Что по cobit есть цель управления ит. Введение в COBIT

Стандарт CobiT. Описание четырех доменов. Модель зрелости. Сервисный подход в организации ИТ-службы.

Стандарт CobiT. История CobiT. ИТ-процессы CobiT. Модели зрелости ИТ процессов CobiT. Источники совершенствования: ITIL и CobiT. Сервисный подход в организации ИТ-службы. Организация ИТ-поддержки. Преимущества сервисного подхода для ИТ-поддержки. Преимущества сервисного подхода для бизнеса.

Интернациональным компаниям приходится вести свою деятельность, следуя положениям нормативных актов соответствующих стран. Бизнес сталкивается со все более ужесточающимися требованиями со стороны надзорных органов и общественности, которые предписывают компаниям должным образом использовать и защищать как корпоративную, так и персональную информацию. Эти нормативные документы касаются всех сфер, от безопасности до финансовой отчетности.

Как правило, подход к управлению рисками ИТ-безопасности распределен по подразделениям компании. Вследствие этого часто функциональные обязанности и технические средства, необходимые для их выполнения, дублируются. Системы управления же частично перекрываются и противоречат друг другу. В результате администраторы не знают, насколько успешно они управляют сетевыми рисками.

Современный бизнес работает в бурном ритме, многие компании и организации не имеют временного ресурса для выработки собственных требований и стандартов. Поэтому активно используется чужой опыт и лучшие мировые практики, к которым относятся и стандарты. Стандарты управления и ИТ-безопасности были созданы на основе анализа методов, опробованных как большими группами профессионалов, так и множеством различных компаний и организаций. Как правило, стандарты подаются как рекомендации.

Кроме признанных международных стандартов управления и ИТ-безопасности, существует много национальных. Например, Control Objectives for Information and Related Technology (CobiT) наиболее часто используется для управления информационными системами в США и ряде других стран, а в Великобритании, Нидерландах и Австралии чаще используется IT Infrastructure Library (ITIL), о которой уже говорили в предыдущей лекции.

Успешное предоставление ИТ-услуг в соответствии с требованиями основного бизнеса предполагает наличие системы и методологии внутреннего контроля. Разработанная IT Governance Institute методология CobiT отвечает таким потребностям. Этот подход изначально ориентирован на бизнес и помогает организовать и контролировать управление ИТ в бизнес-контексте. Методология CobiT описывает управление ИТ как систему из 34 процессов, сгруппированных в четыре домена.

CobiT - это сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»).


Рисунок 1 – Модель CobiT

CobiT представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления ИТ, аудита и ИТ-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта - все то, что так или иначе имело отношение к целям управления.

Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.

Нередко руководство компании в силу объективных причин не понимает ИТ-специалистов. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.

CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:

· топ-менеджерами;

· руководителями среднего звена (ИТ-директором, начальниками отделов);

· непосредственными исполнителями (инженерами, программистами и т. д.);

· аудиторами.

Таблица 1 - Целевая аудитория CobiT

В данной статье использовались материалы: ITIL(Information Technology Infrastructure Library); MOF (Microsoft Operations Framework); ITSM HP Reference Model; ITPM (IT Process Model); COBIT (Control Objectives for Information and related Technology).

Введение

В большинстве случаев успешность телекоммуникационного бизнеса зависит от использования информационных технологий для поддержки ключевых бизнес-процессов компании. Сейчас ИТ – подразделение телекоммуникационной компании становится партнером бизнеса и вместе с производственными подразделениями организации формирует добавочное качество, тогда как раньше ИТ — подразделение только предоставляло в пользование элементы ИТ – инфраструктуры. Однако, необходимо четко обосновывать перед производственными подразделениями направления развития информационных технологий в компании и преимущества выбранных ИТ–решений.

От используемых информационных технологий и качества их сопровождения зависит оказание услуг внешним пользователям, что напрямую влияет на конкурентоспособность компании, и все это повышает требования к эффективности ИТ – подразделения. Задача повышения эффективности информационных технологий уже решалась не раз и наиболее эффективные результаты сведены в стандартах и библиотеках в области информационных технологий. Использование данных стандартов позволяет «не придумывать велосипед», а взять наиболее совершенное решение и привести его в соответствие со своей ситуацией.

Стандарты в области информационных технологий

Если говорить о существующих стандартах библиотеках, то наиболее известными являются следующие:

ITIL (Information Technology Infrastructure Library)

предлагает другой взгляд на деятельность ИТ- подразделения которое становится таким же формирующим прибавочное качество подразделением, как и остальные подразделения организации. Причем ИТ- подразделение теперь не предоставляет в пользование оборудование, а предоставляет ИТ- услуги, необходимые для конечных пользователей, которых в таком контексте предпочтительнее именовать «потребителями услуг». Можно сказать, что предоставляемое оборудование «обертывается» услугами по его поддержке и предоставлению. Переход на термин ИТ- услуги требует перехода от отношений владелец-пользователь оборудования (приложений) к отношениям покупатель-продавец ИТ- услуг, что в свою очередь требует выработки способов измерения качества предоставляемых услуг. Помимо этого вводится понятие стоимости услуги, что фактически выводит ИТ- подразделение на финансовое взаимодействие между ИТ- подразделением и бизнесом.

Фактически библиотека ITIL предлагает построение процессной модели для управления ИТ- подразделением, результатом деятельности которого являются ИТ- услуги для бизнеса с прозрачной стоимостью, качество которых гарантируется путем организации непрерывного контроля. Библиотека ITIL содержит лучший мировой опыт по построению единой комплексной системы управления ИТ- подразделением, который возможно применять к конкретной ситуации. Поскольку библиотека является свободно распространяемой, то она является наиболее применяемым сегодня подходом к управлению ИТ- услугами, который применим ко всем секторам и организациями любого размера. ITIL может быть внедрен как полностью, так и частично, и фактически, это некоторая система взглядов на управление информационными технологиями в компании. Владельцем проекта ITIL в настоящее время является OGC/CCTA (Офис правительственной коммерции / Центральное агентство по компьютерам и телекоммуникациям). Обобщение опыта управления ИТ на протяжении 20 лет под эгидой правительства Великобритании сделало книги ITIL по всем основным областям управления ИТ стандартом «де-факто».

COBIT (Control Objectives for Information and related Technology)

– стандарт управления и аудита в области информационных технологий. Основой стандарта COBIT являются 34 высокоуровневые цели контроля, по одной на каждый ИТ- процесс, которые сгруппированы в 4 домена: Планирование и Организация, Проектирование и Внедрение, Эксплуатация и Сопровождение, Мониторинг. Особенностью стандарта COBIT по отношению к другим стандартам в области ИТ является присутствие в нем модели зрелости разработанной в конце 80-х годов Институтом проектирования и разработки программного обеспечения (Software Engineering Institute’s). Maturity Models (MM) – не технология, не стандарт, для нее нет формальных описаний, в ней нет жестких требований, и она не привязана к конкретным информационным технологиям. Однако данная модель зрелости вводит понятие нескольких уровней зрелости процессов:

  • Не существует. Полное отсутствие каких-либо процессов управления ИТ. Организация не признает существования проблем в ИТ, которые нужно решать, и, таким образом;
  • Начало. Организация признает существование проблем управления ИТ и необходимость их решения. При этом не существует никаких стандартизованных решений;
  • Повторение. Существует всеобщее осознание проблем управления ИТ. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ;
  • Описание. Необходимость действовать в соответствии с принципами управления ИТ понимается и принимается. Процедуры стандартизованы и документированы;
  • Управление. Существует полное понимание проблем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Четко распределена ответственность, установлен уровень владения процессами;
  • Оптимизация. В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании «лучшей практики».

Использование механизма оценки уровней зрелости и целей контроля, делает данный стандарт более высокоуровневым, хотя в нем содержится множество полезной информации для организации процессов ИТ. Данай стандарт наиболее эффективно использовать для определения целей в области ИТ, построения системы сбалансированных показателей (BSC) для ИТ- подразделения и проведения внутренних и внешних аудитов в области информационных технологий, помимо этого, на основании результатов аттестации процессов по уровням зрелости возможно сформировать мероприятия по совершенствованию процессов.

MOF (Microsoft Operations Framework)

— Управление информационными технологиями эта тема, в которой компания Microsoft имеет свое видение. Система стандартов Microsoft Enterprise Services от компании Microsoft представляет собой три области:

  • Первой областью является деятельность по подготовке к внедрению информационной системы где формализуются требования к ИТ и определяется объем проекта. Подготовка к внедрению информационной системы описана в стандарте Microsoft Readiness Framework (MRF);
  • Второй областью является деятельность по внедрению информационной системы на предприятии, где определяются основные вопросы разработки и развертывания ИТ- решения. Построение и внедрение информационной системы описано в стандарте Microsoft Solutions Framework (MSF);
  • Третьей областью является деятельность по поддержке информационной системы внедренной на предприятии. Вопросы эксплуатации информационной системы рассматриваются в стандарте Microsoft Operations Framework (MOF).

MOF состоит из набора статей (white papers), руководств (operations guides), обучающих курсов и включает в себя три основные модели:

  • Модель процессов (MOF Process Model); o Модель команды (MOF Team Model);
  • Модель управления рисками (MOF Risk Model).

Общая похожесть данного стандарта на ITIL и ориентация на продукты Microsoft делает данный стандарт менее используемым, относительно ITIL. Однако для пользователей технологий Microsoft использование данного стандарта оправдано, хотя нужно понимать, что большинство процессов в MOF перешло из библиотеки ITIL.

ITSM HP Reference Model

– это корпоративная модель, которая была разработана компанией HP на основе и в полном соответствии с библиотекой ITIL. Фактически данная модель является переработкой ITIL с учетом зрения компании HP и перечень процессов в обеих моделях одинаковый.

ITPM (IT Process Model)

– это стандарт, который был предложен компанией IBM в конце 70-х годов прошлого века для решения задач управления компьютерными системами. Была создана архитектура ISMA (Information Systems Management Architecture) и концепция (IT Process Model), возникшая из ISMA и принятая к использованию компанией IBM. Данный подход отличается от ITIL не только по способу деления процессов, но и в ряде терминологических моментов. Фактически IT Process Model — это 41 процесс, собранный в восемь групп по числу основных факторов, влияющих на успех ИТ- проектов:

  • Взаимодействие с клиентами;
  • Обеспечение управленческих систем корпоративной информацией;
  • Управление ИТ с точки зрения бизнеса;
  • Подготовка решений;
  • Развертывание решений;
  • Предоставление услуг и управление изменениями;
  • Поддержка ИТ-услуг и решений;
  • Управление ИТ-ресурсами и инфраструктурой.

Однако, если говорить о практике использования данной модели в России, то она используется достаточно редко. ISO 20000 – один из новых стандартов в области менеджмента качества, который вобрал в себя с незначительными изменениями большинство основных принципов и процессов ITIL. В настоящий момент времени производится сертификация ИТ – подразделений на соответствие сервис -ориентированному и процессному подходу в области управления ИТ с использованием данного стандарта.

Библиотека ITIL

Библиотека передового опыта в области ИТ включает в себя множество книг в которых содержится информация: о роли ИТ для современного бизнеса; об организации взаимодействия с клиентами, планировании, организации и контроле сервисов; опыте в вопросах управления; управлении качеством; о поддержке и предоставлении сервисов; вопросы лицензирования и обеспечения функционирования ПО и все аспекты ежедневного оперативного функционирования оборудования и технологий.

