou v požadované kvalit a zdaspl ují definovaná kontrolní kritéria. Tato doména pokrývá oblasti ízenívýkonnosti, monitorování, interní kontroly a správy IT. V této ástinaleznete odpov di na otázky typu:
Dochází k m ení výkonnosti IT, tak aby byly p ípadné problémy ešeny d ívnež skute n nastanou?Je systém interních kontrol efektivní a úplný?Jsou všechna rizika, kontroly a výkonnost m eny a reportovány?
ITILVydefinování proces pot ebných pro zajišt ní ITSM:
Stanovení cíl , vstup , výstup a aktivit každého procesuStanovení rolí a jejich odpov dností v daném procesuZp sob m ení kvality poskytovaných IT služeb a ú innostiITSM proces (Key Performance Indicators + metriky)Vzájemné vazby mezi jednotlivými procesyPostupy auditu a zásady reportingu pro každý proces
Zásady pro implementaci proces ITSM:P ínosy každého procesuCritical Success Factors, možné problémy a vhodnáprotiopat eníNáklady na implementaci a následný provozZásady pro ízení podp rné ICT infrastrukturyZásady bezpe nosti ICT infrastruktury
ITIL
ITILService StrategyÚst ední publikace poskytující praktický rámec k návrhu, vývoji aimplementaci ízení služeb nejen z pohledu organiza ního, ale ijako zdroje strategické výhody.Publikace obsahuje definiceslužeb, strategii ITSM a plánování p idané hodnoty, ITgovernance, definice typ poskytovatel služeb a obchodníchstrategií, potažmo strategií služeb.Service DesignTato publikace poskytuje rámec pro návrh a vývoj služeb aproces jejich ízení. Zahrnuje principy a metody pro p evodstrategických cíl do portfolia služeb. Nesoust edí se pouze nanové služby, ale obsahuje i procesy zm ny a pr b žnéhozlepšování stávajících služeb, pot ebné pro udržení nebozvýšení úrovn služeb, jejich p idané hodnoty pro zákazníka a vneposlední ad i jejich soulad s právními normami a standardy.
ITILService TransitionPublikace obsahuje postup, jakým zp sobem požadavkydefinované v rámci Service Strategy efektivn realizovat vpr b hu Service Operation (reálné prost edí) za sou asnéhoízení rizik poruch a výpadk služeb. Poskytuje rámec pro ízení
komplexní problematiky spojené se zm nami ve službách a vprocesech jejich ízení. Kombinuje postupy ReleaseManagementu, Programme Managementu a Risk Managementua p evádí je do praktického kontextu ízení služeb jako celku.Service OperationTato publikace obsahuje postupy pro ízení služeb v produk nímprost edí, dosažení výkonnosti a ú innosti v dodávce služeb ajejich podpo e tak, aby byla vyprodukována hodnota jak prozákazníka tak pro poskytovatele služby. Tato ást ITIL® V3 vnejv tším rozsahu p ebírá knihy Service Strategy a ServiceDelivery ITIL® V2, ale také Application management a ICTinfrastructure management.
ITILContinual Service ImprovementTato kniha obsahuje prost edky pro vytvá ení a udržováníp idané hodnoty služby pro zákazníka prost ednictvím zvyšujícíse kvality služeb a efektivity jejich provozu. Kombinuje p itomprincipy, praktiky a metody ízení kvality a ChangeManagementu.
ITILNejd ležit jšími p ínosy implementaceITIL jsou:
úspora náklad na provoz IT služeblepší kvalita a spolehlivost IT služeb (=spokojen jšízákazníci)lepší využívání drahých ICT zdrojmenší po et výpadk ICT systémvyšší úrove komunikace (= lepší porozum ní)mezi pracovníky úsek ICT a zákazníky/uživateli
ITIL
Sociotechnický útok
Vn jší útokyCílené - hackerskéútokyNecílené – viry,ervy,spamy
Sociální útokyKombinovanémetodyKriminální innost
Vnit ní útoky– Demotivovaní
zam stnanci– Ned v ryhodní
dodavatelé– Vysoká hodnota aktiv
Sou asný trend
Kombinace sociálních a technickýchmetod a využití všech moderníchmožností internetu
Phising + PharmingHlavní nebezpe í spo ívá nastatistických p edpokladech p ivysoké etnosti útok
Sociotechnické metody
Nevinná informaceSta í se zeptatOdvracení pozornostiBudování d v ryŽádost o pomocSoucit, vina, zastrašeníObrácený podraz
Cena informaceI informace zdánliv bez „významu“ majípro úto níka cenu, pokud ví jak jichvyužítZnalost „žargonu“ otvírá dve e kinformacímSkládání informací bez kontextuumo uje vid t do organizace zevnit
Žádost o pomoc
Velmi ú inná metoda ve velkýchspole nostech.Mí í primárn na odborné pracovníky ITVysoké nebezpe í spo ívá ve významuposkytnutých dat
Obrácený podrazSofistikovaný zp sob pr niku doorganizacePo vyvolání bezpe nostního incidentuzvn jšku je úto ník „požádán“ o pomocp i odstra ování incidentuOtev e se tím cesta k pr niku dovnitorganizace
Varovné p íznakyOdmítnutí sd lit zpáte ní ísloNeobvyklá žádostChrán ní se autoritouZd raz ování naléhavosti záležitostiHrozba d sledky nevyhov níNeochota odpovídat na otázkyZmi ování mnoha jmenKomplimenty a pochlebováníFlirtování
Sociotechnický cyklusPr zkum (volné, ve ejné informace, žargon,internetové stránky, odborný tisk)Budování vztah a d v ry (používánívnit ních informací, vydávání se za n kohojiného, používání odborných výraz a autority)Využití d v ry (žádost o informaci nebo oinnost, zmanipulování ob ti)
Využití získaných informací (pokud je získanáinformace pouze dalším krokem, vrací se kp edchozím bod m cyklu)
