ITIL-, MOF-, ITSM- und COBIT-Standards. Warum benötigen Sie die besten Praktiken für das IT-Infrastrukturmanagement?

Fragen der Informationssicherheitsprüfung werden derzeit von verschiedenen Prüfungsgesellschaften und -organisationen bearbeitet, von denen viele Mitglieder von Regierungs- und Nichtregierungsverbänden sind. Berühmteste Internationale Organisation in der Wirtschaftsprüfung tätig Informationssysteme ist ISACA, auf deren Initiative ein Konzept für Igemäß den Anforderungen der Informationssicherheit entwickelt wurde.

Basierend auf diesem Konzept werden die Elemente der Informationstechnologie beschrieben und Empfehlungen zur Organisation des Managements und zur Gewährleistung eines Informationssicherheitsregimes gegeben. Das Konzept ist in einem Dokument namens COBIT 3rd Edition (Control Objectives for Information and Related Technology) beschrieben, das aus vier Teilen besteht

· Teil 1 - Kurzbeschreibung Konzepte (Zusammenfassung);

· Teil 2 – Definitionen und Grundkonzepte (Framework).

Zusätzlich zu den Anforderungen und Grundkonzepten werden in diesem Teil die Anforderungen an diese formuliert;

· Teil 3 – Spezifikationen von Kontrollprozessen und möglichen Werkzeugen (Kontrollziele);

Der dritte Teil dieses Dokuments ähnelt in gewisser Weise dem internationalen Standard BS 7799. Es werden ungefähr die gleichen Details angegeben praktische Empfehlungen zum Thema Informationssicherheitsmanagement, allerdings sind die Modelle der Managementsysteme in den verglichenen Standards sehr unterschiedlich. COBIT-Standard - Paket offene Dokumente, dessen erste Auflage 1996 erschien. COBIT beschreibt ein universelles Modell für das Management der Informationstechnologie, dargestellt in Abb. 2.2

Reis. 2.2.

Kurz gesagt wird die Hauptidee des COBIT-Standards wie folgt ausgedrückt: Alle Ressourcen des Informationssystems müssen durch eine Reihe natürlich gruppierter Prozesse verwaltet werden, um dem Unternehmen die notwendigen und zuverlässigen Informationen bereitzustellen. Das COBIT-Modell enthält Ressourcen Informationstechnologien(IT), die die Informationsquelle darstellen, die im Geschäftsprozess verwendet wird. Informationstechnologie muss den Anforderungen des Geschäftsprozesses gerecht werden. Diese Anforderungen sind wie folgt gruppiert.

Zu den Anforderungen an die Qualität der Technologie gehören zunächst Indikatoren für die Qualität und Kosten der Informationsverarbeitung sowie die Merkmale ihrer Übermittlung an den Empfänger. Qualitätsindikatoren beschreiben detailliert mögliche negative Aspekte, die in verallgemeinerter Form in die Konzepte Integrität und Verfügbarkeit einfließen. Darüber hinaus umfasst diese Gruppe Indikatoren, die sich auf die subjektiven Aspekte der Informationsverarbeitung beziehen, zum Beispiel: Stil, Benutzerfreundlichkeit von Schnittstellen. Merkmale der Informationsübermittlung an den Empfänger sind Indikatoren, die im Allgemeinen zu den Indikatoren der Verfügbarkeit und der teilweisen Vertraulichkeit und Integrität gehören. Das betrachtete Indikatorensystem wird im Risikomanagement und bei der Bewertung der Wirksamkeit der Informationstechnologie eingesetzt. Zweitens ist Vertrauen in die Technologie eine Gruppe von Indikatoren, die die Übereinstimmung eines Computerinformationssystems mit anerkannten Standards und Anforderungen, die Zuverlässigkeit der im System verarbeiteten Informationen und seine Wirksamkeit beschreiben. Drittens In– Vertraulichkeit, Integrität und Verfügbarkeit der im System verarbeiteten Informationen.

Der COBIT-Standard beschreibt die folgenden Phasen der Durchführung eines Audits.

Unterzeichnung des Vertrags und der ersten Genehmigungsdokumentation. In dieser Phase werden die verantwortlichen Personen seitens des Auftraggebers und der Prüfungsgesellschaft bestimmt, der Prüfungsumfang festgelegt, die kontrollierten Elemente des Informationssystems angegeben und die erforderliche Dokumentation erstellt und abgestimmt. Basierend auf den Ergebnissen einer Vorprüfung des gesamten Informationssystems erfolgt eine eingehende Prüfung der aus Sicht der Prüfung verdächtigen Systemkomponenten.

Sammlung von Informationen mithilfe des COBIT-Standards, der in diesem Fall regelt die Zusammensetzung der Kontrollobjekte des untersuchten Systems. Der Detaillierungsgrad der Beschreibung von Kontrollobjekten wird in der Phase der Erstellung der ersten Genehmigungsdokumentation festgelegt. Gleichzeitig versuchen sie, ein optimales Gleichgewicht zwischen Zeit, Kosten und sonstigen Kosten für die Beschaffung erster Daten und ihrer Bedeutung für die Zwecke der Studie zu erreichen. Die Bandbreite der Darstellung der Quelldaten reicht von binären Antworten wie JA/NEIN bis hin zu detaillierten Berichten. Die Hauptanforderung an Informationen ist ihre Nützlichkeit, das heißt, die Informationen müssen verständlich, relevant (relevant) und zuverlässig (zuverlässig) sein.

Die Analyse der Quelldaten erfolgt nur unter Berücksichtigung verlässlicher Quelldaten. Die Anforderungen an die Analyse werden bereits im Stadium der Erstdatenerhebung festgelegt. Der COBIT-Standard empfiehlt die Verwendung der im Standard beschriebenen Datenanalysetechniken, bei Bedarf ist jedoch die Verwendung ISACA-autorisierter Entwicklungen anderer Verbandsmitglieder zulässig. In der Analysephase ist es möglich, zur Informationserfassungsphase zurückzukehren, um die fehlenden Ausgangsdaten zu erhalten.

Entwicklung von Empfehlungen. Die als Ergebnis der Analyse gewonnenen Empfehlungen sind nach vorheriger Abstimmung mit dem Kunden unter Berücksichtigung der Umsetzungsrisiken auf Umsetzbarkeit und Relevanz zu prüfen. Der COBIT-Standard empfiehlt, Empfehlungen mit einem Bericht über den aktuellen Stand der Informationssysteme, Vorgaben für die Durchführung von Änderungen und einem Bericht über die durchgeführte Prüfung zu dokumentieren. Die Ergebnisse des Audits lassen sich in drei bedingte Gruppen einteilen: organisatorische, technische und methodische. Jede dieser Gruppen zielt darauf ab, die organisatorische, technische oder methodische Unterstützung des Informationssystems zu verbessern. Die Organisationsgruppe umfasst strategische Planungsbewertungen, allgemeine Geschäftsführung und Investitionen in das Informationssystem, Empfehlungen, die zur Steigerung der Wettbewerbsfähigkeit des Unternehmens beitragen, die Kosten für die Wartung des Informationssystems senken, Ergebnisse der Überprüfung der Übereinstimmung des Informationssystems mit den zu lösenden Geschäftsaufgaben, Reduzierung der Betriebskosten des Informationssystems , Risikomanagement, Projekte im Rahmen von Informationssystemen und einige andere. Die technische Ergebnisgruppe ermöglicht es uns, die Probleme von Informationssystemen besser zu verstehen und Wege zu ihrer Lösung mit minimalen Kosten zu entwickeln, technologische Lösungen zu bewerten, das volle Potenzial neuer Technologien auszuschöpfen, Sicherheitsprobleme systematisch zu lösen und eine professionelle Prognose der Funktionsweise durchzuführen und die Notwendigkeit, Informationssysteme zu modernisieren, die Effizienz des Informationssystems zu steigern und den Servicegrad von Informationssystemen zu bestimmen. Methodische Ergebnisse ermöglichen es uns, bewährte Ansätze zur strategischen Planung und Prognose, zur Optimierung des Dokumentenflusses und zur Steigerung bereitzustellen Arbeitsdisziplin, Schulung von Administratoren und Benutzern von Informationssystemen, Beschaffung zeitnaher und objektiver Informationen über den aktuellen Stand des Informationssystems des Unternehmens.

