Interview
Jaká je role informačních technologií v práci interního auditora? Jaké jsou trendy v oblasti interního auditu? Jakou hraje roli interní audit ve vyšetřování bezpečnostního incidentu v České spořitelně? Tyto a další otázky jsme položili Ing. Bohuslavu Poduškovi, řediteli interního auditu České spořitelny, a.s. a prezidentu Českého institutu interních auditorů.
Audit informačních systémů z pohledu externího auditora
Ing. Jiří Halouzka, ACCA, CISA
Zajímá vás, jak se typicky provádí externí počítačový audit? Jaké nástroje se při tom používají? Kladli jste si někdy otázku proč ve vaší společnosti potřebují auditoři znát i detaily informačního systému, který přece s finančním auditem tolik nesouvisí? Proč se dívají vašim zaměstnancům "na prsty", když se přihlašují do informačního systému a poté když provádí např. párování plateb s fakturami?
Auditem informačních systémů se v dnešní době intenzivně zabývají jak externí, tak interní auditoři. Obě skupiny musí pokrýt zvyšující se rizika, která s neustále se rozvíjejícími informačními systémy souvisí. Externí auditor se zaměřuje na rizika, která mohou ovlivnit přesnost a správnost finančních výkazů, které jsou informačním systémem generovány. Interní auditor má většinou širší záběr a většinou postupně pokrývá všechna rizika související s informačními systémy.
Z pohledu externího auditora jsou nejdůležitější aplikační rizika a všeobecná počítačová rizika. Posouzení kontrolních mechanizmů, které jsou ve společnosti zavedeny pro pokrytí těchto rizik jsou proto hlavní náplní jeho činnosti. Článek nahlíží externímu počítačovému auditoru "pod pokličku" a zaměřuje se na pochopení jeho cílů a prostředků, pomocí kterých těchto cílů dosahuje. Základním cílem článku je přiblížit čtenáři průběh celého procesu provádění externího počítačového auditu včetně jeho postavení v rámci celého statutárního auditu společnosti. Jsou v něm zmíněny i některé nástroje počítačového auditu a popsn zkladn rozdl mezi externm a internm auditem.
BS7799 & c:cure I.
RNDr. Viktor Seige, CSc., RNDr. Eva Racková, ACCA, CISA
Britský standard BS7799 je jedním ze standardů v oblasti informační bezpečnosti, které překročily hranice země původu a jsou široce využívány v mnoha zemích světa, včetně České republiky. Standard je založen na praktických zkušenost a osvědčených postupech a jeho cílem je pomoci organizacím efektivně implementovat, udržovat a měřit systém řízení informační bezpečnosti. Komplexnost a aplikovatelnost standardu na všechny typy organizací spolu se systém certifikace - c:cure - činí tento standard ještě přitažlivějším. V krátké historii BS7799 a c:cure byl rok 1999 v mnoha směrech zlomový.
Bezpečnostní standard BS7799 byl publikován v roce 1995 a od té prošel několika úpravami. Poslední verze standardu byla publikována v roce 1999. V současnosti je BS7799 jedním z nejvíce rozšířených bezpečnostních standardů ve světě.
Standard je tvořen dvěma částmi, z nichž první část je souhrnem bezpečnostních kontrol a druhá část definuje systém pro řízení informační bezpečnosti. V poslední verzi došlo k některým významným změnám. Přehled kontrol byl rozšířen tak, aby odrážel současnou realitu v oblasti bezpečnosti a umožňoval aplikaci na různé typy informačních systémů. Přibyly tak nebo byly rozšířeny části týkající se ochrany informací ve formě hlasu nebo obrazu, mobilní výpočetní techniky, mobilních telefonů, faxů, e-commerce, Internetu, outsourcingu a vzdáleného přístupu k informačnímu systému. Ze standardu byly také vypuštěny záležitosti specifické pro velkou Británii a standard se celkově stal více technologicky nezávislým.
Standard je od roku 1998 doplněn o certifikační schéma c:cure. V roce 1999 byly předány certifikáty prvním firmám, jejichž řešení bezpečnosti je zcela ve shodě s BS7799.
Nebojte se bezpečnostních incidentů
Ing. Tamara Kujalová
Bezpečnostní incident lze charakterizovat jako událost, která způsobila narušení bezpečnosti informačního systému, tj. došlo ke ztrátě dostupnosti, důvěrnosti nebo integrity dat.
Objevili jste na svém počítači někdy vir? Nemohli jste pracovat se svými soubory, protože vypadl elektrický proud nebo nefungovala počítačová síť? Ukradl Vám někdo notebook, na kterém jste měli důležitá a důvěrná data? Pak jste se stali obětí bezpečnostního incidentu v IS a museli jste se nějak vypořádat s jeho následky. Nejprve pár údajů ze závěrů Průzkumu stavu informační bezpečnosti v ČR 1999:
"Mezi incidenty, se kterými se organizace v uplynulých dvou letech nejčastěji setkávaly, patřily výpadky proudu, poruchy hardware, selhání LAN, viry zvenčí organizace, chyby programového vybavení a chyby uživatelů. Téměř 30% respondentů uvedlo, že bezpečnostní incidenty měly prokazatelné negativní dopady na organizaci. Finanční ztráty z těchto incidentů se projevovaly v rozmezí od několika desítek tisíc do 150 miliónů Kč."
Jak zabránit vzniku bezpečnostních incidentů je otázkou prevence v oblasti bezpečnosti IT, a závisí do jisté míry na implementaci adekvátních bezpečnostních opatření v informačních systémech. Je málo organizací, které se s bezpečnostními incidenty nesetkaly a nemusely řešit jejich dopady. Článek sleduje postup zjišťování, řešení a prověřování bezpečnostních incidentů a zároveň upozorňuje na možná úskalí, se kterými se lze v praxi při řešení incidentů a odstraňování jejich následků setkat.
V závěru je nabídnuto Desatero pro oznamování, řešení a prověřování bezpečnostních incidentů.
Nová úprava ochrany osobních údajů
Doc. JUDr. Pavel Mates, CSc
Současná situace v České republice je taková, že aplikace stávajícího zákona o ochraně osobních údajů již nevyhovuje a nedosahuje úrovně požadované zeměmi Evropského společenství.
Návrh nového zákona představuje podstatnou inovaci stávajících zásad. Vhodnějším způsobem popisuje procesy, které se odehrávají v souvislosti se zpracováním osobních dat občanů. Jeho přijetím by mělo dojít k vytvoření právních podmínek ochrany osobních údajů při nakládání s nimi ve vztahu jak k veřejnému, tak soukromému sektoru a zřízení nezávislého kontrolního orgánu.
Schválení zákona přispěje nejen k podstatnému zvýšení zákonnosti v této oblasti a ke zvýšení ochrany práv občanů, ale navíc se legislativa ČR stane v oblasti ochrany osobních údajů kompatibilní s legislativou Evropské unie. Budou konečně odstraněny překážky přenosu údajů do členských států EU a naopak (např. v rámci Schengenské dohody) a usnadní se tak začleňování ČR do zemí EU.
Metodika ITIL
Ing. Vladimír Kufner
Když britská vládní agentura CCTA (Central Computer and Telecommunication Agency) přišla začátkem 80. let se svou koncepcí řízení a správy provozu IT zvanou ITIL málokdo asi tušil a věřil, že by se tato koncepce mohla stát něčím víc než jednou z celé plejády podobných koncepcí či metodik definovaných celou řadou konzultačních firem. Přesto se tak stalo, metodika ITIL (Information Technology Infrastructure Library) nejenže přežila léta devadesátá, ale s novou koncepcí, kterou si dnes představíme, vstupuje do nového milénia. Setkáme se s ní u celé řady renomovaných firem - jen namátkou jmenujme např. IBM (metodika SLIM či součást koncepce u Tivoli), Gartner Group ( IT Service Management) či Hewlett-Packard (IT Service Management Reference Model). Metodika ITIL rychle zdomácněla v Evropě, prudce se rozšiřuje ve Spojených státech a objevuje se i v Austrálii či v Africe. Stal se s ní v poslední době de facto průmyslový standard pro většinu firem v oblasti provozu služeb IT. Penetrace této metodiky se různí (někde je velmi vysoká - např. Nizozemí cca 60 %, Velká Británie kolem 40 %, někde je nižší - např. Spojené Státy cca 20 % či Česká republika kolem 1 %). ITIL je tím, co Angličané nazývají "best code of practise" - tedy tím nejlepším, co momentálně praxe přináší.
V tomto článku je metodika ITIL rámcově představena. Tato metodika pokrývá provoz služeb v oblasti IT. V jednotlivých kapitolách je představen jak základní koncept této metodiky, tak i některé nejdůležitější procesy, které jsou aktuální v rámci tohoto projektu. Důraz je zde kladen na procesní přístup a na vysvětlení základních pojmů.
Mechanizmy prověřování správnosti identifikačních čísel vozidel
Ing. Roman Rak
Jedním ze základních požadavků na IS je věcná správnost a bezchybnost dat. Zejména tehdy, mají-li údaje důležitý identifikační charakter. O objektových identifikátorech (RČ, IČO, ISBN, čárový kód) jsme hovořili v DSM č. 6/98 a 1/99, kde byl popsán způsob zabezpečení jejich korektnosti pomocí speciálních kontrolních mechanizmů. Dnešní příspěvek volně navazuje na tuto problematiku a zaměřuje se na identifikaci vozidel. Z globálního pohledu (věcného i informatického) je klíčovým identifikátorem tzv. Vehicle Identification Number (VIN), který zabezpečuje jednoznačnou identitu vozidla na celém světě. O významu tohoto identifikátoru a zabezpečení jeho korektnosti pomocí kontrolní číslice (check digit) a dalších mechanizmů pojednává právě předkládaný příspěvek, který je navíc aktuální vzhledem k novému způsobu realizace tzv. povinného ručení vozidel, které vstoupilo v platnost 1.1.2000. K tomuto datu musí být nově uzavřeno přes šest miliónů pojistných smluv na všechna provozovaná vozidla. Nový způsob pojištění vozidel bude v blízké budoucnosti intenzivně podporován výpočetní technikou. Můžete si proto přečíst, jak to lze realizovat s minimální chybovostí v údajích.
Setkání s...
Ing. Tomášem Kadlecem, ředitelem NBÚ, a Ing. Jaroslavem Šmídem, ředitelem odboru bezpečnosti informačních systémů, jsme si povídali o připravované novele Zákona o utajovaných skutečnostech, způsobech provádění certifikací a nejen o tom...
Národní bezpečnostní úřad (NBÚ) začátkem listopadu završil rok své existence. Využili jsme tohoto výročí a skutečnosti, že NBÚ má působnost i v oblasti, které se věnuje náš časopis, k položení několika otázek jeho řediteli Ing. Tomáši Kadlecovi a Ing. Jaroslavu Šmídovi, řediteli odboru bezpečnosti informačních systémů. Většina našich otázek vznikla na základě četných dotazů našich čtenářů, kteří se zabývají bezpečností dat v informačních systémech.
RECENZE – kniha
Elektronická komerce
Doc. Ing. Jaroslav Dočkal, CSc., Ing. Ladislav Hagara
Jak získat certifikaci CIA a CISA
Rodan Svoboda
PR – We are the dot in the .com
Sun – Prokop Konopa
PR - DECROS o minulosti, přítomnosti i ...
Decros – Ing. Jiří Mifek