Назначение и структура стандарта cobit реферат

Обновлено: 02.07.2024

COBIT – подход к управлению информационными технологиями, созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association - ISACA) и Институтом руководства ИТ (IT Governance Institute - ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании.

Первая редакция COBIT увидела свет в 1996 году. Версия COBIT 4.1 вышла в мае 2007 года. В основе COBIT 4.1 лежит процессный подход, система сбалансированных показателей BSC, модель зрелости SEI CMM/CMMI, PMBoK (методология проектного управления), а также подходы стандартов PRINCE2, TickIT, ITIL® и другие.

Ключевые области управления ИТ:

  • Соответствие стратегии делает акцент на связи между планами бизнеса и ИТ; выявлении, поддержке и контроле за ценностным предложением ИТ; а также на соответствии ИТ и бизнес операций.
  • Полезность представляет собой реализацию ценностного предложения, контроль за тем, чтобы ИТ обеспечивали определенные стратегией преимущества, сосредоточение на оптимизации затрат и подтверждение подлинной ценности ИТ.
  • Управление ресурсами посвящено вопросам, связанным с управлением критичными ИТ ресурсами, а именно, оптимизацией инвестиций и должному руководству приложениями, информацией, инфраструктурой и персоналом. Ключевые вопросы касаются оптимизации знаний и инфраструктуры.
  • Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции или системы управления рисками в практику организации.
  • Оценка эффективности представляет собой контроль за реализацией стратегии, результатами проектов, использованием ресурсов, эффективностью процессов и сервисным обслуживанием. Для этого применяются, в частности, системы сбалансированных показателей, которые преобразуют стратегию в последовательность действий, результаты которых измеряются иными, по сравнению с бухгалтерским учетом, методами.

Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается какрезультат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов. ИТ ресурсы включают в себя приложения, информацию (данные в любой форме), инфраструктуру, персонал.

Для достижения целей бизнеса информация должна удовлетворять определённым критериям, которые в стандарте COBIT называют бизнес-требованиями к информации. Выделяют следующие бизнес-требования к информации или информационные критерии: эффективность, рациональность, конфиденциальность, целостность, доступность, соответствие нормам и надёжность информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путём реализации механизмов управления в рамках конкретного ИТ процесса.

Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):

Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:

  • PO1 Разработка стратегического плана
  • PO2 Определение ИТ архитектуры
  • PO3 Определение направлений развития технологий
  • PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
  • PO5 Управление инвестициями в ИТ
  • PO6 Согласованное управление целями и задачами
  • PO7 Управление ИТ персоналом
  • PO8 Управление качеством
  • PO9 Оценка и управление рисками ИТ
  • PO10 Управление проектами

Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:

  • AI1 Идентификация и выбор решений по автоматизации
  • AI2 Проектирование и разработка приложений
  • AI3 Проектирование и поддержка технической инфраструктуры
  • AI4 Обеспечение работы и использования ИС
  • AI5 Закупка ИТ ресурсов
  • AI6 Управление изменениями
  • AI7 Установка и утверждение решений и изменений

Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:

  • DS1 Определение и управление уровнями сервиса
  • DS2 Управление сервисами подрядчиков
  • DS3 Управление производительностью и мощностью
  • DS4 Обеспечение непрерывности сервисов
  • DS5 Обеспечение безопасности систем
  • DS6 Определение и распределение ИТ затрат
  • DS7 Обучение пользователей
  • DS8 Управление службой поддержки и инцидентами
  • DS9 Управление конфигурацией
  • DS10 Управление проблемами
  • DS11 Управление данными
  • DS12 Управление физическим оборудованием
  • DS13 Управление эксплуатацией

Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:

  • ME1 Отслеживать и оценивать производительность ИТ
  • ME2 Отслеживать и оценивать внутренние контроли
  • ME3 Гарантировать соответствие регулирующим требованиям
  • ME4 Обеспечивать руководство ИТ

Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.

В стандарте COBIT детально описаны цели и принципы управления, объекты управления, чётко определены все ИТ процессы (для каждого процесса определены входы и выходы, исполнители и ответственные, а также объекты контроля и метрики) и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ процессов также приведены практические рекомендации по управлению ИТ безопасностью. COBIT применяется для контроля и аудита существующей системы управления информационными технологиями, организации оперативного и стратегического управления ИТ, анализа расходов на ИТ проекты и поддержку соответствующей инфраструктуры, соответствия требованиям стандартам и регулирующим организациям, таких как SOX и COSO.

Посредством использования стандарта COBIT руководители ИТ подразделений преобразуют задачи бизнеса в чёткие и понятные планы развития ИТ. Основным преимуществом стандарта COBIT является его полнота и отчётливые практические рекомендации и инструменты, с помощью которых можно построить систему управления информационными технологиями корпорации и, в том числе, эффективную систему управления рисками в ИТ. Таким образом, при использовании методологии COBIT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, стандарт COBIT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ департамента.

Не секрет, что информация в современном мире играет ключевую роль и является самым ценным активом для любой организации. Стоимость информации и ее качество стали ключевыми факторами бизнеса. Согласно оценке Brookings Institute, 15 % рыночной стоимости организации находится в материальных активах, и 85% - в нематериальных, большая часть которых является информацией . Вместе с ростом ценности и значимости информации , возникла необходимость эффективного управления информационными технологиями. Если раньше бизнес не задумывался о роли и ценности ИТ-области, то теперь он хочет наладить взаимодействие, понять, какую пользу может принести ИТ и что он, бизнес, может сделать, чтобы содействовать развитию ИТ. При этом возникает необходимость в систематизации накопленных знаний, создании системы принятия решений и контроля. Перед руководством встает вопрос о выборе методологии, в соответствии с которой будут организованы основные процессы ИТ. В настоящее время существует множество стандартов и методологий, посвященных вопросам управления ИТ. Этот курс посвящен методологии COBIT, созданной организацией ISAСA. Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. В настоящее время организация занимает одну из лидирующих ролей в области разработки стандартов по аудиту ИТ.

Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, около 40 международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как "Контрольные Объекты для Информационных и смежных Технологий", но в некоторых изданиях встречается более привычный для русского уха "Цели контроля для информационных и смежных технологий".

Вот как говорит о своей миссии сам COBIT:"Исследование, разработка, публикация и продвижение авторитетной, современной, международно-признанной методологии корпоративного управления в сфере ИТ, предназначенной для внедрения в организациях и повседневного использования бизнес менеджерами, специалистами в сфере ИТ и аудиторами".

Итак, основной целью COBIT является управление ИТ. Управление ИТ в свою очередь является неотъемлемой частью корпоративного управления . Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством с целью:

  • определения стратегического направления;
  • обеспечения достижения целей;
  • адекватного управления рисками;
  • эффективного использования корпоративных ресурсов.

Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Ответственность за корпоративное управление лежит на Совете директоров и высшем руководстве.

В COBIT используется термин заинтересованные стороны. В первую очередь к ним относятся:

  • Совет директоров и высшее руководство – определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков;
  • Руководители бизнес-подразделений – определение бизнес-требований к ИТ, обеспечение достижения пользы от ИТ и управление рисками;
  • Руководство ИТ-служб – обеспечение и совершенствование ИТ-услуг в соответствии с требованиями бизнеса;
  • Внутренний аудит/Служба внутреннего контроля (СВК)/ИТ-аудит – обеспечение независимой оценки, что ИТ предоставляет требуемые услуги ;
  • Управление рисками и Compliance – оценка соответствия нормативным документам с учетом рисков.

Ключевым понятием COBIT является сервис или услуга . Что же это такое? Сам COBIT ответа на этот вопрос не дает, а лишь приводит примеры. Предоставление доступа в Интернет или защищенного хранилища информации является услугой . Возьмем определение из публикаций ITIL , которые также посвящены управлению услугами. Услуга или сервис (от англ. service) – способ предоставления ценности заказчикам через содействие им в получении результатов на выходе, которых заказчики хотят достичь без владения специфическими затратами и рисками. Предоставление услуг является сложной и нетривиальной задачей, которая требует в первую очередь системы внутреннего контроля.

Основные принципы COBIT:

  • цели ИТ должны соответствовать целям бизнеса;
  • использование процессного подхода;
  • система контроля ИТ должна быть избирательной, то есть определять основные ресурсы ИТ и работать с ними;
  • цели контроля должны быть четко определены.

Современный подход к управлению услугами делает упор на взаимодействие бизнеса и ИТ. Раньше бизнес зачастую воспринимал ИТ-область как нечто несущественное и не требующее особого внимания. Теперь, когда от информационных технологий напрямую зависит прибыль компании, руководство хочет понять, какую пользу может принести ИТ, какие средства необходимо в нее инвестировать и как можно проконтролировать и измерить результаты. В свою очередь ИТ должна быть ориентирована, прежде всего, на потребности бизнеса, а не руководствоваться только своими целями и возможностями. Подводя итог, мы приходим к пониманию первого принципа COBIT – цели бизнеса и ИТ должны быть взаимосвязаны, но лидером этих "отношений" являются цели бизнеса.