Библиотека ITIL вводит понятие услуга/сервис ИТ под которым подразумевается решение определенной задачи в рамках бизнес-процессов или проектов организации средствами информационных технологий. Все услуги собираются в каталог услуг/сервисов ИТ и для каждой услуги определяются параметры услуг, такие как согласованное время обслуживания, доступность, надежность, конфиденциальность и др. Все услуги и их параметры фиксируются в Соглашениях об уровне услуг (SLA). Одним из основополагающих процессов ITIL является процесс предоставления сервисов (Service Delivery) в рамках которого определены следующие процессы:

  • Управление уровнем сервиса (Service Management) – достижение ясных соглашений с Заказчиком об ИТ-услугах и реализация этих соглашений;
  • Управление затратами (Cost Management) – определение, отнесение расходов, их прогноз и отслеживание;
  • Управление мощностями (Capacity Management) – оптимизация расходов, времени приобретения и размещения ИТ-ресурсов;
  • Управление доступностью (Availability Management) – оптимизация обслуживания и минимизация числа инцидентов;
  • Управление непрерывностью (Continuity Management) – подготовка и планирование способов устранения чрезвычайных ситуаций;
  • Управление безопасностью (Security Management) – обеспечение режима информационной безопасности.

Другим основополагающим процессом ITIL является процесс поддержки сервисов (Service Support) в рамках которого определены следующие процессы:

  • Взаимодействие с пользователями (Service Desk) – точка контакта пользователя с ИТ – организацией;
  • Управление инцидентами (Help Desk/ Incedent Management) –устранение инцидента и быстрое возобновление предоставления услуг;
  • Управление проблемами (Problem Management) – предупреждение и устранение корневых проблем инцидентов;
  • Управление конфигурациями (Configuration Management) – контроль изменяющейся ИТ-инфраструктуры;
  • Управления изменениями (Change Management) – контроль проведения изменений в ИТ-инфраструктуре;
  • Управление релизами (Software Control & Distribution) – обеспечение успешного развертывания релизов, включая интеграцию, проведение тестирования и хранения.

Если сравнивать между собой ITIL и COBIT, то ITIL наиболее полезен в части организации предоставления ИТ- услуг и разработки детальных процессов, а COBIT специализируется на высокоуровневом управлении ИТ и аудите ИТ. COBIT представляет топ-менеджерам возможность донести цели и задачи бизнеса до руководителей ИТ-служб, преобразовав стратегические и тактические планы организации в четкие и понятные планы развития ИТ. Тогда как методология ITIL применяется для оптимизации процесса обслуживания информационных систем с точки зрения проектирования логики процессов и механизмов их оценки. Преимущества использования ITIL заключаются в следующем:

  • Изменяется роль ИТ, которые сейчас являются ключевым двигателем изменений и улучшений бизнес-процессов;
  • Предоставление ИТ- услуг становится более ориентированным на бизнес- подразделения;
  • Формируется основа для контроля качества и стоимости услуг;
  • Становится понятной процессная модель и структура ИТ- департамента;
  • Эффективная структура процессов создает основу для аутсорсинга ИТ- услуг;
  • Следование передовому опыту ITIL способствует изменению корпоративной культуры в направлении осознания, что задачей ИТ- департамента является предоставление услуг;
  • Библиотека ITIL предоставляет единую систему понятий для взаимодействия, как в компании, так и с поставщиками услуг;
  • Осуществляется переход к рыночным отношениям бизнеса и ИТ;
  • Внедряется процессный подход, обеспечивающий повышение эффективности и дополняющий функциональное управление;
  • Внедряется упреждающий (плановый) подход к управлению ИТ в дополнение к традиционному реагирующему (пожарному);
  • Формируется основа для расчета затрат в разрезе ИТ- услуг;
  • Внедряется управление знаниями в области ИТ, включая базу данных известных ошибок, информацию об ИТ- инфраструктуре.

Стандарт MOF

Если сравнивать объем библиотеки ITIL c моделью процессов MOF, то модель MOF является некоторым расширением процессов, описанных в книгах «Предоставление ИТ-услуг» и «Поддержка ИТ-услуг» библиотеки ITIL. Фактически модель MOF Process Model представляет процессы управления обслуживанием информационных систем, которые представлены в виде функций управления услугами (Service Management Functions, SMF).

Вся модель MOF содержит в себе 20 сервисных функций разбитых на четыре квадранта:

  • Изменение (Changing) — Внедрение изменений процессов, новых решений и технологий;
  • Обслуживание (Operating) – Обеспечение выполнения каждодневных рутинных операций;
  • Поддержка (Supporting) – Обеспечение скорейшего решения инцидентов, проблем, запросов;
  • Оптимизация (Optimizing) — Оптимизация стоимости, производительности, доступности ИТ- услуг.

В рамках данных четырех квадрантов распределяются все 20 сервисных функций.

В квадранте «Изменение» собраны три следующих сервисных функции:

  • Управление изменениями (Change Management). Планирование и регистрация всех требуемых изменений в информационной системе, оценка влияния, оказываемого этими изменениями, на другие компоненты информационной системы;
  • Управление релизами (Release Management). Контроль над релизами и процессом их развертывания должен гарантировать, что все релизы хорошо спланированы и протестированы;
  • Управление конфигурациями (Configuration Management). Регистрация и контроль сведений о конфигурационных элементах ИТ-инфраструктуры включает в себя процесс сбора информации обо всех конфигурационных элементах системы в единую базу данных и процессы аудита соответствия информации текущей ситуации.

В квадранте «Поддержка» собраны три следующих сервисных функции:

  • ServiceDesk. Организация первой линии поддержки, регистрация обращений пользователей, запросов на информацию и запросов на изменения;
  • Управление инцидентами (Incident Management). Управление процессом разрешения инцидентов и обеспечение скорейшего восстановления нормальной работы услуги;
  • Управление проблемами (Problem Management). Обеспечение бесперебойной работы всех служб информационной системы путем анализа корневых причин появления инцидентов.

В квадранте «Оптимизация» собраны шесть следующих сервисных функций:

  • Управление уровнем обслуживания (Service Level Management). Управление качеством ИТ- услуг путем определения и контроля параметров соглашения об уровне услуг (Service Level Agreement, SLA) между поставщиком и заказчиками;
  • Управление финансами (Financial Management). Определение, оптимизация и контроль стоимости ИТ- услуг, что включает планирование и составление бюджетов, анализ стоимости услуг, а также мероприятия по оптимизации затрат на ИТ и оценке необходимости инвестиций;
  • Управление непрерывностью услуг (Service Continuity Management). Восстановление ИТ- инфраструктуры в случае непредвиденных ситуаций. Включает разработку плана быстрого восстановления критически важных для бизнеса систем;
  • Управление мощностями (Capacity Management). Контроль и обеспечение необходимой производительности ИТ- ресурсов в соответствии с определенным уровнем обслуживания в SLA;
  • Управление доступностью (Availability Management). Управление доступностью информации и услуг с точки зрения использования имеющихся мощностей;
  • Управление персоналом (Workforce Management). Выработка рекомендаций по набору, сохранению и мотивированию ИТ- персонала.

В квадранте «Обслуживание» собраны 8 следующих функций:

  • Планирование работ (Job Scheduling). Организация процесса выполнения работ наиболее эффективным образом для выполнения требований соглашения об уровне услуг;
  • Системное администрирование (System Administration). Выполнение ежедневных операций по администрированию информационной системы;
  • Сетевое администрирование (Network Administration). Обеспечение бесперебойной работы сетевой инфраструктуры;
  • Администрирование системы безопасности (Security Administration). Обеспечение безопасности информационной системы, определение и контроль параметров защиты корпоративной информации и ИТ- услуг;
  • Администрирование служб каталога (Directory Services Administration). Обслуживание и поддержка корпоративной службы каталога;
  • Управление хранением данных (Storage Management). Разработка плана архивации/восстановления данных, контроль над системами хранения;
  • Мониторинг услуг (Service Monitoring and Control). Получение обслуживающим персоналом актуальной информации о состоянии ИТ- услуг. Наиболее типичными объектами мониторинга являются: состояние процессов, статусы запланированных заданий, параметры очередей, загрузка серверов, время отклика приложений;
  • Управление результатами (Print and Output Management). Контроль над процессом печати данных и данными, предоставляемыми в отчетах.

Если сравнивать объем стандарта MOF с процессами ITIL по предоставлению и поддержке услуг, то видно, что MOF несколько шире, однако расширение связано с некоторой детализацией квадранта «Обслуживание», что с одной стороны дает определенную информацию, но с другой стороны данная деятельность присутствует в большинстве ИТ- служб и расширение модели в данном направлении не вносит большой новизны. Добавление сервисной функции Управление персоналом не несет специфических знаний для организации ИТ в компании и является вспомогательным процессом, который присутствует в любой компании и логика выполнения которого предельно понятна. В остальном, процессы ITIL и MOF полностью идентичны, включая одинаковые наименования и описания.

Однако, стандарт MOF помимо процессной модели содержит ролевую структуру для распределения полномочий и ответственности между сотрудниками ИТ — модель команды (MOF Team Model). Причем модель команды не предназначена для описания трудовых обязанностей и не является организационной схемой.
В модели команды MOF описаны шесть ролей, сгруппированных по жизненному циклу ИТ- услуги. Фактически данные роли являются некоторыми направлениями деятельности:

  • Релиз (Release) — Планирование и выполнение изменений;
  • Поддержка (Supporting) — Поддержка пользователей;
  • Безопасность (Security) — Контроль над корпоративной политикой безопасности;
  • Инфраструктура (Infrastructure) — Управление средствами работы с инфраструктурой;
  • Обслуживание (Operations) — Выполнение ежедневных операций по обслуживанию ИС;
  • Партнерство (Partner) — Установление взаимоотношений с бизнесом.

Модель команды содержит слишком общее определение ролей, которое будет невозможно использовать при инжиниринге детальных процессов и поэтому, одним из вариантов использования модели команды может быть распределение в соответствии с приведенными ролями ответственности за сервис- функции, т.е. фактически назначение владельцев процессов.

Помимо модели команды стандарт MOF содержит в себе модель управления рисками (MOF Risk Model), которая определяет основные этапы управления рисками:

  • Идентификация рисков (Identify). Определение причин риска, условий его возникновения, последствий;
  • Анализ рисков (Analyze). Оценка вероятности возникновения риска и ущерба для информационной системы и бизнеса;
  • Планирование мероприятий (Plan). Определение мероприятий, позволяющих полностью избежать риска или уменьшить его влияние. Также на тут разрабатывается план действий в случае возникновения риска
  • Отслеживание риска (Track). Сбор информации об изменениях с течением времени различных элементов риска. В случае, если риск считается с некоторого времени незначимым, его необходимо исключить из списка рисков. Если влияние риска изменилось, следует перейти к этапу анализа для переоценки этого влияния
  • Контроль (Control). Выполнение запланированных действий в качестве реакции на возникновение рискового события. Фактически данные этапы управления рисками связываются в жизненный цикл управления рисками от идентификации до непрерывного контроля.

Однако если рассмотреть модель управления рисками в отрыве от стандарта ITIL и MOF, то можно увидеть неглубокое представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II – подробнее описывает вопросы организации системы управления рисками в компании. Поэтому для развертывания системы управления рисками более эффективно использовать другие методики, содержащие более полную информацию. По причине схожести методологии ITIL и MOF преимущества от использования данных моделей фактически идентичны.

Вывод

В результате сравнения ITIL и MOF мы увидели, что MOF обладает рядом существенных особенностей по сравнению со стандартом ITIL, однако если рассмотреть данные особенности, то они не носят ключевого характера: o Процессы, не включенные в ITIL, являются интуитивно понятными и принятыми в оперативной деятельности; o Модель процессов дополнена моделями команды и управления рисками, но применение данных моделей осложнено из-за слабой их детализации; o В противовес документам чисто описательного характера, свойственным ITIL, в MOF предоставлены прикладные материалы, такие как документы серий Windows Operations Guide, Exchange Operations Guide и т.д. Однако данные документы имеют привязку к определенной операционной системе и в принципе не относятся к организации процессов. Если делать вывод о применимости рассмотренных стандартов в области ИТ для оптимизации деятельности, то можно с уверенностью сказать что все они содержат «зерно истины», поэтому применение их в совокупности наиболее предпочтительно, поскольку в определенных областях они имеют новшества относительно друг друга.

В данной статье использовались материалы: MOF (Microsoft Operations Framework); ITSM HP Reference Model; ITPM (IT Process Model); COBIT (Control Objectives for Information and related Technology).

Вопросами аудита информационной безопасности в настоящее время занимаются различные аудиторные компании, фирмы организации, многие из которых входят в состав государственных и негосударственных ассоциаций. Наиболее известной международной организацией занимающейся аудитом информационных систем является ISACA, по инициативе которой была разработана концепция по управлению информационными технологиями в соответствии с требованиями ИБ.

На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and Related Technology - Контрольные объекты информационной технологии), который состоит из четырех частей

  • Часть 1 – краткое описание концепции (Executive Summary);

  • Часть 2 – определения и основные понятия (Framework). Помимо требований и основных понятий, в этой части сформулированы требования к ним;

  • Часть 3 – спецификации управляющих процессов и возможный инструментарий (Control Objectives);

  • Часть 4 – рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

Третья часть этого документа в некотором смысле аналогична международному стандарту BS 7799. Примерно так же подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT - пакет открытых документов, первое изда­ние которого было опубликовано в 1996 году. COBIT описывает универсальную модель управления информационной технологией, представленную на рис. 3.2 .

Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологий (IT), являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом.

Во первых , требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю – показатели, в обобщенном виде входящие в показатели доступности и частично – конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии. Во-вторых , доверие к технологии -группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В-третьих , показатели информационной безопасности – конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Рис. 3.2. Структура стандарта COBIT

В стандарте COBIT выделены следующие этапы проведения аудита .

Подписание договорной и исходно-разрешительной документации . На этом этапе определяются ответственные лица со стороны заказчика и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходи­мая документация. По результатам предварительного аудита всей информацион­ной системы проводится углубленная проверка подозрительных с точки зрения проводимых аудитом компонентов системы.

Сбор информации с применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных изменяется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Основное требование, предъявляемое к информации, – это ее полезность, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной).

Анализ исходных данных проводится только с учетом достоверных исходных данных. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COBIT рекомендует применять описанные в стандарте методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.

Выработка рекомендаций . Полученные в результате проведенного анализа рекомендации после предварительного согласования с заказчиком обязательно должны быть проверены на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT рекомендует оформлять рекомендации отчетом о текущем состоянии информационных систем, техническом задании на внесение изменений, отчетом о проведенном аудите. Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологи ческие. Каждая из названных групп направлена на улучшение организационного, технического или методологического обеспечения информационной системы. К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании, снижению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес-задачам, снижение стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем и некоторые другие. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты позволяют предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.

Подписание отчетных актов приемки работы с планом-графиком проведения последующих проверок, разработкой такой дополнительной документации, как долгосрочные и краткосрочные планы развития ИС, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому создание плана-графика проведения последующих проверок является одним из условий проведения профессионального аудита.

Любая работающая информационная технология в модели COBIT проходит следующие стадии жизненного цикла :

Планирование и организация работы . На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем решаются вопросы реализации: построение архитекту­ры системы, решение технологических и организационных задач, обеспечение финансирования и т.д. Всего на этой стадии выделяется 11 основных задач .

Приобретение и ввод в действие . Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется 6 основных задач, решаемых на данной стадии.

Поставка и поддержка. Выделяется 13 основных задач данной стадии, предназначенных обеспечить эксплуатацию информационной технологии .

Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется 4 основные задачи, решаемые на данной стадии.

Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки информации (рис. 3.2).

Кроме традиционных свойств информации – конфиденциальности, целостности и доступности, – в модели дополнительно используются еще 4 свойства – действенность , эффективность , соответствие формальным требованиям и достовер ность . Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их использование объясняется соображениями удобства интерпретации результатов.

Применение стандарта COBIT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач. Если в первом случае – это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом – изначально верный проект и, как следствие, по окончании проектирования – ИС, стремящаяся к идеалу.

На базовой блок-схеме COBIT (рис. 3.2.) отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки COBIT на всех этапах построения и проведения аудита.

Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь, состоят из трехсот двух объектов контроля (в данной работе не рассматриваются). Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.

Отличительные черты COBIT:

    Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС).

    Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).

    Адаптируемый, наращиваемый стандарт.

Основными преимуществами COBIT перед другими аналогичными стандартами является то, что он позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные, не изменяя общие подходы и собственную структуру.

Представленная на рис 3.3 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС с использованием стандарта COBIT. Рассмотрим их подробнее.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:

    Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.

    На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.

В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается исогласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии ИС с применением стандарта COBIT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.

Проведение анализа – наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте COBIT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.

На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.

Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.

