Введение в COBIT
10.05.2017
Как родилась эта статья? Занятый подготовкой учебного курса по аудиту безопасности информационных систем, автор не смог обойти вниманием COBIT – стандарт ориентированный, прежде всего, на руководство организации и на ИТ аудиторов и регламентирующий вопросы управления ИТ.
Александр Астахов, CISA, 2003
Введение
COBIT является синтезом четырех десятков международных стандартов (де-юре и де-факто) в области управления ИТ, аудита, контроля и информационной безопасности. Его основной стратегической задачей является ликвидация разрыва между руководством организации с их видением бизнес целей и ИТ департаментом, осуществляющим поддержку важнейшей для любой современной организации информационной инфраструктуры, которая должна работать на достижение этих целей. Задача эта очевидно является сильно нетривиальной, что подтверждается бросающейся в глаза неоднозначностью явления под названием COBIT.
Многократное повторение одних и тех же, в сущности весьма немудренных, мыслей в одной и той же, либо слегка модифицированной форме, сделало возможным при подготовке курса опустить большинство параграфов без потери смысла. Стремление сделать этот стандарт как можно более универсальным и независящим не от технических платформ, не от отраслевых особенностей функционирования организации возводит авторов на такой высокий уровень абстракции, с которого порой перестает видиться предмет изучения. Впрочем стиль изложения и используемая терминалогия также оставляют желать много лучшего. Другими словами, несмотря на уникальность, всеобъемлемость, универсальность COBIT и важность затрагиваемых вопросов, он производит весьма неоднозначное впечатление.
Получившаяся статья является изложением основных положений COBIT с точки зрения ИТ аудитора. Автор даже смеет надеятся на то, что она может заменить чтение самого стандарта, т.к. он старался не упустить не одной ключевой мысли, а также схемы, модели, понятия и т.п., являющихся полезными для практики. «Руководство по аудиту» (Audit Guideline) здесь изложено в полном объеме, также как и «Концептуальное ядро COBIT» (COBIT Framework), являющее основой для понимания всех основных положений стандарта. Однако данная работа не является переводом COBIT, за исключением Приложений для которых был сделан практически дословный перевод соответствующих разделов стандарта, чтобы читатель смог получить более точное представление об этом документе и стиле изложения материала в нем.
Используемая терминология
Дадим определение нескольким ключевым для COBIT понятиям, на которых строится все изложение и которые, скорее всего, могут вызвать неоднозначность толкования у читателей.
Control
Механизм управления
Политики, процедуры, практики и организационные структуры, предназначенные для предоставления обоснованных гарантий достижения бизнес целей, а также предоствращения, детектирования и корректировки нежелательных событий.
Control Objective
Задача управления
Формулировка желаемого результата или цели, которые должны быть достигнуты путем реализации механизмов управления в рамках конкретного ИТ процесса.
COBIT
Задачи управления для информационных и смежных технологий
Control Objectives for Information and related Technology - Международный стандарт, определяющий набор универсальных задач управления ИТ, ориентированных, прежде всего, на руководство организации и на ИТ аудиторов.
COBIT Framework
Концептуальное ядро COBIT
Набор основополагающих принципов и понятий, высокоуровневых задач управления, а также модель управления ИТ, на базе которых строятся все положения COBIT. Основная концепция COBIT предполагает построение механизмов управления в ИТ исходя из того, какая информация необходима для поддержания бизнес целей и удовлетворения требованиям бизнеса. При этом информация рассматривается как результат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов.
IT Governance
Система управления информационными технологиями
Структура взаимосвязей и процессов, определяющих направление и осуществляющих управление предприятием с целью достижения бизнес целей путем получения добавленной стоимости при наличие баланса между величиной рисков и возвратом инвестиций, сделанных в ИТ.
Остальные важные для COBIT понятия определяются по ходу изложения.
История создания COBIT
COBIT является результатом обобщения мирового опыта, международных и национальных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. В состав интернациональной команды разработчиков COBIT входят специалисты государственных и коммерческих предприятий, учебных заведений и фирм, специализирующихся на вопросах безопасности и управления ИТ.
Первая версия стандарта была выпущена в 1996 году Организацией Аудита и Контроля Информационных Систем (Information Systems Audit and Control Foundation (ISACF)). Она включала в себя Концептуальное ядро (COBIT Framework), определяющее набор основополагающих принципов и понятий в области управления ИТ, описание Задач управления (Control Objectives) и «Руководство по аудиту» (Audit Guideline). Вторая версия COBIT была опубликована в 1998 году. Она содержала переработанную версию высокоуровневых и детальных Задач управления, дополненных «Набором Инструментов Внедрения» (Implementation Tool Set). Третья редакция стандарта была выпущена уже Институтом управления ИТ (IT Governance Institute), учрежденным Ассоциацией Аудита и Контроля ИС (Information Systems Audit and Control Association (ISACA)) совместно с ISACF с целью дальнейшего развития и популяризации принципов управления ИТ. Институт управления ИТ в настоящее время является основным разработчиком COBIT. В третьей версии стандарта появилось «Руководство для менеджеров» (Management Guidelines) в основе которого лежит понятие «Система управления ИТ» (IT Governance).
Структура и состав документов
В состав третьей редакции COBIT входит несколько книг, включая Резюме для руководства (Executive Summary), Концептуальное ядро (Framework), Руководство по менеджменту (Management Guideline), Руководство по аудиту (Audit Guideline), Детальные задачи управления (Detailed Control Objectives), и Набор инструментов внедрения (Implementation Tool Set).
Описанная структура COBIT показана на рисунке.
Резюме для руководства
Резюме для руководства (Executive Overview) служит введением в остальные разделы стандарта. Оно содержит общие сведения о стандарте, определяет Миссию COBIT (COBIT Mission) и понятие Системы управления ИТ (IT Governance).
Эффективное управление ИТ является чрезвычайно важным фактором для выживания и успеха организации. Многие организации осознают потенциальные выгоды, связанные с использованием высоких технологий. Однако только успешные организации способны адекватно оценивать и управлять рисками, связанными с внедрением этих технологий. Система управления ИТ (IT Governance) в настоящее время признается ключевой частью Системы управления предприятием (Enterprise Governance). Это понятие является одним из основных в COBIT. Система управления ИТ определяется в COBIT как структура взаимоотношений и процессов, задающих направление и осуществляющих управление предприятием с целью достижения бизнес целей путем получения добавленной стоимости при наличии баланса между величиной рисков и возвратом инвестиций, сделанных в ИТ.
COBIT является инструментом, позволяющим руководству предприятия обеспечить переход от постановки бизнес задач к вопросам управления ИТ, помогая установить должный уровень понимания рисков и преимуществ, связанных с использованием ИТ и реализовать эффективную систему управления ИТ, направленную на достижение бизнес целей предприятия.
Миссия COBIT состоит в исследовании, разработке, рекламе и продвижении международного набора авторитетных, отвечающих современным требованиям, общепризнанных Задач управления (Control Objectives) ИТ для повседневного использования бизнес менеджерами и аудиторами.
Таким образом, COBIT является связующим звеном между бизнес рисками, задачами управления и технической инфраструктурой. Он представляет лучшие практики, объединенные в структуру доменов и процессов, которые позволяют оптимизировать инвестиции в ИТ и предоставляют критерии для оценки эффективности управления ИТ.
COBIT ориентирован прежде всего на ИТ менеджеров, руководителей предприятий и владельцев бизнес процессов, которые должны убедиться в наличие системы внутреннего контроля, поддерживающей бизнес процессы и устанавливающей роль каждого механизма управления в работе по удовлетворению требований к информационному обеспечению бизнеса.
Эффективность управления ИТ ресурсами выражается в COBIT посредством критериев эффективности, продуктивности, конфиденциальности, целостности, доступности, соответствия и надежности информации, определяемых ниже. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ (IT Control Objective) является формулировка желаемого результата или цели, которые должны быть достигнуты путем реализации механизмов управления в рамках ИТ процесса.
Концептуальное ядро
Концептуальное ядро COBIT (COBIT Framework) представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на базе которых строятся все положения COBIT. Основная концепция COBIT предполагает построение механизмов управления в ИТ исходя из того, какая информация необходима для поддержания бизнес целей и удовлетворения требованиям бизнеса. При этом информация рассматривается как результат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов.
Концептуальное ядро COBIT предоставляет владельцу бизнес процесса инструмент для реализации стратегии управления ИТ. Отправным пунктом является следующее утверждение:
ДЛЯ СВОЕВРЕМЕННОГО И ПОЛНОГО ПОЛУЧЕНИЯ ИНФОРМАЦИИ, НЕОБХОДИМОЙ ОРГАНИЗАЦИИ ДЛЯ ДОСТИЖЕНИЯ БИЗНЕС ЦЕЛЕЙ, УПРАВЛЕНИЕ ИТ РЕСУРСАМИ ДОЛЖНО ОСУЩЕСТВЛЯТЬСЯ ПРИ ПОМОЩИ НАБОРА ЕСТЕСТВЕННЫМ ОБРАЗОМ СГРУППИРОВАННЫХ ПРОЦЕССОВ.
Концептуальное ядро COBIT сформировано из набора 34 высокоуровневых задач управления (одна задача для каждого ИТ процесса), сгруппированных в четыре домена: планирование и организация, комплектование и внедрение, предоставление и поддержка, и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 задач управления, позволяет гарантировать владельцу бизнес процесса, что система управления ИТ является адекватной задачам бизнеса.
В настоящее время существует как модели управления бизнесом, так и специализированные модели управления ИТ. Целью COBIT является обеспечение перехода от первых ко вторым. COBIT оперирует на более высоком уровне абстракции нежели технологические стандарты в области управления ИТ.
Для достижения целей бизнеса информация должна удовлетворять определенным критериям, которые в COBIT называются бизнес требованиями к информации. Выделяют следующие классы бизнес требований:
Требования качества:
- Качество
- Стоимость
- Доставка
Требования доверия:
- Эффективность и производительность операций
- Надежность информации
- Соответствие нормативным документам
Требования безопасности:
- Конфиденциальность
- Целостность
- Доступность
На основе перечисленных классов требований в COBIT определяются следующие, в некоторой степени пересекающиеся, категории бизнес требований к информации (информационные критерии):
Эффективность
effectiveness
актуальность и уместность информации для бизнес процесса, а также ее своевременность, корректность, непротиворечивость и практичность
Продуктивность
efficiency
предоставление информации путем наиболее оптимального (продуктивного и экономичного) использования ресурсов
Конфиденциальность
confidentiality
защищенность информации от несанкционированного раскрытия
Целостность
integrity
точность и полнота информации, а также ее обоснованность с точки зрения ценностей и ожиданий бизнеса
Доступность
availability
возможность получения необходимой информации в течение времени, определяемого требованиями бизнеса (также включает защиту информации и ее носителей от похищения или уничтожения)
Соответствие
compliance
соответствие информации законам, распоряжениям и соглашениям, регулирующим бизнес процесс
Надежность
reliability
предоставление руководству информации, пригодной для использования в управлении, для подготовки финансовой и других видов отчетности
В COBIT определяются следующие классы ИТ ресурсов:
Данные
data
информационные объекты в самом широком смысле слова (внешние и внутренние), структурированные и не структурированные, графические и звуковые и т.п.
Прикладные системы
application systems
включают в себя не только автоматизированные (программные), но и ручные процедуры
Технологии
technology
технические средства, операционные системы, системы управления данными, сетевое оборудование и программное обеспечение, мультимедиа и т.д.
Средства поддержки
facilities
вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИС
Люди
people
сотрудники предприятия со своими навыками и опытом, необходимыми для планирования, организации, комплектования, сопровождения, поддержки и мониторинга информационных систем и сервисов
Например, при реализации ИТ-процесса «управления финансовыми потоками организации при помощи электронных платежных систем», задействованы все виды ИТ-ресурсов включая:
- данные в виде электронных ордеров, электронных ключей, используемых для шифрования и подписи этих ордеров при отправке в банк, выписок о состоянии счетов, полученных из банка, а также бумажные оригиналы этих документов;
- прикладные системы, включающие в себя ПО Банк-Клиент, а также ручные процедуры связанные с подготовкой, верификацией, подписанием бумажных документов и формирование электронных платежек в системе Банк-Клиент;
- технологии, используемые для реализации электронных платежей, включая рабочие места операторов платежной системы, телекоммуникационное оборудование (модемы, каналообразующее оборудование и линии связи), ОС на базе которой функционирует ПО системы Банк-Клиент, СУБД используемая для хранения электронных ордеров и квитанций, полученных из банка;
- средства поддержки, включая излолированное помещение, в котором установлен АРМ оператора системы Банк-Клиент и физические средства контроля доступа в это помещение в виде электронных замков и видеокамер;
- людские ресурсы – это сотрудники бухгалтерии организации, выполняющие функции по формированию, верификации, подписанию, отправке электронных ордеров и т.п., а также технические специалисты, отвечающие за администрирование и сопровождение системы Банк-Клиент.
Денежные средства и капитал не рассматриваются в качестве ИТ ресурсов, т.к. они являются средствами инвестирования в любой из перечисленных классов ресурсов.
Структура управления ИТ, отражающая взаимосвязь между бизнес целями, ИТ ресурсами и информационными критериями, показана на рисунке.
Для удовлетворения бизнес требований к информации адекватные механизмы управления ИТ ресурсами должны быть определены и внедрены. С этой целью и определяется набор задач управления для ИТ процессов.
Концептуальное ядро COBIT состоит из высокоуровневых задач управления и общей структуры, определяющей их классификацию, в которой выделяются три уровня управления ИТ ресурсами. На самом нижнем уровне находятся конкретные действия и задачи позволяющие получать измеримый результат.
Например, эффективность решения задач по поддержке пользователей измеряется временными нормативами, учет выполнения которых осуществляется в службе HelpDesk. Временные нормативы по выполнению заявок пользователей, регистрируемых через службу HelpDesk могут выглядеть например следующим образом:
№№ |
Класс заявки |
Срок исполнения заявки |
Оборудование |
Не более 8 часов |
|
1 |
Оргтехника (принтер, факс, копир, сканер) |
Не более 4 часов |
2 |
Периферийное устройство (клавиатура, мышь) |
Не более 2 часов |
3 |
Персональный компьютер |
Не более 2 часов |
4 |
Проектор |
Не более 4 часов |
5 |
Сервер |
Не более 2 часов |
6 |
Сетевое оборудование |
Не более 2 часов |
7 |
Телефонный аппарат |
Не более 8 часов |
8 |
Турникеты на проходных |
Не более 8 часов |
На более высоком уровне находятся ИТ процессы, включающие в себя набор действий и задач, нацеленных на достижение бизнес целей. На самом высоком уровне абстракции ИТ процессы объединяются в домены, соответствующие распределению областей ответственности в организационной структуре предприятия.
Концептуальное ядро COBIT может рассматриваться с трех точек зрения:
- (1) информационные критерии
- (2) ИТ ресурсы
- (3) ИТ процессы
Эти три элемента управления ИТ могут быть представлены в виде «Модели куба» (COBIT Cube), изображенной на рисунке.
Четыре высокоуровневых домена управления определяются следующим образом:
Планирование и организация
planning and organization
Этот домен включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес целей. Реализация стратегических замыслов должна быть спланирована и согласована. Должна быть создана соответствующая организационная и ИТ инфраструктура.
Комплектование и внедрение
acquisition and implementation
Для реализации ИТ стратегии должны быть идентифицированы, разработаны и/или приобретены соответствующие ИТ решения, которые также должны быть внедрены и интегрированы в бизнес процессы. Этот домен также включает в себя внесение изменений в ИТ системы.
Предоставление и поддержка
delivery and support
Этот домен включает обработку данных прикладными системами, предоставление требуемых информационных сервисов, обеспечение безопасности и непрерывности бизнеса, обучение и техническую поддержку.
Мониторинг
monitoring
Качество и соответствие ИТ процессов установленным требованиям должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления ИТ в организации, а также независимый контроль со стороны внутренних и внешних аудиторов.
Механизмы управления (и соответствующие задачи управления) не обязательно способствуют реализации всех бизнес требований к информации в равной степени. С этой точки зрения, по отношению к информационным критериям, они делятся на следующие категории:
Первичные
Primary (P)
Задача управления оказывает прямое влияние на соответствующий информационный критерий
Вторичные
Secondary (S)
Задача управления оказывает косвенное влияние на соответствующий информационный критерий
Пустые
Blank (B)
Задача управления хотя и может оказывать какое-то влияние на соответствующий информационный критерий, однако это влияние не является определяющим
Точно так же, механизмы управления задействуют ИТ ресурсы не в равной степени, поэтому концептуальное ядро COBIT для каждой цели контроля определяет ИТ ресурсы, управление которыми осуществляется в рамках рассматриваемого ИТ процесса.
Например, в рамках высокоуровневой задачи управления «Определение стратегического плана развития ИТ» из домена «Организация и планирование» задействованы все виды ИТ-ресурсов, включая данные, прикладные системы, технологии, средства поддержки и людские ресурсы; а задача управления «Определение архитектуры информационных ресурсов» из того же домена имеет непосредственное отношение только к данным и прикладным системам, используемым для работы с этими данными.
В COBIT все 34 высокоуровневых ИТ процесса группируются по четырем доменам, как показано на рисунке.
Концептуальное ядро COBIT ограничивается описанием высокоуровневых целей контроля для каждого из 34 ИТ процессов в форме, представленной на следующей схеме.
Управление ИТ процессом, удовлетворяющее Бизнес требованию (Business Requirements), обеспечивается формулировкой задачи управления (Control Statement), для которой должны быть рассмотрены потенциально применимые практики управления (Control Practices).
В следующей таблице представлены сгруппированные по доменам ИТ процессы с указанием информационных критериев, на которые оказывает влияние задача управления, и ИТ ресурсов, задействованных в ИТ процессе.
Детальные задачи управления
Для каждого из 34 ИТ процессов, описанных в Концептуальном ядре COBIT, определяется набор Детальных задач управления (Detailed Control Objectives) (всего их насчитывается 318). Каждая задача управления содержит формулировку ожидаемых результатов или целей, которые необходимо достигнуть путем реализации конкретных процедур управления в рамках ИТ процесса.
Так, ИТ-процесс «Управление рисками» включает в себя такие детальные задачи управления, как разработка стратегии и методологии анализа рисков, планирование и проведение обследования, идентификация рисков и оценка их величины, разработка плана уменьшения величины существующих рисков до приемлемых значений и обоснованный выбор контрмер, адекватных существующим рискам. Еще одной задачей управления является использование процесса «Управления рисками» руководством организации в качестве инструмента, предоставляющего сведения для решения задач стратегического планирования и реализации внутренних механизмов контроля.
Формулировки задач управления в COBIT носят в максимальной степени абстрактный характер, что делает их независимыми от конкретных программно-аппаратных платформ и характера деятельности организации.
Задачи управления ориентированы на руководство организации, персонал ИТ департамента, подразделения внутреннего контроля и аудита, а также на владельцев бизнес процессов. Они служат в качестве рабочего справочника для всех субъектов управления, содержащего определение минимального набора механизмов управления, необходимых для обеспечения эффективности, продуктивности, и экономии ресурсов.
Руководство по менеджменту
Руководство по менеджменту (Management Guidelines) позволяет руководству предприятия реализовать более эффективные стратегии управления ИТ, установить контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг, давать сравнительную оценку достижения бизнес целей и оценивать производительность в рамках каждого ИТ процесса.
Определяемые в COBIT Модели зрелости организации (Maturity Models), позволяют руководству организации оценить текущее состояние ИТ процессов в сравнении с лучшими примерами в данной отрасли, и определить возможности для их совершенствования.
В целом в «незрелых» организациях успешность ИТ проектов полностью основана на личности Администратора – «универсала». Система управления и какая-либо еще система (кроме операционной системы J), в деятельности ИТ отдела отсутствует. Вплоть до того, что с уходом «универсала» все может вообще перестать работать. С повышением уровня зрелости организации повышается роль системы управления и понижается роль Администратора. Администраторы становятся взаимозаменяемыми, а наличие отточенных навыков в узкой предметной области и специальных знаний, начинает цениться выше универсальности. Такая система выгодна для организации, но не выгодна для Администратора – «универсала». Этим объясняется то сопротивление со стороны ИТ специалистов, с которым сталкиваются руководители ИТ отделов, внедряющие систему управления ИТ. Самый высокий уровень зрелости достигают организации, в которых ИТ-система, как совокупность программного обеспечения, оборудования, средств связи, а также специалистов, действующих в рамках стандартизированных ИТ-процессов, представляет собой хорошо отлаженный механизм, обеспечивающий эффективное управление информационными ресурсами организации. В такой организации все ИТ процессы оптимизированы на основе требований стандартов и лучшей мировой практики управления ИТ и информационные системы могут быть легко адаптированы к требованиям бизнеса.
Всего определяется следующие шесть уровней зрелости системы управления ИТ организации:
- На нулевом, самом нижнем уровне, о зрелости речь вообще не идет, системы управления ИТ как таковой не существует, а необходимость ее создания не осознается. Наблюдается полное отсутствие управляемых ИТ процессов. Все ключевые ИТ роли выполняются «незаменимыми» сотрудниками, часто являющиеся «универсалами», т.е. мастерами на все руки. Общая стратегия развития ИТ отсутствует. Действия «универсалов» часто между собой не согласованы. При необоснованно завышенных расходах на ИБ в такой организации совокупный результат как правило близок к нулю. Если зависимость этой организации от ИТ большая, то в такую организацию инвесторам не выгодно вкладывать деньги.
- В организациях, находящихся на первом уровне зрелости, руководство начинает осознавать необходимость реализации комплексного подхода к управлению ИТ, что вызвано большой зависимостью этих организаций от ИТ и большими расходами, недающими видимых результатов. На этом уровне еще не существует стандартизированных ИТ-процессов и преобладает фрагментарный подход к их реализации. Руководство только начинает задумаваться о получении возврата инвестиций, сделанных в ИТ, не располагая однако методикой оценки их эффективности. Для решения каждой задачи ИТ специалистами каждый раз вырабатываются собственные подходы. Связь между бизнес целями и деятельностью ИТ департамента отсутствует. На этом уровне в настоящее время находятся многие российские предприятия, которые вынуждены вкладывать значительные средства в развитие и поддержание работоспособности своих ИС.
- На втором уровне зрелости уже существуют стандартизированные ИТ процессы, однако они недокументированы и пока не являются частью системы управления. Фактически они реализуются в виде стандартной практики отдельных ИТ специалистов. На этом уровне необходимость планомерного внедрения системы управления ИТ уже ни у кого не вызывает сомнений, активно разрабатываются показатели эффективности ИТ-процессов, внедряются процессы планирования, мониторинга и предоставления ИТ услуг, устанавливаются взаимосвязи между ИТ и бизнес процессами, разрабатывается стратегия развития ИТ. Руководство организации принимает активное участие в формировании управляемых ИТ-процессов, для которых уже существуют базовые методы оценки эффективности. Однако, сказывается недостаток опыта управления ИТ, используется только ограниченное количество механизмов управления и показателей эффективности.
- Если на первых трех уровнях зрелости преобладает администратор – «универсал», то начиная с четвертого уровня преобладающей становится роль «системы управления». На этом уровне все процедуры стандартизированы и задокументированы, а сотрудники обучены их использованию. Деятельность ИТ отдела регламентирована этими процедурами. Однако механизмы контроля качества выполнения процедур пока не работают, а сами процедуры далеки от совершенства и об их оптимизации говорить не приходится.
- Пятый уровень зрелости характеризуются наличием системы контроля качества ИТ процессов. Эта система осуществляет непрерывный мониторинг ИТ процессов, устанавливает стандарты качества и контролирует соответствие ИТ процессов установленным стандартам. Наличие системы контроля качества позволяет выявлять неэффективно работающие механизмы управления ИТ системой и постоянно работать над повышением их эффективности. Пятый уровень – это уровень, на котором существуют управляемые ИТ-системы.
- На высшем уровне система управления ИТ отличается от предыдущего по существу лишь более высоким уровнем оптимизации ИТ процессов, которые являются управляемыми и измеряемыми. Информация о выполнении каждого ИТ процесса фиксируется. ИТ является эффективным инструментом
Критические Факторы Успеха (Critical Success Factors) определяют наиболее важные ориентированные на руководство методы внедрения системы управления ИТ процессами. Это наиболее важные задачи, решение которых способствует достижению целей ИТ-процессов. К числу наиболее общих факторов успеха, применимых к любому ИТ-процессу, относятся:
- стандартизация ИТ-процессов и их нацеленность на достижение целей бизнеса;
- определение групп пользователей ИТ-процессов и их требований;
- обеспечение масштабируемости ИТ-процессов и оптимального управления ресурсами в рамках этих процессов;
- качество персонала информационной системы (квалификация, моральные качества и т.п.);
- использование финансовых метрик для измерения производительности ИТ-процессов и премирование руководителей ИТ отделов на основании результатов этих измерений;
- наличие процедур контроля и повышения качества ИТ-процессов.
Ключевые Индикаторы Целей (Key Goal Indicators) определяют критерии для оценки достижения бизнес целей при помощи ИТ процессов. Примерами наиболее общих целей ИТ-процессов являются:
- доступность информационных ресурсов, систем и сервисов;
- минимизация рисков, связанных с нарушением целостности и конфиденциальности данных;
- снижение себестоимости ИТ-процессов;
- и т.п.
Ключевые Индикаторы Производительности (Key Performance Indicators) определяют критерии для оценки производительности ИТ процессов в достижении ими бизнес целей организации. Примерами наиболее общих индикаторов производительности служат:
- время реакции системы;
- степень утилизации пропускной способности сети или вычислительных мощностей;
- повышение качества и совершенствование функциональности информационных сервисов;
- и т.п.
Использование описанных показателей (индикаторов) позволяет реализовать стандартизированные, управляемые и измеряемые ИТ-процессы. Например, по отношению к ИТ-процессу «Обеспечение антивирусной защиты корпоративной сети» в качестве ключевых индикаторов целей выступают минимизация количества заражений вирусами компьютеров, подлюченных к сети, а также минимизация последствий таких заражений. Критическими факторами успеха являются перекрытие всех возможных каналов распространения компьютерных вирусов (включая проколы, используемые для взаимодействия с сетью Интернет: HTTP, FTP, SMTP и т.п., а также флоппи дисководы и разделяемые сетевые ресурсы), регулярность обновлений антивирусных баз данных и оптимальность настроек антивирусного программного обеспечения. Ключевыми показателями эффективности данного ИТ-процесса являются количество обнаруживаемых и успешно обезвреживаемых вирусов, а также скорость и качество реагирования на инциденты, связанные с заражением компьютерными вирусами.
