PRACOVNÍ SKUPINA 5 Zdeněk KOCOUREK, IDS Advisory Lucie VESELÁ, Ministerstvo financí Kybernetická bezpečnost IT
Metoda GROW 1. G Goal setting stanovení cíle pracovní skupiny, potvrzení tohoto cíle s účastníky 2. R Reality prověření reality, skutečného stavu věcí současná situace v českých společnostech / veřejném sektoru daná zkušenostmi a obecným povědomím jednotlivých účastníků, dostupné nástroje, překážky, rozdíl mezi cílem a realitou 3. O Options všechny možnosti, alternativní strategie nebo postup činností k dosažení cíle, možné způsoby, jak vyřešit překážky, které na cestě k tomuto cíli stojí 4. W What Will You Do definice toho, co budeme dělat, co jsme schopni změnit, plán konkrétních kroků
Nejčastější příčiny hrozeb v bezpečnosti IT Vnější útoky Vnitřní útoky (únik/zneužití) Chybná přístupová oprávnění Nedostačená konfigurace IS/ICT
Jak definovat oprávnění? Interview s uživateli IS Workshop s vedením IT v organizaci Zapojení poradenské společnost/experta na IT Procesně orientovaný přístup implementace či řízení IS (EA) Dotazování přímého nadřízeného zaměstnance Použití metody Pohled z okna
Aktuální situace mnozí správci kritické informační infrastruktury a významných IS ve veřejné správě využívají outsourcing ICT služeb a tudíž nemají nad těmito systémy kontrolu správci nemají technickou nebo právní možnost dostát základním požadavkům zákona o kybernetické bezpečnosti Jak z toho ven? => mít detailní popis procesů a IT v souvislostech Zdroj: Analýza NBÚ "BÍLÁ MÍSTA KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY "
Máte procesní model Využijte existující procesní model pro IA Procesní model mají např.: Celní správa Ministerstvo obrany Ministerstvo dopravy Řada krajských úřadů a měst
Procesně orientovaný přístup implementace / řízení IS/ICT (EA) Znalost procesů je základem pro odvození: Nezbytné IT podpory Konkretizaci IS požadavků Relevantních Datových objektů Odpovídajících Přístupových oprávnění Odpovědnosti za Data Rizik v kontextu příčin a následků (toku procesu) a identifikaci Legislativních a jiných požadavků a posouzení shody organizace s těmito požadavky
Procesně orientovaný přístup implementace / řízení IS/ICT (EA)
Procesně orientovaný přístup implementace / řízení IS/ICT (EA) Pro co je vhodné? Identifikace a vyhodnocení idejí a vizí Porozumění IT potřebám s ohledem na výsledek procesů / úsilí lidí (studie proveditelnosti) Tvorbu zadání pro vývoj IS Vývoj a implementaci IS Kontinuální řízení rozvoje IT Posuzování shody s platnou legislativou / normami
Co je to Podniková architektura (EA)? Enterprise Architecture Procesní architektura Jak jsou postaveny vzhledem k plnění cílů organizace IT Architektura Informační architektura Technologická architektura Jak IS podporují naplnění cílů procesů Jsou použity odpovídající technologie Výchozí stav As-Is Cílový stav To-Be
Podniková architektura - souvislosti Vedení společnosti Prodej Výroba Pracovník prodeje Plánovač výroby Organizace Order data Order n Order data Objednávka přijata Jak? Order Item Address Schválená objednávka Schvalování objednávky Objednávka schválena Pracovník prodeje Data Data Proces Aplikace Prodejní služby Objednávka Schválená objednávka Zakázka Produkty a Služby
Příklad podrobného popisu procesu - Příprava čaje Příklad podrobného popisu procesu - příprava čaje Aktivita Lístek od číšníka má stav Požadavek na čaj Událost, stav Vykonavatel aktivity Používa ný zdroj Data Hospodyně Konvice Oheň Voda provádí je používán je používán je spotřebováván Hospodyně Název a typ vybraného čaje Ohřívání vody Voda je ohřátá provádí je vstupem pro Příprava čaje Čaj je připraven Výběr typu čaje Typ čaje vybrán je spotřebováván je používán je vstupem pro má výstup Čajové lístky Hodinky provádí je vstupem pro Encyklopedie čajů Komorník Encyklopedie čajů Název a typ vybraného čaje Diagram čteme shora dolů Číšník provádí Podávání čaje Spuštění navazujícího procesu Čaj je podán Pití čaje
