350 likes | 487 Vues
Eksploatacja zasobów informatycznych przedsiębiorstwa. Planowanie systemu informacyjnego w przedsiębiorstwie. Audyt i ocena zasobów. Audyt systemu informacyjnego. Proces gromadzenia informacji na temat funkcjonowania i zasobów komputerowych Przegląd, kontrola i wykrywanie działań bezprawnych
E N D
Planowanie systemu informacyjnego w przedsiębiorstwie Audyt i ocena zasobów
Audyt systemu informacyjnego • Procesgromadzenia informacji na temat funkcjonowania i zasobów komputerowych • Przegląd, kontrola i wykrywanie działań bezprawnych • Proces, w którym niezależna jednostka gromadzi i ocenia dowody o różnicach między wartością wskaźników mierzalnych a ustalonymi kryteriami [Bruce, Dempsey 1997]
Kroki postępowania w procesie kontrolnym • Ustalenie stanu obowiązującego (wzorce kontrolne), • Ustalenie stanu rzeczywistego, • Porównanie stanu rzeczywistego ze stanem pożądanym, • Badanie przyczyn, źródeł i warunków, które wywołały odchylenia, • Wskazanie dróg usprawnienia, • Wykorzystanie pozytywnych rozwiązań dla usprawnienia podobnych działań w innych komórkach organizacyjnych.
Porównywanie • Stanu środków z ewidencją, • Czynności z zapisami, • Wykonania zadań z obowiązującymi przepisami, • Zachowań z ustalonymi i unormowanymi zachowaniami, • Wartości cech zjawisk z ustaleniami i normami.
Uzasadnienie przeprowadzenia audytu informatycznego • Ze względu na wysokie koszty systemu, • W celu rozpoznania ogólnego poziomu zabezpieczeń w przedsiębiorstwie, • W celu wpajania zdyscyplinowanego podejścia do zabezpieczeń, • W celu ułatwienia identyfikacji aplikacji i systemów krytycznych.
Zakres audytu • Dane, • Oprogramowanie, • Procedury, • Technika informatyczna, • Personel działu informatycznego, • Dokumentacja.
Poziomy prowadzenia audytów • Zalecenia: ISACF (Information Systems Audit and Control Foundation): • Poziom I – zadań, które generują mierzalne efekty, • Poziom II – procesów (serii połączonych zadań), • Poziom III – domeny obejmujące grupy procesów.
Domeny funkcjonalne • Planowanie strategii informatyzacji, • Akwizycja i wprowadzanie rozwiązań techniki informatycznej, • Dostarczanie i instalowanie systemów, • Monitorowanie systemów i ocena zastosowań techniki informatycznej.
Techniki przeprowadzania audytów • Testy zgodności – dla weryfikacji poprawnego wykonania procedur przetwarzania lub procesów rejestracji danych, • Testy uzasadniające – dla analizy rzeczywistych danych.
Kontrola typowych procedur • Wykorzystania oprogramowania i praw autorskich, • Zakupu oprogramowania, • Instalowania oprogramowania, • Przeprowadzania szkoleń, • Indywidualnego wykorzystania oprogramowania, • Wymiany i likwidacji oprogramowania.
Audyt jako narzędzie identyfikacji finansów IT • Elementów (aktywów) systemów informacyjnych, które są użyteczne, przydatne i w pełni funkcjonalne, • Elementów, które są niezbędne, ale wykorzystywane są poniżej standardu i wymagają częściowej odnowy, • Elementów, które stanowią nadwyżki i muszą być usunięte, • Brakujących elementów, które muszą zostać zakupione.
Cechy poprawnych audytów • Stosowność, • Bezstronność, • Obiektywizm oceny, • Powtarzalność, • Niezależność: • Od audytowanego podmiotu, • Od zespołu odpowiedzialnego za system, • Od decydenta/sponsora informatyzacji.
Inwentaryzacja oprogramowania • Wykorzystywane oprogramowanie, • Oprogramowanie kluczowe w przedsiębiorstwie, • Zarządzanie licencjami, • Procesy doskonalenia (zakupów, wymiany, itp.) wykorzystywanego oprogramowania, • Zabezpieczenia, autoryzacja itd.
Inwentaryzacja oprogramowania - przykład • Krok 1 – klasyfikacja oprogramowania: • Oprogramowanie wspomagające procesy biznesowe, • Oprogramowanie systemowe i narzędziowe, • Krok 2 – opis oprogramowania: • Szczegółowy opis głównych aplikacji: producent, zastosowanie, funkcjonalność, informacje techniczne, • Opis zastosowania biznesowych aplikacji dodatkowych, • Zestawienie oprogramowania systemowego i narzędziowego, • Krok 3 – zarządzanie licencjami: • Zestawienie ilości posiadanych licencji oprogramowania z podziałem zgodnym z klasyfikacją, • Zestawienie (wstępne) potrzeb w zakresie zakupu (odnowienia) licencji.
Inwentaryzacja oprogramowania - przykład cd. Przykładowe zestawienie informacji o oprogramowaniu
Inwentaryzacja oprogramowania - przykład cd. Systemy operacyjne użytkowane w przedsiębiorstwie: • Serwery: Windows 2003 Serwer, Windows 2000 Serwer, Windows NT 4.0 Serwer, • Stacje robocze: Windows XP Professional, Windows NT 4.0, Używane oprogramowanie narzędziowe: • Check Point SecurePlatform – firewall VPN, • 8e6 Xstop – oprogramowanie filtrujące dla sieciowego ruchu z internetu, • Kaspersky Anti-Virus for Checkpoint Firewall-1 – oprogramowanie filtrujące przeciwwirusowe, • Trend Micro ScanMail Suite dla Microsoft Exchange – oprogramowanie przeciwwirusowe dla MS Exchange, • Computer Associates InOculateIT (e-Trust) – oprogramowanie przeciwwirusowe dla komputerów użytkowników, • Veritas Backup – oprogramowanie do wykonywania zapasowych kopii danych.