Unterzeichnung von Berichtsakten zur Abnahme der Arbeiten mit einem Zeitplan für spätere Inspektionen, Entwicklung zusätzlicher Dokumentationen wie langfristige und kurzfristige Pläne für die Entwicklung von Informationssystemen, eines Plans zur Wiederherstellung des Informationssystems in Notfallsituationen, Vorgehensweise bei Sicherheitsverstößen, Konzept der Sicherheitspolitik. Ständige Audits gewährleisten die Funktionsfähigkeit des Systems. Daher ist die Erstellung eines Zeitplans für Folgeaudits eine der Voraussetzungen für die Durchführung eines professionellen Audits.

Jede funktionierende Informationstechnologie im COBIT-Modell durchläuft die folgenden Lebenszyklusphasen:

Planung und Organisation der Arbeit. In dieser Phase werden Strategie und Taktiken für die Entwicklung der Informationstechnologie im Interesse der Erreichung der wichtigsten Geschäftsziele festgelegt und anschließend Umsetzungsfragen geklärt: Aufbau einer Systemarchitektur, Lösung technologischer und organisatorischer Probleme, Sicherung der Finanzierung usw. Insgesamt gibt es in dieser Phase 11 Hauptaufgaben.

Akquise und Inbetriebnahme. Die in dieser Phase getroffenen Entscheidungen müssen dokumentiert und geplant werden. In dieser Phase sind 6 Hauptaufgaben gelöst.

Lieferung und Support. In dieser Phase gibt es 13 Hauptaufgaben, die den Betrieb der Informationstechnologie sicherstellen sollen.

Überwachung. Informationstechnische Prozesse müssen auf Übereinstimmung ihrer Parameter mit den genannten Anforderungen überwacht und überwacht werden. In dieser Phase sind 4 Hauptaufgaben gelöst. Insgesamt identifiziert der COBIT-Standard 34 Aufgaben Höchststufe Informationsverarbeitung (Abb. 2.2).

Zusätzlich zu den traditionellen Eigenschaften von Informationen – Vertraulichkeit, Integrität und Verfügbarkeit – nutzt das Modell zusätzlich 4 weitere Eigenschaften – Effektivität, Effizienz, Einhaltung formaler Anforderungen und Zuverlässigkeit. Diese Eigenschaften sind nicht unabhängig, da sie teilweise mit den ersten drei zusammenhängen. Ihre Verwendung wird jedoch durch Überlegungen zur einfachen Interpretation der Ergebnisse erklärt.

Die Verwendung des COBIT-Standards ist sowohl für die Durchführung einer Prüfung des geistigen Eigentums einer Organisation als auch für die anfängliche Gestaltung eines geistigen Eigentums möglich. Die übliche Version direkter und inverser Probleme. Handelt es sich im ersten Fall um die Übereinstimmung des aktuellen Standes des IS mit der Best Practice ähnlicher Organisationen und Unternehmen, so handelt es sich im anderen Fall um ein zunächst korrektes Projekt und in der Folge nach Abschluss des Entwurfs um ein IS Streben nach dem Ideal.

Das grundlegende COBIT-Blockdiagramm (Abb. 2.2.) spiegelt die Reihenfolge, Zusammensetzung und Beziehung der Grundgruppen wider. Geschäftsprozesse (oben im Diagramm) stellen ihre Anforderungen an IS-Ressourcen, die in allen Phasen der Konstruktion und Prüfung anhand der COBIT-Bewertungskriterien analysiert werden. Vier Grundgruppen (Domänen) enthalten vierunddreißig Untergruppen, die wiederum aus dreihundertzwei Kontrollobjekten bestehen (in dieser Arbeit nicht berücksichtigt). Kontrollobjekte liefern dem Prüfer alle zuverlässigen und relevanten Informationen über den aktuellen Stand des IP.

Besonderheiten von COBIT:

1. Großer Abdeckungsbereich (alle Aufgaben von der strategischen Planung und grundlegenden Dokumenten bis zur Analyse der Funktionsweise einzelner IS-Elemente).

2. Cross-Audit (überlappende Inspektionsbereiche kritischer Elemente).

3. Anpassbarer, skalierbarer Standard.

Die Hauptvorteile von COBIT gegenüber anderen ähnlichen Standards bestehen darin, dass Sie beliebige Entwicklungen von Hardware- und Softwareherstellern nutzen und die erhaltenen Daten analysieren können, ohne die allgemeinen Ansätze und die eigene Struktur zu ändern.

Das in Abbildung 2.3 dargestellte Flussdiagramm spiegelt, wenn auch nicht im Detail, die wichtigsten Punkte für die Durchführung einer IS-Prüfung nach dem COBIT-Standard wider. Schauen wir sie uns genauer an. In der Phase der Vorbereitung und Unterzeichnung der ersten Genehmigungsdokumentation werden die Grenzen der Prüfung festgelegt:

· Prüfungsgrenzen werden festgelegt kritische Punkte IS (IS-Elemente), in denen problematische Situationen am häufigsten auftreten.

Reis. 2.3.

·Basierend auf den Ergebnissen einer Vorprüfung des gesamten IS (in erster Näherung) wird eine vertiefte Prüfung der identifizierten Probleme durchgeführt.

Gleichzeitig wird ein Audit-Team gebildet und verantwortliche Personen auf Kundenseite identifiziert. Die erforderliche Dokumentation wird erstellt und abgestimmt.

Anschließend werden Informationen über den aktuellen Zustand des IS mithilfe des COBIT-Standards gesammelt, dessen Kontrollobjekte Informationen über alle Nuancen der Funktionsweise des IS sowohl in binärer Form (Ja/Nein) als auch in Form detaillierter Berichte erhalten . Die Einzelheiten der Informationen werden in der Phase der Erstellung der ersten Genehmigungsdokumentation festgelegt. Zwischen den Kosten (Zeit, Kosten etc.) der Informationsbeschaffung und deren Wichtigkeit und Relevanz besteht ein gewisses Optimum.

Die Durchführung einer Analyse ist der kritischste Teil der Durchführung eines IP-Audits. Die Verwendung unzuverlässiger, veralteter Daten bei der Analyse ist inakzeptabel, daher ist eine Klärung der Daten und eine eingehende Informationssammlung erforderlich. Anforderungen an die Analyse werden in der Informationserfassungsphase festgelegt. Methoden zur Informationsanalyse sind im COBIT-Standard vorhanden, aber wenn diese fehlen, ist es nicht verboten, von der ISACA autorisierte Entwicklungen anderer Unternehmen zu verwenden.

Die Ergebnisse der Analyse bilden die Grundlage für die Erarbeitung von Empfehlungen, die nach vorheriger Abstimmung mit dem Kunden unter Berücksichtigung von Umsetzungsrisiken auf Umsetzbarkeit und Relevanz überprüft werden müssen.

In der Phase der Entwicklung zusätzlicher Dokumentation werden Arbeiten zur Erstellung von Dokumenten durchgeführt, deren Fehlen oder Mängel zu Störungen beim Betrieb des Informationssystems führen können. Beispielsweise eine gesonderte vertiefte Betrachtung von IP-Sicherheitsthemen.

Ständige Prüfungen garantieren die Stabilität der Funktionsweise des IS, daher gehört die Erstellung eines Zeitplans für Folgeprüfungen zu den Ergebnissen einer professionellen Prüfung.

Informationssicherheitsaudit

BeschreibungCOBIT 5 und seine Anwendung

Unzureichender Informationsaustausch

Viele Leiter von IT-Abteilungen sowie Vertreter der obersten Unternehmensleitung erkennen zunehmend, dass die Mitarbeiter der IT-Abteilungen die Bedürfnisse des Unternehmens besser verstehen müssen. Darüber hinaus ist es notwendig, die Prozesse der Interaktion mit Unternehmensvertretern ständig zu verbessern, da der Informationsaustausch zwischen der Geschäftseinheit und den IT-Abteilungen meist unbefriedigend ist.

Es gibt drei Hauptpunkte, auf die jeder IT-Manager achten sollte:

Interaktion mit der Wirtschaft;
Einschätzung der IT-Rentabilität;
effektives IT-Budgetmanagement.