Руководство по менеджменту позволяет находить ответы на следующие вопросы: Как далеко следует заходить и компенсируются ли затраты получаемой прибылью? Что является индикатором хорошей производительности? Что является критическими факторами для достижения успеха? Каковы риски, в случае, если поставленные цели не будут достигнуты? Что делают другие?
Набор инструментов внедрения
Набор инструментов внедрения (Implementation Tool Set) содержит разъяснения ключевых концептуальных положений COBIT, пошаговое описание процесса внедрения COBIT в деятельность организации и примеры внедрения. Он включает в себя следующие компоненты:
- Обзорная часть
- Руководство по внедрению, включая примеры меморандумов и презентаций
- Инструментарий, помогающий анализировать структуру управления ИТ организации: Диагностика осведомленности руководства (Management Awareness Diagnostic) и Диагностика ИТ управления (IT Control Diagnostic)
- Часто задаваемые вопросы и ответы на них
Процесс внедрения COBIT в деятельность организации состоит из следующих последовательных этапов:
- Определение бизнес целей на основе Концептуального ядра COBIT
- Выбор ИТ процессов и механизмов управления с использованием высокоуровневых и детальных задач управления
- Согласование программы внедрения с бизнес планом
- Оценка существующих процедур и результатов внедрения механизмов управления при помощи «Руководства по аудиту»
- Оценка текущего статуса организации, идентификация критичных действий ведущих к успеху и измерение производительности в достижении целей организации при помощи «Руководства по менеджменту»
Уроки внедрения COBIT на предприятиях по всему миру указывают на необходимость вовлечения высшего руководства организации в дискуссии на эту тему уже на ранней стадии проекта внедрения. Следует быть готовым дать разъяснения основных концепций COBIT (в форме обзора и на более детальном уровне), сопровождаемые примерами успешных внедрений в других организациях.
Выводы
COBIT является международным стандартом, определяющим набор универсальных задач управления ИТ, ориентированных, прежде всего, на руководство организации и на ИТ аудиторов. Уникальность и основная ценность COBIT заключается в том, что он предлагает модель, обеспечивающую взаимосвязь между бизнес целями и ИТ процессами.
В состав третьей редакции COBIT входит несколько книг, включая Резюме для руководства, Концептуальное ядро, Руководство по менеджменту, Руководство по аудиту, Детальные задачи управления и Набор инструментов внедрения.
«Резюме для руководства» служит введением в остальные разделы стандарта. Оно содержит общие сведения о стандарте, определяет Миссию COBIT и понятие Системы управления ИТ. «Концептуальное ядро COBIT» представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на базе которых строятся все положения стандарта. «Руководство по менеджменту» позволяет руководству предприятия реализовать более эффективные стратегии управления ИТ, установить контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг, давать сравнительную оценку достижения бизнес целей и оценивать производительность в рамках каждого ИТ процесса. «Набор инструментов внедрения» дает разъяснения ключевых концепций, пошаговое описание и примеры успешного внедрения COBIT в организациях по всему миру. «Руководство по аудиту» позволяет производить проверку реализации каждого из 34 высокоуровневых ИТ процессов на предмет выполнения каждой из 318 детальных задач управления, что дает возможность аудитору гарантировать адекватность реализованной системы управления ИТ и формировать рекомендации по ее улучшению.
Несмотря на все присущие COBIT недостатки, которые не позволяют считать этот документ эталоном выражения передового опыта в области управления и аудита ИТ, знакомство с этим стандартом является весьма полезным для ИТ аудиторов, ИТ менеджеров и руководителей организаций.
Ссылки
- COBIT 3rd Edition, Released by the COBIT Steering Committee and the IT Governance Institute, July 2000
- Астахов А.М., Аудит безопасности информационных систем, ISACA.RU, 2002
- Астахов А.М., Введение в COBIT, Директор ИС №7, 2003