Control Objectives for Net Centric Technology (CONCT, COBIT)

Úvod

Čitatelia-veteráni DSM si možno pamätajú DSM 1/97 a DSM 1/98, ktorých články sa venovali bezpečnosti z hľadiska celého životného cyklu IT. Na príklade metodológie COBIT¹ publikovanej Information Systems Audit and Control Foundation sa vysvetlil model pozostávajúci z nasledovných základných domén:

• Plánovanie a organizácia,
• Získavanie a implementácia,
• Dodávka a podpora,
• Monitorovanie.

Samotný COBIT definuje pre každú z týchto domén množstvo konkrétnych procesov a súvisiacich kontrolných cieľov. Predstavuje vlastne rámec a detailný postup pre budovanie systému nezávislého zhodnocovania bezpečnosti, spoľahlivosti a kvality IT/IS z hľadiska ich celého vývojového resp. životného cyklu. Rámec COBITu presahuje rozsah tohto článku, záujemcom sa odporúča navštíviť stránky http://www.isaca.org/cobit.htm. COBIT však predstavuje dôležitý metodický základ, ktorý je konkrétne rozvíjaný prostredníctvom Control Objectives for Net Centric Technology (CONCT). Dá sa tiež povedať, že CONCT je špecifická aplikácia COBITu pre sieťové prostredia IT/IS. Metodický rámec a model CONCT (viz boxy 1 a 2) je identický s COBITOM. V prípade CONCT však už pozorujeme zmienky o konkrétnych prvkoch IT vrátane platforiem, protokolov, sietí.

Na získanie praktickej predstavy treba uviesť, že CONCT sú vlastne nasledovné štyri publikácie:

• Časť 1 - Framework,
• Časť 2 - Intranet/Extranet/Internet,
• Časť 3 - Data Warehouse,
• Časť 4 - Online Transaction Processing (OLTP).

CONCT nerobí nič viac (a zároveň nič menej) ako aplikáciu modelu COBITu pre tieto oblasti sieťovo orientovaných IT. Je vlastne linkou medzi pomerne všeobecne orientovanými kontrolnými cieľmi a konkrétnymi v praxi využívanými technológiami. Príkladom implementácií týchto technológií, ktoré CONCT chápe ako sieťovo orientované sú:

• Java RMI,
• CORBA,
• Java Beans,
• DCOM,
• WinInet,
• HTTP/CGI,
• Sockets,
• IBM CICS,
• Microsoft MTS,
• BEA Tuxedo,
• Orbix OTM,
• Inprise ITS,
• Java Object Bus.

Metodický rámec CONCT

Model, na ktorom je CONCT postavený, má podobne ako model COBITu tri dimenzie:

• Kontrolné ciele IT z hľadiska informačných služieb,
• Aktivity IT v oblasti sieťových technológií,
• Zdroje IT.

Vysvetlíme si teraz bližšie, čo tieto dimenzie predstavujú.

Kontrolné ciele IT z hľadiska informačných služieb

Pre informačné služby (vytváranie, poskytovanie, spracúvanie, ... informácií) sú definované špecifické požiadavky, kritériá a nároky. Tieto zahŕňajú napríklad použiteľnosť, úplnosť, účtovateľnosť, dostupnosť, utajenie a množstvo ďalších požiadaviek. Súčasťou prvej časti CONCT (Framework) je aj príloha, ktorá bližšie vymedzuje tieto požiadavky a ozrejmuje ich na praktických príkladoch.

Aktivity IT v oblasti sieťových technológií

CONCT chápe IT aktivity v oblasti sieťových technológií na troch rôznych úrovniach:

• Vrstva informačných služieb (informácie a práca s nimi),
• Vrstva sieťových služieb (bezpečnosť, riadenie, správa, kapacitné plánovanie, ... sieťovej komunikácie),
• Vrstva riadenia komponentov (hardvér, operačné systémy, aplikácie, middleware, sieťové protokoly, ...).

Súčasťou prvej časti CONCT (Framework) je opäť príloha, ktorá bližšie vymedzuje tieto koncepty.

Zdroje IT

Definícia zdrojov v oblasti sieťovo orientovaných technológií nepredstavujú voči všeobecným IT zdrojom žiadne špecifiká. Cieľom je vlastne vymedziť potreby pokrytia nárokov z hľadiska personálu, technológií, priestorov, podporných prostriedkov atď.

Model CONCT

CONCT využíva objektovo orientovaný model, ktorý sa odvíja od podnikových procesov organizácie (a nie od samotných IT). Pod objektom sa chápe zoskupenie zdrojov a s nimi logicky súvisiacich funkcií. Pod podnikovým objektom sa chápe konkrétny objekt, ktorý súvisí s konkrétnou činnosťou (procesom) v organizácii. Pod informačným objektom sa chápe konkrétny vzťah medzi dátami a procesmi v organizácii. CONCT narába s troma špecifickými skupinami objektov:

• Metadátové objekty (MDO) chápané ako "dáta o dátach",
• Objekty riadenia infomačnej základne (MIBO) chápané ako správy o statuse činností sieťových IT,
• Objekty riadenia základne komponentov (CCBO) chápané ako správy o statuse jednotlivých komponentov.

Celé kúzlo CONCT spočíva v namapovaní zdrojov, činností, kritérií a objektov využitím jednotného modelu, znázorneného nasledovnou maticou:

Kritériá
Kvalita			Kvalita			Cena			Doručenie
				S
				P	S	P
				S	S

Každý z posledných troch riadkov tabuľky predstavuje jeden okruh sieťových IT (Data Warehouse, OLTP, Intranet/Extranet/Internet). Označenie P (primárne) a S (sekundárne) vymedzuje stupeň významu vplyvu konkrétneho kontrolného cieľa na konkrétny podnikový proces. Súčasťou namapovania pre každý uvažovaný proces je aj nasledovná matica:

Data Warehouse
OLTP
Intranet / Extranet / Internet
Zdroje

Táto matica identifikuje konkrétne zdroje, ktoré sú špecificky dotknuté v rámci posudzovaného kontrolného procesu IT a príslušných sieťových IT.

Využitie CONCT

Po prvom i druhom prečítaní metodológie COBIT sa popísané postupy javia ako pomerne všeobecné. CONCT interpretuje COBIT pre sieťové prostredie, logicky je teda konkrétnejší.

Na tomto mieste si však - po oboznámení s metodickým rámcom a modelom CONCT (boxy 1 a 2) - s veľkou pravdepodobnosťou čitateľ pomyslí: "Fajn, toto všetko je pekné a ako-tak tomu rozumiem. Ale ja potrebujem posudzovať konkrétne IT projekty a systémy a toto je hrozne abstraktné a odtrhnuté od praxe!!!". Táto reakcia je do istej miery oprávnená, poďme sa teda pozrieť na možnosti praktického využívania CONCT.

Ako bolo uvedené v úvode tohto článku, CONCT tvorí jedna príručka, ktorá vysvetľuje metodické princípy tohto štandardu a ďalšie tri príručky venované konkrétnym sieťovým technológiám. Tieto príručky obsahujú jednak definície podnikových procesov, ich linkovanie na kontrolné ciele ako aj predchádzajúce matice pre definované podnikové procesy, objekty a požiadavky. Každá z týchto príručiek tiež konkrétne popisuje posudzované objekty a ich funkcie (pre Intranet/Extranet/Internet, OLTP a Data Warehouse). Tieto popisy idú až na úroveň sieťových IT a technologicky závislých procesov, v čom je dôležitý prínos CONCT. Štandard týmto spôsobom umožňuje namapovať pomerne abstraktné požiadavky a kritériá vyplývajúce z podnikových procesov na konkrétne sieťové technológie. Okrem namapovania je vždy poskytnutý aj postup pre posúdenie príslušného kontrolného cieľa a odkaz na súvisiacu literatúru. Každý kontrolný cieľ a posudzovaný proces majú priradené vyplnené matice vysvetlené v predchádzajúcom texte a umožňujú tak audítorovi sústrediť sa na konkrétne objekty, funkcie, činnosti, kritériá a zdroje významné pre posudzovaný proces. Treba však konštatovať, že pochopenie CONCT a jeho praktické nasadenie nie je pramočiare. CONCT nie je iba zoznam kontrolných bodov, ktoré si stačí "odfajknúť", ale núti aj k cieľavedomej analytickej činnosti.

Záver

COBIT a CONCT predstavujú syntézu odskúšaných postupov pre posudzovanie a audit IT počas celého životného cyklu IT. CONCT predstavuje aplikáciu všeobecného a komplexného modelu COBITu pre oblasť sieťových IT. Ako naznačuje vývoj COBITu (v súčasnosti existuje jeho tretia verzia), štandardizácia postupov pre kontrolu a audit IT musí zohľadňovať technologický pokrok ako aj špecifiká jednotlivých typov IT. Dá sa teda očakávať aj ďalšie zdokonaľovanie CONCT v súlade so smerovaním vývoja sieťových IT.

Literatúra

DSM 1/97 Bezpečnost informačních systémů II.

DSM 1/98 Bezpečnost informačních systémů III.

Domovská stránka produktu COBIT www.isaca.org/cobit.htm

Prípadové štúdie produktu COBIT http://www.isaca.org/ct_case.htm

Mgr. Ivan Kopáčik, CISA

kopacik@gordias.sk

Mgr. Ivan Kopáčik, CISA je riaditeľom a hlavným konzultantom spoločnosti Gordias, s.r.o. Špecializuje sa na audity bezpečnosti IS, plošné a hĺbkové analýzy rizík IS a komplexné budovanie systémov riadenia informačnej bezpečnosti. Je predsedom Asociácie pre bezpečnosť IT (ASIT) a viceprezidentom slovenskej pobočky Information Systems Audit and Control Association (ISACA). Informačnej a počítačovej bezpečnosti sa venuje už takmer desať rokov. Svoje odborné skúsenosti prezentoval na množstve konferencií a iných vzdelávacích podujatí. Je stálym spolupracovníkom DSM.

Management Summary:

Riadenie informačnej bezpečnosti počas životného cyklu IS/IT vyžaduje systematický a metodický prístup. Jeden zo štandardov, ktoré usmerňujú takýto prístup je COBIT. Aplikáciou tohto štandardu pre oblasti sieťovo orientovaných IT sú Control Objectives for Net Centric Technology (CONCT). CONCT predstavujú konkrétny metodický podklad pre overovanie a riadenie informačnej bezpečnosti v oblasti intranet/extranet/Internet, data warehouse a online transaction processing.