Um diese Aktivitäten umzusetzen, können Sie die Informationstechnologie-Management-Methodik COBIT 5 verwenden.

COBIT 5 bietet einen umfassenden Ansatz, der Unternehmen dabei hilft, die Herausforderungen zu meistern, die mit der Leitung und Verwaltung ihrer Unternehmens-IT-Services verbunden sind. Einfach ausgedrückt ermöglicht es Unternehmen, den Wert ihrer IT zu optimieren, indem sie ein Gleichgewicht zwischen der Erzielung von Vorteilen und der Reduzierung von Risiken und Ressourcennutzung wahren. Mit COBIT 5 können Sie bauen das ganze System unternehmensweite IT-Governance und -Management, die alle Funktionsbereiche der Geschäfts- und IT-Verantwortung abdeckt und die IT-bezogenen Interessen interner und externer Stakeholder berücksichtigt. COBIT 5 ist ein Allzwecktool, das für Unternehmen unabhängig von ihrer Größe und unabhängig davon, ob sie gewinnorientiert, gemeinnützig oder im öffentlichen Sektor tätig sind, nützlich sein kann.

Diese Methodik besteht aus einer Reihe von Dokumenten im Bereich IT-Management, die vom gemeinnützigen Verein ISACA entwickelt werden.

Die Geschichte von COBIT begann im Jahr 1996, als die 1969 gegründete ISACA die erste Version der IT-Bewertungsmethodik veröffentlichte. Die Weiterentwicklung erfolgte 1998 - Version 2, 2000 - Version 3, 2005 wurde Version 4 veröffentlicht. 2007 wurde Version 4 fertiggestellt und 2007 begann sie, den Index 4.1 zu tragen. Derzeit nutzen Wirtschaftsprüfer zwei Versionen parallel, 4.1 und 5, die 2012 veröffentlicht wurden und im professionellen Umfeld nur an Bedeutung gewinnen.

COBIT ist mittlerweile mit vielen anderen Standards und Best Practices wie ISO 20000, ISO 27000, ISO 38500, ISO 31000, ISO 9000, ITIL, PRINCE2, PMBOK, CMMI, TOGAF, Basel II und anderen verknüpft. In den meisten Fällen enthält der Text Links zu bestimmten Kapiteln in den Quellen.

Viele Menschen interessieren sich für die Frage, was der Unterschied zwischen COBIT 5 und ist vorherige Version?

Dies ist zunächst einmal die Anwendung eines Integrationsansatzes, der das IT-Management, das in Version 4.1 war, das IT-Investitionsmanagement, das in Val IT 2.0 beschrieben wurde, sowie das IT-Risikomanagement kombiniert.

Eingeführt neues System Bewertungen basieren auf ISO 15504 und sind nicht mit dem CMM kompatibel.

Es ist jedoch erwähnenswert, dass COBIT 5 auf Vorgängerversionen basiert, sodass Unternehmen, die frühere Versionen verwenden, nahtlos auf die neue migrieren können.

Wichtige Änderungen in COBIT 5:

Neue Governance-Grundsätze für das IT-Unternehmen (GEIT). COBIT 5 basiert auf fünf Schlüsselprinzipien für die Governance und das Management von Unternehmens-IT-Funktionen, die es Unternehmen zusammen ermöglichen, effektive Governance- und Managementsysteme aufzubauen, die die Investitionen in Informationen und Technologie und deren Nutzung zum Nutzen der Stakeholder optimieren.
Erhöhte Aufmerksamkeit für Unterstützungssysteme (Enabler). In der Vorgängerversion gab es keinen direkten Hinweis auf Sicherheiten, obwohl diese indirekt vorhanden waren.
Es gibt eine neue Domäne und mehrere neue und modifizierte Prozessmodelle.

COBIT 5 konsolidiert COBIT 4.1, Val IT und Risk in einem einzigen Framework und wurde aktualisiert, um es an aktuelle Best Practices anzupassen – z. B. ITIL, TOGAF. Das neue Modell kann als Leitfaden verwendet werden, um Prozesse im eigenen Unternehmen bei Bedarf anzupassen (wie COBIT 4.1).

COBIT 5 führt fünf neue Governance-Prozesse ein.
Übung und Aktivität. COBIT 5 vereint und aktualisiert alle bisherigen Methoden, nämlich COBIT 5, Val IT und Risk IT, in einem neuen Modell und macht es so benutzerfreundlicher bei der Umsetzung von Verbesserungen
Ziele und Kennzahlen wurden überarbeitet und erweitert. COBIT 5 bietet eine überarbeitete Kaskade von Zielen, die auf Geschäftszielen basieren und IT-Ziele im Zusammenhang mit der Unterstützung geschäftskritischer Prozesse definieren.
Eingaben und Ausgaben werden in jeder Prozesskontrollpraxis angeboten, im Gegensatz zu Version 4.1, wo es nur Vorschläge auf Prozessebene gab.
Erweiterte RACI-Diagramme auf Praxismanagementebene. In COBIT 4.1 befanden sich RACI-Diagramme nur auf Prozessebene. In COBIT 5 ist dies auf der Ebene der Praxisverwaltung angesiedelt.
Ein neuer Prozess zur Bewertung des Reifegradmodells. COBIT 5 wird neue Bewertungsprozessfunktionen basierend auf ISO/IEC 15504 als Alternative zum CMM-Ansatz unterstützen. COBIT 4.1, Val IT und Risk basierten auf der CMM-Bewertung, die als inkompatibel mit dem ISO/IEC 15504-Ansatz gilt, da diese Methoden unterschiedliche Attribute und Skalen zur Messung verwenden.

COBIT 5 besteht also aus den folgenden Domänen:

Es lohnt sich, darauf zu achten, wie COBIT die Konzepte GOVERNANCE und MANAGEMENT definiert.

Governance – bietet eine Analyse der Bedürfnisse, Bedingungen und Möglichkeiten der Stakeholder, um ausgewogene und konsistente Unternehmensziele festzulegen; Festlegung der Entwicklungsrichtung durch Priorisierung und Entscheidungsfindung; und Überwachung der Ausführung und Einhaltung der vereinbarten Richtung und Ziele. In den meisten Organisationen obliegt die allgemeine Leitung einem Vorstand, der von einem Vorsitzenden geleitet wird.

Management – entwirft, baut, führt und kontrolliert Aktivitäten gemäß der vom Leitungsgremium vorgegebenen Richtung, um die Ziele des Unternehmens zu erreichen. In den meisten Organisationen liegt die Führung in der Verantwortung der Geschäftsleitung unter der Leitung des CEO.

Zertifizierungssystem in COBIT5

Die Hauptziele von COBIT 5 im Bereich IT:

Fokussierung der IT auf Geschäftsanforderungen;
Unterstützung bei der Steigerung der Vorteile für Unternehmen;
rationeller Einsatz von IT-Ressourcen;
IT-Risiken werden angemessen gemanagt.

Mit COBIT können Sie:

Geschäftsziele mit in der IT implementierten Prozessen verknüpfen;
Machen Sie eine Einschätzung aktuelle Prozesse IT-Management;
Es genügt, sich schnell ein ganzheitliches Bild über die IT-Prozesse im Unternehmen und deren Zusammenhänge zu machen;
Nutzen Sie die Methodik als Quelle für Best Practices für die Organisation von IT-Prozessen;
Legen Sie die notwendigen Kennzahlen fest, um die Wirksamkeit von IT-Prozessen zu bewerten.
Bestimmen Sie anhand der durchgeführten Messungen den Vektor der weiteren Entwicklung;
Organisieren Sie eine effektive Kommunikation mit Unternehmen.

Die meisten Veröffentlichungen, einschließlich des COBIT-Frameworks, sind kostenlos und nach Registrierung auf der ISACA-Website verfügbar. Weitere Dokumente wie Technologie-Audit-Programme oder Implementierungsleitfäden können online direkt auf der Website erworben werden. Streng genommen kostet die Mitgliedschaft bei ISACA Geld, aber sie gibt Ihnen das Recht, auf viele nützliche Dokumente zuzugreifen, die nicht immer öffentlich zugänglich sind.

Jetzt gibt es ein ins Russische übersetztes COBIT 4.1-Buch, aber es wird bereits an der Übersetzung einer neuen, fünften Version gearbeitet.

Informationstechnologie und Unternehmensmanagement Baronov Vladimir Vladimirovich

COBIT-Standard

Der COBIT-Standard befindet sich derzeit in seiner dritten Auflage und wird von der ISACA-Vereinigung gefördert und unterstützt. Die erste Auflage erfolgte im Jahr 1996. Der Standard wird in etwa 30 Büchern beschrieben (einige Quellen geben 34 Bücher an).

Es besteht aus vier Domänen:

Planung und Organisation;

Design und Umsetzung;

Betrieb und Instandhaltung;

Überwachung,

COBIT erfüllt alle allgemein anerkannten globalen Standards und Richtlinien, einschließlich:

ISO, EDIFACT usw.;

IP- und Prozessbewertungskriterien: ITSEC, TCSEC, ISO 9000, SPICE, TickIT usw.;

COSO, IFAC, IIA, AICPA, GAO, PCIE, ISACA usw.;

Herstellungsstandards und Anforderungen der Industrieforen ESF, I4 usw.;

Spezielle Branchenanforderungen.

Der Kernsatz von COBIT lautet: „Ressourcen von Informationssystemen werden durch eine Reihe natürlich gruppierter Prozesse verwaltet, um der Organisation die Informationen bereitzustellen, die sie benötigt, und um ihr Vertrauen zu schenken.“ Der gesamte Standard baut auf dieser Aussage auf.

COBIT Informationstechnologiemanagement

Das Management der Informationstechnologie erfolgt unter Berücksichtigung der Bedürfnisse des Unternehmens. Hierzu müssen Informationskriterien definiert werden. Die Organisation der IT-Abteilung sollte auf einzelnen Prozessen und nicht auf Funktionen basieren.

Planungsebenen im Informationstechnologiemanagement:

Strategisch;

Taktisch.

Konkrete Planungshorizonte sind nicht festgelegt.

Strategische Aspekte, die beim Einsatz von IT zu berücksichtigen sind:

Verfügt die Organisation über Informationstechnologien, die alle Informationsbedürfnisse „befriedigen“?

Über welche Infrastruktur verfügt die Organisation, wie wird das Risiko gemanagt und wie abhängig ist die Organisation davon?

Vor welchen Herausforderungen steht eine Organisation beim Management der Informationstechnologie?

Taktische Fragen:

Was ist das Ergebnis von IT-Prozessen?

Was ist die Lösung für Probleme in der Informationstechnologie?

Funktionieren diese Lösungen?

Wie setzt man sie um?

Ziele des Informationstechnologiemanagements:

Zugriff auf Geräte;

Identifizierung interagierender Parteien;

Physische Sicherheit;

Umfrage;

Kontinuierliches Krisenmanagement;

Personalsicherheit;

Vermeidung von Ausfällen und Schutz davor;

Automatische Betriebsüberwachung.

Kriterien für die Auswahl eines Informationssystems:

Die Anforderungen an Geschäftsprozesse bestehen darin, eine physische Umgebung zu schaffen, die resistent gegen menschliche Fehler sowie Hardware- und Softwarefehler ist.

Die Fähigkeiten von IT-Ressourcen bestehen darin, eine ständige Überwachung bereitzustellen, um den Betrieb von Geräten zu analysieren und Abweichungen im Betrieb zu erkennen;

Informationsanforderungen – Integrität und Verfügbarkeit.

Das allgemeine Schema der IT-Abteilungsverwaltung ist in Abb. dargestellt. 13.1.

Reis. 13.1.Managementschema der IT-Abteilung

Vergleich der Fähigkeiten (Ressourcen) der Informationstechnologie mit den Anforderungen der Geschäftsprozesse;

Effektive Nutzung der Zielressourcen:

– Bewerbungen;

- Technologien;

– Informationsmittel;

- Daten.

Die Hauptanforderung ist das Erreichen der Geschäftsziele.

Prinzipien zum Aufbau eines Informationssystems:

Vergleich der IS-Fähigkeiten (Ressourcen) mit den Geschäftsprozessanforderungen;

Effizienz;

Vertraulichkeit;

Integrität;

Verfügbarkeit;

Zuverlässigkeit.

Lassen Sie uns die Möglichkeiten der Verwendung von Zielressourcen für jeden Prozess analysieren.

Um die oben genannten Schemata umzusetzen, muss die IT-Abteilung über Folgendes verfügen:

Kritische Erfolgsfaktoren (CSF) – zur Organisation der Steuerung von IT-Prozessen;

Key Goal Indicators (KPI) – zur Überwachung der Erreichung der IT-Prozessziele;

Key-Result-Indikatoren dienen dazu, die Ergebnisse jedes IT-Prozesses zu überwachen.

Beispiele für KFU:

Die Aktivitäten des Insind in die Managementprozesse und den Managementstil der Organisation integriert.

Das Ikonzentriert sich auf die Ziele der Organisation.

Aktivitäten des Inwerden formalisiert;

Prüfmethoden sind definiert;

Es gibt eine Integration von Informationstechnologie-Managementprozessen;

Zur Überwachung der unabhängigen Prüfung wurde ein Ausschuss eingerichtet.

Kritische Erfolgsfaktoren für den Aufbau einer IT-Abteilung: Es müssen die wichtigsten Probleme formuliert werden, deren Lösung auf die Erlangung der Kontrolle über die IT-Prozesse abzielt.

Im Rahmen der Anwendung des Standards müssen wichtige Zielindikatoren (KPIs) definiert werden – eine Reihe von Messungen, die zeigen, dass Informationstechnologien die Geschäftsanforderungen erfüllen, und wichtige Ergebnisindikatoren (KRIs) – Maßnahmen, die erforderlich sind, um zu bestimmen, wie IT-Prozesse ihre Ziele erreichen. Beispiele für CIC:

Verbesserte Leistung und Kostenmanagement;

Steigende Erträge aus Investitionen in Informationstechnologie;

Verkürzung der Zeit bis zur Einführung eines neuen Produkts oder einer neuen Dienstleistung;

Erfüllung der Kundenanforderungen hinsichtlich Budget, Risikomanagementzeit usw.

Beispiele für KIR:

Steigerung der Profitabilität von IT-Prozessen;

Erhöhte Belastung der IT-Struktur;

Steigerung der Mitarbeiterproduktivität.

Derzeit wird der Standard hauptsächlich für das Investitionsmanagement und die Risikobewertung sowie für technische Audits von IT-Abteilungen einschließlich Cross-Audits verwendet (Abb. 13.2).

Reis. 13.2.Prüfung der IT-Abteilung Aus dem Buch Weltwirtschaft. Spickzettel Autor Smirnow Pawel Jurjewitsch

71. Goldmünzenstandard Das erste Weltwährungssystem entstand spontan im 19. Jahrhundert nach der industriellen Revolution auf der Grundlage des Goldmonometallismus in Form eines Goldmünzenstandards. Rechtlich wurde es durch ein zwischenstaatliches Abkommen in Paris formalisiert

Aus Buch Menschliche Aktivität. Abhandlung über Wirtschaftstheorie Autor Mises Ludwig von

72. Goldbörsenstandard Der unmittelbare Grund für die Entstehung des Goldbörsenstandards war der Erste Weltkrieg und seine Folgen. Um Militärkosten sowie Steuern, Kredite und Inflation zu finanzieren, wurde Gold als Weltgeld verwendet. Wurden vorgestellt

Aus dem Buch Buchhaltung: Spickzettel Autor Autorenteam

19. Der Goldstandard, den die Menschen gewählt haben Edelmetalle Gold und Silber dienen aufgrund ihrer mineralogischen, physikalischen und physikalischen Eigenschaften als Geld chemische Eigenschaften. Geld verwenden in Marktwirtschaft ist eine praxeologisch notwendige Tatsache. Was genau ist Gold?

Aus dem Buch Götter des Geldes. Wall Street und der Tod des amerikanischen Jahrhunderts Autor Engdahl William Frederick

79. „Standardkosten“-System Das „Standardkosten“-System ist ein System der Kostenrechnung und Kostenberechnung unter Verwendung von Standard-(Standard-)Kosten, dessen Hauptziele die Kostenverwaltung und -kontrolle, die Festlegung realer Preise,

Aus dem Buch „Ensuring Business Information Security“. Autor Andrianov V.V.

Der amerikanische Dollarstandard Sobald im September 1939 der Europäische Krieg ausbrach, der mit der Teilung Polens zwischen Hitler und Stalin begann, strömte europäisches Gold in die Vereinigten Staaten. Im Jahr 1935 wurden die offiziellen US-Goldreserven auf 9 Milliarden US-Dollar geschätzt. Bis 1940

Aus dem Buch Ein guter Handel. Verborgene Informationen über die hart umkämpfte Welt des Privathandels Autor Bellafiore Mike

2.3. Modelle COSO, COBIT, ITIL Die Struktur, die weithin unter dem Akronym COSO (The Committee of Sponsoring Organizations – Committee of Sponsoring Organizations [Treadway Commission]) bekannt ist, wurde 1985 gegründet. COSO wurde gegründet, um die Arbeit eines unabhängigen Staatsbürgers zu finanzieren

Aus dem Buch Infobusiness auf Hochtouren [Verdoppelung des Umsatzes] Autor Parabellum Andrey Alekseevich

Z-Mash: Der Goldstandard Wenn Dom und Billy Bucks Beispiele für gescheiterte Transplantationen sind, wird die Geschichte von Z-Mash anders erzählt. Auf dem Börsenparkett seines alten Unternehmens saß er umgeben von Händlern, die sich mit dem kürzlich eingeführten Hybrid nicht anfreunden konnten

Aus dem Buch Profitieren wir von der Krise des Kapitalismus... oder Wo man Geld richtig anlegt Autor Chotimski Dmitri

Standard – 21 Tage Damit sich ein Training gut verkauft, muss es lange dauern. Schulungen wie Braindump verkaufen sich sehr schlecht, weil sie die Ergebnisse nicht konsolidieren, selbst wenn die Informationen, die Sie haben, ausgezeichnet sind und Sie viele Dinge aus einer neuen Perspektive betrachten lassen. Wählen Sie daher die zweite Trainingsart

Aus dem Buch World Cabal. Raub... Autor Katasonow Valentin Jurjewitsch

Goldstandard Bis 1973 basierte die Weltwirtschaft zunächst auf einem Goldstandardsystem. Aus Sicht der Einleger lässt sich ein Bankguthaben vereinfacht dargestellt wie folgt darstellen: Geld könnte theoretisch jederzeit verfügbar sein

Aus dem Buch Twitonomics. Alles, was Sie über Wirtschaftswissenschaften wissen müssen, kurz und bündig von Compton Nick

Schuldenstandard Währungssystem in moderne Form besteht seit 1973. Geld wird derzeit durch die Schulden anderer Wirtschaftssubjekte besichert. Nach dem Schuldenstandard werden Einlagen durch Kredite besichert, die Banken an Unternehmen, Privatpersonen usw. vergeben

Aus dem Buch The Gold Standard: Theory, History, Politics Autor Autorenteam

Aus dem Buch „Es wird nicht einfach sein“ [Wie man ein Unternehmen aufbaut, wenn es mehr Fragen als Antworten gibt] von Ben Horowitz

Was ist der Goldstandard? Der Goldstandard ist ein System fester Wechselkurse: Länder vereinbaren, den Wert ihrer Währungen im Verhältnis zu einem festgelegten Goldpreis festzulegen. Von 1879 bis 1914 verwendeten viele Länder den Goldstandard zur Berechnung

Aus dem Buch des Autors

Goldmünzenstandard Die wichtigste Art von Goldstandard ist zweifellos der Goldmünzenstandard. Es ist diese Form des Goldstandards, die in den vorherigen vier Kapiteln unseres Buches hauptsächlich besprochen wurde. Da wir uns schon kennengelernt haben

Aus dem Buch des Autors

Goldbörsenstandard Obwohl im 18. und frühen 19. Jahrhundert von Zeit zu Zeit verschiedene Projekte mit einigen Merkmalen des modernen Goldbörsenstandards vorgeschlagen und einige davon umgesetzt wurden, war dies der erste vollständig durchdachte Plan für eine Goldbörse Standard

Aus dem Buch des Autors

Goldbarren-Standard Obwohl Gold in nicht spezialisierten Formen wie Sand, Nuggets, Barren usw. seit Tausenden von Jahren als Standardgeld verwendet wird und obwohl Goldbarren weithin als Standardwährung verwendet werden

Aus dem Buch des Autors

Standard Als Erstes muss man sich darüber im Klaren sein, dass nur weil ein Top-Manager einen hervorragenden Lebenslauf hat, in Vorstellungsgesprächen gute Leistungen erbringt und überzeugende Referenzen vorgelegt hat, noch lange nicht garantiert ist, dass er in Ihrem Unternehmen gute Leistungen erbringen wird. Es gibt zwei auf dieser Welt

Fragen der Informationssicherheitsprüfung werden derzeit von verschiedenen Prüfungsgesellschaften und -organisationen bearbeitet, von denen viele Mitglieder von Regierungs- und Nichtregierungsverbänden sind. Die bekannteste internationale Organisation, die sich mit der Prüfung von Informationssystemen befasst, ist ISACA, auf deren Initiative ein Konzept zur Verwaltung der Informationstechnologie gemäß den Anforderungen der Informationssicherheit entwickelt wurde.

Basierend auf diesem Konzept werden die Elemente der Informationstechnologie beschrieben, Es werden Empfehlungen zur Organisation des Managements und zur Gewährleistung des Informationssicherheitsregimes gegeben. Das Konzept ist in einem Dokument namens COBIT 3rd Edition (Control Objectives for Information and Related Technology) beschrieben, das aus vier Teilen besteht

Teil 1 – eine kurze Beschreibung des Konzepts (Executive Summary);
Teil 2 – Definitionen und Grundkonzepte (Framework). Zusätzlich zu den Anforderungen und Grundkonzepten werden in diesem Teil die Anforderungen an diese formuliert;
Teil 3 – Spezifikationen von Kontrollprozessen und möglichen Werkzeugen (Kontrollziele);
Teil 4 – Empfehlungen für die Durchführung einer Prüfung von Computerinformationssystemen (Prüfungsrichtlinien).

Der dritte Teil dieses Dokuments ähnelt in gewisser Weise dem internationalen Standard BS 7799. Praktische Empfehlungen für das Iwerden in etwa gleich detailliert bereitgestellt, die Steuerungssystemmodelle in den verglichenen Standards unterscheiden sich jedoch stark. Der COBIT-Standard ist eine Reihe offener Dokumente, deren erste Ausgabe 1996 veröffentlicht wurde. COBIT beschreibt ein universelles Modell für das Management der Informationstechnologie, dargestellt in Abb. 3.2.

Kurz gesagt wird die Hauptidee des COBIT-Standards wie folgt ausgedrückt: Alle Ressourcen des Informationssystems müssen durch eine Reihe natürlich gruppierter Prozesse verwaltet werden, um dem Unternehmen die notwendigen und zuverlässigen Informationen bereitzustellen. Das COBIT-Modell enthält Ressourcen der Informationstechnologie (IT), die die Informationsquelle darstellen, die im Geschäftsprozess verwendet wird. Informationstechnologie muss den Anforderungen des Geschäftsprozesses gerecht werden. Diese Anforderungen sind wie folgt gruppiert.

Erstens, die Anforderungen an die Qualität der Technologie sind Indikatoren für die Qualität und Kosten der Informationsverarbeitung, Merkmale ihrer Übermittlung an den Empfänger. Qualitätsindikatoren beschreiben detailliert mögliche negative Aspekte, die in verallgemeinerter Form in die Konzepte Integrität und Verfügbarkeit einfließen. Darüber hinaus umfasst diese Gruppe Indikatoren, die sich auf die subjektiven Aspekte der Informationsverarbeitung beziehen, zum Beispiel: Stil, Benutzerfreundlichkeit von Schnittstellen. Merkmale der Informationsübermittlung an den Empfänger sind Indikatoren, die im Allgemeinen zu den Indikatoren der Verfügbarkeit und teilweise zu den Indikatoren der Vertraulichkeit und Integrität gehören. Das betrachtete Indikatorensystem wird im Risikomanagement und bei der Bewertung der Wirksamkeit der Informationstechnologie eingesetzt. Zweitens, Vertrauen in die Technologie – eine Gruppe von Indikatoren, die die Übereinstimmung eines Computerinformationssystems mit anerkannten Standards und Anforderungen, die Zuverlässigkeit der im System verarbeiteten Informationen und seine Wirksamkeit beschreiben. Drittens, In– Vertraulichkeit, Integrität und Verfügbarkeit der im System verarbeiteten Informationen.

Reis. 3.2. Struktur des StandardsCOBIT

Der COBIT-Standard beschreibt die folgenden Phasen der Durchführung eines Audits.

Unterzeichnung des Vertrags und der ersten Genehmigungsdokumentation . In dieser Phase werden die verantwortlichen Personen seitens des Auftraggebers und der Prüfungsgesellschaft bestimmt, der Prüfungsumfang festgelegt, die kontrollierten Elemente des Informationssystems angegeben und die erforderliche Dokumentation erstellt und abgestimmt. Basierend auf den Ergebnissen einer Vorprüfung des gesamten Informationssystems erfolgt eine eingehende Prüfung der aus Sicht der Prüfung verdächtigen Systemkomponenten.

Sammlung von Informationen unter Verwendung des COBIT-Standards, der in diesem Fall die Zusammensetzung von Kontrollobjekten des untersuchten Systems regelt. Der Detaillierungsgrad der Beschreibung von Kontrollobjekten wird in der Phase der Erstellung der ersten Genehmigungsdokumentation festgelegt. Gleichzeitig versuchen sie, ein optimales Gleichgewicht zwischen Zeit, Kosten und sonstigen Kosten für die Beschaffung erster Daten und ihrer Bedeutung für die Zwecke der Studie zu erreichen. Die Bandbreite der Darstellung der Quelldaten reicht von binären Antworten wie JA/NEIN bis hin zu detaillierten Berichten. Die Hauptanforderung an Informationen ist ihre Nützlichkeit, das heißt, die Informationen müssen verständlich, relevant (relevant) und zuverlässig (zuverlässig) sein.

Quelldatenanalyse erfolgt ausschließlich unter Berücksichtigung verlässlicher Ausgangsdaten. Die Anforderungen an die Analyse werden bereits im Stadium der Erstdatenerhebung festgelegt. Der COBIT-Standard empfiehlt die Verwendung der im Standard beschriebenen Datenanalysetechniken, bei Bedarf ist jedoch die Verwendung ISACA-autorisierter Entwicklungen anderer Verbandsmitglieder zulässig. In der Analysephase ist es möglich, zur Informationserfassungsphase zurückzukehren, um die fehlenden Ausgangsdaten zu erhalten.

Entwicklung von Empfehlungen . Die als Ergebnis der Analyse gewonnenen Empfehlungen sind nach vorheriger Abstimmung mit dem Kunden unter Berücksichtigung der Umsetzungsrisiken auf Umsetzbarkeit und Relevanz zu prüfen. Der COBIT-Standard empfiehlt, Empfehlungen mit einem Bericht über den aktuellen Stand der Informationssysteme, Vorgaben für die Durchführung von Änderungen und einem Bericht über die durchgeführte Prüfung zu dokumentieren. Die Ergebnisse des Audits lassen sich in drei bedingte Gruppen einteilen: organisatorisch, technisch und methodischchemisch Jede dieser Gruppen zielt darauf ab, die organisatorische, technische oder methodische Unterstützung des Informationssystems zu verbessern. ZU Organisationsgruppe Dazu gehören Bewertungen der strategischen Planung, des allgemeinen Managements und der Investitionen in das Informationssystem, Empfehlungen, die dazu beitragen, die Wettbewerbsfähigkeit des Unternehmens zu steigern, die Kosten für die Aufrechterhaltung des Informationssystems zu senken, Ergebnisse der Überprüfung der Übereinstimmung des Informationssystems mit den zu lösenden Geschäftsaufgaben, Reduzierung der Betriebskosten des Informationssystems, Risikomanagement von Projekten, die innerhalb von Informationssystemen durchgeführt werden, und einige andere. TechnischGruppe Die Ergebnisse ermöglichen es Ihnen, die Probleme von Informationssystemen besser zu verstehen und Wege zu ihrer Lösung mit minimalen Kosten zu entwickeln, technologische Lösungen zu bewerten, das volle Potenzial neuer Technologien auszuschöpfen, Sicherheitsprobleme systematisch zu lösen und eine professionelle Prognose der Funktionsweise und der Notwendigkeit zu erstellen Informationssysteme modernisieren, die Effizienz des Informationssystems steigern, das Serviceniveau von Informationssystemen bestimmen. Methodische Ergebnisse ermöglichen es uns, bewährte Ansätze für strategische Planung und Prognose, Optimierung des Dokumentenflusses, Verbesserung der Arbeitsdisziplin, Schulung von Administratoren und Benutzern von Informationssystemen sowie den Erhalt zeitnaher und objektiver Informationen über den aktuellen Zustand des Informationssystems des Unternehmens bereitzustellen.

Unterzeichnung von Meldegesetzen Abnahme der Arbeiten mit einem Zeitplan für spätere Inspektionen, Entwicklung zusätzlicher Dokumentationen wie langfristige und kurzfristige Pläne für die Entwicklung von Informationssystemen, ein Plan zur Wiederherstellung eines Informationssystems in Notsituationen, Vorgehensweisen für den Fall von a Sicherheitsverletzung, ein sicherheitspolitisches Konzept. Ständige Audits gewährleisten die Funktionsfähigkeit des Systems. Daher ist die Erstellung eines Zeitplans für Folgeaudits eine der Voraussetzungen für die Durchführung eines professionellen Audits.

Jede funktionierende Informationstechnologie im COBIT-Modell durchläuft Folgendes: Lebenszyklusphasen:

Planung und Organisation der Arbeit . In dieser Phase werden Strategie und Taktiken für die Entwicklung der Informationstechnologie im Interesse der Erreichung der wichtigsten Geschäftsziele festgelegt und anschließend Umsetzungsfragen geklärt: Aufbau einer Systemarchitektur, Lösung technologischer und organisatorischer Probleme, Sicherung der Finanzierung usw. Insgesamt gibt es in dieser Phase 11 Hauptaufgaben.

Akquise und Inbetriebnahme . Die in dieser Phase getroffenen Entscheidungen müssen dokumentiert und geplant werden. In dieser Phase sind 6 Hauptaufgaben gelöst.

Lieferung und Support. In dieser Phase gibt es 13 Hauptaufgaben, die den Betrieb der Informationstechnologie sicherstellen sollen.

Überwachung. Informationstechnische Prozesse müssen auf Übereinstimmung ihrer Parameter mit den genannten Anforderungen überwacht und überwacht werden. In dieser Phase sind 4 Hauptaufgaben gelöst.

Insgesamt identifiziert der COBIT-Standard 34 Aufgaben der oberen Ebene der Informationsverarbeitung (Abb. 3.2).

Zusätzlich zu den traditionellen Eigenschaften von Informationen – Vertraulichkeit, Integrität und Verfügbarkeit – nutzt das Modell zusätzlich 4 weitere Eigenschaften – Wirksamkeit, Effizienz, Einhaltung formaler Anforderungen Und zuverlässigNess. Diese Eigenschaften sind nicht unabhängig, da sie teilweise mit den ersten drei zusammenhängen. Ihre Verwendung wird jedoch durch Überlegungen zur einfachen Interpretation der Ergebnisse erklärt.

Die Verwendung des COBIT-Standards ist sowohl für die Durchführung einer Prüfung des geistigen Eigentums einer Organisation als auch für die anfängliche Gestaltung eines geistigen Eigentums möglich. Die übliche Version direkter und inverser Probleme. Handelt es sich im ersten Fall um die Übereinstimmung des aktuellen Standes des geistigen Eigentums mit der Best Practice ähnlicher Organisationen und Unternehmen, so handelt es sich im anderen Fall um ein zunächst korrektes Projekt und infolgedessen nach Abschluss des Entwurfs um ein geistiges Eigentum Streben nach dem Ideal.

Das grundlegende COBIT-Blockdiagramm (Abb. 3.2) zeigt die Reihenfolge, Zusammensetzung und Beziehung der Grundgruppen. Geschäftsprozesse (oben im Diagramm) stellen ihre Anforderungen an IS-Ressourcen, die in allen Phasen der Konstruktion und Prüfung anhand von COBIT-Bewertungskriterien analysiert werden.

Vier Grundgruppen (Domänen) enthalten vierunddreißig Untergruppen, die wiederum aus dreihundertzwei Kontrollobjekten bestehen (in dieser Arbeit nicht berücksichtigt). Kontrollobjekte liefern dem Prüfer alle zuverlässigen und relevanten Informationen über den aktuellen Stand des IP.

Besonderheiten von COBIT:

Großer Abdeckungsbereich (alle Aufgaben von der strategischen Planung über grundlegende Dokumente bis hin zur Analyse der Funktionsweise einzelner IS-Elemente).

Cross-Audit (überlappende Inspektionsbereiche kritischer Elemente).

Ein anpassbarer, skalierbarer Standard.

Das in Abbildung 3.3 dargestellte Flussdiagramm spiegelt, wenn auch nicht im Detail, die wichtigsten Punkte für die Durchführung eines IP-Audits anhand des COBIT-Standards wider. Schauen wir sie uns genauer an.

In der Phase der Vorbereitung und Unterzeichnung der ersten Genehmigungsdokumentation werden die Grenzen der Prüfung festgelegt:

Die Grenzen der Prüfung werden durch die kritischen Punkte des IS (Elemente des IS) bestimmt, in denen Problemsituationen am häufigsten auftreten.

Basierend auf den Ergebnissen einer Vorprüfung des gesamten IS (in erster Näherung) wird eine vertiefte Prüfung der identifizierten Probleme durchgeführt.

Gleichzeitig wird ein Audit-Team gebildet und verantwortliche Personen auf Kundenseite identifiziert. Die notwendigen Unterlagen werden erstellt und freigegeben.

Ständige Prüfungen garantieren die Stabilität der Funktionsweise des IS, daher gehört die Erstellung eines Zeitplans für Folgeprüfungen zu den Ergebnissen einer professionellen Prüfung.

Anmerkung: Einführung in die COBIT-Methodik: Zweck und Grundprinzipien.

Es ist kein Geheimnis, dass die Informationen in moderne Welt spielt eine Schlüsselrolle und ist das wertvollste Gut für jede Organisation. Die Kosten für Informationen und ihre Qualität sind gestiegen Schlüsselfaktoren Geschäft. Das Brookings Institute schätzt, dass 15 % Marktwert die Organisation besteht aus materiellen Vermögenswerten und 85 % aus immateriellen Vermögenswerten. Großer Teil Das sind Informationen. Mit der Steigerung des Wertes und der Bedeutung von Informationen stieg auch der Bedarf effektives Management Informationstechnologien. Während das Unternehmen früher nicht über die Rolle und den Wert des IT-Bereichs nachgedacht hat, möchte es nun eine Interaktion herstellen, verstehen, wie die IT davon profitieren kann und was es als Unternehmen tun kann, um zur Entwicklung der IT beizutragen. Gleichzeitig besteht die Notwendigkeit, das gesammelte Wissen zu systematisieren und ein System zu schaffen Entscheidungsfindung und Kontrolle. Das Management steht vor der Frage, eine Methodik zu wählen, nach der die wesentlichen IT-Prozesse organisiert werden. Derzeit gibt es viele Standards und Methoden, die sich mit Fragen des IT-Managements befassen. Dieser Kurs konzentriert sich auf die von der ISACA-Organisation entwickelte COBIT-Methodik. Die Information Systems Audit and Control Association (ISACA) wurde 1969 für Finanzprüfer im Bereich IT-Kontrollen gegründet. Derzeit nimmt die Organisation eine führende Rolle bei der Entwicklung von IT-Prüfungsstandards ein.

Control Objectives for Information and Related Technology (COBIT) ist eine Reihe offener Dokumente, etwa 40 internationaler Standards und Richtlinien in den Bereichen IT-Governance, Auditierung und Informationssicherheit. Wörtlich wird COBIT ins Russische als „Kontrollobjekte für Informationen und verwandte Technologien“ übersetzt, aber in einigen Veröffentlichungen gibt es eine für russische Ohren vertrautere Bezeichnung: „Kontrollziele für Informationen und verwandte Technologien“.

So spricht COBIT selbst über seine Mission: „Forschung, Entwicklung, Veröffentlichung und Förderung einer maßgeblichen, modernen, international anerkannten Methodik.“ Unternehmensführung im Bereich IT, bestimmt für die Implementierung in Organisationen und den täglichen Gebrauch durch Unternehmensleiter, IT-Spezialisten und Wirtschaftsprüfer.“

Der Hauptzweck von COBIT ist also das IT-Management. Das IT-Management wiederum ist ein integraler Bestandteil Unternehmensführung. Unternehmensführung– komplex Managemententscheidungen und Praktiken, die von der Geschäftsleitung angewendet werden, um:

Festlegung der strategischen Ausrichtung;
Sicherstellung der Zielerreichung;
angemessenes Risikomanagement;
effiziente Nutzung der Unternehmensressourcen.

Unternehmensführung und IT-Governance erfordern ein Gleichgewicht zwischen Compliance- und Leistungszielen, die von der Geschäftsleitung festgelegt werden. Verantwortung für Unternehmensführung liegt beim Vorstand und der Geschäftsleitung.

COBIT verwendet den Begriff Stakeholder. Hierzu zählen zunächst einmal:

Vorstand und Geschäftsleitung – Festlegung der Richtungen für die IT-Entwicklung, Bewertung der Ergebnisse und Anforderungen zur Behebung von Mängeln;
Geschäftsbereichsleiter – Definieren Sie Geschäftsanforderungen für die IT, stellen Sie sicher, dass IT-Vorteile erzielt werden, und verwalten Sie Risiken.
IT-Services-Management – Bereitstellung und Verbesserung von IT-Services entsprechend den Geschäftsanforderungen;
Interne Revision/Interner Kontrolldienst (ICS)/IT-Audit – Bereitstellung einer unabhängigen Beurteilung, ob die IT die erforderlichen Dienste bereitstellt;
Risikomanagement und Compliance – Bewertung der Einhaltung regulatorischer Dokumente unter Berücksichtigung von Risiken.

Das Schlüsselkonzept von COBIT ist Service oder Service. Was ist es? COBIT selbst beantwortet diese Frage nicht, sondern liefert lediglich Beispiele. Die Bereitstellung eines Internetzugangs oder die sichere Speicherung von Informationen ist eine Dienstleistung. Nehmen wir die Definition aus ITIL-Publikationen, die sich ebenfalls dem Service Management widmen. Dienst oder Dienst (von englisch service)– eine Möglichkeit, den Kunden einen Mehrwert zu bieten, indem man ihnen hilft, die von den Kunden gewünschten Ergebnisse zu erzielen, ohne dass ihnen dabei besondere Kosten und Risiken entstehen. Die Erbringung von Dienstleistungen ist eine komplexe und nicht triviale Aufgabe, die in erster Linie ein System der internen Kontrolle erfordert.

COBIT-Grundprinzipien:

IT-Ziele müssen mit den Geschäftszielen übereinstimmen;
Verwendung eines Prozessansatzes;
das IT-Kontrollsystem muss selektiv sein, das heißt, die wichtigsten IT-Ressourcen identifizieren und mit ihnen arbeiten;
Kontrollziele müssen klar definiert sein.

Der moderne Ansatz des Service Managements betont die Interaktion zwischen Business und IT. Früher wurde der IT-Bereich von Unternehmen oft als etwas Unwichtiges und Nicht-Erforderliches wahrgenommen besondere Aufmerksamkeit. Da der Gewinn des Unternehmens nun direkt von der Informationstechnologie abhängt, möchte das Management verstehen, welchen Nutzen die IT bringen kann, welche Mittel dafür investiert werden müssen und wie die Ergebnisse überwacht und gemessen werden können. Die IT wiederum sollte sich in erster Linie an den Geschäftsanforderungen orientieren und sich nicht nur von ihren Zielen und Fähigkeiten leiten lassen. Zusammenfassend verstehen wir das erste Prinzip von COBIT – Geschäfts- und IT-Ziele sollten miteinander verbunden sein, aber der Anführer dieser „Beziehung“ sind die Geschäftsziele.

Das zweite Prinzip ist die Verwendung eines Prozessansatzes. COBIT identifiziert 34 IT-Prozesse, die in vier Domänen gruppiert sind. Diese Struktur ermöglicht es Ihnen, den Bereich zu systematisieren und die Organisation der Informationen bereitzustellen, die zum Erreichen Ihrer Geschäftsziele erforderlich sind.

Das Prinzip des Rankings von Ressourcen ist klar. Sie sollten nicht alle Ressourcen überwachen, sondern nur diejenigen, die Geschäftsprozesse und deren Ergebnisse beeinflussen.

Das Setzen von Zielen ist vielleicht eine der schwierigsten und wichtigsten Aufgaben. Im globalen Sinne verfolgen Management und Manager zwei Ziele – das Erreichen von Geschäftszielen und die Verhinderung unerwünschter Ereignisse (oder die Korrektur ihrer Folgen). Beispielsweise wird die Investition in ein Backup-System dem Unternehmen nicht direkt helfen, das heißt, es wird ihm keinen direkten Nutzen bringen. Im Falle eines Fehlers kann es jedoch hilfreich sein, die Informationen und die normale Funktion schnell wiederherzustellen. Eine weitere wichtige Frage für das Management ist, wo Verbesserungen erforderlich sind, wie viel in sie investiert werden sollte und wie die Ergebnisse gemessen werden können. COBIT stellt dem IT-Management eine Methodik zur Verfügung, um Antworten auf diese Fragen zu finden.

Ein wesentlicher Bestandteil des IT-Managements ist die Prozessbewertung auf Basis der von COBIT vorgeschlagenen Reifegradmodelle.

COBIT identifiziert die folgenden Schlüsselbereiche der IT-Governance (Abbildung 1.1):

Reis. 1.1.

Durch die Strategieausrichtung wird sichergestellt, dass Business und IT aufeinander abgestimmt und ausgerichtet sind;
Der Versorgungsbetrieb ist dafür verantwortlich, zu erkennen, was dem Unternehmen einen Mehrwert bringen kann, sicherzustellen, dass die IT die in der Strategie definierten Vorteile liefert, die Kosten zu optimieren und den wahren Wert der IT nachzuweisen.
Das Ressourcenmanagement ist verantwortlich für die Verwaltung kritischer IT-Ressourcen, die Optimierung von Investitionen und die ordnungsgemäße Verwaltung von Anwendungen, Informationen, Infrastruktur und Personal.
Das Risikomanagement erfordert ein Risikobewusstsein der obersten Führungsebene, ein klares Verständnis des Unternehmensansatzes, die Einhaltung von Transparenzanforderungen hinsichtlich wesentlicher Risiken und die Einbeziehung von Risikomanagementfunktionen in die Praktiken der Organisation.
Die Leistungsmessung ist für die Überwachung der Umsetzung von Strategie, Plänen, Ressourcennutzung und Prozesseffizienz verantwortlich.

COBIT ist konzipiert für:

Geschäftsleitung und Vorstand;
Unternehmens- und IT-Management;
Fachleute in bestimmten Bereichen (Sicherheit, Management, Audit usw.).

Hier sind die Produkte, die COBIT 4.1 enthält:

Board Briefing zur IT-Governance, 2. Auflage. Gedacht für die Geschäftsleitung, um Fragen dazu zu beantworten, warum IT wichtig ist, wie man damit umgeht und wie man sie verwaltet.
IT-Governance-Implementierungsleitfaden: Verwendung von COBIT und Val IT TM, 2. Auflage. Beschreibt den Prozess der Implementierung der COBIT- und Val IT-Methoden.
COBIT-Kontrollpraktiken: Leitfaden zum Erreichen von Kontrollzielen für eine erfolgreiche IT-Governance, 2. Auflage. Erklärt, warum Kontrollen erforderlich sind und wie man sie organisiert.
Leitfaden zur IT-Sicherheit: Verwendung von COBIT. Erklärt, wie COBIT verwendet wird, um die Zuverlässigkeit sicherzustellen.

Reis. 1.2.

Reis. 1.3.

Geschäftsanforderungen treiben und steuern Investitionen in IT-Ressourcen. IT-Ressourcen werden zur Ermöglichung und Unterstützung von IT-Prozessen eingesetzt. IT-Prozesse arbeiten mit Unternehmensinformationen und produzieren diese. Das Ergebnis des Zyklus ist, dass Unternehmensinformationen den Geschäftsanforderungen entsprechen. COBIT beschreibt die folgenden Unternehmensinformationsanforderungen:

Nützlichkeit (Effektivität) – Informationen sind sinnvoll und relevant für Geschäftsprozesse. Es wird regelmäßig, korrekt, konsistent und in bequemer Form beschafft;
Effizienz - Informationen werden erhalten durch optimale Nutzung Ressourcen;
Vertraulichkeit – Informationen sind vor unbefugtem Zugriff und unbefugter Nutzung geschützt;
Integrität – Informationen können nicht von Personen geändert werden, die keine Rechte daran haben;
Zugänglichkeit – Personen, die das Recht auf Zugang zu Informationen haben, können dieses ungehindert ausüben;
Compliance – Informationen entsprechen den Gesetzen, Vorschriften und Vertragsbedingungen.
Zuverlässigkeit – das Management erhält alle notwendigen Informationen zur Erfüllung seiner Aufgaben.

Schauen wir uns die Komponenten von Abb. 1.3 genauer an. Um ihre Ziele und den berücksichtigten Informationsbedarf zu erreichen, muss eine Organisation im IT-Bereich, insbesondere in Ressourcen, investieren. Zu den IT-Ressourcen gehören laut COBIT:

Anwendungen – Anwendungssysteme und manuelle Verfahren zur Verarbeitung von Informationen;
Informationen – Daten in jeglicher Form, die von Informationssystemen in jeder vom Unternehmen verwendeten Form eingegeben, verarbeitet und ausgegeben werden;
Infrastruktur – Technologie und technische Mittel(Hardware, Betriebssystem,DBMS, Netzwerk-Hardware), die das Funktionieren von Anwendungen ermöglichen.
Personal – Personen und deren Qualifikationen, die für die Planung, Organisation, Beschaffung, Implementierung, den Betrieb, die Wartung, die Überwachung und die Bewertung von Informationssystemen und IT-Diensten erforderlich sind.
Personal
Hier sind die Vorteile der Implementierung von COBIT, wie im Standard selbst beschrieben:
- eine stärkere Abstimmung zwischen IT und Geschäft auf der Grundlage der letzteren Bedürfnisse erreichen;
- IT-Aktivitäten werden für das Unternehmen klar;
- der Prozessansatz ermöglicht eine klare Definition von Rollen und Verantwortlichkeiten;
- Gewährleistung einer besseren Einhaltung regulatorischer und gesetzlicher Anforderungen;
- Verständnis der Stakeholder basierend auf dem Aufbau einer starken Zusammenarbeit und der Verwendung einer gemeinsamen Sprache;
- Erfüllung der COSO-IT-Kontrollanforderungen. COSO ist eine allgemein anerkannte Methodik für die interne Kontrolle in Organisationen im Allgemeinen (COBIT – für interne Kontrolle der IT).
Der Ansatz von COBIT zur IT-Governance stellt sicher, dass Geschäfts- und IT-Ziele aufeinander abgestimmt sind, dass angemessene und zeitnahe Kontrollen gemäß Best Practices implementiert werden und dass die IT-Leistung überwacht wird.

ITIL-, MOF-, ITSM- und COBIT-Standards. Warum benötigen Sie die besten Praktiken für das IT-Infrastrukturmanagement?

COBIT-Standard

Teil 1 – eine kurze Beschreibung des Konzepts (Executive Summary);

Teil 2 – Definitionen und Grundkonzepte (Framework). Zusätzlich zu den Anforderungen und Grundkonzepten werden in diesem Teil die Anforderungen an diese formuliert;

Teil 3 – Spezifikationen von Kontrollprozessen und möglichen Werkzeugen (Kontrollziele);

Teil 4 – Empfehlungen für die Durchführung einer Prüfung von Computerinformationssystemen (Prüfungsrichtlinien).