Popis procesů (EPC) Zobrazení toku řízení, t.j. chronologická a logická posloupnost jednotlivých aktivit v procesu Základní konstrukční prvky pro modelování toku řízení : Event Typ objektu: Událost Function Typ objektu: Funkce AND = současně XOR = pouze jedna možnost Typ objektu: Pravidlo (logický propojovací operátor) OR = nebo
Popis procesů Proces/aktivita: odborná úloha vykonávaná na (informačním) objektu podporující realizaci jednoho nebo několika podnikových cílů Jmenné konvence pro funkce v EPC : Operace (obvykle první pád jednotného čísla názvu činnosti resp. infinitiv slovesa) + Informační objekt (obvykle druhý resp. čtvrtý pád jednotného čísla) Operace Informační objekt
Popis procesů Objekt :Událost Událost Objekt :Role Role Objekt : Typ aplikace Informace charakterizující podnět k provedení činnosti nebo výsledek činnosti v rámci toku procesu. Po logickém operátoru popisuje stav, který ve větvení procesu nastává nebo může nastat. Definovat osobu, která danou činnost provádí. Seskupit pracovníky různých organizačních jednotek, kteří vykonávají stejné činnosti. Zaznamenat používanou aplikaci/komponentu informačního systému.
Popis procesů Objekt: Dokument Dokument Objekt: Datový cluster Datový cluster Dokument v papírové podobě vytvářený v rámci popisovaného procesu, dokument typu formulář nebo nosič dat. Zaznamenat elektronickou databázi, ucelenou strukturu dat nebo uskupení databází pro čtení/zápis dat. Uživatelský přístup do Datového clusteru je prostřednictvím určité aplikace.
Definování uživatelských oprávnění Přístupová oprávnění Read, Write, Delete
Organizační struktura
Role v procesu výkon činností v procesech na bázi rolí jednotlivé činnosti procesu jsou přiřazeny k vykonání (provedení, rozhodnutí, schválení, kontrole atd.) jednotlivým rolím tyto role mohou zastávat různí lidé podle aktuálního stavu jejich znalostí, schopností a přidělených oprávnění činnosti nejsou tedy přiřazeny primárně funkčním místům nebo organizačním jednotkám změnu kompetencí je možné uskutečnit bez změn procesů role definice procesů role
role Role v procesu je definována schopností operativního porozumění ucelené části procesu a schopností jeho opakovaného spolehlivého vykonávání odpovídá ucelené části znalostí (stejná specializace, hloubka a osvojení) každá role má svůj znalostní profil složitost musí být přiměřeně zvládnutelná jedinou osobou jedna osoba může zastávat více rolí role definice procesů role
Rekapitulace Věcné hledisko Vyžadujte jasné definování uživatelských oprávnění do úrovně dat, rolí a IT technologií v rámci vašich agend (procesů) Organizační hledisko Vyžadujte Procesní přístup k řízení uživatelských oprávnění Metodické hledisko Sami používejte Procesní přístup k provádění IA
PŘÍPADOVÁ STUDIE
Prověření vybrané oblasti na základě procesního modelu Zvolte si proces nebo jeho část a navrhněte oblasti resp. činnosti k prověření interním auditem: 1) Prověření systému řízení kybernetických rizik ( 4, příloha č. 2 vyhlášky č. 316/2014 k ZKB) Použij procesní Role namísto Pozic/útvarů
Prověření vybrané oblasti na základě procesního modelu 2) Prověření systému zvládání bezpečnostních incidentů v organizace - uživatelé, kteří hlásí bezpečnostní incidenty, slabiny či podezřelých situací x bezpečnostní odborníci, kteří řeší bezpečnostní incidenty a přijímají opatření k nápravě. (vyhláška č. 316/2014 k ZKB) Použij procesní Role namísto Pozic/útvarů
Definuj Aplikační podporu a data Aktivitám v toku proces definuj Data Navrhni aplikační podporu např. Řízení projektů
Definuj uživatelská oprávnění Pro jednotlivé aktivity navrhni oprávnění (R,W,D) Pozor na konflikt oprávnění (SOD)!
Souhrnný pohled oprávnění Zpracuj souhrnný přehled rolí a jejich oprávnění k Aplikacím Navrhni Organizační strukturu Role přiřaď pozicím v organizační struktuře