Cum se naște o instrucțiune – la final

/ 20 februarie 2014

Încep prin a relua ceea ce dorește această instrucțiune să rezolve:

Art. 1.– (1) Prezenta instrucţiune stabileşte cerinţele la nivelul entităţilor autorizate/avizate, reglementate  și supravegheate de către Autoritatea de Supraveghere Financiară, denumită în continuare A.S.F., pentru identificarea, prevenirea şi reducerea impactului potenţial negativ al riscurilor operaţionale generate de utilizarea tehnologiei informaţiei și comunicaţiilor la nivel de oameni, procese, sisteme și mediu extern, inclusiv fapte ce țin de criminalitatea informatică.

Spuneam că pe parcursul proiectului de instrucțiune sînt  referențiate COBIT 5, ITIL, ISO 20000:

  • ITIL este menționat de 5 ori
  • ISO 20000 și ISO 27000 de 12 ori (cu variantele corespunzătoare)
  • COBIT de 5 ori

Furnizorul trebuie să fie organizat prin implementarea unor cadre de referință acceptate internațional, precum dar fără a se limita la Cobit 5, ISO 27002 si ITIL/ISO 20.000-2.

Entitățile se asigură că furnizorii de programe informatice dezvoltate la cerere de către entități utilizează obiectivele de control recomandate de standardul COBIT pentru controalele aferente programelor informatice

Prin urmare se naște o obligativitate pentru entitatea auditată, furnizorul de servicii și auditor să se raporteze la aceste referențiale! Trecem cu vederea faptul că se pune semn de egalitate între standard (cerințe mandatare) și cadre de referință (recomandări/ghiduri) sau că nu vom mai regăsi obiective de control în COBIT 5!

Vă propun o privire în oglindă. Demersul meu, ca auditor, pornește de la cerințele ITAF: terminologia este cea definită prin ITAF. Semnificația este cea declarată prin ITAF în ceea ce privește misiunile de asigurare.

Iau la despicat doar primul proces menționat în Instrucțiune.

Prevedere Instrucțiune

Proces COBIT 5 ­ – Procese catalizatoare

1)      Managementul disponibilității

B.1.1) Entităţile implementează un proces documentat de management al disponibilității in vederea asigurării funcționării sistemelor informatice pentru asigurarea serviciilor contractate de către clienți și a raportărilor către A.S.F..

Activitățile aferente procesului managementului disponibilității definesc, analizează, planifică, măsoară și îmbunătățesc aspectele legate de disponibilitatea unui serviciu IT.

B.1.2) Entitățile definesc nivelurile de servicii referitoare la disponibilitatea centrelor de procesare si stocare date (centre de date), proprii sau externalizate. Entitățile utilizează centre de date echipate pentru a asigura un timp neîntrerupt de funcţionare raportat la durata unui an calendaristic la nivel 2 din 4 nivele maxim posibile (precum dar nu limitat la nivel 2 conform standardelor EN 50600 (European Standard – Data Centres facilities and infrastructures), sau TIA-942 (Telecommunications Infrastructure Standard for Data Centers)). Furnizorul trebuie să fie organizat prin implementarea unor cadre de referință acceptate internațional, precum dar fără a se limita la Cobit 5, ISO 27002 si ITIL/ISO 20.000-2.

B.1.3) Entităţile iau în considerare următoarele cerinţe pentru operarea unui centru de date:

a)      locaţia fizică a centrului de date nu este expusă riscului de inundaţii, cutremure, alunecări de teren, incendii;

b)      locaţia fizică a centrului de date  este securizată prin mijloace de protecţie la efracţie, de detecţie şi  stingere automată a incendiilor;

c)      centrul de date previne indisponibilitatea echipamentelor datorită incidentelor electromagnetice externe

d)      în locaţia fizică a centrului de date există un sistem de climatizare;

e)      sistemul de alimentare cu energie electrică  este prevăzut cu surse de curent neîntreruptibile şi generator electric care preiau întreaga sarcină (inclusiv alimentarea sistemului de climatizare) conform planului de recuperare in caz de dezastre. Entitățile din categoria de risc major au două sisteme redundante de alimentare cu energie electrică;

f)       pentru a asigura redundanţa, canalele de transmisie a informaţiilor, ce intră şi ies din centrul de date, sunt asigurate de mai mulţi furnizori de servicii, pe diferite medii (precum dar fără a se limita la: cupru, fibră optică, radio);

g)      echipamentele din centrul de date, precum dar fără a se limita la servere, routere, switch-uri, dispun de fiabilitate ridicată. Fiabilitatea unui centru de date este dată de fiabilitatea celei mai slabe componente.

B.1.4) Entităţile care externalizează activitățile centrului de date pentru servicii IT sau de comunicații, pentru arhivare electronică sau pentru activități de recuperare în caz de dezastru, vor contracta cel puțin același nivel de cerințe, în cadrul acordului agreat pentru nivelurile serviciilor, ca cele solicitate prin prezenta instrucțiune. Entitățile vor contracta furnizori care implementează standardele ISO 27000-2 și ISO 20.000-2, precum și cerințele art. 13. In cazul externalizărilor în lanț cerințele trebuie să se regăsească corespunzător în toate contractele de pe lanțul externalizării.

 CAI04 Administrează disponibilitatea și capacitatea Descrierea procesuluiEchilibrează nevoile curente și viitoare pentru disponibilitate, performanță și capacitate cu furnizarea serviciilor la costuri mici. Include evaluarea posibilităților actuale, prognoza nevoilor viitoare ținând cont de cerințele economice, analiza impactului economic și evaluarea riscurilor pentru a planifica și implementa acțiuni care să îndeplinească cerințele identificate.

 

Enunțul scopului procesului

Menține disponibilitatea serviciilor, un management eficient al resurselor, și optimizarea performanțelor sistemului prin predicția cerințelor viitoare de performanță și capacitate.

Practici cheie de management

 

CAI04.01

Evaluează disponibilitatea, performanța și capacitatea curenta și creează un nivel de bază

 

CAI04.02

Evaluează impactul economic

 

CAI04.03

Planifică cerințe noi sau modificate ale serviciilor

 

CAI04.04

Monitorizează și evaluează disponibilitatea și capacitatea

 

CAI04.05

Investighează și rezolvă problemele de disponibilitate, performanță și capacitate

În COBIT 5 procesul care vizează serviciile este APO09 Administrează acordurile serviciilor:

Aliniază serviciile IT şi nivelurile serviciilor cu nevoile şi aşteptările organizației, incluzând identificarea, specificarea, proiectarea, publicarea, acordul, şi monitorizarea serviciilor IT, nivelurile de servicii şi indicatorii de performanţă.

Conform definițiilor din Instrucțiune:

disponibilitate– o abordare, o calitate sau o măsură ce minimizează ori ascunde utilizatorilor unui serviciu informatic sau de comunicații efectele defectării unui element de configurație definit conform ISO 20.001 și care reprezintă timpul neîntrerupt de funcţionare raportat la durata unui an calendaristic;

indisponibilitate (ca durată în timp) – intervalul de timp din cadrul perioadei agreată ca disponibilitate a serviciului, în care un serviciu IT sau un alt element de configuraţie este indisponibil

serviciu IT – combinație de persoane, procese și tehnologii furnizate în interiorul entității sau de către un furnizor de servicii IT, care se bazează pe folosirea tehnologiei informației și care asigură suportul tehnic necesar desfăşurării activităţii entităţii, și care ar trebui să fie definită într-un acord al nivelului agreat de serviciu (SLA);

Vedem din aceste definiții că disponibilitatea vizează elementul de configurație (CI) în timp ce indisponibilitatea vizează și serviciul IT!

Dacă mergem la ITIL

Serviciu – Un mijloc de a livra valoare catre clienti prin facilitarea efectelor doritede catre clienti, fara asumarea costurilor si riscurilor specifice. Termenul ‘serviciu’ este utilizat uneori ca sinonim pentru serviciu core, serviciu IT sau pachet de servicii. A se vedea de asemenea utilitate; garantie

(ITIL Service Design) Disponibilitate – Abilitatea unui element de configuratie sau a unui serviciu IT de a executa functia agreata atunci cand este cerut.

OLA- (ITIL Continual Service Improvement) (ITIL Service Design) Un acord intre un prestator de servicii IT si o alta componenta a aceleiasi organizatii. Sustine livrarea de catre furnizorul de servicii IT a serviciilor IT catre clienti si defineste bunurile sau serviciile si responsabilitatile fiecarei parti. De exemplu un acord de nivel operational poate fi: Intre furnizorul de servicii IT si un departament de achizitii pentru a obtine hardware in timpii agreati; Intre service-desk si grupul suport pentru a furniza rezolvarea incidentelor in timpii agreati. A se vedea de asemenea service level agreement.

SLA- (ITIL Continual Service Improvement) (ITIL Service Design) Un acord intre un prestator de servicii IT si un client. Un acord nivel serviciu descrie serviciul IT, documenteaza nivelul dorit al serviciului si specifica responsabilitatile prestatorului serviciului IT si ale clientului. Un singur acord poate cuprinde servicii IT multiple sau clienti multipli. A se vedea de asemenea acord de nivel operational.

ITIL ne învață că disponibilitatea trebuie privită din două puncte de vedere:

  • Disponibilitatea serviciului end-to-end
  • Disponibilitatea componentelor individuale

Disponibilitatea pornește de la înțelegerea și identificarea funcțiilor vitale pentru organizație și nu de la data center! Centrul de date poate fi Single Point of Failure, dar nu este singurul aflat în această situație! Nu știu cît de bine este să se limiteze disponibilitaea doar la infrastructură (Se poate întîmpla ca în centrul de date totul să funcționeze și cu toate aceste Serviciul email – de ex- să fie indisponibil?). Auditorul are obligația, conform Instrucțiunii, să notifice ASF cu privire la orice fapt sau act în legătură cu sistemul informatic și de comunicații utilizat de entitate, fapt sau act care este de natură să afecteze continuitatea activităţii entităţii reglementate auditate.

Serviciul IT, cum este firesc,  nu este limitat doar la terți și  este definit în Instrucțiune ca fiind

combinație de persoane, procese și tehnologii furnizate în interiorul entității sau de către un furnizor de servicii IT, care se bazează pe folosirea tehnologiei informației și care asigură suportul tehnic necesar desfăşurării activităţii entităţii, și care ar trebui să fie definită într-un acord al nivelului agreat de serviciu (SLA)

Dacă serviciile IT sînt externalizate furnizorul trebuie să ‘implementeze’ ISO 27000-2 ȘI ISO 20000-2 (recomandări opționale). La pagina 12 din Instrucțiune se cere însă furnizorilor să fie certificați ISO 27001 și ISO 20001 (cerințe mandatare). În ISO 20000-1:2011 cuvîntul “shall/trebuie” apare de 257 de ori.

ISO 20001 in clauza 6.3 se ocupă de Service continuity and availability management. Instrucțiunea definește disponibilitatea prin referire la elementul de configurație definit în ISO 20000-1:

configuration item (CI) component of an infrastructure or an item which is, or will be, under the control of configuration management

Lucrurile sînt prea încîlcite,  din punctul meu de vedere,  atît timp cît tratează managementul disponibilități doar din perspectiva centrului de date (chiar dacă se precizează că Entităţile implementează un proces documentat de management al disponibilității in vederea asigurării funcționării sistemelor informatice pentru asigurarea serviciilor contractate de către clienți și a raportărilor către A.S.F.) și se amestecă cerințe oarecum diferite.

Dacă tot se face apel la standarde și cadre de referință poate era mai simplu să regăsim cerințe/recomandări așa după cum sînt prezentate în acele documente. Reformulez obiectivul declarat în Art.1 spunînd că o posibilă rezolvare ar putea fi prin prisma catazalizatorilor COBIT 5 dacă dorim abordarea riscuilor la nivel operațional:

  • Principii, politici și cadre de lucru
  • Procese
  • Structuri organizatorice
  • Cultura, etica și comportamentul
  • Informații
  • Servicii, infrastructură și aplicații
  • Resurse umane, abilități și competențe

Este business înainte de orice!

Articole similare

Un gând despre “Cum se naște o instrucțiune – la final

  1. Pingback: Cum legiferăm în domeniul IT&C? | ADRIAN B. MUNTEANU

Mulţumesc.

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.