Стандарты ITIL, MOF, ITSM, COBIT. Зачем вам лучшие практики управления ИТ-инфраструктурой

Вопросами аудита информационной безопасности в настоящее время занимаются различные аудиторные компании, фирмы организации, многие из которых входят в состав государственных и негосударственных ассоциаций. Наиболее известной международной организацией занимающейся аудитом информационных систем является ISACA, по инициативе которой была разработана концепция по управлению информационными технологиями в соответствии с требованиями ИБ.

На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названиемCOBIT 3rd Edition (Control Objectives for Information and Related Technology - Контрольные объекты информационной технологии), который состоит из четырех частей

· часть 1 - краткое описание концепции (Executive Summary);

· часть 2 - определения и основные понятия (Framework).

Помимо требований и основных понятий, в этой части сформулированы требования к ним;

· часть 3 - спецификации управляющих процессов и возможный инструментарий(Control Objectives);

Третья часть этого документа в некотором смысле аналогична международному стандарту BS 7799. Примерно так же подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT - пакет открытых документов, первое издание которого было опубликовано в 1996 году. COBIT описывает универсальную модель управления информационной технологией, представленную на рис. 2.2

Рис. 2.2.

Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологий(IT), являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом.

Во первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю- показатели, в обобщенном виде входящие в показатели доступности и частично- конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии. Во-вторых, доверие к технологии - группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В-третьих, показатели информационной безопасности- конфиденциальность, целостность и доступность обрабатываемой в системе информации.

В стандарте COBIT выделены следующие этапы проведения аудита.

Подписание договорной и исходно-разрешительной документации. На этом этапе определяются ответственные лица со стороны заказчика и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с точки зрения проводимых аудитом компонентов системы.

Сбор информации с применением стандартаCOBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных изменяется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Основное требование, предъявляемое к информации, - это ее полезность, то есть информация должна быть понятной уместной(относящейся к делу) и достоверной(надежной).

Анализ исходных данных проводится только с учетом достоверных исходных данных. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COBIT рекомендует применять описанные в стандарте методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.

Выработка рекомендаций. Полученные в результате проведенного анализа рекомендации после предварительного согласования с заказчиком обязательно должны быть проверены на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT рекомендует оформлять рекомендации отчетом о текущем состоянии информационных систем, техническом задании на внесение изменений, отчетом о проведенном аудите. Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологические. Каждая из названных групп направлена на улучшение организационного, технического или методологического обеспечения информационной системы. К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании, снижению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес-задачам, снижение стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем и некоторые другие. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты позволяют предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.

Подписание отчетных актов приемки работы с планом-графиком проведения последующих проверок, разработкой такой дополнительной документации, как долгосрочные и краткосрочные планы развития ИС, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому создание плана-графика проведения последующих проверок является одним из условий проведения профессионального аудита.

Любая работающая информационная технология в модели COBIT проходит следующие стадии жизненного цикла:

Планирование и организация работы. На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем решаются вопросы реализации: построение архитектуры системы, решение технологических и организационных задач, обеспечение финансирования и т.д. Всего на этой стадии выделяется 11 основных задач.

Приобретение и ввод в действие. Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется 6 основных задач, решаемых на данной стадии.

Поставка и поддержка. Выделяется 13 основных задач данной стадии, предназначенных обеспечить эксплуатацию информационной технологии.

Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется 4 основные задачи, решаемые на данной стадии. Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки информации (рис. 2.2).

Кроме традиционных свойств информации - конфиденциальности, целостности и доступности, - в модели дополнительно используются еще 4 свойства - действенность, эффективность, соответствие формальным требованиям и достоверность. Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их использование объясняется соображениями удобства интерпретации результатов.

Применение стандарта COBIT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач. Если в первом случае - это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом - изначально верный проект и, как следствие, по окончании проектирования - ИС, стремящаяся к идеалу.

На базовой блок-схемеCOBIT (рис. 2.2.) отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценкиCOBIT на всех этапах построения и проведения аудита. Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь, состоят из трехсот двух объектов контроля(в данной работе не рассматриваются). Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.

Отличительные чертыCOBIT:

1. Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС).

2. Перекрестный аудит(перекрывающиеся зоны проверки критически важных элементов).

3. Адаптируемый, наращиваемый стандарт.

Основными преимуществами COBIT перед другими аналогичными стандартами является то, что он позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные, не изменяя общие подходы и собственную структуру.

Представленная на рис 2.3 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС с использованием стандартаCOBIT. Рассмотрим их подробнее. На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:

· Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.

Рис. 2.3.

·На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.

В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии ИС с применением стандарта COBIT, объекты контроля которого получаю информацию обо всех нюансах функционирования ИС как в двоичной форме(Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами(временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.

Проведение анализа - наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте COBIT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.

На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.

Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.

аудит информационный безопасность

Описание COBIT 5 и его применение

Недостаточный обмен информацией

Все чаще многие руководители отделов ИТ, а также представители топ-менеджмента бизнеса осознают, что сотрудникам ИТ отделов необходимо лучше понимать потребности бизнеса. Кроме того, необходимо постоянно улучшать процессы взаимодействия с представителями бизнеса, так как чаще всего обмен информацией между бизнес-подразделением и отделами ИТ неудовлетворительный.

Возникает три основных точки, на которые стоит обратить внимание каждому ИТ руководителю:

взаимодействие с бизнесом;
оценка рентабельности ИТ;
эффективное управление ИТ бюджетом.

Для реализации этих мероприятий можно использовать методологию управления информационными технологиями - COBIT 5.

COBIT 5 предлагает комплексный подход, который помогает предприятиям в решении задач, связанных с руководством и управлением корпоративными службами ИТ. Проще говоря, он позволяет предприятиям оптимизировать ценность ИТ за счет поддержания баланса между получением выгод и снижением уровня рисков и использования ресурсов. COBIT 5 позволяет построить целостную систему руководства и управления ИТ в масштабах всего предприятия, охватывая полностью все функциональные зоны ответственности бизнеса и ИТ и учитывая связанные с ИТ интересы внутренних и внешних заинтересованных сторон. COBIT 5 - это инструмент общего назначения, который может быть полезен предприятиям независимо от их размера и того, являются ли коммерческими, некоммерческими или относятся к государственному сектору.

Эта методология состоит из набора документов в области управления ИТ, которая разрабатывается некоммерческой ассоциацией ISACA.

История COBIT началась в 1996 году, в это время ISACA, образованная в 1969 году выпустила первую версию методологии оценки ИТ. Дальнейшее развитие было в 1998 году - версия 2, в 2000-м - версия 3, в 2005-м году вышла версия 4. В 2007 году версия 4 была доработана и в 2007 году стала нести индекс 4.1. На сегодняшний момент аудиторы параллельно используют две версии 4.1 и 5, которая вышла в 2012 году, и только набирает обороты в профессиональной среде.

Сейчас COBIT имеет связь со множеством других стандартов и лучших практик, таких как ISO 20000, ISO 27000, ISO 38500, ISO 31000, ISO 9000, ITIL, PRINCE2, PMBOK, CMMI, TOGAF, Basel II и другие. При этом в большинстве случаев в тексте указаны ссылки на конкретные главы в источниках.

Многих интересует вопрос, в чем отличие COBIT 5 от предыдущей версии?

В первую очередь, это применение интеграционного подхода, который объединил в себе управление ИТ, которое было в версии 4.1, управление инвестициями в ИТ, которое было описано в Val IT 2.0, а также управление рисками ИТ.

Введена новая система оценки, основанная на ISO 15504 и не совместимая с CMM.

Но стоит заметить, что COBIT 5 опирается на предыдущие версии, тем самым позволяя компаниям использующим предыдущие версии безболезненно переходить на новую.

Основные изменения содержащиеся в COBIT 5:

Новые принципы руководства ИТ-предприятием (GEIT). COBIT 5 основан на пяти ключевых принципах руководства и управления корпоративными службами ИТ, которые в совокупности позволяют предприятиям выстроить эффективную систему руководства и управления, которая оптимизирует инвестиции в информацию и технологии и их использование в интересах заинтересованных сторон.
Повышенное внимание на системы обеспечения (enablers). В предыдущей версии не было прямого указания на обеспечение, хотя косвенно они присутствовали.
Появился новый домен и несколько новых и измененных моделей процессов.

COBIT 5 консолидирует COBIT 4.1, Val IT и рисковать в единую структуру, и был обновлен для согласования с текущей наилучшей практики-например, ITIL, TOGAF. Новая модель может быть использована в качестве руководства для корректировки, по мере необходимости, процессов на собственном предприятии (так же, как COBIT 4.1).

COBIT 5 вводит пять новых процессов руководства (governance).
Практика и деятельность. COBIT 5 объединяет и обновляет все предыдущие методики, а именно COBIT 5, Val IT и Risk IT в одной новой модели, что делает её более удобной для пользователей при реализации улучшений
Пересмотрены и расширены цели и метрики. В COBIT 5 приводится пересмотренный каскад целей, основанный на целях бизнеса задающий ИТ-цели, связанные с поддержкой критически важных процессов.
Входы и выходы, предлагаемые в каждой практике управления процессом, в отличие от версии 4.1 где были только предложения на уровне процесса.
Расширенные RACI-чарты на уровне руководства практикой. В COBIT 4.1 RACI-чарты были только на уровне процесса. В COBIT 5 это на уровне руководства практикой.
Новый процесс оценки модели зрелости. COBIT 5 будет поддерживать новые возможности процесса оценки, основанные на ISO / IEC 15504, в качестве альтернативы подходу CMM. COBIT 4.1, Val IT и Risk брали за основу CMM-оценку которая считается не совместимой с ISO/IEC 15504 подходом, так как эти методики используют различные атрибуты и шкалы для измерений.

Итак, COBIT 5 состоит из следующих доменов:

Стоит обратить внимание, на то, как COBIT определяет понятия РУКОВОДСТВО и УПРАВЛЕНИЕ.

Руководство (governance) - обеспечивает анализ потребностей заинтересованных сторон, условий и возможностей с тем, чтобы определить сбалансированные и согласованные цели предприятия; задание направления развития через приоритезацию и принятие решений; а также контроль исполнения и соответствия согласованным направлению и целям. В большинстве организаций общее руководство является прерогативой совета директоров, возглавляемого председателем.

Управление (management) - проектирует, выстраивает, ведет и контролирует деятельность в соответствии с направлением, заданным руководящим органом для достижения целей предприятия. В большинстве организаций управление находится в зоне ответственности высшего менеджмента, возглавляемого генеральным директором.

Сертификационная схема в COBIT5

Основные цели COBIT 5 в области ИТ:

ориентация ИТ на потребности бизнеса;
помощь в увеличении выгод, получаемых бизнесом;
рациональное использование ИТ ресурсов;
ИТ риски управляются надлежащим образом.

COBIT позволит Вам:

Связать бизнес-цели с процессами реализованными в ИТ;
Произвести оценку текущих процессов управления ИТ;
Достаточно быстро получить целостную картину об ИТ процессах в компании и их взаимосвязях;
Использовать методику как источник лучших практик по организации ИТ процессов;
Установить необходимые метрики для оценки эффективности ИТ процессов;
На основе проведенных измерений определить вектор дальнейшего развития;
Организовать эффективные коммуникации с бизнесом.

Большинство публикаций, в том числе и COBIT framework являются бесплатными и доступны на сайте ISACA после регистрации. Остальные документы, такие как программы аудита технологий или руководства по внедрению можно купить онлайн прямо на сайте. Строго говоря, членство в ISACA стоит денег, но зато дает право получить доступ к множеству полезных документов, которые не всегда можно найти в свободном доступе.

Сейчас существует переведенная на русский язык книга COBIT 4.1, но уже идет работа по переводу и новой, пятой версии.

Информационные технологии и управление предприятием Баронов Владимир Владимирович

Стандарт COBIT

В настоящее время стандарт COBIT, переживая третье издание, продвигается и поддерживается ассоциацией ISACA Первое издание состоялось в 1996 г. Стандарт описывается примерно в 30 книгах (в некоторых источниках указывается 34 книги).

Он состоит из четырех доменов:

Планирование и организация;

Проектирование и внедрение;

Эксплуатация и сопровождение;

Мониторинг,

COBIT соответствует всем общепринятым мировым стандартам и инструкциям, включая:

ISO, EDIFACT и т. д.;

Критерии оценки ИС и процессов: ITSEC, TCSEC, ISO 9000, SPICE, TickIT и т. д.;

COSO, IFAC, IIA, AICPA, GAO, PCIE, ISACA и т. д.;

Производственные стандарты и требования промышленных форумов ESF, I4 и т. д.;

Специализированные требования промышленности.

Основное положение COBIT гласит: «Ресурсы информационных систем управляются набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией». Весь стандарт выстроен на основании этого утверждения.

Управление информационными технологиями по COBIT

Управление информационными технологиями осуществляется с учетом потребностей бизнеса. Для этой цели должны быть определены информационные критерии. Организация работы ИТ-подразделения должна быть основана на отдельных процессах, а не на функциях.

Уровни планирования при управлении информационными технологиями:

Стратегический;

Тактический.

Конкретные временные горизонты планирования не указываются.

Стратегические вопросы, которые необходимо рассматривать при использовании ИТ:

Существуют ли в организации информационные технологии, которыми «удовлетворяются» все информационные потребности?

Какая инфраструктура в организации, как осуществляется управление рисками и насколько организация зависит от этого?

С какими проблемами организация сталкивается при управлении информационными технологиями?

Тактические вопросы:

Что является результатом ИТ-процессов?

Что является решением проблем в информационных технологиях?

Будут ли работать эти решения?

Как их реализовать?

Цели управления информационными технологиями:

Доступ к устройствам;

Идентификация взаимодействующих сторон;

Физическая безопасность;

Обследование;

Непрерывное управление кризисными ситуациями;

Защищенность персонала;

Предотвращение сбоев и защита от них;

Оперативный автоматический мониторинг.

Критерии выбора информационной системы:

Требования бизнес-процессов – создать физическую среду, устойчивую к человеческим ошибкам, сбоям оборудования и ПО;

Возможности ИТ-ресурсов – обеспечить постоянный контроль с целью анализа работы оборудования и выявления отклонений в его работе;

Требования к информации – целостность и доступность.

Общая схема управления ИТ-департаментом приведена на рис. 13.1.

Рис. 13.1. Схема управления ИТ-департаментом

Сравнение возможностей информационных технологий (ресурсов) с требованиями бизнес-процессов;

Эффективное использование целевых ресурсов:

– приложения;

– технологии;

– средства информатизации;

– данные.

Основное требование – достижение целей бизнеса.

Принципы построения информационной системы:

Сопоставление возможностей ИС (ресурсов) с требованиями процессов бизнеса;

Эффективность;

Оперативность;

Конфиденциальность;

Целостность;

Доступность;

Надежность.

Проанализируем возможности использования целевых ресурсов для каждого процесса.

В ИТ-подразделении для реализации вышеприведенных схем должны быть сформированы:

Критические факторы успеха (КФУ) – предназначены для организации контроля ИТ-процессов;

Ключевые индикаторы цели (КИЦ) – предназначены для контроля достижения целей ИТ-процессов;

Ключевые индикаторы результата – предназначены для контроля результатов каждого ИТ-процесса.

Примеры КФУ:

Действия по управлению информационными технологиями интегрированы в процессы управления организации и стиль работы руководителей;

Управление информационными технологиями сосредоточено на целях организации;

Действия по управлению информационными технологиями формализованы;

Методы аудита определены;

Наблюдается интеграция процессов управления информационными технологиями;

Учрежден комитет, наблюдающий за независимым аудитом.

Критические факторы успеха процесса создания ИТ-подразделения: должны быть сформулированы наиболее важные проблемы, решение которых направлено на достижение контроля над ИТ-процессами.

В рамках использования стандарта должны быть определены ключевые индикаторы целей (КИЦ) – комплекс измерений, показывающий, что информационные технологии удовлетворяют бизнес-требованиям, и ключевые индикаторы результата (КИР) – действия, необходимые для определения, насколько ИТ-процессы достигают поставленных целей. Примеры КИЦ:

Улучшение управления производительностью и стоимостью;

Увеличение доходов от инвестиций в информационные технологии;

Сокращение времени запуска в продажу нового продукта или услуги;

Выполнение требований клиента по бюджету и времени управления рисками и т. д.

Примеры КИР:

Увеличение рентабельности ИТ-процессов;

Увеличение нагрузки на ИТ-структуру;

Повышение производительности сотрудников.

В настоящее время стандарт в основном применяется для управления инвестициями и оценки рисков, а также технического аудита ИТ-подразделений, включая перекрестный аудит (рис. 13.2).

Рис. 13.2. Аудит ИТ-подразделения Из книги Мировая экономика. Шпаргалки автора Смирнов Павел Юрьевич

71. Золотомонетный стандарт Первая мировая валютная система стихийно сформировалась в XIX веке после промышленной революции на базе золотого монометаллизма в форме золотомонетного стандарта. Юридически она была оформлена межгосударственным соглашением на Парижской

Из книги Человеческая деятельность. Трактат по экономической теории автора Мизес Людвиг фон

72. Золотодевизный стандарт Непосредственной причиной появления золотодевизного стандарта стали Первая мировая война и ее последствия. Для финансирования военных затрат наряду с налогами, займами, инфляцией использовалось золото как мировые деньги. Были введены

Из книги Бухгалтерский учет: Шпаргалка автора Коллектив авторов

19. Золотой стандарт Люди выбрали драгоценные металлы золото и серебро для службы в качестве денег из-за их минералогических, физических и химических свойств. Использование денег в рыночной экономике суть праксиологически необходимый факт. То, что именно золото

Из книги Боги денег. Уолл-стрит и смерть Американского века автора Энгдаль Уильям Фредерик

79. Система «стандарт-кост» Система «стандарт-кост» представляет собой систему учета затрат и калькулирования себестоимости с использованием нормативных (стандартных) затрат, основными целями которой являются управление и контроль затрат, установление реальных цен,

Из книги Обеспечение информационной безопасности бизнеса автора Андрианов В. В.

Американский долларовый стандарт Как только в сентябре 1939 года разразилась европейская война, начавшаяся с раздела Польши между Гитлером и Сталиным, в США хлынуло европейское золото. В 1935 году официальные золотые резервы США оценивались в 9 миллиардов долларов. К 1940?му

Из книги Один хороший трейд. Скрытая информация о высококонкурентном мире частного трейдинга автора Беллафиоре Майк

2.3. Модели COSO, COBIT, ITIL Структура, получившая широкую известность под аббревиатурой COSO (The Committee of Sponsoring Organizations - Комитет спонсорских организаций [комиссии Тредвея]), была учреждена в 1985 г. COSO был создан для финансирования работ независимой национальной

Из книги Инфобизнес на полную мощность [Удвоение продаж] автора Парабеллум Андрей Алексеевич

Зет-Маш: золотой стандарт Если Дом и Билли Бакс являют собой неудачные примеры трансплантатов, история Зет-Маша выдержана в ином ключе. В торговом зале его прежней компании он сидел в окружении трейдеров, которые никак не могли свыкнуться с недавно запущенной гибридной

Из книги Наживемся на кризисе капитализма… или Куда правильно вложить деньги автора Хотимский Дмитрий

Стандарт – 21 день Чтобы тренинг хорошо продавался, он должен идти долго. Тренинг типа braindump продается очень плохо, так как не закрепляет результаты, даже если информация у вас отличная и заставляет на многие вещи взглянуть по-новому. Поэтому выбирайте тренинг второго типа

Из книги Мировая кабала. Ограбление по… автора Катасонов Валентин Юрьевич

Золотой стандарт Изначально, вплоть до 1973 года, мировая экономика строилась на системе золотого стандарта. С точки зрения вкладчиков, на самом упрощенном уровне, банковский баланс можно было представить следующим образом: Деньги теоретически могли в любой момент быть

Из книги Твитономика. Все, что нужно знать об экономике, коротко и по существу автора Комптон Ник

Долговой стандарт Денежная система в современном виде существует с 1973 года. Деньги в настоящее время обеспечены долгами других субъектов экономики.При долговом стандарте вклады обеспечиваются кредитами, которые банки выдают корпорациям, физическим лицам и

Из книги Золотой стандарт: теория, история, политика автора Коллектив авторов

Из книги Легко не будет [Как построить бизнес, когда вопросов больше, чем ответов] автора Хоровиц Бен

Что такое золотой стандарт? Золотой стандарт – это система фиксированных валютных курсов: государства соглашаются фиксировать стоимость своих валют относительно установленной цены на золото.С 1879 до 1914 г. многие страны использовали золотой стандарт для подведения

Из книги автора

Золотомонетный стандарт Наиболее важной разновидностью золотого стандарта, несомненно, является золотомонетный стандарт. Именно эта форма золотого стандарта главным образом рассматривалась в предыдущих четырех главах нашей книги. Поскольку мы уже познакомились с

Из книги автора

Золотодевизный стандарт Хотя различные проекты, несущие в себе некоторые черты современного золотодевизного стандарта, время от времени выдвигались в XVIII – начале XIX в., и некоторые из них претворялись в жизнь, первый вполне продуманный план золотодевизного стандарта

Из книги автора

Золотослитковый стандарт Хотя золото в таких неспециализированных формах, как песок, самородки, слитки и т.п., использовалось в качестве стандартных денег на протяжении тысячелетий и хотя при собственно золотом стандарте золотые слитки широко применяются в качестве

Из книги автора

Стандарт Прежде всего следует осознать: только тот факт, что топ-менеджер имеет отличное резюме, прекрасно держится на собеседовании и представил надежные рекомендации, еще не гарантирует его высокоэффективной работы в вашей компании. В этом мире существует два

На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and Related Technology - Контрольные объекты информационной технологии), который состоит из четырех частей

Часть 1 – краткое описание концепции (Executive Summary);
Часть 2 – определения и основные понятия (Framework). Помимо требований и основных понятий, в этой части сформулированы требования к ним;
Часть 3 – спецификации управляющих процессов и возможный инструментарий (Control Objectives);
Часть 4 – рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологий (IT), являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом.

Во первых , требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю – показатели, в обобщенном виде входящие в показатели доступности и частично – конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии. Во-вторых , доверие к технологии -группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В-третьих , показатели информационной безопасности – конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Рис. 3.2. Структура стандарта COBIT

В стандарте COBIT выделены следующие этапы проведения аудита .

Подписание договорной и исходно-разрешительной документации . На этом этапе определяются ответственные лица со стороны заказчика и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с точки зрения проводимых аудитом компонентов системы.

Сбор информации с применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных изменяется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Основное требование, предъявляемое к информации, – это ее полезность, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной).

Анализ исходных данных проводится только с учетом достоверных исходных данных. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COBIT рекомендует применять описанные в стандарте методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.

Выработка рекомендаций . Полученные в результате проведенного анализа рекомендации после предварительного согласования с заказчиком обязательно должны быть проверены на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT рекомендует оформлять рекомендации отчетом о текущем состоянии информационных систем, техническом задании на внесение изменений, отчетом о проведенном аудите. Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологи ческие. Каждая из названных групп направлена на улучшение организационного, технического или методологического обеспечения информационной системы. К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании, снижению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес-задачам, снижение стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем и некоторые другие. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты позволяют предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.

Подписание отчетных актов приемки работы с планом-графиком проведения последующих проверок, разработкой такой дополнительной документации, как долгосрочные и краткосрочные планы развития ИС, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому создание плана-графика проведения последующих проверок является одним из условий проведения профессионального аудита.

Любая работающая информационная технология в модели COBIT проходит следующие стадии жизненного цикла :

Планирование и организация работы . На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем решаются вопросы реализации: построение архитектуры системы, решение технологических и организационных задач, обеспечение финансирования и т.д. Всего на этой стадии выделяется 11 основных задач .

Приобретение и ввод в действие . Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется 6 основных задач, решаемых на данной стадии.

Поставка и поддержка. Выделяется 13 основных задач данной стадии, предназначенных обеспечить эксплуатацию информационной технологии .

Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется 4 основные задачи, решаемые на данной стадии.

Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки информации (рис. 3.2).

Кроме традиционных свойств информации – конфиденциальности, целостности и доступности, – в модели дополнительно используются еще 4 свойства – действенность , эффективность , соответствие формальным требованиям и достовер ность . Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их использование объясняется соображениями удобства интерпретации результатов.

Применение стандарта COBIT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач. Если в первом случае – это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом – изначально верный проект и, как следствие, по окончании проектирования – ИС, стремящаяся к идеалу.

На базовой блок-схеме COBIT (рис. 3.2.) отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки COBIT на всех этапах построения и проведения аудита.

Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь, состоят из трехсот двух объектов контроля (в данной работе не рассматриваются). Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.

Отличительные черты COBIT:

Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС).

Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).

Адаптируемый, наращиваемый стандарт.

Представленная на рис 3.3 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС с использованием стандарта COBIT. Рассмотрим их подробнее.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:

Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.

На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.

В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается исогласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии ИС с применением стандарта COBIT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.

Проведение анализа – наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте COBIT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.

Аннотация: Введение в методологию COBIT: назначение и основные принципы.

Не секрет, что информация в современном мире играет ключевую роль и является самым ценным активом для любой организации. Стоимость информации и ее качество стали ключевыми факторами бизнеса. Согласно оценке Brookings Institute, 15 % рыночной стоимости организации находится в материальных активах, и 85% - в нематериальных, большая часть которых является информацией . Вместе с ростом ценности и значимости информации , возникла необходимость эффективного управления информационными технологиями. Если раньше бизнес не задумывался о роли и ценности ИТ-области, то теперь он хочет наладить взаимодействие, понять, какую пользу может принести ИТ и что он, бизнес, может сделать, чтобы содействовать развитию ИТ. При этом возникает необходимость в систематизации накопленных знаний, создании системы принятия решений и контроля. Перед руководством встает вопрос о выборе методологии, в соответствии с которой будут организованы основные процессы ИТ. В настоящее время существует множество стандартов и методологий, посвященных вопросам управления ИТ. Этот курс посвящен методологии COBIT, созданной организацией ISAСA. Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. В настоящее время организация занимает одну из лидирующих ролей в области разработки стандартов по аудиту ИТ.

Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, около 40 международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как "Контрольные Объекты для Информационных и смежных Технологий", но в некоторых изданиях встречается более привычный для русского уха "Цели контроля для информационных и смежных технологий".

Вот как говорит о своей миссии сам COBIT:"Исследование, разработка, публикация и продвижение авторитетной, современной, международно-признанной методологии корпоративного управления в сфере ИТ, предназначенной для внедрения в организациях и повседневного использования бизнес менеджерами, специалистами в сфере ИТ и аудиторами".

Итак, основной целью COBIT является управление ИТ. Управление ИТ в свою очередь является неотъемлемой частью корпоративного управления . Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством с целью:

определения стратегического направления;
обеспечения достижения целей;
адекватного управления рисками;
эффективного использования корпоративных ресурсов.

Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Ответственность за корпоративное управление лежит на Совете директоров и высшем руководстве.

В COBIT используется термин заинтересованные стороны. В первую очередь к ним относятся:

Совет директоров и высшее руководство – определение направлений развития ИТ, оценка результатов и требования по исправлению недостатков;
Руководители бизнес-подразделений – определение бизнес-требований к ИТ, обеспечение достижения пользы от ИТ и управление рисками;
Руководство ИТ-служб – обеспечение и совершенствование ИТ-услуг в соответствии с требованиями бизнеса;
Внутренний аудит/Служба внутреннего контроля (СВК)/ИТ-аудит – обеспечение независимой оценки, что ИТ предоставляет требуемые услуги ;
Управление рисками и Compliance – оценка соответствия нормативным документам с учетом рисков.

Ключевым понятием COBIT является сервис или услуга . Что же это такое? Сам COBIT ответа на этот вопрос не дает, а лишь приводит примеры. Предоставление доступа в Интернет или защищенного хранилища информации является услугой . Возьмем определение из публикаций ITIL , которые также посвящены управлению услугами. Услуга или сервис (от англ. service) – способ предоставления ценности заказчикам через содействие им в получении результатов на выходе, которых заказчики хотят достичь без владения специфическими затратами и рисками. Предоставление услуг является сложной и нетривиальной задачей, которая требует в первую очередь системы внутреннего контроля.

Основные принципы COBIT:

цели ИТ должны соответствовать целям бизнеса;
использование процессного подхода;
система контроля ИТ должна быть избирательной, то есть определять основные ресурсы ИТ и работать с ними;
цели контроля должны быть четко определены.

Современный подход к управлению услугами делает упор на взаимодействие бизнеса и ИТ. Раньше бизнес зачастую воспринимал ИТ-область как нечто несущественное и не требующее особого внимания. Теперь, когда от информационных технологий напрямую зависит прибыль компании, руководство хочет понять, какую пользу может принести ИТ, какие средства необходимо в нее инвестировать и как можно проконтролировать и измерить результаты. В свою очередь ИТ должна быть ориентирована, прежде всего, на потребности бизнеса, а не руководствоваться только своими целями и возможностями. Подводя итог, мы приходим к пониманию первого принципа COBIT – цели бизнеса и ИТ должны быть взаимосвязаны, но лидером этих "отношений" являются цели бизнеса.

Второй принцип – использование процессного подхода. COBIT выделяет 34 ИТ-процесса, которые объединяются в четыре домена. Такая структура позволяет систематизировать область и обеспечить организацию информации , необходимой для достижения ее бизнес-целей.

Принцип ранжирования ресурсов понятен. Не стоит следить за всеми ресурсами, а только за теми, которые влияют на бизнес-процессы и их результаты.

Определение целей, пожалуй, является одной из самых сложных и важных задач. В глобальном смысле руководство и менеджеры преследуют две цели – достижение поставленных бизнес-целей и предотвращение нежелательных событий (или исправление их последствий). Например, инвестирование средств в систему резервного копирования никак не поможет напрямую бизнесу, то есть не принесет ему непосредственной выгоды. Но оно сможет помочь в случае сбоя для быстрого восстановления информации и нормального функционирования. Другой немаловажный вопрос для руководства – где необходимы улучшения, сколько нужно в них инвестировать и как измерить результат? COBIT дает руководству ИТ методологию для поиска ответов на указанные вопросы.

Ключевой составляющей управления ИТ является оценка процесса на основе предлагаемых COBIT моделях зрелости.

COBIT выделяет следующие ключевые области управления ИТ (рис.1.1):

Рис. 1.1.

Соответствие стратегии обеспечивает связь бизнеса и ИТ, их соответствие друг другу;
Полезность отвечает за реализацию того, что может принести ценность бизнесу, контроль за тем, чтобы ИТ обеспечивала определенные стратегией преимущества, оптимизацию затрат и подтверждение подлинной ценности ИТ.
Управление ресурсами отвечает за управление критичными ИТ-ресурсами, оптимизацию инвестиций и должное руководство приложениями , информацией , инфраструктурой и персоналом .
Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции управления рисками в практику организации.
Оценка эффективности отвечает за контроль над реализацией стратегии, планов, использованием ресурсов и эффективностью процессов.

COBIT предназначен для:

высшего руководства и Совета директоров;
Бизнес и ИТ-менеджмента;
профессионалов отдельных областей (безопасности, управления, аудита и т.п.).

Вот какие продукты включает COBIT 4.1:

Совещание по вопросам управления сферой ИТ, второе издание (Board Briefing on IT Governance, 2nd Edition). Предназначено для высшего руководства для ответа на вопросы почему важно ИТ, как к ним относиться и как управлять.
Руководство по внедрению управления сферой ИТ:Применение COBIT и Val IT TM, второе издание (IT Governance Implementation Guide: Using COBIT andVallTTM, 2ndEdition). Описывает процесс внедрения методологий COBIT и Val IT.
Контрольные практики COBIT: Руководство по достижению целей контроля для успешного управления сферой ИТ, второе издание (COBIT Control Practices: Guidance to Achieve Control Objectives for Successful IT Governance, 2nd Edition). Объясняет, зачем нужны меры контроля и как их организовать.
Руководство по обеспечению надежности в сфере ИТ: применение COBIT (IT Assurance Guide: Using COBIT). Объясняет как использовать COBIT для обеспечения надежности.

Рис. 1.2.

Рис. 1.3.

Требования бизнеса обуславливают и направляют инвестиции в ресурсы ИТ. Ресурсы ИТ используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с корпоративной информацией и производят ее. Результатом цикла является соответствие корпоративной информации требованиям бизнеса. COBIT выделяет следующие корпоративные требования к информации :

полезность (результативность)– информация является значимой и имеет отношение к бизнес-процессам. Она получается регулярно, корректно, последовательно и в удобном виде;
эффективность – информация получается посредством оптимального использования ресурсов;
конфиденциальность – информация защищена от несанкционированного доступа и использования;
целостность – исключено изменение информации субъектами, не имеющими на нее прав;
доступность – субъекты, имеющие право доступа к информации , могут реализовывать его беспрепятственно;
соответствие – информация соответствует законам, регулирующим актам и условиям контрактов.
достоверность – руководству предоставляется вся необходимая информация для выполнения им своих обязанностей.

Рассмотрим составляющие рис.1.3 более подробно. Организация для достижения своих целей и рассмотренных требований к информации должна инвестировать средства в ИТ-область, в частности, в ресурсы. К ресурсам ИТ, согласно COBIT, относятся:

приложения – прикладные системы и ручные процедуры для обработки информации ;
информация – данные в любой форме, введенные, обработанные и выведенные информационными системами в любой используемой бизнесом форме;
инфраструктура – технологии и технические средства (аппаратное обеспечение, операционные системы, СУБД, сетевое оборудование), которые обеспечивают работу приложений .
персонал – люди и их квалификация, необходимые для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и ИТ-услуг.
Персонал
Вот какие преимущества внедрения COBIT описаны в самом стандарте:
- достижение большего соответствия ИТ бизнесу, основанное на потребностях последнего;
- деятельность ИТ становится понятной бизнесу;
- процессный подход дает возможность четкого определения ролей и ответственностей;
- обеспечение большего соответствия требованиям регуляторов и законодательства;
- понимание заинтересованных сторон, основанное на построении тесного взаимодействия и использовании общего языка;
- выполнение требований COSO к контролю в сфере ИТ. COSO является общепризнанной методологией внутреннего контроля в организациях в целом (COBIT – для внутреннего контроля ИТ).
Подход к управлению ИТ, предлагаемый COBIT, позволит гарантировать согласованность целей бизнеса и ИТ, внедрение адекватных и своевременных мер контроля в соответствии с лучшими практиками и осуществить мониторинг эффективности ИТ.

Стандарты ITIL, MOF, ITSM, COBIT. Зачем вам лучшие практики управления ИТ-инфраструктурой

Стандарт COBIT

Часть 1 – краткое описание концепции (Executive Summary);

Часть 2 – определения и основные понятия (Framework). Помимо требований и основных понятий, в этой части сформулированы требования к ним;

Часть 3 – спецификации управляющих процессов и возможный инструментарий (Control Objectives);

Часть 4 – рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).