Расширенный поиск
Тел.: +7 (925) 203-9511
Факс: +7 (495) 967-7600
E-mail: shop@globaltrust.ru
ICQ: 195623651

Не смогли дозвониться? Мы позвоним сами!
   Главная    Каталог    Ваши вопросы    Новинки    Словарь терминов     Статьи 

                      ВАША КОРЗИНА
    Товаров: 0 шт., 
    Сумма: 0 у.е.
  
    Оформить заказ

      Каталог
  Русские редакции стандартов
  Типовые документы и политики безопасности
  Программные средства менеджмента информационной безопасности
  Антивирусные программы для защиты от вредоносного ПО
  Программные средства управления доступом и идентификационной информацией
  ПО для мониторинга событий безопасности
  ПО для мониторинга действий пользователей
  СЗИ от НСД к информации. Комплексная защита конечных точек
  Средства контроля защищенности и сканеры безопасности
  Средства аутентификации и управление ключевой инфраструктурой
  Программные межсетевые экраны
  Средства предотвращения утечки информации (DLP-системы)
  Криптографические средства (шифрование, дешифрование, электронная подпись, восстановление паролей)
  Средства резервного копирования и восстановления данных
  Операционные системы и приложения
  Универсальные программно-аппаратные комплексы (UTM) для защиты периметра корпоративной сети
  Программно-аппаратные межсетевые экраны
  Системы предотвращения вторжений (IDS/IPS)
  Серверы защищенного удаленного доступа, VPN-шлюзы, SSL-VPN шлюзы
  Антивирусные шлюзы и котентные фильтры
  Аппаратные идентификаторы, токены, смарт-карты, генераторы одноразовых паролей, защищенные флэшки
  Учебные курсы
  Услуги по анализу защищенности корпоративной сети
  Услуги по обеспечению соответствия ФЗ-152 О персональных данных
  Услуги по разработке и внедрению Системы Управления Информационной Безопасностью
  Стандарты и руководства на английском
  Инструментальные комплекты (на английском)
  Книги по информационной безопасности и защите информации

      Разделы
  Оплата и доставка
  О магазине
  Контакты
  Партнерская программа
  Поставщики
  Бонусная программа
  Политика возврата платежа
  Обратная связь
  Партнерам

      Покупателям
  Логин:
     Пароль:
  

  
  Забыли пароль?
  Зарегистрироваться



 Статьи, Введение в COBIT
  • Антивирусная защита
    Безопасность от Microsoft: шаг к обновленному миру?
    Выбор оптимального антивирусного решения для малого и среднего бизнеса
  • Аппаратные и программные файрволлы
    Актуальные тенденции: средства сетевой защиты
    Шесть советов от Stonesoft
    Как защитить удаленный банкинг?
    Защита по-крупному. Воплощение стандарта XTM для large-сегмента
    Практические преимущества Fireware® XTM
    Использование сервиса WatchGuard's Gateway Antivirus для защиты электронной почты
    Когда брандмауэры конфликтуют
  • Аудит информационной безопасности
    Фарминг DNS. Кто-то отравил источник!
    COBIT для ИТ аудиторов
    Аудит безопасности информационных систем
    Анализ защищенности корпоративных автоматизированных систем
  • Защита конечных пользователей
    Как защищать персональные данные в интернете
    Информационный бронежилет для простых пользователей
    Мы уверенны в безопасности мобильных устройств, утверждают пользователи
    Пользователи и безопасность
    Новые вопросы, старые ответы
  • Защита от инсайдеров
    WikiLeaks, нормы и глобальная конкурентоспособность. Причины для пересмотра вашей стратегии предотвращения утери данных (DLP)
    Внутренние угрозы: новый вызов корпоративным службам ИБ
    Шифрование мобильных устройств
    Новый подход к защите ПК от Symantec
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Как защищаться от инсайдера?
  • Кибератаки и кибертерроризм
    Черный DDOS
    Атака c воздуха
    Остерегайтесь обратных каналов
    Хаки, фрики и черви: события, которые изменили безопасность Интернет
    Свобода киберпространства
    Самые успешные проекты американского правительства в области информационной безопасности
    Реалии и мифы кибертерроризма
    Особенности обеспечения информационной безопасности промышленных систем
  • Мнения
    Нужен ли пользователю интернет-паспорт?
    Facebook и бесконечные разговоры о тайне частной жизни
    Боб Мур знает, как не быть уволенным
    Что мешает развитию ИБ в России?
    InfoSecurity Europe 2006: свежие впечатления
    Почему ВУЗ не способен подготовить специалиста по информационной безопасности?
  • Новинки программного обеспечения
    Microsoft Windows Server 2008. Обзор новых возможностей и некоторые практические заметки.
  • Стандарты информационной безопасности
    Увлекательное путешествие по страницам российского банковского стандарта информационной безопасности – Часть первая
    Введение в COBIT
    Международный опыт управления информационной безопасностью для российских компаний
    История стандарта BS 7799
    BSI и BS 7799 – Видение разработчиков
  • Управление информационной безопасностью
    Как управлять рисками информационной безопасности?
    Как построить и сертифицировать систему управления информационной безопасностью?
    Как организовать эффективную систему предотвращения утечки конфиденциальной информации из коммерческой организации
    Разработка и внедрение эффективных политик информационной безопасности
    Практика управления информационной безопасностью
  • Управление событиями, изменениями и инцидентами
    Программные средства аудита изменений компании NetWrix для обеспечения соответствия нормативным требованиям в области информационной безопасности
  •  Статья   Введение в COBIT

    Александр Астахов, CISA, 2003 г.

    Введение

    Как родилась эта статья? Занятый подготовкой учебного курса по аудиту безопасности информационных систем, автор не смог обойти вниманием COBIT – стандарт ориентированный, прежде всего, на руководство организации и на ИТ аудиторов и регламентирующий вопросы управления ИТ. COBIT является синтезом четырех десятков международных стандартов (де-юре и де-факто) в области управления ИТ, аудита, контроля и информационной безопасности. Его основной стратегической задачей является ликвидация разрыва между руководством организации с их видением бизнес целей и ИТ департаментом, осуществляющим поддержку важнейшей для любой современной организации информационной инфраструктуры, которая должна работать на достижение этих целей. Задача эта очевидно является сильно нетривиальной, что подтверждается бросающейся в глаза неоднозначностью явления под названием COBIT. Многократное повторение одних и тех же, в сущности весьма немудренных, мыслей в одной и той же, либо слегка модифицированной форме, сделало возможным при подготовке курса опустить большинство параграфов без потери смысла. Стремление сделать этот стандарт как можно более универсальным и независящим не от технических платформ, не от отраслевых особенностей функционирования организации возводит авторов на такой высокий уровень абстракции, с которого порой перестает видиться предмет изучения. Впрочем стиль изложения и используемая терминалогия также оставляют желать много лучшего. Другими словами, несмотря на уникальность, всеобъемлемость, универсальность COBIT и важность затрагиваемых вопросов, он производит весьма неоднозначное впечатление.

    Получившаяся статья является изложением основных положений COBIT с точки зрения ИТ аудитора. Автор даже смеет надеятся на то, что она может заменить чтение самого стандарта, т.к. он старался не упустить не одной ключевой мысли, а также схемы, модели, понятия и т.п., являющихся полезными для практики. «Руководство по аудиту» (Audit Guideline) здесь изложено в полном объеме, также как и «Концептуальное ядро COBIT» (COBIT Framework), являющее основой для понимания всех основных положений стандарта. Однако данная работа не является переводом COBIT, за исключением Приложений для которых был сделан практически дословный перевод соответствующих разделов стандарта, чтобы читатель смог получить более точное представление об этом документе и стиле изложения материала в нем.

    Используемая терминология

    Дадим определение нескольким ключевым для COBIT понятиям, на которых строится все изложение и которые, скорее всего, могут вызвать неоднозначность толкования у читателей.

    Control
    Механизм управления
    Политики, процедуры, практики и организационные структуры, предназначенные для предоставления обоснованных гарантий достижения бизнес целей, а также предоствращения, детектирования и корректировки нежелательных событий.

    Control Objective
    Задача управления
    Формулировка желаемого результата или цели, которые должны быть достигнуты путем реализации механизмов управления в рамках конкретного ИТ процесса.

    COBIT
    Задачи управления для информационных и смежных технологий
    Control Objectives for Information and related Technology - Международный стандарт, определяющий набор универсальных задач управления ИТ, ориентированных, прежде всего, на руководство организации и на ИТ аудиторов.

    COBIT Framework
    Концептуальное ядро COBIT
    Набор основополагающих принципов и понятий, высокоуровневых задач управления, а также модель управления ИТ, на базе которых строятся все положения COBIT. Основная концепция COBIT предполагает построение механизмов управления в ИТ исходя из того, какая информация необходима для поддержания бизнес целей и удовлетворения требованиям бизнеса. При этом информация рассматривается как результат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов.

    IT Governance
    Система управления информационными технологиями
    Структура взаимосвязей и процессов, определяющих направление и осуществляющих управление предприятием с целью достижения бизнес целей путем получения добавленной стоимости при наличие баланса между величиной рисков и возвратом инвестиций, сделанных в ИТ.

    Остальные важные для COBIT понятия определяются по ходу изложения.

    История создания COBIT

    COBIT является результатом обобщения мирового опыта, международных и национальных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. В состав интернациональной команды разработчиков COBIT входят специалисты государственных и коммерческих предприятий, учебных заведений и фирм, специализирующихся на вопросах безопасности и управления ИТ.

    Первая версия стандарта была выпущена в 1996 году Организацией Аудита и Контроля Информационных Систем (Information Systems Audit and Control Foundation (ISACF)). Она включала в себя Концептуальное ядро (COBIT Framework), определяющее набор основополагающих принципов и понятий в области управления ИТ, описание Задач управления (Control Objectives) и «Руководство по аудиту» (Audit Guideline). Вторая версия COBIT была опубликована в 1998 году. Она содержала переработанную версию высокоуровневых и детальных Задач управления, дополненных «Набором Инструментов Внедрения» (Implementation Tool Set). Третья редакция стандарта была выпущена уже Институтом управления ИТ (IT Governance Institute), учрежденным Ассоциацией Аудита и Контроля ИС (Information Systems Audit and Control Association (ISACA)) совместно с ISACF с целью дальнейшего развития и популяризации принципов управления ИТ. Институт управления ИТ в настоящее время является основным разработчиком COBIT. В третьей версии стандарта появилось «Руководство для менеджеров» (Management Guidelines) в основе которого лежит понятие «Система управления ИТ» (IT Governance).

    Структура и состав документов

    В состав третьей редакции COBIT входит несколько книг, включая Резюме для руководства (Executive Summary), Концептуальное ядро (Framework), Руководство по менеджменту (Management Guideline), Руководство по аудиту (Audit Guideline), Детальные задачи управления (Detailed Control Objectives), и Набор инструментов внедрения (Implementation Tool Set).

    Описанная структура COBIT показана на рисунке.



    Резюме для руководства

    Резюме для руководства (Executive Overview) служит введением в остальные разделы стандарта. Оно содержит общие сведения о стандарте, определяет Миссию COBIT (COBIT Mission) и понятие Системы управления ИТ (IT Governance).

    Эффективное управление ИТ является чрезвычайно важным фактором для выживания и успеха организации. Многие организации осознают потенциальные выгоды, связанные с использованием высоких технологий. Однако только успешные организации способны адекватно оценивать и управлять рисками, связанными с внедрением этих технологий. Система управления ИТ (IT Governance) в настоящее время признается ключевой частью Системы управления предприятием (Enterprise Governance). Это понятие является одним из основных в COBIT. Система управления ИТ определяется в COBIT как структура взаимоотношений и процессов, задающих направление и осуществляющих управление предприятием с целью достижения бизнес целей путем получения добавленной стоимости при наличии баланса между величиной рисков и возвратом инвестиций, сделанных в ИТ.

    COBIT является инструментом, позволяющим руководству предприятия обеспечить переход от постановки бизнес задач к вопросам управления ИТ, помогая установить должный уровень понимания рисков и преимуществ, связанных с использованием ИТ и реализовать эффективную систему управления ИТ, направленную на достижение бизнес целей предприятия.

    Миссия COBIT состоит в исследовании, разработке, рекламе и продвижении международного набора авторитетных, отвечающих современным требованиям, общепризнанных Задач управления (Control Objectives) ИТ для повседневного использования бизнес менеджерами и аудиторами.

    Таким образом, COBIT является связующим звеном между бизнес рисками, задачами управления и технической инфраструктурой. Он представляет лучшие практики, объединенные в структуру доменов и процессов, которые позволяют оптимизировать инвестиции в ИТ и предоставляют критерии для оценки эффективности управления ИТ.

    COBIT ориентирован прежде всего на ИТ менеджеров, руководителей предприятий и владельцев бизнес процессов, которые должны убедиться в наличие системы внутреннего контроля, поддерживающей бизнес процессы и устанавливающей роль каждого механизма управления в работе по удовлетворению требований к информационному обеспечению бизнеса. Эффективность управления ИТ ресурсами выражается в COBIT посредством критериев эффективности, продуктивности, конфиденциальности, целостности, доступности, соответствия и надежности информации, определяемых ниже. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ (IT Control Objective) является формулировка желаемого результата или цели, которые должны быть достигнуты путем реализации механизмов управления в рамках ИТ процесса.

    Концептуальное ядро

    Концептуальное ядро COBIT (COBIT Framework) представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на базе которых строятся все положения COBIT. Основная концепция COBIT предполагает построение механизмов управления в ИТ исходя из того, какая информация необходима для поддержания бизнес целей и удовлетворения требованиям бизнеса. При этом информация рассматривается как результат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов.

    Концептуальное ядро COBIT предоставляет владельцу бизнес процесса инструмент для реализации стратегии управления ИТ. Отправным пунктом является следующее утверждение:

    ДЛЯ СВОЕВРЕМЕННОГО И ПОЛНОГО ПОЛУЧЕНИЯ ИНФОРМАЦИИ, НЕОБХОДИМОЙ ОРГАНИЗАЦИИ ДЛЯ ДОСТИЖЕНИЯ БИЗНЕС ЦЕЛЕЙ, УПРАВЛЕНИЕ ИТ РЕСУРСАМИ ДОЛЖНО ОСУЩЕСТВЛЯТЬСЯ ПРИ ПОМОЩИ НАБОРА ЕСТЕСТВЕННЫМ ОБРАЗОМ СГРУППИРОВАННЫХ ПРОЦЕССОВ.

    Концептуальное ядро COBIT сформировано из набора 34 высокоуровневых задач управления (одна задача для каждого ИТ процесса), сгруппированных в четыре домена: планирование и организация, комплектование и внедрение, предоставление и поддержка, и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 задач управления, позволяет гарантировать владельцу бизнес процесса, что система управления ИТ является адекватной задачам бизнеса.

    В настоящее время существует как модели управления бизнесом, так и специализированные модели управления ИТ. Целью COBIT является обеспечение перехода от первых ко вторым. COBIT оперирует на более высоком уровне абстракции нежели технологические стандарты в области управления ИТ.

    Для достижения целей бизнеса информация должна удовлетворять определенным критериям, которые в COBIT называются бизнес требованиями к информации. Выделяют следующие классы бизнес требований:

    Требования качества:
    • Качество
    • Стоимость
    • Доставка
    Требования доверия:
    • Эффективность и производительность операций
    • Надежность информации
    • Соответствие нормативным документам
    Требования безопасности:
    • Конфиденциальность
    • Целостность
    • Доступность
    На основе перечисленных классов требований в COBIT определяются следующие, в некоторой степени пересекающиеся, категории бизнес требований к информации (информационные критерии):

    Эффективность
    effectiveness
    актуальность и уместность информации для бизнес процесса, а также ее своевременность, корректность, непротиворечивость и практичность

    Продуктивность
    efficiency
    предоставление информации путем наиболее оптимального (продуктивного и экономичного) использования ресурсов

    Конфиденциальность confidentiality
    защищенность информации от несанкционированного раскрытия

    Целостность
    integrity
    точность и полнота информации, а также ее обоснованность с точки зрения ценностей и ожиданий бизнеса

    Доступность
    availability
    возможность получения необходимой информации в течение времени, определяемого требованиями бизнеса (также включает защиту информации и ее носителей от похищения или уничтожения)

    Соответствие
    compliance
    соответствие информации законам, распоряжениям и соглашениям, регулирующим бизнес процесс

    Надежность
    reliability
    предоставление руководству информации, пригодной для использования в управлении, для подготовки финансовой и других видов отчетности

    В COBIT определяются следующие классы ИТ ресурсов:

    Данные
    data
    информационные объекты в самом широком смысле слова (внешние и внутренние), структурированные и не структурированные, графические и звуковые и т.п.

    Прикладные системы
    application systems
    включают в себя не только автоматизированные (программные), но и ручные процедуры

    Технологии
    technology
    технические средства, операционные системы, системы управления данными, сетевое оборудование и программное обеспечение, мультимедиа и т.д.

    Средства поддержки
    facilities
    вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИС

    Люди
    people
    сотрудники предприятия со своими навыками и опытом, необходимыми для планирования, организации, комплектования, сопровождения, поддержки и мониторинга информационных систем и сервисов

    Например, при реализации ИТ-процесса «управления финансовыми потоками организации при помощи электронных платежных систем», задействованы все виды ИТ-ресурсов включая:

    • данные в виде электронных ордеров, электронных ключей, используемых для шифрования и подписи этих ордеров при отправке в банк, выписок о состоянии счетов, полученных из банка, а также бумажные оригиналы этих документов;
    • прикладные системы, включающие в себя ПО Банк-Клиент, а также ручные процедуры связанные с подготовкой, верификацией, подписанием бумажных документов и формирование электронных платежек в системе Банк-Клиент;
    • технологии, используемые для реализации электронных платежей, включая рабочие места операторов платежной системы, телекоммуникационное оборудование (модемы, каналообразующее оборудование и линии связи), ОС на базе которой функционирует ПО системы Банк-Клиент, СУБД используемая для хранения электронных ордеров и квитанций, полученных из банка;
    • средства поддержки, включая излолированное помещение, в котором установлен АРМ оператора системы Банк-Клиент и физические средства контроля доступа в это помещение в виде электронных замков и видеокамер;
    • людские ресурсы – это сотрудники бухгалтерии организации, выполняющие функции по формированию, верификации, подписанию, отправке электронных ордеров и т.п., а также технические специалисты, отвечающие за администрирование и сопровождение системы Банк-Клиент.
    Денежные средства и капитал не рассматриваются в качестве ИТ ресурсов, т.к. они являются средствами инвестирования в любой из перечисленных классов ресурсов.

    Структура управления ИТ, отражающая взаимосвязь между бизнес целями, ИТ ресурсами и информационными критериями, показана на рисунке.



    Для удовлетворения бизнес требований к информации адекватные механизмы управления ИТ ресурсами должны быть определены и внедрены. С этой целью и определяется набор задач управления для ИТ процессов.

    Концептуальное ядро COBIT состоит из высокоуровневых задач управления и общей структуры, определяющей их классификацию, в которой выделяются три уровня управления ИТ ресурсами. На самом нижнем уровне находятся конкретные действия и задачи позволяющие получать измеримый результат.

    Например, эффективность решения задач по поддержке пользователей измеряется временными нормативами, учет выполнения которых осуществляется в службе HelpDesk. Временные нормативы по выполнению заявок пользователей, регистрируемых через службу HelpDesk могут выглядеть например следующим образом:

    №№

    Класс заявки

    Срок исполнения заявки

    Оборудование

    Не более 8 часов

    1

    Оргтехника (принтер, факс, копир, сканер)

    Не более 4 часов

    2

    Периферийное устройство (клавиатура, мышь)

    Не более 2 часов

    3

    Персональный компьютер

    Не более 2 часов

    4

    Проектор

    Не более 4 часов

    5

    Сервер

    Не более 2 часов

    6

    Сетевое оборудование

    Не более 2 часов

    7

    Телефонный аппарат

    Не более 8 часов

    8

    Турникеты на проходных

    Не более 8 часов


    На более высоком уровне находятся ИТ процессы, включающие в себя набор действий и задач, нацеленных на достижение бизнес целей. На самом высоком уровне абстракции ИТ процессы объединяются в домены, соответствующие распределению областей ответственности в организационной структуре предприятия.

    Концептуальное ядро COBIT может рассматриваться с трех точек зрения:

    • (1) информационные критерии
    • (2) ИТ ресурсы
    • (3) ИТ процессы
    Эти три элемента управления ИТ могут быть представлены в виде «Модели куба» (COBIT Cube), изображенной на рисунке.



    Четыре высокоуровневых домена управления определяются следующим образом:

    Планирование и организация
    planning and organization
    Этот домен включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес целей. Реализация стратегических замыслов должна быть спланирована и согласована. Должна быть создана соответствующая организационная и ИТ инфраструктура.

    Комплектование и внедрение
    acquisition and implementation
    Для реализации ИТ стратегии должны быть идентифицированы, разработаны и/или приобретены соответствующие ИТ решения, которые также должны быть внедрены и интегрированы в бизнес процессы. Этот домен также включает в себя внесение изменений в ИТ системы.

    Предоставление и поддержка
    delivery and support
    Этот домен включает обработку данных прикладными системами, предоставление требуемых информационных сервисов, обеспечение безопасности и непрерывности бизнеса, обучение и техническую поддержку.

    Мониторинг
    monitoring
    Качество и соответствие ИТ процессов установленным требованиям должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления ИТ в организации, а также независимый контроль со стороны внутренних и внешних аудиторов.

    Механизмы управления (и соответствующие задачи управления) не обязательно способствуют реализации всех бизнес требований к информации в равной степени. С этой точки зрения, по отношению к информационным критериям, они делятся на следующие категории:

    Первичные
    Primary (P)
    Задача управления оказывает прямое влияние на соответствующий информационный критерий

    Вторичные
    Secondary (S)
    Задача управления оказывает косвенное влияние на соответствующий информационный критерий

    Пустые
    Blank (B)
    Задача управления хотя и может оказывать какое-то влияние на соответствующий информационный критерий, однако это влияние не является определяющим

    Точно так же, механизмы управления задействуют ИТ ресурсы не в равной степени, поэтому концептуальное ядро COBIT для каждой цели контроля определяет ИТ ресурсы, управление которыми осуществляется в рамках рассматриваемого ИТ процесса.

    Например, в рамках высокоуровневой задачи управления «Определение стратегического плана развития ИТ» из домена «Организация и планирование» задействованы все виды ИТ-ресурсов, включая данные, прикладные системы, технологии, средства поддержки и людские ресурсы; а задача управления «Определение архитектуры информационных ресурсов» из того же домена имеет непосредственное отношение только к данным и прикладным системам, используемым для работы с этими данными.

    В COBIT все 34 высокоуровневых ИТ процесса группируются по четырем доменам, как показано на рисунке.



    Концептуальное ядро COBIT ограничивается описанием высокоуровневых целей контроля для каждого из 34 ИТ процессов в форме, представленной на следующей схеме.



    Управление ИТ процессом, удовлетворяющее Бизнес требованию (Business Requirements), обеспечивается формулировкой задачи управления (Control Statement), для которой должны быть рассмотрены потенциально применимые практики управления (Control Practices).

    В следующей таблице представлены сгруппированные по доменам ИТ процессы с указанием информационных критериев, на которые оказывает влияние задача управления, и ИТ ресурсов, задействованных в ИТ процессе.



    Детальные задачи управления

    Для каждого из 34 ИТ процессов, описанных в Концептуальном ядре COBIT, определяется набор Детальных задач управления (Detailed Control Objectives) (всего их насчитывается 318). Каждая задача управления содержит формулировку ожидаемых результатов или целей, которые необходимо достигнуть путем реализации конкретных процедур управления в рамках ИТ процесса.

    Так, ИТ-процесс «Управление рисками» включает в себя такие детальные задачи управления, как разработка стратегии и методологии анализа рисков, планирование и проведение обследования, идентификация рисков и оценка их величины, разработка плана уменьшения величины существующих рисков до приемлемых значений и обоснованный выбор контрмер, адекватных существующим рискам. Еще одной задачей управления является использование процесса «Управления рисками» руководством организации в качестве инструмента, предоставляющего сведения для решения задач стратегического планирования и реализации внутренних механизмов контроля.

    Формулировки задач управления в COBIT носят в максимальной степени абстрактный характер, что делает их независимыми от конкретных программно-аппаратных платформ и характера деятельности организации.

    Задачи управления ориентированы на руководство организации, персонал ИТ департамента, подразделения внутреннего контроля и аудита, а также на владельцев бизнес процессов. Они служат в качестве рабочего справочника для всех субъектов управления, содержащего определение минимального набора механизмов управления, необходимых для обеспечения эффективности, продуктивности, и экономии ресурсов.

    Руководство по менеджменту

    Руководство по менеджменту (Management Guidelines) позволяет руководству предприятия реализовать более эффективные стратегии управления ИТ, установить контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг, давать сравнительную оценку достижения бизнес целей и оценивать производительность в рамках каждого ИТ процесса.

    Определяемые в COBIT Модели зрелости организации (Maturity Models), позволяют руководству организации оценить текущее состояние ИТ процессов в сравнении с лучшими примерами в данной отрасли, и определить возможности для их совершенствования.

    В целом в «незрелых» организациях успешность ИТ проектов полностью основана на личности Администратора – «универсала». Система управления и какая-либо еще система (кроме операционной системы J), в деятельности ИТ отдела отсутствует. Вплоть до того, что с уходом «универсала» все может вообще перестать работать. С повышением уровня зрелости организации повышается роль системы управления и понижается роль Администратора. Администраторы становятся взаимозаменяемыми, а наличие отточенных навыков в узкой предметной области и специальных знаний, начинает цениться выше универсальности. Такая система выгодна для организации, но не выгодна для Администратора – «универсала». Этим объясняется то сопротивление со стороны ИТ специалистов, с которым сталкиваются руководители ИТ отделов, внедряющие систему управления ИТ. Самый высокий уровень зрелости достигают организации, в которых ИТ-система, как совокупность программного обеспечения, оборудования, средств связи, а также специалистов, действующих в рамках стандартизированных ИТ-процессов, представляет собой хорошо отлаженный механизм, обеспечивающий эффективное управление информационными ресурсами организации. В такой организации все ИТ процессы оптимизированы на основе требований стандартов и лучшей мировой практики управления ИТ и информационные системы могут быть легко адаптированы к требованиям бизнеса.

    Всего определяется следующие шесть уровней зрелости системы управления ИТ организации:

    • 0. На нулевом, самом нижнем уровне, о зрелости речь вообще не идет, системы управления ИТ как таковой не существует, а необходимость ее создания не осознается. Наблюдается полное отсутствие управляемых ИТ процессов. Все ключевые ИТ роли выполняются «незаменимыми» сотрудниками, часто являющиеся «универсалами», т.е. мастерами на все руки. Общая стратегия развития ИТ отсутствует. Действия «универсалов» часто между собой не согласованы. При необоснованно завышенных расходах на ИБ в такой организации совокупный результат как правило близок к нулю. Если зависимость этой организации от ИТ большая, то в такую организацию инвесторам не выгодно вкладывать деньги.
    • 1. В организациях, находящихся на первом уровне зрелости, руководство начинает осознавать необходимость реализации комплексного подхода к управлению ИТ, что вызвано большой зависимостью этих организаций от ИТ и большими расходами, недающими видимых результатов. На этом уровне еще не существует стандартизированных ИТ-процессов и преобладает фрагментарный подход к их реализации. Руководство только начинает задумаваться о получении возврата инвестиций, сделанных в ИТ, не располагая однако методикой оценки их эффективности. Для решения каждой задачи ИТ специалистами каждый раз вырабатываются собственные подходы. Связь между бизнес целями и деятельностью ИТ департамента отсутствует. На этом уровне в настоящее время находятся многие российские предприятия, которые вынуждены вкладывать значительные средства в развитие и поддержание работоспособности своих ИС.
    • 2. На втором уровне зрелости уже существуют стандартизированные ИТ процессы, однако они недокументированы и пока не являются частью системы управления. Фактически они реализуются в виде стандартной практики отдельных ИТ специалистов. На этом уровне необходимость планомерного внедрения системы управления ИТ уже ни у кого не вызывает сомнений, активно разрабатываются показатели эффективности ИТ-процессов, внедряются процессы планирования, мониторинга и предоставления ИТ услуг, устанавливаются взаимосвязи между ИТ и бизнес процессами, разрабатывается стратегия развития ИТ. Руководство организации принимает активное участие в формировании управляемых ИТ-процессов, для которых уже существуют базовые методы оценки эффективности. Однако, сказывается недостаток опыта управления ИТ, используется только ограниченное количество механизмов управления и показателей эффективности.
    • 3. Если на первых трех уровнях зрелости преобладает администратор – «универсал», то начиная с четвертого уровня преобладающей становится роль «системы управления». На этом уровне все процедуры стандартизированы и задокументированы, а сотрудники обучены их использованию. Деятельность ИТ отдела регламентирована этими процедурами. Однако механизмы контроля качества выполнения процедур пока не работают, а сами процедуры далеки от совершенства и об их оптимизации говорить не приходится.
    • 4. Пятый уровень зрелости характеризуются наличием системы контроля качества ИТ процессов. Эта система осуществляет непрерывный мониторинг ИТ процессов, устанавливает стандарты качества и контролирует соответствие ИТ процессов установленным стандартам. Наличие системы контроля качества позволяет выявлять неэффективно работающие механизмы управления ИТ системой и постоянно работать над повышением их эффективности. Пятый уровень – это уровень, на котором существуют управляемые ИТ-системы.
    • 5. На высшем уровне система управления ИТ отличается от предыдущего по существу лишь более высоким уровнем оптимизации ИТ процессов, которые являются управляемыми и измеряемыми. Информация о выполнении каждого ИТ процесса фиксируется. ИТ является эффективным инструментом
    Критические Факторы Успеха (Critical Success Factors) определяют наиболее важные ориентированные на руководство методы внедрения системы управления ИТ процессами. Это наиболее важные задачи, решение которых способствует достижению целей ИТ-процессов. К числу наиболее общих факторов успеха, применимых к любому ИТ-процессу, относятся:

    • стандартизация ИТ-процессов и их нацеленность на достижение целей бизнеса;
    • определение групп пользователей ИТ-процессов и их требований;
    • обеспечение масштабируемости ИТ-процессов и оптимального управления ресурсами в рамках этих процессов;
    • качество персонала информационной системы (квалификация, моральные качества и т.п.);
    • использование финансовых метрик для измерения производительности ИТ-процессов и премирование руководителей ИТ отделов на основании результатов этих измерений;
    • наличие процедур контроля и повышения качества ИТ-процессов.
    Ключевые Индикаторы Целей (Key Goal Indicators) определяют критерии для оценки достижения бизнес целей при помощи ИТ процессов. Примерами наиболее общих целей ИТ-процессов являются:

    • доступность информационных ресурсов, систем и сервисов;
    • минимизация рисков, связанных с нарушением целостности и конфиденциальности данных;
    • снижение себестоимости ИТ-процессов;
    • и т.п.
    Ключевые Индикаторы Производительности (Key Performance Indicators) определяют критерии для оценки производительности ИТ процессов в достижении ими бизнес целей организации. Примерами наиболее общих индикаторов производительности служат:

    • время реакции системы;
    • степень утилизации пропускной способности сети или вычислительных мощностей;
    • повышение качества и совершенствование функциональности информационных сервисов;
    • и т.п.
    Использование описанных показателей (индикаторов) позволяет реализовать стандартизированные, управляемые и измеряемые ИТ-процессы. Например, по отношению к ИТ-процессу «Обеспечение антивирусной защиты корпоративной сети» в качестве ключевых индикаторов целей выступают минимизация количества заражений вирусами компьютеров, подлюченных к сети, а также минимизация последствий таких заражений. Критическими факторами успеха являются перекрытие всех возможных каналов распространения компьютерных вирусов (включая проколы, используемые для взаимодействия с сетью Интернет: HTTP, FTP, SMTP и т.п., а также флоппи дисководы и разделяемые сетевые ресурсы), регулярность обновлений антивирусных баз данных и оптимальность настроек антивирусного программного обеспечения. Ключевыми показателями эффективности данного ИТ-процесса являются количество обнаруживаемых и успешно обезвреживаемых вирусов, а также скорость и качество реагирования на инциденты, связанные с заражением компьютерными вирусами.

    Руководство по менеджменту позволяет находить ответы на следующие вопросы: Как далеко следует заходить и компенсируются ли затраты получаемой прибылью? Что является индикатором хорошей производительности? Что является критическими факторами для достижения успеха? Каковы риски, в случае, если поставленные цели не будут достигнуты? Что делают другие?

    Набор инструментов внедрения
    Набор инструментов внедрения (Implementation Tool Set) содержит разъяснения ключевых концептуальных положений COBIT, пошаговое описание процесса внедрения COBIT в деятельность организации и примеры внедрения. Он включает в себя следующие компоненты:

    • Обзорная часть
    • Руководство по внедрению, включая примеры меморандумов и презентаций
    • Инструментарий, помогающий анализировать структуру управления ИТ организации: Диагностика осведомленности руководства (Management Awareness Diagnostic) и Диагностика ИТ управления (IT Control Diagnostic)
    • Часто задаваемые вопросы и ответы на них
    Процесс внедрения COBIT в деятельность организации состоит из следующих последовательных этапов:

    • Определение бизнес целей на основе Концептуального ядра COBIT
    • Выбор ИТ процессов и механизмов управления с использованием высокоуровневых и детальных задач управления
    • Согласование программы внедрения с бизнес планом
    • Оценка существующих процедур и результатов внедрения механизмов управления при помощи «Руководства по аудиту»
    • Оценка текущего статуса организации, идентификация критичных действий ведущих к успеху и измерение производительности в достижении целей организации при помощи «Руководства по менеджменту»
    Уроки внедрения COBIT на предприятиях по всему миру указывают на необходимость вовлечения высшего руководства организации в дискуссии на эту тему уже на ранней стадии проекта внедрения. Следует быть готовым дать разъяснения основных концепций COBIT (в форме обзора и на более детальном уровне), сопровождаемые примерами успешных внедрений в других организациях.

    Выводы

    COBIT является международным стандартом, определяющим набор универсальных задач управления ИТ, ориентированных, прежде всего, на руководство организации и на ИТ аудиторов. Уникальность и основная ценность COBIT заключается в том, что он предлагает модель, обеспечивающую взаимосвязь между бизнес целями и ИТ процессами.

    В состав третьей редакции COBIT входит несколько книг, включая Резюме для руководства, Концептуальное ядро, Руководство по менеджменту, Руководство по аудиту, Детальные задачи управления и Набор инструментов внедрения.

    «Резюме для руководства» служит введением в остальные разделы стандарта. Оно содержит общие сведения о стандарте, определяет Миссию COBIT и понятие Системы управления ИТ. «Концептуальное ядро COBIT» представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на базе которых строятся все положения стандарта. «Руководство по менеджменту» позволяет руководству предприятия реализовать более эффективные стратегии управления ИТ, установить контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг, давать сравнительную оценку достижения бизнес целей и оценивать производительность в рамках каждого ИТ процесса. «Набор инструментов внедрения» дает разъяснения ключевых концепций, пошаговое описание и примеры успешного внедрения COBIT в организациях по всему миру. «Руководство по аудиту» позволяет производить проверку реализации каждого из 34 высокоуровневых ИТ процессов на предмет выполнения каждой из 318 детальных задач управления, что дает возможность аудитору гарантировать адекватность реализованной системы управления ИТ и формировать рекомендации по ее улучшению.

    Несмотря на все присущие COBIT недостатки, которые не позволяют считать этот документ эталоном выражения передового опыта в области управления и аудита ИТ, знакомство с этим стандартом является весьма полезным для ИТ аудиторов, ИТ менеджеров и руководителей организаций.

    Ссылки

    • COBIT 3rd Edition, Released by the COBIT Steering Committee and the IT Governance Institute, July 2000
    • Астахов А.М., Аудит безопасности информационных систем, ISACA.RU, 2002
    • Астахов А.М., Введение в COBIT, Директор ИС №7, 2003
    Александр Астахов, CISA, 2003 г.

    Все статьи  



    Каталог по брендам    
       8man
       Acronis
       ActivIdentity
       Aladdin
       BSI
       CA
       Check Point
       Digital Security
       DrWeb
       eEye
       ElcomSoft
       eScan
       ESET
       Falcongaze
       Fortinet
       GFI
       GlobalTrust
       Handy Backup
       Imperva
       InfoGov
       Information Shield
       IronKey
       IT Governance
       Juniper
       Kaspersky
       Kerio
       KTE Labs
       Lumension Security
       McAfee
       Microsoft
       MobileIron
       NetworkProfi
       NetWrix
       Outpost24
       Panda
       PineApp
       Positive Technologies
       Q1 Labs
       SearchInform
       SonicWALL
       Sourcefire
       SpectorSoft
       Stonesoft
       Strohl Systems
       Symantec
       Trend Micro
       WatchGuard
       Websense
       Zecurion
       АлтэксСофт
       Аналитические бизнес решения
       АтомПарк
       Газинформсервис
       Код Безопасности
       Конфидент
       Цифровые Технологии

    Новости    
    01.07.2015 GFI LanGuard получил награду «Лучший инструмент для управления уязвимостями»
    30.06.2015 GlobalTrust присвоен статус золотого партнера компании GFI
    23.07.2014 Специальная акция: VIP-клиент GFI Software
    17.07.2014 Fortinet: сертифицированные ФСТЭК решения
    17.06.2014 Продукты линеек eToken ГОСТ и JaCarta ГОСТ от "Аладдин Р.Д." сертифицированы ФСБ России в соответствии с требованиями 63-ФЗ "Об электронной подписи"
    05.06.2014 Stonesoft, McAfee Group Company, объявляет о получении продленного сертификата ФСТЭК России на систему предотвращения вторжений с функцией межсетевого экрана StoneGate IPS
    Архив новостей  

    Товары дня    
    SpectorSoft Spector 360 Recon

    SpectorSoft Spector 360 Recon
     Купить0 руб.
    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской

    FG-100D-BDL Бандл FortiGate-100D с годовой подпиской
     Купить245850 руб.
    SPS 53102 SpectorSoft Spector 360 для сетей, 1 лицензия (при покупке 50-99 корпоративных лицензий)

    SPS 53102 SpectorSoft Spector 360 v.8,1 лицензия (при покупке 100-249 лицензий)
     Купить5300 руб.

      Copyright 2006-2012 © GTrust.ru Создание интернет магазина: BORNET.ru  
    Тел.: +7 (925) 203-9511 Факс: (495) 967-7600
    E-mail: shop@globaltrust.ru; ICQ: 195623651