Подробности 13 июня 2013

Год назад, в апреле 2012, вышли в свет первые три публикации обновленного свода знаний в области руководства, управления и контроля ИТ. Новая версия называется COBIT 5, и это не просто обновление популярного подхода, это качественно другой продукт: с иным охватом, иной целевой аудиторией, иной структурой и претензией на новую, более важную роль в системе знаний об управлении корпоративными ИТ. За год накопилось немало впечатлений, сформировалось определенное мнение, сформулировались вопросы к авторам и редакторам проекта. Вот некоторые из этих впечатлений, мнений и вопросов.

Как написано в COBIT, «COBIT 5 объединяет 5 принципов, позволяющих предприятию организовать на основе семи факторов влияния эффективное руководство и управление, оптимизирующие инвестиции в информацию и технологии и их использование на благо заинтересованных лиц». В этой фразе упомянуты почти все ключевые компоненты обновленной методологии, и почти все они требуют пояснений уже на этапе перевода на русский. Структуру изложению материала COBIT 5, а также идеологическую основу для применения подхода на практике создают пять принципов COBIT .

Принципы

Принципы (principles) – это действительно постулаты, на которых строится почти весь материал COBIT5. Принципов – пять, и по меньшей мере за четырьмя из их стоят конкретные и обладающие большим практическим потенциалом инструменты. Фактически принципы обеспечивают мотив и возможность для различных практических действий по руководству и управлению ИТ.

Принцип 1: Соответствие требованиям заинтересованных сторон.

Принцип 2: Комплексный взгляд на предприятие.

Принцип 3: Применение единой интегрированной методологии.

  • Мотив: Для руководства и управления ИТ удобно использовать единую методологию, объединившую всё лучшее из современных стандартов и сводов знаний.
  • Возможность: В COBIT использованы элементы стандартов (ISO 38500, ISO 27002, ISO 20000, ISO 15504, NIST и других) и сводов знаний (ITIL® , PMBOK, PRINCE2®, ValIT, RiskIT, SFIA...), авторские подходы (Д.Коттер). В большинстве случаев явно указана ссылка на источник, во многих случаях – на конкретные главы/разделы/положения источника.
  • Впечатления: Очень интересная и очень амбициозная идея. Такой подход позволяет не просто лучше понимать связи рекомендаций COBIT с уже используемыми на предприятии подходами и стандартами, но и даёт направление для развития компетенций при решении прикладных задач организации управления ИТ. Интересно, как авторы COBIT планируют поддерживать актуальность своих рекомендаций и ссылок при обновлении связанных источников – шансы, что какая-то из полутора десятков связанных публикаций будет обновлена, довольно высоки. Кроме того, к сожалению, уже сейчас многие ссылки на источники в COBIT 5 неполны, а некоторые – некорректны. Кстати, обновление, вышедшее через полгода после апрельского релиза COBIT 5, содержало много исправлений именно в этой части материала.

Принцип 4: Обеспечение целостности подхода.

1. Политики, принципы и подходы
2. Процессы
3. Оргструктура
4. Культура, этика, поведение
5. Информация
6. Услуги, инфраструктура и приложения
7. Люди, навыки и компетенции

Три последних объединены понятием «ресурсы». Для каждого фактора влияния приведено краткое описание – в единой структуре, включающей в себя заинтересованные стороны, цели, жизненный цикл, практики и продукты, а также метрики.

Структура публикаций COBIT предполагает выпуск так называемых Enabler guides, детально описывающих каждый фактор влияния. Опубликованная одновременно с базовой публикацией в апреле прошлого года книжка Enabling processes – это 230 страниц, на которых детально описаны 37 процессов. Видимо, аналогичного уровня детализации можно ожидать и в других публикациях этой группы, если и когда они выйдут в свет.

Принцип 5: Разделение руководства и управления

  • Мотив: должна быть определена четкая граница между руководством и управлением. Эти две дисциплины включают в себя разные виды деятельности, требуют разных организационных структур и служат разным целям.
    • Руководство (governance) обеспечивает уверенность в достижении бизнес-целей, путём оценки потребностей заинтересованных сторон, условий и вариантов, задания направления движения через приоритизацию и принятие решений и сравнения фактической производительности, степени завершения и соответствия правилам с плановыми значениями.
    • Управление (management) заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения бизнес-целей.
  • Возможность: COBIT предлагает референтную модель системы руководства и управления ИТ, описывающую 5 процессов руководства и 32 процесса управления. Процессы управления ИТ в модели сгруппированы в четыре домена. В целом модель является развитием модели COBIT предыдущих версий, хотя изменения нельзя назвать косметическими: некоторые процессы были объединены, некоторые перенесены в другой домен, появилось несколько новых процессов. Существенно переработана ролевая модель, используемая при распределении ответственности за реализацию процессных практик. Изменен уровень детализации описания процессов: теперь в каждом процессе выделены ключевые практики, для каждой из которых определены виды деятельности. Входы и выходы (документы и записи) определены для каждой практики, а не для процесса в целом, как было ранее. Терминология и структура описания процессов приведены в соответствие с требованиями стандарта ISO 15504. Для большинства процессов приведены ссылки на связанные источники, что поддерживает реализацию принципа №3.
  • Впечатления: очень детальная, очень масштабная модель, хорошо совместимая с другими сводами знаний, в первую очередь ITIL. Устранены многие ошибки и нестыковки модели COBIT 4.1. Тем не менее, к каждому домену есть вопросы по составу процессов, распределению ответственности, структуре практик некоторых процессов, ссылкам на источники. Вопросов много, хватит на отдельную статью, и среди них есть важные. Поэтому общее впечатление от процессной модели схоже с общим впечатлением от COBIT 5 в целом:
    • Амбиции авторов вызывают уважение.
    • Продукт требует доработки и устранения неточностей.
    • Возможности практического применения уже сейчас широки и разнообразны
    • Использовать эти возможности надо с умом и осторожностью.

Что, кроме принципов?

Несмотря на то, что большая часть компонентов COBIT 5 описана в рамках пяти принципов, есть публикации и инструменты, поддерживающие следование этим принципам, но явно в них не входящие.

В первую очередь, это рекомендации по внедрению, изложенные в книге COBIT 5 Implementation – первой из группы публикаций под общим название Professional guides. Книга содержит детальные рекомендации по реализации принципов COBIT на трех уровнях – управления организационными изменениями, управления программами и постоянного совершенствования.

Кроме того, в начале 2013 года была опубликована модель оценки процессов (Process assessment model), основанная на процессной модели COBIT 5 и модели оценки процессов ISO 15504, а позднее к ней были добавлены рекомендации по проведению самооценки и удобные для этой цели таблицы, опросники и другие инструменты сбора и анализа свидетельств.

Ожидается продолжение публикации книг серий enabler guides и professional guides, что, очевидно, делает COBIT наиболее динамично развивающимся, одним из самых полных и подробных сводов знаний по руководству и управлению ИТ. И уже сегодня одним из самых практически полезных.

Сноски

  1. Мелодия, 1976.
  2. Эти компоненты называются в COBIT 5 факторами влияния, enablers. Подробнее о них – в принципе №4.
  3. О разнице между руководством и управлением ИТ написано в принципе №5.
  4. Подробнее об этих вопросах можно узнать на портале RealITSM:

Аннотация: Введение в методологию COBIT: назначение и основные принципы.

Не секрет, что информация в современном мире играет ключевую роль и является самым ценным активом для любой организации. Стоимость информации и ее качество стали ключевыми факторами бизнеса. Согласно оценке Brookings Institute, 15 % рыночной стоимости организации находится в материальных активах, и 85% - в нематериальных, большая часть которых является информацией . Вместе с ростом ценности и значимости информации , возникла необходимость эффективного управления информационными технологиями. Если раньше бизнес не задумывался о роли и ценности ИТ-области, то теперь он хочет наладить взаимодействие, понять, какую пользу может принести ИТ и что он, бизнес, может сделать, чтобы содействовать развитию ИТ. При этом возникает необходимость в систематизации накопленных знаний, создании системы принятия решений и контроля. Перед руководством встает вопрос о выборе методологии, в соответствии с которой будут организованы основные процессы ИТ. В настоящее время существует множество стандартов и методологий, посвященных вопросам управления ИТ. Этот курс посвящен методологии COBIT, созданной организацией ISAСA. Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. В настоящее время организация занимает одну из лидирующих ролей в области разработки стандартов по аудиту ИТ.

Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, около 40 международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как "Контрольные Объекты для Информационных и смежных Технологий", но в некоторых изданиях встречается более привычный для русского уха "Цели контроля для информационных и смежных технологий".

Вот как говорит о своей миссии сам COBIT:"Исследование, разработка, публикация и продвижение авторитетной, современной, международно-признанной методологии корпоративного управления в сфере ИТ, предназначенной для внедрения в организациях и повседневного использования бизнес менеджерами, специалистами в сфере ИТ и аудиторами".

Итак, основной целью COBIT является управление ИТ. Управление ИТ в свою очередь является неотъемлемой частью корпоративного управления . Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством с целью:

  • определения стратегического направления;
  • обеспечения достижения целей;
  • адекватного управления рисками;
  • эффективного использования корпоративных ресурсов.

Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Ответственность за корпоративное управление лежит на Совете директоров и высшем руководстве.

В COBIT используется термин заинтересованные стороны. В первую очередь к ним относятся:

  • Совет директоров и высшее руководство – определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков;
  • Руководители бизнес-подразделений – определение бизнес-требований к ИТ, обеспечение достижения пользы от ИТ и управление рисками;
  • Руководство ИТ-служб – обеспечение и совершенствование ИТ-услуг в соответствии с требованиями бизнеса;
  • Внутренний аудит/Служба внутреннего контроля (СВК)/ИТ-аудит – обеспечение независимой оценки, что ИТ предоставляет требуемые услуги ;
  • Управление рисками и Compliance – оценка соответствия нормативным документам с учетом рисков.

Ключевым понятием COBIT является сервис или услуга . Что же это такое? Сам COBIT ответа на этот вопрос не дает, а лишь приводит примеры. Предоставление доступа в Интернет или защищенного хранилища информации является услугой . Возьмем определение из публикаций ITIL , которые также посвящены управлению услугами. Услуга или сервис (от англ. service) – способ предоставления ценности заказчикам через содействие им в получении результатов на выходе, которых заказчики хотят достичь без владения специфическими затратами и рисками. Предоставление услуг является сложной и нетривиальной задачей, которая требует в первую очередь системы внутреннего контроля.

Основные принципы COBIT:

  • цели ИТ должны соответствовать целям бизнеса;
  • использование процессного подхода;
  • система контроля ИТ должна быть избирательной, то есть определять основные ресурсы ИТ и работать с ними;
  • цели контроля должны быть четко определены.

Современный подход к управлению услугами делает упор на взаимодействие бизнеса и ИТ. Раньше бизнес зачастую воспринимал ИТ-область как нечто несущественное и не требующее особого внимания. Теперь, когда от информационных технологий напрямую зависит прибыль компании, руководство хочет понять, какую пользу может принести ИТ, какие средства необходимо в нее инвестировать и как можно проконтролировать и измерить результаты. В свою очередь ИТ должна быть ориентирована, прежде всего, на потребности бизнеса, а не руководствоваться только своими целями и возможностями. Подводя итог, мы приходим к пониманию первого принципа COBIT – цели бизнеса и ИТ должны быть взаимосвязаны, но лидером этих "отношений" являются цели бизнеса.

Второй принцип – использование процессного подхода. COBIT выделяет 34 ИТ-процесса, которые объединяются в четыре домена. Такая структура позволяет систематизировать область и обеспечить организацию информации , необходимой для достижения ее бизнес-целей.

Принцип ранжирования ресурсов понятен. Не стоит следить за всеми ресурсами, а только за теми, которые влияют на бизнес-процессы и их результаты.

Определение целей, пожалуй, является одной из самых сложных и важных задач. В глобальном смысле руководство и менеджеры преследуют две цели – достижение поставленных бизнес-целей и предотвращение нежелательных событий (или исправление их последствий). Например, инвестирование средств в систему резервного копирования никак не поможет напрямую бизнесу, то есть не принесет ему непосредственной выгоды. Но оно сможет помочь в случае сбоя для быстрого восстановления информации и нормального функционирования. Другой немаловажный вопрос для руководства – где необходимы улучшения, сколько нужно в них инвестировать и как измерить результат? COBIT дает руководству ИТ методологию для поиска ответов на указанные вопросы.

Ключевой составляющей управления ИТ является оценка процесса на основе предлагаемых COBIT моделях зрелости.

COBIT выделяет следующие ключевые области управления ИТ (рис.1.1):


Рис. 1.1.

  • Соответствие стратегии обеспечивает связь бизнеса и ИТ, их соответствие друг другу;
  • Полезность отвечает за реализацию того, что может принести ценность бизнесу, контроль за тем, чтобы ИТ обеспечивала определенные стратегией преимущества, оптимизацию затрат и подтверждение подлинной ценности ИТ.
  • Управление ресурсами отвечает за управление критичными ИТ-ресурсами, оптимизацию инвестиций и должное руководство приложениями , информацией , инфраструктурой и персоналом .
  • Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции управления рисками в практику организации.
  • Оценка эффективности отвечает за контроль над реализацией стратегии, планов, использованием ресурсов и эффективностью процессов.

COBIT предназначен для:

  • высшего руководства и Совета директоров;
  • Бизнес и ИТ-менеджмента;
  • профессионалов отдельных областей (безопасности, управления, аудита и т.п.).

Вот какие продукты включает COBIT 4.1:

  1. Совещание по вопросам управления сферой ИТ, второе издание (Board Briefing on IT Governance, 2nd Edition). Предназначено для высшего руководства для ответа на вопросы почему важно ИТ, как к ним относиться и как управлять.
  2. Руководство по внедрению управления сферой ИТ:Применение COBIT и Val IT TM, второе издание (IT Governance Implementation Guide: Using COBIT andVallTTM, 2ndEdition). Описывает процесс внедрения методологий COBIT и Val IT.
  3. Контрольные практики COBIT: Руководство по достижению целей контроля для успешного управления сферой ИТ, второе издание (COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition). Объясняет, зачем нужны меры контроля и как их организовать.
  4. Руководство по обеспечению надежности в сфере ИТ: применение COBIT (IT Assurance Guide: Using COBIT). Объясняет как использовать COBIT для обеспечения надежности.


Рис. 1.2.


Рис. 1.3.

Требования бизнеса обуславливают и направляют инвестиции в ресурсы ИТ. Ресурсы ИТ используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с корпоративной информацией и производят ее. Результатом цикла является соответствие корпоративной информации требованиям бизнеса. COBIT выделяет следующие корпоративные требования к информации :

  • полезность (результативность)– информация является значимой и имеет отношение к бизнес-процессам. Она получается регулярно, корректно, последовательно и в удобном виде;
  • эффективность – информация получается посредством оптимального использования ресурсов;
  • конфиденциальность – информация защищена от несанкционированного доступа и использования;
  • целостность – исключено изменение информации субъектами, не имеющими на нее прав;
  • доступность – субъекты, имеющие право доступа к информации , могут реализовывать его беспрепятственно;
  • соответствие – информация соответствует законам, регулирующим актам и условиям контрактов.
  • достоверность – руководству предоставляется вся необходимая информация для выполнения им своих обязанностей.

Рассмотрим составляющие рис.1.3 более подробно. Организация для достижения своих целей и рассмотренных требований к информации должна инвестировать средства в ИТ-область, в частности, в ресурсы. К ресурсам ИТ, согласно COBIT, относятся:

  • приложения – прикладные системы и ручные процедуры для обработки информации ;
  • информация – данные в любой форме, введенные, обработанные и выведенные информационными системами в любой используемой бизнесом форме;
  • инфраструктура – технологии и технические средства (аппаратное обеспечение, операционные системы, СУБД, сетевое оборудование), которые обеспечивают работу приложений .
  • персонал – люди и их квалификация, необходимые для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и ИТ-услуг. Персонал

    Вот какие преимущества внедрения COBIT описаны в самом стандарте:

    • достижение большего соответствия ИТ бизнесу, основанное на потребностях последнего;
    • деятельность ИТ становится понятной бизнесу;
    • процессный подход дает возможность четкого определения ролей и ответственностей;
    • обеспечение большего соответствия требованиям регуляторов и законодательства;
    • понимание заинтересованных сторон, основанное на построении тесного взаимодействия и использовании общего языка;
    • выполнение требований COSO к контролю в сфере ИТ. COSO является общепризнанной методологией внутреннего контроля в организациях в целом (COBIT – для внутреннего контроля ИТ).

    Подход к управлению ИТ, предлагаемый COBIT, позволит гарантировать согласованность целей бизнеса и ИТ, внедрение адекватных и своевременных мер контроля в соответствии с лучшими практиками и осуществить мониторинг эффективности ИТ.

Вам также может быть интересно
Что такое самоиндукция — объяснение простыми словами
Что такое самоиндукция — объяснение простыми словами
1). Индуктивность (или коэффициент самоиндукции ) - коэффициент пропорциональности между электрическим током,...
Готовим вкусный растворимый кофе дома Как сделать вкусный кофе из растворимого
Готовим вкусный растворимый кофе дома Как сделать вкусный кофе из растворимого
Ритм жизни человека не всегда позволяет ему делать то, что хочется. Иногда вместо чашки хорошего натурального...