Второй принцип – использование процессного подхода. COBIT выделяет 34 ИТ-процесса, которые объединяются в четыре домена. Такая структура позволяет систематизировать область и обеспечить организацию информации , необходимой для достижения ее бизнес-целей.

Принцип ранжирования ресурсов понятен. Не стоит следить за всеми ресурсами, а только за теми, которые влияют на бизнес-процессы и их результаты.

Ключевой составляющей управления ИТ является оценка процесса на основе предлагаемых COBIT моделях зрелости.

COBIT выделяет следующие ключевые области управления ИТ (рис.1.1):

Ключевые области управления ИТ

  • Соответствие стратегии обеспечивает связь бизнеса и ИТ, их соответствие друг другу;
  • Полезность отвечает за реализацию того, что может принести ценность бизнесу, контроль за тем, чтобы ИТ обеспечивала определенные стратегией преимущества, оптимизацию затрат и подтверждение подлинной ценности ИТ.
  • Управление ресурсами отвечает за управление критичными ИТ-ресурсами, оптимизацию инвестиций и должное руководство приложениями , информацией , инфраструктурой и персоналом .
  • Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции управления рисками в практику организации.
  • Оценка эффективности отвечает за контроль над реализацией стратегии, планов, использованием ресурсов и эффективностью процессов.

COBIT предназначен для:

  • высшего руководства и Совета директоров;
  • Бизнес и ИТ-менеджмента;
  • профессионалов отдельных областей (безопасности, управления, аудита и т.п.).

Вот какие продукты включает COBIT 4.1:

  1. Совещание по вопросам управления сферой ИТ, второе издание (Board Briefing on IT Governance, 2nd Edition). Предназначено для высшего руководства для ответа на вопросы почему важно ИТ, как к ним относиться и как управлять.
  2. Руководство по внедрению управления сферой ИТ:Применение COBIT и Val IT TM, второе издание (IT Governance Implementation Guide: Using COBIT andVallTTM, 2ndEdition). Описывает процесс внедрения методологий COBIT и Val IT.
  3. Контрольные практики COBIT: Руководство по достижению целей контроля для успешного управления сферой ИТ, второе издание (COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition). Объясняет, зачем нужны меры контроля и как их организовать.
  4. Руководство по обеспечению надежности в сфере ИТ: применение COBIT (IT Assurance Guide: Using COBIT). Объясняет как использовать COBIT для обеспечения надежности.

Структура продуктов COBIT 4.1

На рис.1.2 изображены основные публикации COBIT и их аудитории. Существует также ряд продуктов по специфическим вопросам, в частности, аудиту и безопасности, которые не являются открытыми и за которые нужно платить. Данный курс основан на открытых публикациях, в частности, на российском издании COBIT 4.1, доступном на официальном сайте ISACA.

Итак, основная идея COBIT – ориентация ИТ на бизнес. В общем случае предлагаемая методология основана на следующем принципе – для того, чтобы организация обеспечила себя информацией , которая необходима для достижения ее бизнес-целей, организация должна инвестировать и управлять ресурсами ИТ посредством структурированного комплекса процессов, которые обеспечивают сервисы ( услуги ) для предоставления информации (рис.1.3).

Ориентация COBIT на бизнес

Требования бизнеса обуславливают и направляют инвестиции в ресурсы ИТ. Ресурсы ИТ используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с корпоративной информацией и производят ее. Результатом цикла является соответствие корпоративной информации требованиям бизнеса. COBIT выделяет следующие корпоративные требования к информации :

  • полезность (результативность)– информация является значимой и имеет отношение к бизнес-процессам. Она получается регулярно, корректно, последовательно и в удобном виде;
  • эффективность – информация получается посредством оптимального использования ресурсов;
  • конфиденциальность – информация защищена от несанкционированного доступа и использования;
  • целостность – исключено изменение информации субъектами, не имеющими на нее прав;
  • доступность – субъекты, имеющие право доступа к информации , могут реализовывать его беспрепятственно;
  • соответствие – информация соответствует законам, регулирующим актам и условиям контрактов.
  • достоверность – руководству предоставляется вся необходимая информация для выполнения им своих обязанностей.

Рассмотрим составляющие рис.1.3 более подробно. Организация для достижения своих целей и рассмотренных требований к информации должна инвестировать средства в ИТ-область, в частности, в ресурсы. К ресурсам ИТ, согласно COBIT, относятся:

  • приложения – прикладные системы и ручные процедуры для обработки информации ;
  • информация – данные в любой форме, введенные, обработанные и выведенные информационными системами в любой используемой бизнесом форме;
  • инфраструктура – технологии и технические средства (аппаратное обеспечение, операционные системы, СУБД, сетевое оборудование), которые обеспечивают работу приложений .
  • персонал – люди и их квалификация, необходимые для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и ИТ-услуг. Персонал может быть внутренним и внешним, то есть привлеченным посредством аутсорсингового контракта.

Ресурсы ИТ обеспечивают выполнение процессов ИТ. В COBIT основные деятельности ИТ представлены в виде процессов ( об этом в следующей лекции), которые в свою очередь работают с корпоративной информацией и обеспечивают ее соответствие целям ИТ. Цели ИТ соответствуют целям и требованиям бизнеса, что в конечном итоге приводит нас к соответствию информации требованиям и целям бизнеса.

Куб COBIT

Методология COBIT (рис.1.4) связывает требования бизнеса к информации и управлению ею с целями ИТ.

Вот какие преимущества внедрения COBIT описаны в самом стандарте:

  • достижение большего соответствия ИТ бизнесу, основанное на потребностях последнего;
  • деятельность ИТ становится понятной бизнесу;
  • процессный подход дает возможность четкого определения ролей и ответственностей;
  • обеспечение большего соответствия требованиям регуляторов и законодательства;
  • понимание заинтересованных сторон, основанное на построении тесного взаимодействия и использовании общего языка;
  • выполнение требований COSO к контролю в сфере ИТ. COSO является общепризнанной методологией внутреннего контроля в организациях в целом (COBIT – для внутреннего контроля ИТ).

Подход к управлению ИТ, предлагаемый COBIT, позволит гарантировать согласованность целей бизнеса и ИТ, внедрение адекватных и своевременных мер контроля в соответствии с лучшими практиками и осуществить мониторинг эффективности ИТ.


Между тем существуют сложившиеся определения самой информационной безопасности и примыкающего к ней круга понятий. Иногда они различаются у различных специалистов (или школ). Случается, что в определениях просто используют синонимы, иногда — меняются местами даже целые группы понятий. Поэтому первоначально необходимо четко определиться с основными понятиями информационной безопасности.

Под информационной безопасностью будем понимать состояние защищенности информации и информационной среды от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации [3, с. 4].

Самая распространенная модель информационной безопасности базируется на обеспечении трех свойств информации: конфиденциальность, целостность и доступность.

Конфиденциальность информации означает, что с ней может ознакомиться только строго ограниченный круг лиц, определенный ее владельцем. Если доступ к информации получает неуполномоченное лицо, происходит утрата конфиденциальности. Для некоторых типов информации конфиденциальность является одним из наиболее важных атрибутов (например, данные стратегических исследований, медицинские и страховые записи, спецификации новых изделий, сведения о клиентах банка и их счетах, а также совершаемых ими операций по указанным счетам, сведения о кредиторах, налоговые данные и т. п.).

Целостность информации определяется ее способностью сохраняться в неискаженном виде. Неправомочные, и не предусмотренные владельцем изменения информации (в результате ошибки оператора или преднамеренного действия неуполномоченного лица) приводят к потере целостности. Целостность особенно важна для данных, связанных с функционированием объектов критических инфраструктур (например, управления воздушным движением, энергоснабжения и т. д.), финансовых данных.

Доступность информации определяется способностью системы предоставлять своевременный беспрепятственный доступ к информации субъектам, обладающим соответствующими полномочиями. Уничтожение или блокирование информации (в результате ошибки или преднамеренного действия) приводит к потере доступности. Доступность — важный атрибут для функционирования информационных систем, ориентированных на обслуживание клиентов (системы продажи железнодорожных билетов, распространения обновлений программного обеспечения) [3, с. 4].

Кроме перечисленных трех свойств дополнительно выделяют еще два свойства, важных для информационной безопасности: аутентичность и апеллируемость.

Апеллируемость — возможность доказать, что автором является именно данный человек и никто другой.

Как учебная и научная дисциплина информационная безопасность исследует природу перечисленных свойств информации, изучает угрозы этим свойствам, а также методы и средства противодействия таким угрозам (защита информации).

Как прикладная дисциплина информационная безопасность занимается обеспечением этих ключевых свойств, в частности, путем разработки защищенных информационных систем [3, с.5].

С развитием общества развивались и информационные технологии, применяемые для обеспечения информационной безопасности. Однако, наряду с постоянным совершенствованием технических средств и программных средств защиты, важным был и остается вопрос выработки профессионального подхода к управлению и систематическому обследованию информационных технологий по международным стандартам, что позволяет компенсировать на первый взгляд невидимые, но существенные недостатки в организации производственных процессов. Построение грамотной структуры управления, создание эффективной вертикали принятия решения и системы контроля напрямую зависят от состояния информационных технологий, от их эффективности, производительности, безопасности, надежности и других не менее важных показателей [4]. Таким образом, перед руководителем неоспоримо возникает проблема выбора методологического средства, на основе которого будет построена система управления и контроля. На сегодняшний день ощутимого недостатка в стандартах нет. Такие стандарты, как ISO 27001, ISO 27002, ITIL и другие, уже применяются и в российской практике, более того, интерес к ним неизменно растет. Все они практически в равной степени наделены определенными преимуществами и недостатками, прежде всего из-за функциональной направленности и специфической области применения. Любому же пользователю интересен, прежде всего, комплексный подход к решению, тем более в таком объемном и многогранном вопросе, как управление и контроль ИТ. Рассмотрим более подробно одно из существующих решений — стандарт CobiT.

CobiT — подход к управлению информационными технологиями, созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association — ISACA) и Институтом руководства ИТ (IT Governance Institute — ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании [2].

История развития стандарта CobiT может быть представлена в виде следующего рисунка (рис. 1).


Рис. 1. Эволюция стандарта CobiT[1]

Первая редакция стандарта увидела свет в 1996 году. Стандарт CobiT, сохраняя преемственность основным принципам и идеям, постоянно совершенствовался. На сегодняшний день ряд предприятий постепенно переходят на его пятую версию.

Именно COBIT 5 будет детально рассмотрен в рамках данной работы. Прежде отметим, что структура стандарта была заложена в предыдущих его версиях, в основном в третьей. Редакции 4.0 и 4.1, созданные в 2005 и 2007 годах соответственно, практически без изменений переняли схему структуры предшествующей им версии. Чего нельзя сказать о пятой версии, о чем наглядно говорит представленный ниже рисунок (рис. 2).


Рис. 2. Семейство продуктов COBIT 5[1]

Необходимо отметить, что модель процессов, выстраиваемая на базе CobiT, предпочтительней других подходов, в основе которых не лежат бизнес-процессы организации (методики и стандарты аудита производителей программно-аппаратных средств), по нескольким причинам.

Во-первых, по определению: процесс — это действие, направленное на достижение результата, при оптимальном использовании ресурсов, и которое может корректироваться при его выполнении. При выполнении процесса все задействованные ресурсы структурируются и выстраиваются таким образом, чтобы максимально эффективно выполнять этот процесс.

Во-вторых, процессы в подавляющем большинстве организаций, а особенно их цели не так часто изменяются, по сравнению с организационными объектами (организационно-штатная структура: сотрудники, отделы, департаменты и т. д.).

В-третьих, развертывание информационной системы или внедрение информационных технологий не может быть ограничено спецификой одного отдела или департамента, а затрагивает руководителей, пользователей из других подразделений и ИТ-специалистов. Таким образом, прикладные системы (прикладное программное обеспечение то, что видит пользователь) — это неотъемлемая часть структуры CobiT и могут быть стандартно оценены, как и прочие объекты контроля CobiT, в рамках единой структуры и с применением единых метрик.

Для этого CobiT выделяет высокоуровневые цели контроля (ВЦК), по одной на каждый ИТ-процесс, которые группируются в домены. Предлагаемая структура объединяет все аспекты информации и технологий, поддерживающих ее. Применяя эти высокоуровневые цели контроля, руководитель может быть уверен, что ему будет предоставлена адекватная система контроля над ИТ-средой, которая учитывает задействованные ресурсы ИТ, дающая возможность оценить ИТ по предлагаемым CobiT семи критериям оценки информации. В дополнение к изложенным выше свойствам конфиденциальности и целостности, необходимо следующие 5 критериев или свойств:

- Эффективность — актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации.

Продуктивность — обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов.

- Пригодность — предоставление информации по требованию бизнес-процессов.

- Согласованность — соответствие законам, правилам и договорным обязательствам.

- Надежность — доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия [4].

Как и в предшествующих версиях CobiT, в пятой версии стандарта также предусмотрено выделение высокоуровневых целей контроля или ИТ-процессов. Отметим, что, учитывая особенности разработчика стандарта, структура ВЦК была переведена и представлена в удобном для восприятия варианте (рис. 3).


Рис. 3. Высокоуровневые цели контроля COBIT 5[1]

Помимо изложенного, стандарт COBIT 5 пропагандирует разделение традиционного управления (менеджмента) и управления информационными технологиями. Это обоснованно следующими принципами:

1) Направлен на удовлетворение потребностей заинтересованного лица.

2) Охватывает всю деятельность предприятия.

3) Основан на применении единой интегрированной структуры.

4) Реализует целостный подход.

5) Направлен на разделение руководства ИТ от менеджмента [1].

На наш взгляд, это вполне разумно и обоснованно: это может разгрузить традиционный менеджмент на выполнение, пусть часто и рутинных, но необходимых процессов для надлежащего функционирования предприятия, и в свою очередь позволит качественно управлять ИТ-ресурсами. В любом случае, оба направления управления не будут перегружены.

В заключение отметим, что сама информационная безопасность как научная и прикладная область деятельности постоянно развивается. Как правило, это обеспечивается постоянным совершенствованием технических и программных средств защиты. Здесь особое место занимает совершенствование методологии управления и аудита ИТ и основанных на них ресурсов. Стандарт CobiT является лучшим комплексным решением для этого. Его пятая версия, на наш взгляд, наилучшим образом соответствует потребностям предприятия в информационной безопасности — любого предприятия, а не только в сфере информационных технологий.

3. Амелин Р. В. Информационная безопасность Учебно-методическое пособие по вопросам информационной безопасности

Основные термины (генерируются автоматически): COBIT, информационная безопасность, ISO, контроль, Стандарт, ISACA, наилучший образ, неуполномоченное лицо, преднамеренное действие, программное средство защиты.



Стандарт COBIT

В основу стандарта CobiT положено следующееутверждение: "Д ля предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов " .

cobit1


Для этого CobiT выделяет 34 высокоуровневые цели контроля , по одной на каждый ИТ процесс, которые сгруппированы в 4 домена :

Планирование и Организация ;

Проектирование и Внедрение;

Эксплуатация и Сопровождение;

cobit2

Ресурсы ИТ в CobiT описаны пятью составляющими:

1. Данные – объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а такжеграфика, звук и т.д.
2. Приложения – совокупность автоматизированных и выполняемых вручную процедур.
3. Технология – аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа.
4. Оборудование – все ресурсы, создающие и поддерживающие информационные технологии.
5 . Люди – персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.

Критерии оценки информации:

Эффективность – актуальность информации, соответствующего бизнес_процесса, гарантия своевременного и регулярного получения правильной информации.

Продуктивность – обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов.

Конфиденциальность – обеспечение защиты информации от неавторизованного ознакомления.

Целостность – точность, полнота и достоверность информации в соответствии с требованиями бизнеса.

Пригодность – предоставление информации по требованию бизнес - процессов.

Согласованность – соответствие законам, правилам и договорным обязательствам.

Надежность – доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.

Схема CobiT, объединяющая 34 ИТ_процесса и учитывающая критерии информации и ресурсы ИТ на всем протяжении жизненного цикла, представлена на рисунке ниже.



3. Объекты контроля . В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.

4. Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ служб.

5. Принципы аудита. Правила проведения ИТ аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.

6. Набор инструментов внедрения стандарта – практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.

Причины применения стандарта CobiT для управления и аудита ИТ

После проведения ИТ_аудита с использованием принципов аудита, изложенных в CobiT, организация получит возможность:

1. Оценить степень соответствия ИТ - организации требованиям бизнеса.
2. Определить приоритеты основных ИТ - процессов.
3. Выявить критически важные элементы ИТ.
4. Выявить и оценить факторы риска.
5. Определить степень адекватности мер, принимаемых для управления рисками.
6. Оценить степень защищенности компании от чрезвычайных происшествий и их последствий.
7. Реализовать рекомендации по обеспечению бесперебойности функционирования ИТ.
8. Создать план работ по устранению недостатков и разработать способы их устранения.

Читайте также: