Назначение и структура стандарта cobit реферат
Обновлено: 02.07.2024
COBIT – подход к управлению информационными технологиями, созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association - ISACA) и Институтом руководства ИТ (IT Governance Institute - ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании.
Первая редакция COBIT увидела свет в 1996 году. Версия COBIT 4.1 вышла в мае 2007 года. В основе COBIT 4.1 лежит процессный подход, система сбалансированных показателей BSC, модель зрелости SEI CMM/CMMI, PMBoK (методология проектного управления), а также подходы стандартов PRINCE2, TickIT, ITIL® и другие.
Ключевые области управления ИТ:
- Соответствие стратегии делает акцент на связи между планами бизнеса и ИТ; выявлении, поддержке и контроле за ценностным предложением ИТ; а также на соответствии ИТ и бизнес операций.
- Полезность представляет собой реализацию ценностного предложения, контроль за тем, чтобы ИТ обеспечивали определенные стратегией преимущества, сосредоточение на оптимизации затрат и подтверждение подлинной ценности ИТ.
- Управление ресурсами посвящено вопросам, связанным с управлением критичными ИТ ресурсами, а именно, оптимизацией инвестиций и должному руководству приложениями, информацией, инфраструктурой и персоналом. Ключевые вопросы касаются оптимизации знаний и инфраструктуры.
- Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции или системы управления рисками в практику организации.
- Оценка эффективности представляет собой контроль за реализацией стратегии, результатами проектов, использованием ресурсов, эффективностью процессов и сервисным обслуживанием. Для этого применяются, в частности, системы сбалансированных показателей, которые преобразуют стратегию в последовательность действий, результаты которых измеряются иными, по сравнению с бухгалтерским учетом, методами.
Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается какрезультат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов. ИТ ресурсы включают в себя приложения, информацию (данные в любой форме), инфраструктуру, персонал.
Для достижения целей бизнеса информация должна удовлетворять определённым критериям, которые в стандарте COBIT называют бизнес-требованиями к информации. Выделяют следующие бизнес-требования к информации или информационные критерии: эффективность, рациональность, конфиденциальность, целостность, доступность, соответствие нормам и надёжность информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путём реализации механизмов управления в рамках конкретного ИТ процесса.
Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):
Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:
- PO1 Разработка стратегического плана
- PO2 Определение ИТ архитектуры
- PO3 Определение направлений развития технологий
- PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
- PO5 Управление инвестициями в ИТ
- PO6 Согласованное управление целями и задачами
- PO7 Управление ИТ персоналом
- PO8 Управление качеством
- PO9 Оценка и управление рисками ИТ
- PO10 Управление проектами
Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:
- AI1 Идентификация и выбор решений по автоматизации
- AI2 Проектирование и разработка приложений
- AI3 Проектирование и поддержка технической инфраструктуры
- AI4 Обеспечение работы и использования ИС
- AI5 Закупка ИТ ресурсов
- AI6 Управление изменениями
- AI7 Установка и утверждение решений и изменений
Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:
- DS1 Определение и управление уровнями сервиса
- DS2 Управление сервисами подрядчиков
- DS3 Управление производительностью и мощностью
- DS4 Обеспечение непрерывности сервисов
- DS5 Обеспечение безопасности систем
- DS6 Определение и распределение ИТ затрат
- DS7 Обучение пользователей
- DS8 Управление службой поддержки и инцидентами
- DS9 Управление конфигурацией
- DS10 Управление проблемами
- DS11 Управление данными
- DS12 Управление физическим оборудованием
- DS13 Управление эксплуатацией
Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:
- ME1 Отслеживать и оценивать производительность ИТ
- ME2 Отслеживать и оценивать внутренние контроли
- ME3 Гарантировать соответствие регулирующим требованиям
- ME4 Обеспечивать руководство ИТ
Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.
В стандарте COBIT детально описаны цели и принципы управления, объекты управления, чётко определены все ИТ процессы (для каждого процесса определены входы и выходы, исполнители и ответственные, а также объекты контроля и метрики) и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ процессов также приведены практические рекомендации по управлению ИТ безопасностью. COBIT применяется для контроля и аудита существующей системы управления информационными технологиями, организации оперативного и стратегического управления ИТ, анализа расходов на ИТ проекты и поддержку соответствующей инфраструктуры, соответствия требованиям стандартам и регулирующим организациям, таких как SOX и COSO.
Посредством использования стандарта COBIT руководители ИТ подразделений преобразуют задачи бизнеса в чёткие и понятные планы развития ИТ. Основным преимуществом стандарта COBIT является его полнота и отчётливые практические рекомендации и инструменты, с помощью которых можно построить систему управления информационными технологиями корпорации и, в том числе, эффективную систему управления рисками в ИТ. Таким образом, при использовании методологии COBIT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, стандарт COBIT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ департамента.
Не секрет, что информация в современном мире играет ключевую роль и является самым ценным активом для любой организации. Стоимость информации и ее качество стали ключевыми факторами бизнеса. Согласно оценке Brookings Institute, 15 % рыночной стоимости организации находится в материальных активах, и 85% - в нематериальных, большая часть которых является информацией . Вместе с ростом ценности и значимости информации , возникла необходимость эффективного управления информационными технологиями. Если раньше бизнес не задумывался о роли и ценности ИТ-области, то теперь он хочет наладить взаимодействие, понять, какую пользу может принести ИТ и что он, бизнес, может сделать, чтобы содействовать развитию ИТ. При этом возникает необходимость в систематизации накопленных знаний, создании системы принятия решений и контроля. Перед руководством встает вопрос о выборе методологии, в соответствии с которой будут организованы основные процессы ИТ. В настоящее время существует множество стандартов и методологий, посвященных вопросам управления ИТ. Этот курс посвящен методологии COBIT, созданной организацией ISAСA. Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. В настоящее время организация занимает одну из лидирующих ролей в области разработки стандартов по аудиту ИТ.
Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, около 40 международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как "Контрольные Объекты для Информационных и смежных Технологий", но в некоторых изданиях встречается более привычный для русского уха "Цели контроля для информационных и смежных технологий".
Вот как говорит о своей миссии сам COBIT:"Исследование, разработка, публикация и продвижение авторитетной, современной, международно-признанной методологии корпоративного управления в сфере ИТ, предназначенной для внедрения в организациях и повседневного использования бизнес менеджерами, специалистами в сфере ИТ и аудиторами".
Итак, основной целью COBIT является управление ИТ. Управление ИТ в свою очередь является неотъемлемой частью корпоративного управления . Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством с целью:
- определения стратегического направления;
- обеспечения достижения целей;
- адекватного управления рисками;
- эффективного использования корпоративных ресурсов.
Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Ответственность за корпоративное управление лежит на Совете директоров и высшем руководстве.
В COBIT используется термин заинтересованные стороны. В первую очередь к ним относятся:
- Совет директоров и высшее руководство – определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков;
- Руководители бизнес-подразделений – определение бизнес-требований к ИТ, обеспечение достижения пользы от ИТ и управление рисками;
- Руководство ИТ-служб – обеспечение и совершенствование ИТ-услуг в соответствии с требованиями бизнеса;
- Внутренний аудит/Служба внутреннего контроля (СВК)/ИТ-аудит – обеспечение независимой оценки, что ИТ предоставляет требуемые услуги ;
- Управление рисками и Compliance – оценка соответствия нормативным документам с учетом рисков.
Ключевым понятием COBIT является сервис или услуга . Что же это такое? Сам COBIT ответа на этот вопрос не дает, а лишь приводит примеры. Предоставление доступа в Интернет или защищенного хранилища информации является услугой . Возьмем определение из публикаций ITIL , которые также посвящены управлению услугами. Услуга или сервис (от англ. service) – способ предоставления ценности заказчикам через содействие им в получении результатов на выходе, которых заказчики хотят достичь без владения специфическими затратами и рисками. Предоставление услуг является сложной и нетривиальной задачей, которая требует в первую очередь системы внутреннего контроля.
Основные принципы COBIT:
- цели ИТ должны соответствовать целям бизнеса;
- использование процессного подхода;
- система контроля ИТ должна быть избирательной, то есть определять основные ресурсы ИТ и работать с ними;
- цели контроля должны быть четко определены.
Современный подход к управлению услугами делает упор на взаимодействие бизнеса и ИТ. Раньше бизнес зачастую воспринимал ИТ-область как нечто несущественное и не требующее особого внимания. Теперь, когда от информационных технологий напрямую зависит прибыль компании, руководство хочет понять, какую пользу может принести ИТ, какие средства необходимо в нее инвестировать и как можно проконтролировать и измерить результаты. В свою очередь ИТ должна быть ориентирована, прежде всего, на потребности бизнеса, а не руководствоваться только своими целями и возможностями. Подводя итог, мы приходим к пониманию первого принципа COBIT – цели бизнеса и ИТ должны быть взаимосвязаны, но лидером этих "отношений" являются цели бизнеса.
Второй принцип – использование процессного подхода. COBIT выделяет 34 ИТ-процесса, которые объединяются в четыре домена. Такая структура позволяет систематизировать область и обеспечить организацию информации , необходимой для достижения ее бизнес-целей.
Принцип ранжирования ресурсов понятен. Не стоит следить за всеми ресурсами, а только за теми, которые влияют на бизнес-процессы и их результаты.
Ключевой составляющей управления ИТ является оценка процесса на основе предлагаемых COBIT моделях зрелости.
COBIT выделяет следующие ключевые области управления ИТ (рис.1.1):
- Соответствие стратегии обеспечивает связь бизнеса и ИТ, их соответствие друг другу;
- Полезность отвечает за реализацию того, что может принести ценность бизнесу, контроль за тем, чтобы ИТ обеспечивала определенные стратегией преимущества, оптимизацию затрат и подтверждение подлинной ценности ИТ.
- Управление ресурсами отвечает за управление критичными ИТ-ресурсами, оптимизацию инвестиций и должное руководство приложениями , информацией , инфраструктурой и персоналом .
- Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции управления рисками в практику организации.
- Оценка эффективности отвечает за контроль над реализацией стратегии, планов, использованием ресурсов и эффективностью процессов.
COBIT предназначен для:
- высшего руководства и Совета директоров;
- Бизнес и ИТ-менеджмента;
- профессионалов отдельных областей (безопасности, управления, аудита и т.п.).
Вот какие продукты включает COBIT 4.1:
- Совещание по вопросам управления сферой ИТ, второе издание (Board Briefing on IT Governance, 2nd Edition). Предназначено для высшего руководства для ответа на вопросы почему важно ИТ, как к ним относиться и как управлять.
- Руководство по внедрению управления сферой ИТ:Применение COBIT и Val IT TM, второе издание (IT Governance Implementation Guide: Using COBIT andVallTTM, 2ndEdition). Описывает процесс внедрения методологий COBIT и Val IT.
- Контрольные практики COBIT: Руководство по достижению целей контроля для успешного управления сферой ИТ, второе издание (COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition). Объясняет, зачем нужны меры контроля и как их организовать.
- Руководство по обеспечению надежности в сфере ИТ: применение COBIT (IT Assurance Guide: Using COBIT). Объясняет как использовать COBIT для обеспечения надежности.
На рис.1.2 изображены основные публикации COBIT и их аудитории. Существует также ряд продуктов по специфическим вопросам, в частности, аудиту и безопасности, которые не являются открытыми и за которые нужно платить. Данный курс основан на открытых публикациях, в частности, на российском издании COBIT 4.1, доступном на официальном сайте ISACA.
Итак, основная идея COBIT – ориентация ИТ на бизнес. В общем случае предлагаемая методология основана на следующем принципе – для того, чтобы организация обеспечила себя информацией , которая необходима для достижения ее бизнес-целей, организация должна инвестировать и управлять ресурсами ИТ посредством структурированного комплекса процессов, которые обеспечивают сервисы ( услуги ) для предоставления информации (рис.1.3).
Требования бизнеса обуславливают и направляют инвестиции в ресурсы ИТ. Ресурсы ИТ используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с корпоративной информацией и производят ее. Результатом цикла является соответствие корпоративной информации требованиям бизнеса. COBIT выделяет следующие корпоративные требования к информации :
- полезность (результативность)– информация является значимой и имеет отношение к бизнес-процессам. Она получается регулярно, корректно, последовательно и в удобном виде;
- эффективность – информация получается посредством оптимального использования ресурсов;
- конфиденциальность – информация защищена от несанкционированного доступа и использования;
- целостность – исключено изменение информации субъектами, не имеющими на нее прав;
- доступность – субъекты, имеющие право доступа к информации , могут реализовывать его беспрепятственно;
- соответствие – информация соответствует законам, регулирующим актам и условиям контрактов.
- достоверность – руководству предоставляется вся необходимая информация для выполнения им своих обязанностей.
Рассмотрим составляющие рис.1.3 более подробно. Организация для достижения своих целей и рассмотренных требований к информации должна инвестировать средства в ИТ-область, в частности, в ресурсы. К ресурсам ИТ, согласно COBIT, относятся:
- приложения – прикладные системы и ручные процедуры для обработки информации ;
- информация – данные в любой форме, введенные, обработанные и выведенные информационными системами в любой используемой бизнесом форме;
- инфраструктура – технологии и технические средства (аппаратное обеспечение, операционные системы, СУБД, сетевое оборудование), которые обеспечивают работу приложений .
- персонал – люди и их квалификация, необходимые для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и ИТ-услуг. Персонал может быть внутренним и внешним, то есть привлеченным посредством аутсорсингового контракта.
Ресурсы ИТ обеспечивают выполнение процессов ИТ. В COBIT основные деятельности ИТ представлены в виде процессов ( об этом в следующей лекции), которые в свою очередь работают с корпоративной информацией и обеспечивают ее соответствие целям ИТ. Цели ИТ соответствуют целям и требованиям бизнеса, что в конечном итоге приводит нас к соответствию информации требованиям и целям бизнеса.
Методология COBIT (рис.1.4) связывает требования бизнеса к информации и управлению ею с целями ИТ.
Вот какие преимущества внедрения COBIT описаны в самом стандарте:
- достижение большего соответствия ИТ бизнесу, основанное на потребностях последнего;
- деятельность ИТ становится понятной бизнесу;
- процессный подход дает возможность четкого определения ролей и ответственностей;
- обеспечение большего соответствия требованиям регуляторов и законодательства;
- понимание заинтересованных сторон, основанное на построении тесного взаимодействия и использовании общего языка;
- выполнение требований COSO к контролю в сфере ИТ. COSO является общепризнанной методологией внутреннего контроля в организациях в целом (COBIT – для внутреннего контроля ИТ).
Подход к управлению ИТ, предлагаемый COBIT, позволит гарантировать согласованность целей бизнеса и ИТ, внедрение адекватных и своевременных мер контроля в соответствии с лучшими практиками и осуществить мониторинг эффективности ИТ.
Между тем существуют сложившиеся определения самой информационной безопасности и примыкающего к ней круга понятий. Иногда они различаются у различных специалистов (или школ). Случается, что в определениях просто используют синонимы, иногда — меняются местами даже целые группы понятий. Поэтому первоначально необходимо четко определиться с основными понятиями информационной безопасности.
Под информационной безопасностью будем понимать состояние защищенности информации и информационной среды от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации [3, с. 4].
Самая распространенная модель информационной безопасности базируется на обеспечении трех свойств информации: конфиденциальность, целостность и доступность.
Конфиденциальность информации означает, что с ней может ознакомиться только строго ограниченный круг лиц, определенный ее владельцем. Если доступ к информации получает неуполномоченное лицо, происходит утрата конфиденциальности. Для некоторых типов информации конфиденциальность является одним из наиболее важных атрибутов (например, данные стратегических исследований, медицинские и страховые записи, спецификации новых изделий, сведения о клиентах банка и их счетах, а также совершаемых ими операций по указанным счетам, сведения о кредиторах, налоговые данные и т. п.).
Целостность информации определяется ее способностью сохраняться в неискаженном виде. Неправомочные, и не предусмотренные владельцем изменения информации (в результате ошибки оператора или преднамеренного действия неуполномоченного лица) приводят к потере целостности. Целостность особенно важна для данных, связанных с функционированием объектов критических инфраструктур (например, управления воздушным движением, энергоснабжения и т. д.), финансовых данных.
Доступность информации определяется способностью системы предоставлять своевременный беспрепятственный доступ к информации субъектам, обладающим соответствующими полномочиями. Уничтожение или блокирование информации (в результате ошибки или преднамеренного действия) приводит к потере доступности. Доступность — важный атрибут для функционирования информационных систем, ориентированных на обслуживание клиентов (системы продажи железнодорожных билетов, распространения обновлений программного обеспечения) [3, с. 4].
Кроме перечисленных трех свойств дополнительно выделяют еще два свойства, важных для информационной безопасности: аутентичность и апеллируемость.
Апеллируемость — возможность доказать, что автором является именно данный человек и никто другой.
Как учебная и научная дисциплина информационная безопасность исследует природу перечисленных свойств информации, изучает угрозы этим свойствам, а также методы и средства противодействия таким угрозам (защита информации).