Inwentaryzacja oprogramowania - przykład cd. Przykładowe zestawienie informacji o posiadanych licencjach
Inwentaryzacja sprzętu • Użytkowany sprzęt: • Serwery, • Stacje robocze, • Drukarki, • Urządzenia pomocnicze, • Infrastruktura: • Urządzenia sieciowe, • Okablowanie, • Urządzenia pomocnicze.
Inwentaryzacja sprzętu - przykład • Podstawowe informacje o serwerach Wszystkie serwery zbudowane są w technologii rack mount. Większość wyposażona jest w dwa procesory, na ogół Intel Xeon-A (2400 MHz), ewentualnie Pentium IIIE (933 MHz). Podsystemy dyskowe serwerów łączu SCSI w technologii hot-swap, w najważniejszych serwerach dyski w macierzach RAID. Pamięć operacyjna serwerów ma kontrolę i korekcję błędów (ECC). • Podstawowe informacje o stacjach roboczych Pentium III 1,5 GHz, 254 MB RAM, 60 GB HDD – standard (90%), pozostałe stacje bardzo zróżnicowane, • Informacje o urządzeniach dodatkowych Drukarki HP laserowe (seria LJ2200) 80% - pozostałe , plotery atramentowe HP.
Inwentaryzacja sprzętu - przykład cd. Przykładowe zestawienie informacji o wykorzystywanym sprzęcie
Ocena • Organizacyjna • Techniczna
Kryteria oceny organizacyjnej • Funkcjonalność, Opisuje stopień pokrycia (funkcjonalnego) przez system procesów w przedsiębiorstwie, • Nowoczesność, Opisuje aktualność zastosowanych rozwiązań technicznych i organizacyjnych, • Dopasowaniedo potrzeb, Opisuje stopień dopasowania wielkości i jakości systemu do potrzeb przedsiębiorstwa, • Ekonomiczność, Opisuje w jakim stopniu opłacalne jest eksploatowanie systemu.
Funkcjonalność • Czy w przedsiębiorstwie funkcjonują wszystkie potrzebne podsystemy (moduły)? • Czy w ramach poszczególnych modułów realizowane są wszystkie potrzebne funkcje? • Czy występuje nadmiarowość funkcjonalna?
Nowoczesność (aktualność) • Czy funkcjonujące w przedsiębiorstwie podsystemy są zgodne z uznawanymi standardami? • Czy występuje konieczność uaktualnienia któregoś z modułów? • Czy występuje konieczność unowocześnienia całego systemu? • Czy stosowane są nowoczesne technologie?
Dopasowanie do potrzeb • Czy wykorzystywane systemy są odpowiedniej „wielkości”? • Czy wykorzystuje się systemy odpowiedniej klasy? • Czy któryś z modułów stwarza wyjątkowe trudności w eksploatacji? • Czy stosowane są odpowiednie technologie?
Ekonomiczność • Zagadnienie bardzo skomplikowane, wielokryterialne. Wiele podejść i metod oceny. • Osobno ocenia się zakup i wdrożenie modułów (lub całego systemu). • Osobno ocenia się koszty bieżącej eksploatacji. • Ocenia się również koszty dodatkowe. • Poświęcone będą osobne zajęcia.
Ocena techniczna • Ocena wykorzystywanego oprogramowania, • Ocena programistyczna, • Ocena zabezpieczeń, • Ocena ergonomiczna, • Ocena wykorzystania sprzętu • Testy wydajnościowe (najczęściej serwerów), • Kontrola i testowanie stacji roboczych, • Ocena zabezpieczeń sprzętowych, • Analiza ruchu sieciowego i obciążeń serwerów.
Powiązania pomiędzy systemami (podsystemami) • Powiązania logiczne, • Powiązania fizyczne, • Powiązania pomiędzy serwerami, • Powiązania pomiędzy serwerami a stacjami roboczymi, • Powiązania z sieciami zewnętrznymi.
Schematy powiązań • Logicznych: • Przepływy danych, • Komunikacja pomiędzy serwerami, • Fizycznych: • Komputery, • Połączenia sieciowe (okablowanie, gniazda, itd.) • Urządzenia sieciowe (przełączniki, routery, modemy, itd.)
Schematy powiązań - przykład • Przepływ danych
Schematy– przykład cd. • Komunikacja pomiędzy serwerami:
Zestawienia - przykład • Transfer danych związany z backupem: • Transfer danych:
Analiza obciążeń serwerów • Obciążenie: • procesorów, • pamięci RAM, • pamięci dyskowej, • kart sieciowych. • Często używa się specjalistycznego oprogramowania • Przykład: program MRTG - Multi Route Traffic Generator, • Działanie programu polega na pobieraniu statystyk z usługi SNMP (Simple Network Management Protocol) o stanie sieci oraz innych zasobów serwera i na ich podstawie tworzeniu statystyk i wykresów.
Analiza obciążeń serwerów - przykład • Obciążenie procesora: • Obciążenie pamięci RAM: