Változások a CobiT 4.1-ben

Please download to get full document.

View again

All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Share
Transcript
   M Ű  E G Y E T E M 1 7 8 2 Budapesti M ű szaki és Gazdaságtudományi Egyetem Gazdaság- és Társadalomtudományi Kar Információ- és Tudásmenedzsment Tanszék BIZTONSÁG MENEDZSMENT KUTATÓ CSOPORT és az r. Nyiry Géza CISA, CISM te) RD Ő SI PÉTER CISA (BME) ASVÁRI GYÖRGY CISM (BME) Tiszteleti egyetemi docens BIZTONSÁGI VÁLTOZÁSOK A COBIT 4-BEN 1.2 változat 2006 DElnök (Inf.rendszer Ell. Egyesüle E V    2    Az anyag szabadon felhasználható, a forrás megjelölése mellett.   3 1. Bevezetés  A COBIT alkalmazását könnyítend ő , ebben a tanulmányban be kívánjuk mutatni, hogy a COBIT 4, biztonsági szempontból, milyen újdonságokat tartalmaz a COBIT 3-hoz képest. A feladat megoldásához a COBIT 4-ben megadott 214 magas szint ű  kontroll célt (amelyek tehát egyben követelmények is), három csoportra osztottuk: a.) Az információ rendszerre vonatkozó kontroll célok, amelyek eseti informatikai biztonsági intézkedést igényelnek. b.) Az informatikai biztonságra vonatkozó kontroll célok.(például a DS 4, és a DS 5), amelyek folyamatos IT biztonsági intézkedéseket igényelnek. c.) Mind a kett ő re vonatkozó kontroll célok (például PO 7.1, - PO 7.8), amelyek folyamatos IT, és IT biztonsági intézkedéseket igényelnek. Értelemszer  ű em a vizsgálatunkat a b) és a c) csoportra végeztük el. Megjegyezzük, hogy a COBIT 4. Appendix V.-ben a COBIT 3, és 4. közötti kereszt referenciák szerepelnek. A COBIT 4-nek a COBIT 3 megfelel ő sségét az alábbi táblázat els ő  két oszlopában is, ennek alapján adjuk meg. Meggy ő z ő désünk szerint, azonban az informatikai biztonsággal foglalkozók, ennél részletesebb elemzést igényelnek.  A COBIT 4. biztonsági szempontból kiemelend ő  általános újdonságai:   A COBIT 3-ban 318, a COBIT 4-ben 214 magas szint ű  kontroll cél van. Pontosabban a COBIT 4 változatlanul 4 szakterületen (PO, AI, DS, ME domain) belül 34 folyamatot (pl.PO1, AI 4, DS 5 process) ad meg, és ezeken belül a 214 magas szint ű  ellen ő rzési célt (pl. PO2,3 high level control objective) ad meg, amelyek értelemszer  ű en követelményeket jelentenek az információ rendszer, és a biztonság számára is.   A kontroll célok mindegyikére alkalmazva van az érettségi modell, így az egyes célok auditálásánál mód van, az érettségi szint megállapítására.   A kontroll célok mindegyikére mag van adva a cél, és a megvalósulás mértékének megállapításához, annak mérési módszere is.   Az egyes kontroll célok követelmény jelleggel tartalmazzák azt, hogy a megvalósítás során mit kell tenni, és ennek a megfelel ő sségét, és megvalósulását kell az auditornak ellen ő riznie.   4   Megjelent a legjobb informatikai biztonsági gyakorlat felhasználására történ ő  hivatkozás. Így az ISO/IEC 117999-es szabványra, az ITIL-re, és az ISF Good Practice for Information Security 4.1 szabványra való hivatkozás.   A fizikai biztonság önálló ellen ő rzési célként szerepel (DS12), de még mindig nem teljes kör  ű ek a fizikai biztonsági célok.   Az ellen ő rzésre vonatkozó fejezet er  ő sen átdolgozásra került (ME1-4) az IT governance, az informatikai irányítás megfelel ő sségét biztosító eljárások szempontjából. Új, hangsúlyos elemként jelenik meg az informatikai terület átláthatóságát biztosító kommunikációs és jelentéstételi kötelezettségek el ő írása a top menedzsment és az üzleti területek vezet ő i felé.   5 COBIT 4 COBIT 3 ÚJDONSÁG A COBIT 4.-ben biztonsági szempontból PO 2.3 PO 2.3, 2.4 Meghatározza az adatok, érzékenység, kritikusság alapján, elvégzend ő  osztályozásának céljait, a biztonsági osztályok tartalmát (adat tulajdonosok, biztonsági szint, és az ennek megfelel ő  védelmi intézkedés). Az adatok osztályozását az egész vállalatra kell elvégezni. PO 2.4 ÚJ Az elektronikusan tárolt adatok sértetlenségének biztosítása. PO 3.2 Új Technológiai infrastruktúra terv, az IT stratégia, és taktika alapján. A terv magába foglalja a katasztrófa elrendezést, és a technológiai er  ő források beszerzési utasítását. PO 4.6 4.4, 4.12 A két pont összevonása PO 4.7 4.5 Biztonsági szempontból nincs új. PO 4.8 4.6 A teljes szervezetre vonatkozóan, a biztonságért, a kockázat menedzsmentért, és a megfelel ő sségért a felel ő sség kiterjesztése, az üzleti célnak megfelel ő en. PO 4.9 4.7, 4.8 Az adatok és az információ rendszer tulajdonosainak kijelölése, és a felel ő sségük az adatok osztályzásáért, és az osztályba sorolásnak megfelel ő  védelemért. PO 4.11 PO 4.10 Biztonsági szempontból nincs új. PO 7. PO 7. Egy új cél van a szerepek betöltésének feltételei. (PO 7.3). PO 9.1 PO 9.1, PO 9.4 Biztonsági szempontból nincs új. PO 9.2. PO 9.1, 9.4 A kockázatok összefüggéseinek kihangsúlyozása PO 9.3 PO 9.3, 9.4 Biztonsági szempontból nincs új. PO 9.4 PO 9.1, 9.2, 9.4 Biztonsági szempontból nincs új. PO 9.5, PO 9.5, 9.6 A kockázati akcióterv a folyamat gazdák felel ő ssége PO 9.6 Új A költség hatékonyság kiemelése PO 10.9 PO 10.10 A projekt kockázatokat szisztematikusan, és központosítva kell kezelni PO 8 PO11 A küls ő  követelmények betartása PO8 nincs a COBIT 4-ben, hanem a PO8 a min ő ség irányítás, amely a COBIT 3-ban a PO11.  AI 1.2 AI 1.9, 1. 10  A kockázat elemzési jelentés az audit trailek (számon kérhet ő ség), és a bels ő  ellen ő rzés méréseinek felhasználásával kell, készüljön.  AI 2.4 AI 2.12 Az alkalmazások biztonságának (kiemelve rendelkezésre állásásnak) meghatározása az adatok osztályozás alapján kell történjen  AI 2.10 Új Az alkalmazói sw-ek karbantartása, kezelése, és a vészhelyzet csere szabályozva kell, legyen  AI 3.2 AI 1.18, 3.1, 3.3, 3.4, 3.5, 3.7  Az új infrastruktúra elemek (bármely) implementálása a fejleszt ő , és az integrátor számon kérhet ő sége mellett történhet, az egyéb er  ő forrás elemek biztonsága érdekében.
Related Search
Similar documents
View more
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks
SAVE OUR EARTH

We need your sign to support Project to invent "SMART AND CONTROLLABLE REFLECTIVE BALLOONS" to cover the Sun and Save Our Earth.

More details...

Sign Now!

We are very appreciated for your Prompt Action!

x