Как прикладная дисциплина информационная безопасность занимается обеспечением этих ключевых свойств, в частности, путем разработки защищенных информационных систем [3, с.5].
С развитием общества развивались и информационные технологии, применяемые для обеспечения информационной безопасности. Однако, наряду с постоянным совершенствованием технических средств и программных средств защиты, важным был и остается вопрос выработки профессионального подхода к управлению и систематическому обследованию информационных технологий по международным стандартам, что позволяет компенсировать на первый взгляд невидимые, но существенные недостатки в организации производственных процессов. Построение грамотной структуры управления, создание эффективной вертикали принятия решения и системы контроля напрямую зависят от состояния информационных технологий, от их эффективности, производительности, безопасности, надежности и других не менее важных показателей [4]. Таким образом, перед руководителем неоспоримо возникает проблема выбора методологического средства, на основе которого будет построена система управления и контроля. На сегодняшний день ощутимого недостатка в стандартах нет. Такие стандарты, как ISO 27001, ISO 27002, ITIL и другие, уже применяются и в российской практике, более того, интерес к ним неизменно растет. Все они практически в равной степени наделены определенными преимуществами и недостатками, прежде всего из-за функциональной направленности и специфической области применения. Любому же пользователю интересен, прежде всего, комплексный подход к решению, тем более в таком объемном и многогранном вопросе, как управление и контроль ИТ. Рассмотрим более подробно одно из существующих решений — стандарт CobiT.
CobiT — подход к управлению информационными технологиями, созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association — ISACA) и Институтом руководства ИТ (IT Governance Institute — ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании [2].
История развития стандарта CobiT может быть представлена в виде следующего рисунка (рис. 1).
Рис. 1. Эволюция стандарта CobiT[1]
Первая редакция стандарта увидела свет в 1996 году. Стандарт CobiT, сохраняя преемственность основным принципам и идеям, постоянно совершенствовался. На сегодняшний день ряд предприятий постепенно переходят на его пятую версию.
Именно COBIT 5 будет детально рассмотрен в рамках данной работы. Прежде отметим, что структура стандарта была заложена в предыдущих его версиях, в основном в третьей. Редакции 4.0 и 4.1, созданные в 2005 и 2007 годах соответственно, практически без изменений переняли схему структуры предшествующей им версии. Чего нельзя сказать о пятой версии, о чем наглядно говорит представленный ниже рисунок (рис. 2).
Рис. 2. Семейство продуктов COBIT 5[1]
Необходимо отметить, что модель процессов, выстраиваемая на базе CobiT, предпочтительней других подходов, в основе которых не лежат бизнес-процессы организации (методики и стандарты аудита производителей программно-аппаратных средств), по нескольким причинам.
Во-первых, по определению: процесс — это действие, направленное на достижение результата, при оптимальном использовании ресурсов, и которое может корректироваться при его выполнении. При выполнении процесса все задействованные ресурсы структурируются и выстраиваются таким образом, чтобы максимально эффективно выполнять этот процесс.
Во-вторых, процессы в подавляющем большинстве организаций, а особенно их цели не так часто изменяются, по сравнению с организационными объектами (организационно-штатная структура: сотрудники, отделы, департаменты и т. д.).
В-третьих, развертывание информационной системы или внедрение информационных технологий не может быть ограничено спецификой одного отдела или департамента, а затрагивает руководителей, пользователей из других подразделений и ИТ-специалистов. Таким образом, прикладные системы (прикладное программное обеспечение то, что видит пользователь) — это неотъемлемая часть структуры CobiT и могут быть стандартно оценены, как и прочие объекты контроля CobiT, в рамках единой структуры и с применением единых метрик.
Для этого CobiT выделяет высокоуровневые цели контроля (ВЦК), по одной на каждый ИТ-процесс, которые группируются в домены. Предлагаемая структура объединяет все аспекты информации и технологий, поддерживающих ее. Применяя эти высокоуровневые цели контроля, руководитель может быть уверен, что ему будет предоставлена адекватная система контроля над ИТ-средой, которая учитывает задействованные ресурсы ИТ, дающая возможность оценить ИТ по предлагаемым CobiT семи критериям оценки информации. В дополнение к изложенным выше свойствам конфиденциальности и целостности, необходимо следующие 5 критериев или свойств:
- Эффективность — актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации.
Продуктивность — обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов.
- Пригодность — предоставление информации по требованию бизнес-процессов.
- Согласованность — соответствие законам, правилам и договорным обязательствам.
- Надежность — доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия [4].
Как и в предшествующих версиях CobiT, в пятой версии стандарта также предусмотрено выделение высокоуровневых целей контроля или ИТ-процессов. Отметим, что, учитывая особенности разработчика стандарта, структура ВЦК была переведена и представлена в удобном для восприятия варианте (рис. 3).
Рис. 3. Высокоуровневые цели контроля COBIT 5[1]
Помимо изложенного, стандарт COBIT 5 пропагандирует разделение традиционного управления (менеджмента) и управления информационными технологиями. Это обоснованно следующими принципами:
1) Направлен на удовлетворение потребностей заинтересованного лица.
2) Охватывает всю деятельность предприятия.
3) Основан на применении единой интегрированной структуры.
4) Реализует целостный подход.
5) Направлен на разделение руководства ИТ от менеджмента [1].
На наш взгляд, это вполне разумно и обоснованно: это может разгрузить традиционный менеджмент на выполнение, пусть часто и рутинных, но необходимых процессов для надлежащего функционирования предприятия, и в свою очередь позволит качественно управлять ИТ-ресурсами. В любом случае, оба направления управления не будут перегружены.
В заключение отметим, что сама информационная безопасность как научная и прикладная область деятельности постоянно развивается. Как правило, это обеспечивается постоянным совершенствованием технических и программных средств защиты. Здесь особое место занимает совершенствование методологии управления и аудита ИТ и основанных на них ресурсов. Стандарт CobiT является лучшим комплексным решением для этого. Его пятая версия, на наш взгляд, наилучшим образом соответствует потребностям предприятия в информационной безопасности — любого предприятия, а не только в сфере информационных технологий.
3. Амелин Р. В. Информационная безопасность Учебно-методическое пособие по вопросам информационной безопасности
Основные термины (генерируются автоматически): COBIT, информационная безопасность, ISO, контроль, Стандарт, ISACA, наилучший образ, неуполномоченное лицо, преднамеренное действие, программное средство защиты.
Стандарт COBIT
В основу стандарта CobiT положено следующееутверждение: "Д ля предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов " .
Для этого CobiT выделяет 34 высокоуровневые цели контроля , по одной на каждый ИТ процесс, которые сгруппированы в 4 домена :
Планирование и Организация ;
Проектирование и Внедрение;
Эксплуатация и Сопровождение;
Ресурсы ИТ в CobiT описаны пятью составляющими:
1. Данные – объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а такжеграфика, звук и т.д.
2. Приложения – совокупность автоматизированных и выполняемых вручную процедур.
3. Технология – аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа.
4. Оборудование – все ресурсы, создающие и поддерживающие информационные технологии.
5 . Люди – персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.
Критерии оценки информации:
Эффективность – актуальность информации, соответствующего бизнес_процесса, гарантия своевременного и регулярного получения правильной информации.
Продуктивность – обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов.
Конфиденциальность – обеспечение защиты информации от неавторизованного ознакомления.
Целостность – точность, полнота и достоверность информации в соответствии с требованиями бизнеса.
Пригодность – предоставление информации по требованию бизнес - процессов.
Согласованность – соответствие законам, правилам и договорным обязательствам.
Надежность – доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.
Схема CobiT, объединяющая 34 ИТ_процесса и учитывающая критерии информации и ресурсы ИТ на всем протяжении жизненного цикла, представлена на рисунке ниже.
3. Объекты контроля . В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.
4. Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ служб.
5. Принципы аудита. Правила проведения ИТ аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.
6. Набор инструментов внедрения стандарта – практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.
Причины применения стандарта CobiT для управления и аудита ИТ
После проведения ИТ_аудита с использованием принципов аудита, изложенных в CobiT, организация получит возможность:
1. Оценить степень соответствия ИТ - организации требованиям бизнеса.
2. Определить приоритеты основных ИТ - процессов.
3. Выявить критически важные элементы ИТ.
4. Выявить и оценить факторы риска.
5. Определить степень адекватности мер, принимаемых для управления рисками.
6. Оценить степень защищенности компании от чрезвычайных происшествий и их последствий.
7. Реализовать рекомендации по обеспечению бесперебойности функционирования ИТ.
8. Создать план работ по устранению недостатков и разработать способы их устранения.
Читайте также: