Руководство по аудиту стандарта cobit представляет собой

ISACA

Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. Ассоциация Аудита и Контроля Информационных

Систем является ведущей мировой профессиональной организацией с представительствами в более чем 100 странах мира и охватывает все уровни ИТ:

• Организации;
• Управления;
• Практического применения.

Ассоциация занимает уникальную позицию мирового лидера в области разработки и распространения стандартов по аудиту ИТ, ее стратегический альянс с другими ассоциациями и консалтинговыми компаниями в областях финансово-хозяйственной деятельности, бухгалтерского учета и аудита ИТ обеспечивает не имеющий равных уровень интеграции и соответствия требованиям владельцев бизнес-процессов.

Управление и аудит ИТ. Стандарт CobiT

Аббревиатура CobiT расшифровывается как Контрольные ОБъекты для Информационных и смежных Технологий. За этой аббревиатурой скрывается набор документов, в которых изложены принципы управления и аудита информационных технологий. CobiT позиционируется как открытый стандарт «де-факто», в настоящее время переживающий свое третье издание.

В состав стандарта входят шесть книг, ориентированных на разные аудитории:

1. Резюме для руководителя. Описание стандарта CobiT, ориентированное на топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации. С переводом этой книги на русский язык Вы можете ознакомиться: http://www.isaca.ru

2. Описание структуры. Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом.

3. Объекты контроля. В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.

4. Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб.

5. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.

6. Набор инструментов внедрения стандарта – практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.

Модель процессов, выстраиваемая на базе CobiT, предпочтительней других подходов, в основе которых не лежат бизнес-процессы организации (методики и стандарты аудита производителей программно-аппаратных средств), по нескольким причинам:

1. По определению: процесс – это действие, направленное на достижение результата, при оптимальном использовании ресурсов, и которое может корректироваться при его выполнении. При выполнении процесса все задействованные ресурсы структурируются и выстраиваются таким образом, чтобы максимально эффективно выполнять этот процесс.

2. Во-вторых, процессы в подавляющем большинстве организаций, а особенно их цели не так часто изменяются, по сравнению с организационными объектами (организационно-штатная структура: сотрудники, отделы, департаменты и т.д.).

3. В-третьих, развертывание информационной системы или внедрение информационных технологий не может быть ограничено спецификой одного отдела или департамента, а затрагивает руководителей, пользователей из других подразделений и ИТ-специалистов. Таким образом, прикладные системы (прикладное программное обеспечение то, что видит пользователь) – это неотъемлемая часть структуры CobiT и могут быть стандартно оценены, как и прочие объекты контроля CobiT, в рамках единой структуры и с применением единых метрик.

CobiT – это сохранение единого подхода к сбору, анализу информации, подготовке выводов и заключений на всех этапах управления, контроля и аудита ИТ, возможность сравнения существующих ИТ-процессов с «лучшими» практиками, в том числе отраслевыми.

Основа CobiT. Разделение CobiT на управление и аудит

В основу стандарта CobiT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов.

Для этого CobiT выделяет 34 высокоуровневые цели контроля, по одной на каждый ИТпроцесс, которые сгруппированы в 4 домена:

Планирование и Организация; Проектирование и Внедрение; Эксплуатация и Сопровождение; Мониторинг. Предлагаемая структура объединяет все аспекты информации и технологий, поддерживающих ее. Применяя 34 высокоуровневые цели контроля, руководитель может быть уверен, что ему будет предоставлена адекватная система контроля над ИТ-средой, которая учитывает задействованные ресурсы ИТ, дающая возможность оценить ИТ по предлагаемым CobiT семи критериям оценки информации.

Ресурсы ИТ в CobiT описаны пятью составляющими:

1. Данные – объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д.

2. Приложения – совокупность автоматизированных и выполняемых вручную процедур.

3. Технология – аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа.

4. Оборудование – все ресурсы, создающие и поддерживающие информационные технологии.

5. Люди – персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.

При этом денежные средства или капитал не рассматриваются в качестве ИТ-ресурса. Они могут рассматриваться в качестве инвестиций в любой из вышеуказанных ресурсов.

Критерии оценки информации:

• Эффективность – актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации.
• Продуктивность – обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов.
• Конфиденциальность – обеспечение защиты информации от неавторизованного ознакомления.

• Целостность – точность, полнота и достоверность информации в соответствии с требованиями бизнеса.
• Пригодность – предоставление информации по требованию бизнес-процессов.
• Согласованность – соответствие законам, правилам и договорным обязательствам.
• Надежность – доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.

Схема CobiT, объединяющая 34 ИТ-процесса и учитывающая критерии информации и ресурсы ИТ на всем протяжении жизненного цикла, представлена на рисунке 3.

Для достижения целей организации в сфере ИТ, CobiT включает в себя две основные книги, которые отражают Принципы управления и Принципы аудита.

Как следует из названия – это две части одного целого (оказание воздействия и контроль результатов). Управляем – воздействуем на ИТ для достижения поставленных целей. Аудит – контролируем достижение цели.

Необходимо отметить, что в основе стандарта лежат Объекты Контроля CobiT, именно они являются базой стандарта и объединяют все его книги, предлагая пользователю единую основу управления и аудита ИТ.

Принципы управления ИТ, стандарт CobiT

Принципы управления, книга стандарта CobiT, описывающая управление ИТ – одна из последних разработок Института Управления ИТ, пополнившая перечень книг CobiT в 3-ем издании стандарта.

Управление ИТ – составная часть успеха в управлении предприятием, которая гарантирует рациональное и эффективное совершенствование всех взаимосвязанных процессов предприятия. Управление ИТ предоставляет основу, которая связывает ИТ-процессы, ИТ-ресурсы и информацию со стратегией и целями организации, что позволяет максимально эффективно использовать информацию, повышая капитализацию и получая конкурентоспособные преимущества.

Принципы управления созданы для того, чтобы помочь руководителю ИТ ответить на три стратегических вопроса:

1. Существуют ли в настоящее время в организации Информационные Технологии, при управлении которыми “удовлетворяются” все информационные потребности организации?

2. Как организация обеспечивает инфраструктуру и управляет рисками, насколько организация зависит от этого?

3. С какими проблемами организация сталкивается при управлении ИТ?

Чтобы получить ответы на эти стратегические вопросы необходимо непрерывно отвечать на «тактические» вопросы:

• Что является результатом ИТ-процессов? 
• Что является решением проблем в ИТ?
• Из чего состоят эти решения?
• Будут ли работать эти решения?
• Как их реализовать?

Для получения ответов на «тактические» вопросы в книге Принципы управления CobiT, включены Модели Зрелости, Критические Факторы Успеха (КФУ), Ключевые Индикаторы Цели (КИЦ) и Ключевые Показатели Результата (КПР), это дополнение позволило получить качественно улучшенный подход к вопросам управления ИТ, который отвечает потребностям руководителей в части управления и контроля. Предоставляя руководителю организации инструмент управления и измерения ИТ на соответствие тридцати четырем ИТ-процессам, определенным в CobiT.

Для информационной поддержки принятия решений, в книге Принципы управления описаны следующие виды представления информации:

1. Инструментальная панель;

2. Карты оценки;

3. Эталонное тестирование.

Первой целью Принципов управления CobiT явилось создание индикаторов для инструментальной панели, единиц измерения для карт оценки, шкал сравнения для эталонного тестирования.

Необходимость “измерения” процессов организации обусловлена важностью непрерывного совершенствования ИТ, что создает потребность в комплекте инструментов для контроля. При этом трудно определить необходимый уровень совершенствования и остановиться на нем. Перед руководителями в коммерческих и некоммерческих организациях часто возникают задачи оценить объемы инвестиций в ИТ и инфраструктуру, при этом далеко не все могут обосновать инвестиции, отвечая на вопрос: «Как далеко необходимо зайти, и будут ли оправданы затраты выгодой?». Принципы управления CobiT призваны ответить на этот вопрос и помочь в обосновании инвестиций в ИТ.

В настоящее время информационные услуги преобладают над прочими поддерживающими бизнес услугами. Таким образом, ИТ становятся одним из первостепенных показателей бизнеса. Как следствие – отношения между бизнес-целями с их единицами измерения и ИТ с его целями и единицами измерения являются очень важными и могут быть изображены следующим образом (рис. 5).

Создание такой взаимной связи поможет руководителям в контроле над информационными технологиями организации, отвечая на следующие вопросы:

1. О чем беспокоится руководство организации? Необходимо удостовериться, что выполняются все потребности организации.

2. Где измеряется удовлетворение потребностей? Результат бизнес-процесса представлен на сбалансированной карте оценок бизнеса как Ключевой Индикатор Цели.

3. Затрагивают ли проблемы, возникающие в ходе реализации бизнес-процессов, информационные технологии организации? ИТпроцессы своевременно предоставляют организации правильную информацию, позволяя ее бизнес-процессам эффективно и бесперебойно функционировать. Это является Критическим Фактором Успеха для организации.

4. Где это измеряется? Ключевой Индикатор Цели, основанный на сбалансированной карте оценки, представляет ИТ-информацию, сопоставимую с критериями информации (Эффективность, Продуктивность, Конфиденциальность, Целостность, Пригодность, Согласованность, Надежность).

5. Что еще должно быть измерено? Если ответы на первые вопросы – положительные, должно быть учтено влияние множества Критических Факторов Успеха, которые должны быть измерены как Ключевые Индикаторы Результата для ИТ-процессов.

Модели зрелости

Модели зрелости в CobiT предназначены для контроля над ИТ-процессами организации. Они базируются на определении уровня развития организации от несуществующего до оптимизированного (от 0 до 5 уровня модели зрелости). Этот подход был привнесен в CobiT из Моделей Зрелости, разработанных Институтом проектирования и разработки программного обеспечения (Software Engineering Institute), созданных для оценки уровня зрелости разработки программного обеспечения.

Модели зрелости

Ответом на вопрос «чем и как управлять» явилась разработка моделей зрелости, начатая в конце 80-х годов Институтом проектирования и разработки программного обеспечения (Software Engineering Institute’s), по заказу Министерства обороны США. Первоначальное предназначение – создание эффективного инструмента для классификации и оценки проектов, связанных с разработкой программного обеспечения и гарантированного соблюдения качества при выполнении этих проектов. В дальнейшем модели зрелости были доработаны для управления ИТ-сервисами и аудита процессов управления.

Maturity Models (MM) – «модели зрелости». Соответствие уровням «модели зрелости» означает, что компания готова к плановой модернизации или обновлению. MM – не технология, не стандарт, для нее нет формальных описаний, в ней нет жестких требований, и она не привязана к конкретным информационным технологиям.

Модели зрелости не подсказывают как улучшить работу компании и не объясняют, как работать с персоналом, также нет готовых руководств и по применению моделей зрелости. Рекомендуется каждой конкретной компании разработать подобное руководство для своего бизнеса или пригласить сторонних консультантов для решения этого вопроса. Модели зрелости предназначены для организации эффективного управления. Они определяют ключевые действия, которые указывают, что надо сделать для достижения требуемого качества и содержат способы контроля над правильностью выполнения ключевых ИТ-процессов и методы их корректировки. Ключевые действия подробно описаны в Руководстве на абстрактном уровне, а в процессе использования MM компания может выбрать произвольную степень их формализации.

Беря за основу шкалу моделей зрелости (рис. 6), разработанную для каждого из 34 ИТпроцесса CobiT, руководитель может выяснить следующие сведения:

• Текущий статус организации – оценить, на какой стадии организация находится сегодня.
• Текущий статус лучшей практики в этой отрасли – сравнить свою организацию с лучшей организацией в этой отрасли.
• Текущий статус международных стандартов – провести дополнительное сравнение текущего статуса организации с «лучшей практикой» или международными стандартами.
• Статус организации после усовершенствования (реализация стратегии организации) – оценить стратегию организации, каких результатов организация хочет достичь.

Модель Зрелости Управления ИТ, для бизнеса, предназначена для управления ИТпроцессами с целью увеличения ценности ИТ, при соблюдении равновесия между риском и прибылью.

0. Не существует. Полное отсутствие какихлибо процессов управления ИТ. Организация не признает существования проблем в ИТ, которые нужно решать, и, таким образом, нет никаких сведений о проблемах.

1. Начало (Анархия). Организация признает существование проблем управления ИТ и необходимость их решения. При этом не существует никаких стандартизованных решений. Существуют случайные одномоментные решения, принимаемые кем-то персонально или от случая к случаю. Подход руководства к решению ИТ-проблем хаотичен, признание существования проблем случайно и непоследовательно.

2.Повторение (Фольклор). Существует всеобщее осознание проблем управления ИТ. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ. Деятельность по управлению информационными технологиями описана и интегрирована в процесс управления организацией. Выбраны для улучшения и/или контроля те ИТ-процессы, которые влияют на основные бизнес-процессы предприятия. Эффективно выполняется планирование и управление инвестициями.

Руководство организации регламентировало меры по управлению ИТ, а также методы управления и оценки, но процесс не был принят в организации. Не существует формализованного обучения, набора взаимосвязанных стандартных процедур управления, ответственность возложена на сотрудников.

Сотрудники контролируют процессы управления с помощью проектов и ИТ-процессов. Ограниченные инструменты управления выбираются и внедряются для сбора метрик управления, но не используются в полном объеме из-за недостатков в оценке их функциональности.

3. Описание (Стандарты). Необходимость действовать в соответствии с принципами управления ИТ понимается и принимается. Развивается базовый набор показателей управления ИТ: определена связь между результатом и показателями производительности, она зафиксирована и внедрена в стратегические процессы планирования и мониторинга. Процедуры стандартизованы и документированы, проводится обучение сотрудников по выполнению этих процедур. Показатели производительности всех видов деятельности зафиксированы и отслеживаются, что приводит к повышению эффективности работы всей организации.

Процедуры не сложны, они являются формализацией существующей практики. Идеи сбалансированных карт оценки бизнеса принимаются организацией. Ответственность за обучение, выполнение и применение стандартов возложена на сотрудников организации. Анализ первопричин применяется время-от-времени. Большинство процессов управляются в соответствии с некоторыми основными метриками, и, как правило, отдельными сотрудниками, поэтому ни о каких отклонениях руководители не знают. Однако всеобщая отчетность о выполнении ключевых процессов является четкой, и руководство премирует сотрудников на основе измерения ключевых результатов.

4. Управление (Измеряемый). Существует полное понимание проблем управления ИТ на всех уровнях организации, постоянно происходит обучение сотрудников. Определены и поддерживаются в актуальном состоянии соглашения об уровне обслуживания. Четко распределена ответственность, установлен уровень владения процессами. Процессы ИТ соответствуют бизнесу и стратегии ИТ. В первую очередь улучшения в процессах ИТ основываются на измеряемых количественных показателях. Существует возможность управлять процедурами и метриками процессов, измерять их соответствие. Все совладельцы процесса осознают риски, важность ИТ и возможности, которые они предоставляют. Руководство организации определило допустимые отклонения, при которых процессы должны работать. Если процессы не работают эффективно и продуктивно, действия предпринимаются во многих (но не всех случаях). Процессы постоянно совершенствуются, их результаты соответствуют «лучшим практикам». Формализован порядок анализа первопричин. Присутствует понимание необходимости постоянного совершенствования. Ограниченно применяются передовые технологии, основанные на современной инфраструктуре и модифицированных стандартных инструментах. Все необходимые ИТ-специалисты вовлечены в бизнеспроцессы. Управление ИТ превращается в процесс уровня всей организации. Деятельность управления ИТ интегрируется в процесс управления организацией.

5. Оптимизация (Оптимизируемый). В организации существует углубленное понимание управления ИТ, проблем и решений ИТ, а также перспектив. Обучение и коммуникация поддерживаются на должном уровне, самыми современными средствами. В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании «лучшей практики». Внедрение этих процедур привело к появлению организаций, людей и процессов, максимально адаптируемых к изменяющимся условиям, а также полностью соответствующих требованиям управления ИТ. Первопричины всех проблем и отклонений тщательно анализируются, по результатам анализа выполняются результативные действия. Информационные технологии интегрированы в бизнес-процессы, полностью их автоматизируют, предоставляя возможность повышать качество и эффективность работы организации.

Критические Факторы Успеха (КФУ)

Критические Факторы Успеха (КФУ) – определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами. КФУ должны быть управляемыми, ориентированными на успех и описывать, как выполнять необходимые стратегические, технические, организационные или процедурные действия для достижения успеха.

Примеры Критических Факторов Успеха (КФУ):

• Действия по управлению ИТ интегрированы в процессы управления организации и стиль работы руководителей;
• Управление ИТ сосредоточенно на целях организации: стратегических инициативах, использовании технологий для развития бизнеса, достаточности ресурсов и удовлетворения бизнес-требований;
• Действия по управлению ИТ ясно определены, формализованы и осуществляются на основе потребностей предприятия с соответствующей отчетностью;
• Методы управления разработаны для увеличения продуктивности, оптимального использования ресурсов и увеличения эффективности ИТ-процессов;
• Организационные методы следят за окружающей средой и культурой управления; способствуют нормальному контролю; ведению стандартной практики управления рисками; определяют степень соответствия установленным стандартам; управляют и изучают недостатки и риски;
• Методы аудита определены таким образом, чтобы избежать сбоев и ошибок в системе внутреннего контроля;
• Наблюдается интеграция и развитие взаимодействия сложных ИТ-процессов, таких как управление проблемами, изменениями и конфигурациями;
• Учрежден контрольный комитет, назначающий и наблюдающий за независимым аудитом, уделяющий пристальное внимание ИТ при составлении планов аудита, а также принимающий во внимание результаты исследований сторонних организаций и аудиторов.

Ключевые Индикаторы Цели (КИЦ)

Ключевые Индикаторы Цели (КИЦ) описывают комплекс измерений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес-требований. КИЦ выражается в терминах информационных критериев:

• Пригодность информации, необходимой для поддержки бизнеса;
• Риски отсутствия целостности и конфиденциальности;
• Рентабельность процессов и операций;
• Подтверждение надежности, эффективности и согласованности.

Ключевыми Индикаторами Цели (КИЦ), могут быть:

• Улучшение управления производительностью и стоимостью;
• Увеличение дохода от инвестиций в ИТ;
• Сокращение времени запуска в продажу нового продукта или услуги;
• Улучшение управления качеством, новшествами и рисками;
• Соответствующая интеграция и стандартизация бизнес-процессов;
• Поиск новых и удовлетворение существующих клиентов;
• Выполнение требований и ожиданий клиента по бюджету и времени;
• Соответствие законам, инструкциям, промышленным стандартам и договорным обязательствам;
• Полное осознание меры принимаемого риска, а также соответствие уровню риска,приемлемого для данной организации;
• Эталонное тестирование зрелости управления ИТ.

Ключевые Индикаторы Результата (КИР)

Ключевые Индикаторы Результата (КИР) описывают комплекс действий, необходимых для определения, насколько ИТ-процессы достигают поставленных целей. КИР являются основными индикаторами, отображающими вероятность достижения цели. А также индикаторами, отражающими адекватность способов, методов и навыков, используемых при достижении результата.

Ключевыми Индикаторами Результата (КИР), могут быть:

• Увеличение рентабельности ИТ-процессов;
• Улучшение работы и планирования действий по совершенствованию ИТ-процессов;
• Увеличение нагрузки на ИТ-инфраструктуру;
• Повышение степени удовлетворения пользователей (опросы пользователей и количество жалоб);
• Улучшение взаимодействия и коммуникаций между руководителями ИТ и руководством организации
• Повышение производительности сотрудников (в том числе, повышение морального духа).

Обобщая вышеизложенную информацию, можно сказать следующее:

• Модели зрелости предназначены для стратегического выбора и эталонного сравнения.
• Критические Факторы Успеха (КФУ) предназначены для организации контроля ИТпроцессов.
• Ключевые Индикаторы Цели (КИЦ) предназначены для контроля достижения целей ИТ-процессов.
• Ключевые Индикаторы Результата (КИР) предназначены для контроля результатов каждого ИТ-процесса.

При возрастании роли электронного бизнеса и зависимости от информационных технологий, организации должны стремиться к увеличению статуса организации, связанного, в том числе, с повышением уровней управления и безопасности ИТ. Каждая организация должна знать свои бизнес-процессы и должна отслеживать их совершенствование. Один из путей достижения конкурентоспособного уровня управления и безопасности ИТ – это эталонное тестирование и измерение совершенствования управления ИТ по сравнению с другими организациями отрасли и стратегией организации. Принципы управления CobiT предоставляют руководителю инструмент управления ИТ, позволяя отвечать на бесконечный вопрос: «Какой уровень управления необходим ИТорганизации, насколько он соответствует целям организации?»

Управление ИТ по CobiT

1. Управление ИТ осуществляется с учетом бизнес-потребностей.

2. Для управления ИТ определены информационные критерии.

Потребности бизнеса определяются Ключевыми Индикаторами Цели, чему способствует организация постоянного контроля над всеми ресурсами ИТ. Достижение необходимого уровня контроля измеряется Ключевыми Показателями Результата, которые учитывают Критические Факторы Успеха.

Модель Зрелости используется для оценки уровня управления ИТ в данной организации – от несуществующего (самый низкий уровень) до оптимизированного (самый высокий уровень).

Для достижения пятого, «оптимизированного» уровня зрелости в управлении ИТ организация должна быть, по крайней мере, на пятом уровне в домене мониторинг и как минимум на четвертом уровне моделей зрелости для всех других доменов.

В Принципах Управления CobiT сосредоточено краткое описание Критических Факторов Успеха, Ключевых Индикаторов Цели и Ключевых Индикаторов Результата для каждого ИТ-процесса, дополняя общий подход к управлению ИТ, изложенный в Структуре CobiT.

Принципы аудита ИТ, стандарт CobiT

Принципы аудита CobiT – книга стандарта, которая в большей степени ориентирована на аудит ИТ-процессов, чем на аудит конкретных функций или приложений. CobiT состоит из высокоуровневых целей контроля (определенных для ИТ-процессов организации), которые охватывают все параметры информационных систем и применяемых информационных технологий, учитывают цикл жизни и специфические задачи, решаемые ИТ.

CobiT Advisor 3rd Edition (Audit)

Цель написания программного продукта «CobiT Advisor» – максимально облегчить проведение аудита ИТ. Основываясь на открытом стандарте CobiT, программа Advisor обновляется в соответствии с редакциями стандарта. На основании изменений и дополнений третьего издания стандарта CobiT в «CobiT Advisor» были внесены соответствующие изменения. Программный продукт был дополнен 16 новыми объектами контроля и новыми формами отчетов. «CobiT Advisor» представляет собой базу данных Foxpro, структурированную в соответствии с 34 процессами и 318 объектами контроля стандарта CobiT, которая позволяет хранить, обрабатывать и предоставлять информацию о результатах проведения аудита в форме отчетов в различных форматах (например, MS Word, Excel).

Одним из типовых отчетов являются модели зрелости, которые можно построить как для каждого процесса управления ИТ, так и для совокупной модели зрелости всех ИТ-сервисов организации (рис. 7).

Этика аудитора ИТ

Для обеспечения высокого качества оказания услуг, обеспечения профессионализма аудиторов ИТ и разрешения сложных этических ситуаций, возникающих в процессе аудита ИТ, ассоциация ISACA определила основные требования к аудитору ИТ. Они описаны в «Этическом кодексе аудитора».

Этический кодекс аудитора (Ассоциация ISACA)

1. Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;

2. Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми THE INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION (ISACA);

3. Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;

4. Сознательно не принимать участия в незаконной, либо недобросовестной деятельности;

5. Сохранять конфиденциальность информации, полученной при выполнении своих должностных обязанностей;

6. Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца;

7. Выполнять свои должностные обязанности, оставаясь независимым и объективным;

8. Избегать деятельности, которая ставит под угрозу независимость аудитора;

9. Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимать участие в профессиональных мероприятиях;

10. Проявлять добросовестность при получении и документировании фактографических материалов, на которых базируются выводы и рекомендации аудитора;

11. Информировать все заинтересованные стороны о результатах проведения аудита;

12. Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем;

13. Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;

14. Совершенствовать свои личные качества.

Структура принципов аудита CobiT

Для каждого ИТ-процесса, определенного CobiT, в Принципах аудита представлена следующая информация.

Секция высокого уровня принципов аудита CobiT отражает:

• Название бизнес-процесса;
• Требования бизнеса (Объекты контроля высокого уровня);
• Как осуществлять контроль;
• Что учитывать.

Для перехода на уровень детального аудита ИТ-процесса:

• Детальные объекты контроля;
• Как понять ИТ-процесс (кому задавать вопросы);
• Как оценить контроль ИТ-процесса;
• Как оценить соответствие этого контроля – управлению;
• Как доказать риск не выполнения целей управления.

На практике при проведении аудита для каждого ИТ-процесса ИТ-аудитору, как минимум необходимо выполнить следующую работу:

1. Определить высокоуровневый объект контроля;

2. Определить ИТ-процесс;

3. Проанализировать границы аудита;

4. Определить детальные объекты контроля; 5. Провести интервью с сотрудниками (ориентировочные названия должностей для каждого объекта контроля приведены в принципах управления);

6. Назначить задания на оценку средств контроля (Принято ли во внимание …);

7. Оценить соответствие;

8. Проверить доказательства.

Область охвата CobiT

В силу объективных причин у каждого из ИТспециалистов разное образование, подготовка и опыт в сфере информационных технологий. Зачастую мы используем разные термины для описания одних и тех же событий, происходящих в информационной системе. На практике это приводит к недопониманию распоряжений руководства, выполнению излишней, ненужной работы, что, в свою очередь, мешает работе и сказывается на эффективности деятельности организации. Типичный пример, когда головной офис располагается в Москве, а офисы организации разбросаны по всей стране, и отчеты ИТслужб с мест приходят в головной офис в виде, не поддающемся анализу. Руководители компаний пытаются решить эти и подобные проблемы доступными способами, самые популярные из которых – совещания по обмену опытом, дополнительное обучение и повышение квалификации сотрудников.

CobiT, в свою очередь, является своеобразной платформой для конструктивного диалога между всеми участниками процесса, формализуя через термины и определения общение между:

1. Топ-менеджерами;

2. Руководителями среднего звена (ИТ – директором, начальниками отделов);

3. Непосредственными исполнителями (инженерами, программистами и т.д.);

4. Внутренними и внешними аудиторами;

5. Подрядчиками работ.

CobiT предоставляет всем сотрудникам организации единую терминологию в сфере ИТ, гарантируя возможность общения на «одном языке», в частности, при открытии проектов, описании проблем и инцидентов и т.д. Облегчая управление и контроль, предоставляя компетентные однозначные ответы на вопросы, в том числе при внешних проверках.

Рассмотрим, каким образом стандарт CobiT может быть применен в повседневной деятельности организации? Рассмотрим организацию, которая ставит перед собой цель: «предоставлять на рынке собственные услуги при максимально высоком качестве». Для достижения этой цели организация формализовала свою деятельность в соответствии с рекомендациями набора стандартов ISO 9000, ISO/IEC TR 15504 SPICE и т.п. Допустим, что подавляющее большинство бизнес-процессов организации соответствует положениям ISO 9000, внедрение стандарта управляется и поддерживается высшим руководством организации. Как и у любого стандарта, предполагающего собственное внедрение, ISO 9000 запускает механизмы контроля и управления, но это механизмы контроля и управления бизнес-процессами организации. Вопросы же, связанные с ИТ, рассматриваются как неотъемлемая часть бизнес-процессов организации. Но при этом выделить ИТ-составляющую из общего результата достаточно проблематично, и, как следствие, на базе подобной информации затрудняется управление ИТ-составляющей.

Рассмотрим рисунок, иллюстрирующий процессы управления и аудита (Рис. 8).

Проведение аудита ИТ по стандарту CobiT представлено в левой части рисунка. Объекты контроля располагаются в соответствующих фазах бизнес-процессов, которые могут быть формализованы с соблюдением требований стандартов, предоставляя информацию с каждого объекта контроля на более высокий уровень. Рассматривая бизнес-процессы организации мы подразумеваем, что они могут быть созданы по стандартам качества или без них. Собираемая информация объединяется в высокоуровневые объекты контроля, которые затем сводятся в четыре домена CobiT. Оценка организации выводится на шкале модели зрелости организации, и лицу, принимающему решения, гарантируется возможность оценки текущего состояния ИТ в организации, сравнения с требованиями международных стандартов, а также с «лучшей» практикой и стратегией организации в той же отрасли.

Процессы управления схематично отражены в правой половине рисунка. По результатам проведенного обследования руководитель анализирует нужды и требования бизнес-процессов к ИТ, переходя тем самым к управлению. При этом необходимо принимать во внимание тот факт, что невозможно управлять организацией в соответствии с положениями стандарта CobiT (при этом не проводя аудит в соответствии с CobiT), который позволяет получить в достаточном объеме необходимую и достоверную информацию для принятия решений и наоборот. Таким образом, оба эти процесса должны осуществляться в соответствии с рекомендациями CobiT.

Для надлежащего управления ИТ по CobiT требуется информация, представляемая в соответствии с рекомендациями стандарта, а хотя аудит по CobiT проверяет информационные технологии организации на соответствие рекомендациям CobiT, наиболее существенную роль играет при этом интерпретация результатов. Таким образом, выпадение одного из звеньев из этой цепочки снижает уровень достоверности полученной информации и эффективности ее дальнейшего использования.

Взаимосвязь CobiT и других требований и стандартов

Открытый стандарт CobiT имеет свою нишу в общем комплексе стандартов, методик и руководств. Прежде всего, это стандарт управления и аудита ИТ. На что следует резонный вопрос, но, например, ITIL тоже содержит рекомендации по управлению ИТ-услугами, как они пересекаются? ITIL – библиотека лучшего практического опыта в части предоставления ИТ-услуг, а CobiT специализируется и на управлении и на

аудите ИТ. Процессы ITIL, как и любые другие процессы, могут управляться и контролироваться стандартом CobiT.

Повторюсь, что для управления предназначены цели управления, изложенные в Принципах управления, а для аудита – объекты контроля, изложенные в Принципах аудита. На рисунке это разделение представлено схематично (рис. 9).

Как следует из рисунка, CobiT предоставляет топ-менеджерам возможность донести цели и задачи бизнеса до руководителей ИТслужб, преобразовав стратегические и тактические планы организации в четкие и понятные планы развития ИТ. Руководители ИТ-служб, в свою очередь, управляют руководителями подразделений на основе полученных указаний в соответствии с CobiT. Методология ITIL применяется для оптимизации процесса обслуживания информационных систем с точки зрения управления. Если процессы предоставления и поддержки ИТ услуг (ITIL) в организации не внедрены, то Cobit предоставляет механизмы управления и на этом уровне. При этом CobiT можно применить в части управления эксплуатацией информационной системой, но только в качестве инструмента общего управления и контроля. Здесь необходимо учитывать, что CobiT не предоставляет инструментов для управления или аудита аппаратно-программного обеспечения конкретных фирм производителей. Так, например, аудит программного обеспечения Microsoft должен выполняться в соответствии с методиками, разработанными Microsoft, и на соответствие требованиям Microsoft, но результаты подобной проверки могут и должны быть использованы в процессах CobiT. Так очень схематично можно определить место и роль CobiT в части управления ИТ.

Итак, ИТ-аудиторы собирают, анализируют информацию и предоставляют отчеты и заключения руководителям организации в соответствии с руководством аудитора CobiT (объекты контроля, «размещенные» в соответствии с рекомендациями CobiT). Основываясь на аудиторских оценках и заключениях о степени достижения целей управления, руководители организации обоснованно, с точки зрения соответствия ИТ целям и задачам бизнеса, осуществляют управление процессами организации для реализации ее бизнес-целей.

Практические рекомендации

Как уже говорилось выше, главной связующей нитью между аудитом и управлением являются полученные результаты аудита, на основе которых в дальнейшем создается система управления. Результаты должны оформляться в виде отчета, минимальный перечень разделов которого приведен ниже:

1. Общий раздел.

2. Описание текущей ситуации.

3. Выводы и заключения.

4. Рекомендации.

5. Приложения, в которые включаются документы, результаты интервью и другая фактическая информация, на которой базируются заключения и рекомендации.

Содержание отчетов может варьироваться в зависимости от уровней предоставления информации:

1. «Резюме для руководителей» – резюме по результатам аудита объемом в 1-3 страницы, содержащих краткую оценку текущей ситуации, основные рекомендации с указанием ожидаемого эффекта, сопутствующие риски и указание ориентировочной стоимости. Документ предоставляется высшему руководству на уровне генерального директора, финансового директора, исполнительного директора.

2. «Общий» – полный отчет, созданный по результатам проведенного ИТ-аудита. Должен включать, как минимум, следующие разделы: описание текущей ситуации, выводы и заключения, рекомендации (детальные). Документ предоставляется менеджерам среднего звена.

В западной практике результатом аудита считается заключение аудиторской организации, на основании которого консультанты из этой же или другой фирмы, подготавливают рекомендации, направленные на повышение таких показателей организации, как эффективность, производительность, экономичность, качество и т.п. На российском рынке ИТ-консалтинга Заказчик в большинстве случаев требует от подрядчика (в основном от аудиторской компании) не только заключения и рекомендаций, но и их реализации, хотя бы до стадии проведения тендеров на поставку оборудования или услуг.

Преимущества проведения регулярного аудита

На практике в большинстве организаций необходимый уровень управления обеспечивается внутренней иерархией: вершину дерева занимает лицо, принимающее решение, например, генеральный директор, консультант по ИТ, директор департамента ИТ. Управление осуществляется через менеджеров среднего звена (руководителей департаментов, отделов, рабочих групп, менеджеров проектов). Контроль выполнения руководящих указаний обеспечивается формальными отчетами о проделанной работе, при этом полнота и объективность отчетов остается на совести исполнителей работ. Одним из решений задач управления и контроля в сфере информационных технологий организации является создание собственного подразделения внутреннего аудита ИТ.

Основным преимуществом регулярного проведения аудита является накопление знаний организации, создание собственной базы знаний, которая позволит быстро и достоверно ответить на большинство вопросов, возникающих в организации.

Внутренний аудит предоставляет отчеты и информацию по запросу в любое время, а внешний (сторонние аудиторы) – лишь после заключения и соблюдения договорных обязательств. Построение и поддержка актуальности базы знаний об ИТ-организации позволит обеспечить прозрачность ИТ-служб, организовать эффективное взаимодействие служб ИТ, эффективно управлять ИТ.

Таким образом, делая выбор, базирующийся на возможностях и целях организации, придется выбирать между подрядом внешней команды с расчетом на долгосрочное сотрудничество или лишь для проверки результатов «первичного» аудита, который в дальнейшем попадает в сферу компетенции внутренней аудиторской службы. То есть сторонние аудиторы, проводя первичный аудит, позволяют руководителям, в том числе и с точки зрения временного задела, сконцентрировать усилия на создании высокопрофессиональной службы внутренних аудиторов к моменту сдачи результатов проверки.

Как мы уже выяснили, «первичный» аудит отличается от последующих относительной сложностью и большим объемом собираемой и анализируемой информации. Руководитель организации, заказавший аудит ИТ у внешней аудиторской компании, должен понимать, что через полгода-год (в зависимости от динамики развития) ситуация в организации изменится, результаты аудита потеряют свою актуальность.

«Первичный» аудит – термин не общепринятый, но все же, это состояние, когда информация об ИТ-организации собирается впервые.

Если в этот момент не провести повторный аудит для сравнения с предыдущими результатами, то деньги, вложенные в «первый» аудит, можно считать потерянными и придется проводить «первичный» аудит заново.

Идеальная ситуация, когда аудит и управление выполняются по CobiT, предоставляя лицу, принимающему решение, полнофункциональный инструмент управления и контроля над ИТ организации, но на практике мы сталкиваемся с отсутствием формального управления.

В этом случае требуется дополнительная предварительная работа, направленная на описание производственных процессов организации.

Причины постановки управления и проведения аудита ИТ

Аудит ИТ проводят для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решения, управления ИТ.

Результаты аудита ИТ позволяют:

1. Оценить соответствие ИТ требованиям бизнеса

• Выявить недостатки и упущения;
• Обосновать инвестиции в ИТ.

2. Прогнозировать развитие ситуации

• Эффективно планировать развитие ИТ-организации;
• Понимать выгоды и риск при внесении изменений в информационную систему;
• Прогнозировать возникновение проблемных ситуаций (проблем и инцидентов).

3. Принимать решения

• Обоснованно решать проблемы безопасности и контроля;
• Обоснованно приобретать или модернизировать аппаратно-программные средства;
• О приобретении услуг (outsourcing);
• Планировать повышение квалификации сотрудников ИТ-подразделений.

4. Контролировать исполнение решений

• Управлять ИТ составляющей проектов (контролировать время и стоимость их реализации, оценивать полноту достижения целей);
• Контролировать стоимость владения ИС.

Причины применения стандарта CobiT для управления и аудита ИТ

После проведения ИТ-аудита с использованием принципов аудита, изложенных в CobiT, организация получит возможность:

1. Оценить степень соответствия ИТ-организации требованиям бизнеса.

2. Определить приоритеты основных ИТ-процессов.

3. Выявить критически важные элементы ИТ. 4. Выявить и оценить факторы риска.

5. Определить степень адекватности мер, принимаемых для управления рисками.

6. Оценить степень защищенности компании от чрезвычайных происшествий и их последствий.

7. Реализовать рекомендации по обеспечению бесперебойности функционирования ИТ.

8. Создать план работ по устранению недостатков и разработать способы их устранения.

Кроме того, управление и аудит в соответствии со стандартом CobiT предоставляет организации следующие дополнительные преимущества:

1. Возможность получения результата в сравнительно короткие сроки.

2. Гарантия того, что при проведении аудита ничто не будет забыто: стандарт охватывает все уровни ИТ.

3. После проведения «первичного» аудита производится наполнение информационной базы, что делает процессы проведения последующих проверок проще, легче и, как следствие, дешевле.

4. CobiT как инструмент управления остается и внедряется в организации, автоматически переводя ее на уровень управления, сопоставимый, как минимум, со 2 уровнем модели зрелости CMM, несмотря на то, что достижение уровней зрелости не является прямой целью аудита – это специфические задачи бизнес-консалтинга.

Предложение услуг по ИТ аудиту на Российском рынке

На Российском рынке в настоящее время, в части предложения услуг по проведению ИТ-аудита, очень условно можно выделить следующие виды:

• Обследование ИТ, частный случай это обычная инвентаризация – сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. Основную роль здесь играет сбор и структуризация информации, анализ и оценка не производится.

• Экспертная оценка ИТ – оценка ИТ-проектов (проектных решений), оценка правильности (обоснованности) инвестиций в ИТ, сколько стоит ИТ-составляющая организации, не только балансовая стоимость компьютеров и программ, но и долгосрочность примененных проектных решений, оценка текущих ИТ-проектов, возможность перепрофилирования существующей ИТ-инфраструктуры под решение качественно других задач, организация эксплуатации ИТ, подготовка пользователей. Мы не говорим об возврате инвестиций, это тема отдельного исследования, мы говорим об оценки адекватности финансирования проектных решений, инвестиций в закупку оборудования и ИТ-услуг. Большинство современных компаний строят свой бизнес, взаимодействуют с клиентами и партнерами с широким применением информационных технологий. Однако существующие в настоящее время методики оценки предприятий сведены к экспертным заключениям о денежных потоках, материальных активах, финансовых показателях текущей деятельности и т.д., практически не учитывая совокупной стоимости и значимости для бизнеса информационных ресурсов предприятия.

• Технический аудит ИТ – сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного элемента ИТ-инфраструктуры. Характерные особенности – малый масштаб работы («железка» с ее входами-выходами) и узкая прикладная специализация исследования, можно сказать что это «штучная» работа, для каждого конкретного случая.

• Аудит ИТ бизнес-процесса – Аудит информационных технологий, поддерживающих определенный (выделенный или заданный) бизнес-процесс организации на соответствие заданным (или разработанным) критериям оценки. Для проведения подобного аудита необходимо определить ответственного за процесс, пользователей и участников, выявить применяемое оборудование и программы, обслуживающий персонал, проектные и регламентирующие документы. На базе собранной информации построить модель, с указанием мест взаимодействия (стыка) с другими бизнес-процессами.

• Аудит критерия ИТ– сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ: безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки мы говорим не только об отдельном элементе ИТ-инфраструктуры, но и обо всей совокупности программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой организации.

• Комплексный аудит ИТ. Руководство должно знать и иметь возможность оценить все, что происходило и происходит в ИТ-организации, сравнить адекватность ИТ-потребностям бизнеса. Иначе говоря, прогнозировать развитие организации и соизмерять его с текущим состоянием и перспективами развития ИТ. В результате получается сложная многомерная матрица взаимосвязей бизнеспроцессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств их возможностей/ограничений и многого другого должна быть представлена в виде простого и понятного образа, при этом сохранив достоверность информации. Информации об успешной реализации таких проектов в России очень мало, потому что, прежде всего, это требует объединения ресурсов различных компаний и организации единой коллективной работы.

Приведенная классификация, является условной, автор будет благодарен за любые отзывы о ней как ИТ-специалистов, маркетологов, так и других заинтересованных лиц.

Заключение

Перефразируя утверждение, что «у каждой бумаги должны быть ноги», можно сказать, что у каждого стандарта должна быть голова. CobiT не является исключением, именно его переосмысление и адаптация под нужды каждого конкретного Заказчика, будь то ИТ-руководитель, внешний или внутренний аудитор, либо консультант – это большая ежедневная работа.

Термины и определения

Аудит – Что такое аудит? Что под этим термином понимается? Определений как таковых много, на мой взгляд, наиболее лаконичным и верным по сути является трактовка Комитета Американской бухгалтерской ассоциации по основным концепциям учета: «Аудит — это системный процесс получения и оценки объективных данных об экономических действиях и событиях, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заинтересованным пользователям…».

В данном случае для осознания, что есть такое аудит ИТ, необходимо лишь изменить обозначенную в приведенном выше определении область применения, экономическую на интересующую нас сферу информационных технологий. Таким образом, Аудит ИТ — системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям и предоставляющий результаты Заказчику.

Стандарт аудита – нормативно-технический документ (или эталон, модель, которая является отправной точкой), устанавливающий комплекс требований и правил к объекту аудита, квалификации исполнителей, организации аудита, методическим приемам анализа документации и представлению аудиторского заключения в предметной области и т.д.

Методика аудита – совокупность теоретических и практических способов проведения аудита, разработанные аудитором на базе стандартизированных правил и норм проведения аудита в предметной области, в определенной степени, на основе личного профессионального опыта.

Информационно-коммуникационные технологии (определение Информационного общества www.iis.ru) – совокупность методов, производственных процессов и программнотехнических средств, интегрированных с целью сбора, обработки, хранения, распространения, отображения и использования информации в интересах ее пользователей.

Каждое предприятие осуществляет определенную деятельность, направленную на достижение своих стратегических целей и удовлетворение потребностей. Любую деятельность можно разбить на функционально законченные процессы (для коммерческих предприятий – бизнес процессы). В качестве ключевых обычно выделяют: производство, сбыт, продвижение продукции, управление и другие процессы, типичные для большинства предприятий. Роль информационных технологий (ИТ) заключается в поддержке деятельности предприятия. ИТ должны обеспечить выработку правильного управленческого решения в каждой конкретной ситуации, т. е. в нужное время, в нужном месте и в нужном объеме дать достоверную информацию, необходимую для принятия управленческого решения.

Смежные технологии – смежные с ИТ сферы деятельности: инженерные системы (например, концепция интеллектуального здания, включающая в себя гарантированное электропитание, кондиционирование, водоснабжение и т.д.). Технологии, не относящиеся к информации, но являющиеся критически важными для нее это пример, знакомый страховщикам, – выплата страховки за страховой случай, связанный с пожаром или затоплением серверной. На данный момент практически все компании, предлагающие комплексные ИТ решения обладают наряду с лицензиями на осуществление оценочной и аудиторской деятельности еще и лицензиями на строительство и проектирование зданий и сооружений. Что само иллюстрирует неразрывную связь между указанными технологиями.

Информационные системы (определение Информационного общества www.iis.ru) – организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Глоссарий

Одним из недостатков на российском ИТ рынке является отсутствие единой терминологической базы, чтобы точно обозначить термины, взятые мной из первоисточников, привожу краткий глоссарий примененный к ключевым терминам данной статьи.

IT Governance Institute – Институт Управления ИТ

Information and related Technology – Информационные и смежные Технологии

high-level approach – высокоуровневый подход Maturity Models – Модели Зрелости

Critical Success Factors (CSFs) – Критические Факторы Успеха (КФУ)

Key Goal Indicators (KGIs) – Ключевые Индикаторы Цели (КИЦ)

Key Performance Indicators (KPIs) – Ключевые Индикаторы Результата (КИР)

Networking – сеть организации (ЛВС) management of IT related risks – Управление сопутствующими рисками в ИТ enterprise governance – управление предприятием

IT governance – управление ИТ

Dashboards – инструментальная панель Scorecards – карты оценок

Balanced Business Scorecard – Сбалансированные карты оценки бизнеса

Measures – единицы измерения Benchmarking – эталонное тестирование Scale for comparison – шкала сравнения Effectiveness – Эффективность Efficiency – Продуктивность Confidentiality – Конфиденциальность Integrity – Целостность

Availability – Пригодность

Compliance – Согласованность Reliability – Надежность

Cost-efficiency – рентабельность

Книги CobiT

Executive Summary – Резюме для руководителей

CobiT Framework – Структура CobiT

Control Objectives – Объекты Контроля Management guidelines – Принципы управления

Audit guidelines – Принципы аудита

Источники информации и полезные ссылки

«The Balanced Business Scorecard — Measurements that Drive Performance,» Robert S. Kaplan and David P. Norton, Harvard Business Review, January-February 1992

«Capability Maturity ModelSM for Software,» Version 1.1. Technical Report CMU/SEI-93-TR024, Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, February 1993

http://www.isaca.org

http://www.pinkelephant.org

http://www.isaca.ru

http://itsm.itpark.ru/

http://www.methodware.com

http://krilov.lib.ru

Контрольные объекты для информационных и смежных технологий

Стандарт Cobit в настоящее время является синтезом четырех десятков международных стандартов в области аудита, контроля, управления информационными технологиями и информационной безопасности. Его основной стратегической задачей является ликвидация разрыва между руководящим звеном системы управления хозяйствующими субъектами с их видением целевой направленности деятельности этих субъектов и ИТ департаментами, осуществляющими поддержку важнейшей для любого функционирующего хозяйствующего субъекта информационной инфраструктуры, которая должна быть направлена на достижение этих целей.

Стандарт Cobit определяет и регламентирует обязательные требования, предъявляемые к аудиту и к отчетным формам, оформляемым по его результатам. Он предоставляет:

• аудиторам: минимально приемлемый уровень исполнения работ в соответствии с профессиональными требованиями Кодекса профессиональной этики;
• сертифицированным аудиторам информационных систем: обязательные требования, предъявляемые к их работе;
• менеджерам и иным заинтересованным лицам: представления о требуемом уровне профессиональной работы лучших практиков в области ИТ.

Указанный стандарт раскрывает лучший практический опыт на уровне доменов (групп ИТ-процессов) и отдельных процессов, а также регламентирует действия в виде управляемой и логичной структуры. При этом лучший практический опыт основан на консенсусе экспертов. Он (опыт) в большей степени ориентирован на контроль, нежели на исполнение. Раскрытые в Стандарте нормы позволяют оптимизировать инвестиции в информационные технологии, обеспечить уверенность в уровне предоставляемых сервисов и выработать показатели, на которые можно ориентироваться в случае неблагоприятного развития ситуации.

В сфере информационных технологий предоставление сервисов, соответствующих требованиям деятельности хозяйствующего субъекта, предполагает наличие надлежащей системы и методологии внутреннего контроля. Система контроля, основанная на Cobit, отвечает этим требованиям, поскольку:

• связана с требованиями деятельности хозяйствующих субъектов;
• организует виды ИТ-деятельности в виде понятной процессной модели;
• определяет основные ресурсы ИТ, на которые должны осуществляться воздействия;
• определяет цели контроля.

Ориентация стандарта Cobit на деятельность хозяйствующих субъектов состоит во взаимосвязи целей этой деятельности и информационных технологий, выявлении показателей и моделей зрелости для оценки достижений, определении степени ответственности владельцев бизнес и ИТ- процессов. Иными словами, в основу стандарта Cobit положено основополагающее утверждение, что для обеспечения любого хозяйствующего субъекта (его системы управления) информацией, необходимой для достижения определенных бизнес целей, следует управлять ИТ-ресурсами с помощью естественным образом сгруппированных ИТ-процессов.

Первая версия стандарта Cobit, выпущенная в 1996 году, включала в себя «Концептуальное ядро» (Cobit Framework), определяющее набор основополагающих принципов и понятий в области управления информационными технологиями, описание Объектов контроля (Control Objectives) и «Руководство по аудиту» (Audit Guidelines).

Вторая версия была опубликована в 1998 году. В нее вошли переработанная версия «Детальных объектов контроля» (Detailed Control Objectives) и «Набор инструментов внедрения» (Implementation Tool Set).

В третью версию стандарта вошло «Руководство по управлению» (Management Guidelines), в основу которого заложено понятие «Система управления ИТ» (IT Governance).

Состав книг стандарта Cobit

Таким образом, в состав третьей редакции Стандарта Cobit вошло несколько книг, ориентированных на различных потребителей.

При этом «Резюме для руководства» служит введением в остальные разделы Стандарта и ориентировано на высшее звено системы управления хозяйствующим субъектом для принятия ими решения о применении Стандарта Cobit в их субъекте. Оно определяет Миссию Cobit и понятие Системы управления ИТ.

В свою очередь, Концептуальное ядро (или Структура Cobit) содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним. Основная концепция Cobit предполагает формирование механизмов управления в информационных технологиях исходя из того, какая информация необходима для поддержания целей деятельности хозяйствующего субъекта и удовлетворения требований этой деятельности. Информация в данном контексте рассматривается как результат использования ИТ- ресурсов, управление которыми осуществляется в рамках ИТ- процессов.

Концептуальное ядро Cobit сгруппировано в четыре домена (группы ИТ-процессов):

• планирование и организация (planning and organization) – определяющие направления относительно внедрения решений и обеспечения сервисов;
• приобретение и внедрение (acquisition and implementation) – обеспечивающие внедрение решений и оказание на их основе сервисов;
• эксплуатация и сопровождение (delivery and support) – представляющие сами решения и делающие их применимыми для конечных пользователей;
• мониторинг (monitoring) – выполняют надзор за всеми процессами для того, чтобы убедиться в продвижении в верном направлении.

Указанные домены объединяют в себе 34 высокоуровневых задачи (объекта) управления (одна задача для каждого ИТ-процесса).

Книга «Детальные объекты контроля» раскрывает детальное описание объектов (задач) контроля для каждого из 34 ИТ-процессов. Всего насчитывается 318 объектов. «Руководство по управлению» позволяет руководству хозяйствующего субъекта реализовать наиболее эффективные стратегии управления информационными технологиями, установить контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг, давать сравнительную оценку достижения целевых установок хозяйствующего субъекта и оценивать эффективность в рамках каждого ИТ-процесса. «Набор инструментов внедрения» содержит разъяснения ключевых концептуальных положений стандарта Cobit, а также алгоритм процесса их внедрения в деятельность любого хозяйствующего субъекта.

Книга включает в себя следующие основополагающие компоненты:

• обзорная часть (Executive Overview);
• руководство по внедрению, включая практический опыт и презентации (Case Studies, Power Point Presentations);
• инструментарий, помогающий анализировать структуру управления ИТ хозяйствующего субъекта: Диагностика осведомленности руководства субъекта (Management Awareness Diagnostic) и Диагностика ИТ-управления (IT Control Diagnostic);
• часто задаваемые вопросы и ответы на них (FAQs).

Процесс внедрения Стандарта Cobit в деятельность хозяйствующего субъекта состоит из следующих основных этапов:

1. определение цели деятельности на основе Концептуального ядра стандарта;
2. выбор ИТ-процессов и механизмов управления на основе высокоуровневых и детальных объектов управления;
3. разработка и согласование программы внедрения с бизнес-планом;
4. оценка существующих процедур и результатов внедрения механизмов управления на основе «Руководства по аудиту»;
5. оценка текущего статуса хозяйствующего субъекта, идентификация критических действий, ведущих к успеху, и измерение эффективности достижения целевых установок деятельности хозяйствующего субъекта на основе «Руководства по управлению».

И наконец, «Руководство по аудиту» представляет собой книгу, ориентированную на аудит ИТ-процессов.

Принципы аудита информационных технологий

Аудит позволяет оперативно получать систематизированную и достоверную информацию не только для оценки ИТ, но и для принятия адекватных решений по управлению ими. На российском рынке в настоящее время можно выделить шесть видов услуг по аудиту информационной инфраструктуры:

• обследование информационных технологий, применяемых хозяйствующим субъектом;
• экспертная оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-сервисов;
• технический аудит информационных технологий;
• аудит ИТ-процессов;
• аудит критерия информационных технологий;
• комплексный аудит информационной инфраструктуры.

Обследование информационных технологий предполагает всего лишь сбор информации (инвентаризация) для проведения последующих работ по внедрению нового информационного элемента инфраструктуры. При этом анализ и оценка не производятся. В свою очередь, экспертная оценка предполагает осуществление следующих видов оценки:

• оценка ИТ-проектов или проектных решений;
• оценка обоснованности инвестиций в информационные технологии;
• оценка стоимости ИТ-составляющей хозяйствующего субъекта;
• оценка текущих ИТ-проектов;
• оценка возможности перепрофилирования информационной инфраструктуры;
• оценка организации эксплуатации информационных технологий;
• оценка подготовки пользователей.

Технический аудит информационных технологий предполагает сбор и анализ информации, а также выдачу рекомендаций по улучшению работы отдельного технического элемента информационной инфраструктуры. При этом указанное направление аудита предполагает незначительный масштаб узкоспециализированных исследований.

Аудит ИТ-процессов – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса хозяйствующего субъекта с заданными критериями качества и эффективности. Одним из важнейших результатов этого направления аудита является формализованная модель исследуемого ИТ-процесса и конкретного бизнес-процесса. Выполнение указанного направления аудита предполагает:

• определение владельца бизнес-процесса;
• определение пользователей и участников бизнес-процесса;
• выявление применяемого оборудования и программных продуктов, участвующих в исследуемом ИТ-процессе;
• оценку действий обслуживающего персонала и пользователей ИТ-процесса;
• анализ проектных и регламентирующих документов.

При проведении аудита критерия информационных технологий осуществляется сбор и анализ информации, а также выдача управленческих рекомендаций по заранее определенному информационному критерию, например, безопасность, эффективность, доступность, соответствие требованиям и пр. В данном случае исследуются не только отдельный элемент информационной инфраструктуры, но и вся совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания всего аудируемого субъекта.

И наконец, комплексный аудит информационной инфраструктуры предполагает определение и анализ взаимосвязей бизнес-процессов и их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью выявления ее адекватности потребностям деятельности хозяйствующего субъекта. В настоящее время практической реализации указанных направлений аудита посвящен ряд международных регламентирующих документов. В них отражены вопросы практики аудирования, оценки рисков и надежности системы внутреннего контроля, технологические аспекты проведения аудита, учитывающие использование современных информационных технологий. При этом наиболее перспективным из них является постоянно развивающийся стандарт Cobit, который, вобрав в себя достижения значительного числа международных стандартов, легко масштабируется и наращивается. Стандарт Cobit позволяет использовать аудируемому субъекту любые разработки современных производителей аппаратно-программного обеспечения и исследовать информацию, не изменяя общепринятые подходы к аудиту и собственную структуру.

В ходе проведения аудита, основанного на стандарте Cobit, аудирующий субъект:

• содействует системе управления аудируемым субъектом в надлежащей организации управления информационными технологиями;
• осуществляет проведение периодических аудиторских исследований;
• помогает подготавливать внутренние нормативные документы;
• содействует предотвращению и смягчению сбоев информационных систем;
• участвует в управлении рисками, сопряженными с использованием тех или иных информационных технологий;
• осуществляет независимую интерпретацию управленческих рекомендаций по оптимизации функционирования информационной инфраструктуры аудируемого субъекта.

Таким образом, согласно требованиям стандарта Cobit основной целью аудита информационных технологий следует считать предоставление руководящему звену системы управления хозяйствующим субъектом обоснованных гарантий эффективного выполнения задач управления этими технологиями. Кроме того, тщательное аудиторское исследование информационных технологий способствует улучшению состояния информационной инфраструктуры, характеризующегося уровнем ее безопасности и эффективности управления. Поэтому в ходе аудита анализируется текущее состояние информационной инфраструктуры в целом и информационных технологий в частности и при выявлении существенных отклонений от определенных критериев производится оценка результирующих рисков и вырабатываются рекомендации по поводу требуемых корректирующих действий.

Модель анализа рисков по Cobit

Для оценки механизмов управления стандарт Cobit рекомендует использовать классическую модель аудиторского
цикла. В соответствии с этой моделью критерии аудиторского исследования определяются стандартами или иными нормативными документами. Другим распространенным подходом практической реализации аудиторского исследования информационных технологий, основанным на требованиях стандарта Cobit, является модель анализа рисков, в которой критерии аудита формируются на основании оценки рисков.

Однако сами методы и подходы к анализу и управлению рисками, а также вопросы их использования при проведении аудита информационных технологий остаются за рамками указанного стандарта. В нем лишь даются их общие определения и краткие пояснения.

Алгоритм модели анализа рисков начинается с оценки ИТ-ресурсов (Asset Valuation), необходимых для достижения бизнес-целей аудируемого субъекта. ИТ-ресурсы, как уже отмечалось ранее, включают в себя информацию, технические, программные и прочие средства (в том числе персонал), необходимые для ее получения, обработки, выдачи заинтересованным пользователям и хранения. На следующем этапе осуществляется анализ уязвимостей (Vulnerability Assessment) и угроз (Threat Assessment), препятствующих достижению бизнес-целей. Вероятность угрозы, величина уязвимости, а также размер возможного ущерба определяют степень риска, связанного с возможностью реального проявления той или иной угрозы. Далее аудитору необходимо выбрать корректирующие действия (контрмеры) (Counter Measures), оценить их эффективность (Control Evaluation), определить величину остаточных рисков (Residual Risk) после реализации контрмер и разработать для руководящего звена системы управления аудируемого субъекта план действий по внедрению механизмов управления (Action Plan).

Классическая же модель аудиторского цикла, основанная на требованиях стандарта Cobit, опирается на концептуальное ядро Cobit, общие требования к аудированию ИТ-процессов (раздел Стандарта «Планирование и выработка стратегии аудита» и «Обобщенная схема руководства по аудиту») и общие принципы управления (раздел Стандарта «Общие замечания относительно оценки процессов управления»). Кроме того, Стандарт определяет и основные стадии проведения аудита и формулирует «Детальные инструкции по аудиту конкретных ИТ-процессов», которые являются лишь основой аудиторского исследования и требуют дополнения в каждом конкретном случае аудирования. Аудирующий субъект, приступая к аудиту конкретного хозяйствующего субъекта, должен учитывать, что стандарт Cobit служит лишь в качестве методологической основы разработки индивидуальных методик аудирования. В этой связи заслуживает особого внимания рассмотренная ранее модель аудиторского цикла операционного аудита, адаптированная на исследование информационных технологий и их взаимосвязей с деятельностью хозяйствующего субъекта.

Подготовительный этап анализа

Аудирующему субъекту, приступая к выполнению аудиторского задания, следует помнить, что каждый хозяйствующий субъект, являющийся его потенциальным клиентом, индивидуален и нетипичен. При этом его цели и ожидания также индивидуальны. Это, в свою очередь, требует особой тщательности и индивидуальности подхода к аудиторскому исследованию каждого из аудируемых субъектов. В общем понимании, планирование с точки зрения управления каким-либо видом деятельности или процессом способствует наиболее рациональному распределению работ и ресурсов, а также эффективному надзору за их выполнением и распределением. При этом надлежащее планирование аудиторской работы позволяет достичь понимания того, что всем значимым для аудируемого субъекта аспектам уделено должное внимание. Кроме того, тщательное планирование позволяет выявить и оценить наиболее существенные проблемы, стоящие перед этим субъектом, для того чтобы весь цикл аудирования был реализован в наиболее кратчайшие сроки и с минимальными затратами, а полученные при этом результаты были должным образом восприняты системой управления аудируемого субъекта и, как следствие, реализованы ею на практике. В то же время, принимая задание на проведение аудита информационных технологий, аудирующий субъект должен обозначить именно те проблемы, которые имеют наибольшее значение для данного конкретного хозяйствующего субъекта (его потенциального клиента). С этой целью важно осуществить подготовительный этап, то есть определить и согласовать с руководством этого субъекта конкретные цели и направления предстоящего аудиторского процесса. При этом основнаяроль руководства хозяйствующего субъекта, как заинтересованного в результатах аудита лица, состоит в том, чтобы оказывать всестороннюю поддержку аудирующему субъекту в уточнении формулировок наиболее значимых для него проблем, а также в подготовке достаточного и надлежащего информационного обеспечения предстоящего детального аудиторского исследования.

Исходя из этого, указанный этап должен завершиться наиболее точной формулировкой основных проблем, стоящих перед хозяйствующим субъектом и требующих обязательного решения, а также заключением договора (контракта) на проведение аудита информационных технологий, согласно принимаемому аудирующим субъектом заданию. Иными словами, цель этого этапа – обеспечение единства в понимании предстоящего процесса аудирования как аудируемым, так и аудирующим субъектами.

Однако прежде чем заключить договор (контракт), аудирующий субъект должен, как было отмечено ранее, провести предварительное исследование всей хозяйственной системы (в том числе информационной инфраструктуры) и ее
внешнего окружения, для того чтобы определить характер, временные рамки и масштаб предстоящего аудирования. При этом особо важными аспектами на подготовительном этапе являются сбор информации по каждой предполагаемой руководством хозяйствующего субъекта проблеме, а также экспресс-диагностика этой информации с целью выявления основных направлений детального аудиторского исследования по существу этих проблем. Указанный подготовительный этап следует завершить письмом согласования задания, подробно раскрывающим все аспекты предстоящего аудирования.

При этом следует учитывать, что если аудирующий субъект принимает задание от руководства хозяйствующего субъекта
впервые, то указанное письмо должно быть особенно подробным. Если между субъектами уже существуют долгосрочные отношения по решению тех или иных проблем и реализации тех или иных заданий, то достаточно составлять короткое письмо, охватывающее только ключевые аспекты, которые будут решены в процессе предстоящего конкретного аудирования.

В общем виде письмо согласования задания может иметь произвольный характер. Однако в нем необходимо отразить:

• понимание проблем хозяйствующего субъекта аудирующим субъектом;
• цель и содержание аудирования;
• предметные области и объекты предстоящего исследования;
• общие методические подходы к предстоящему аудированию;
• форму отчетных документов;
• ответственность сторон;
• требования свободного доступа к любой информации, необходимой для проведения операционного аудита;
• требуемые ресурсы;
• краткое изложение ожидаемых результатов от выполнения задания.

Кроме того, в письмо согласования задания допустимо включать стратегические установки и проект общего плана предстоящего аудирования.

Так как указанное письмо является основой договора (контракта) между аудируемым и аудирующим субъектами, то, кроме указанных аспектов, в нем необходимо в краткой форме дополнительно раскрыть следующие не менее важные вопросы:

• ресурсы, которые обеспечивает аудируемый субъект (в том числе выделение специалистов по тем или иным предметным областям при возникновении в процессе аудирования необходимости);
• приблизительный график выполнения работ и ориентировочная продолжительность аудиторского цикла в целом, а также по отдельным этапам;
• общие принципы оплаты выполненных работ.

Этап заключения договра на аудит ИТ

Этап заключения договора (контракта) на проведение аудита информационных технологий, в свою очередь, требует достижения понимания сторонами предстоящего детального аудиторского исследования таких аспектов, как:

• сроки аудирования (в целом и по этапам);
• предметные области и объекты аудиторского исследования;
• условия конфиденциальности;
• количественный состав аудиторской группы с правом доступа к любой релевантной информации;
• количественный состав группы специалистов-экспертов;
• преемственность аудирования (при выполнении работ не впервые);
• состав, сроки и порядок представления аудирующему субъекту информации;
• состав, сроки, порядок и форма представления аудируемому субъекту как промежуточной аудиторской информации, так и результатов аудирования;
• сроки внедрения управленческих рекомендаций, полученных по результатам аудиторского исследования;
• условия мониторинга результатов реализации управленческих решений, выработанных на основе аудиторских рекомендаций;
• условия оплаты работ (в целом и по этапам);
• условия пересмотра договорной цены в ходе проведения аудирования (в случаях непредвиденных обстоятельств и дополнительно выявленных аспектов);
• условия расторжения договора (контракта) по желанию одной из сторон;
• прочие вопросы, включая дополнительные пожелания руководства аудируемого субъекта.

Предварительное планирование аудита ИТ

После подписания указанного документа, перед тем как будут выдвинуты начальные гипотезы и стратегические установки, а исследуемая проблема будет подвергнута декомпозиции на отдельные компоненты, что, в свою очередь, позволит определить наиболее значимые для них факторы, аудирующий субъект должен расширить свои знания об аудируемой хозяйственной системе и ее внешнем окружении.

С этой целью необходимо тщательным образом переосмыслить деятельность аудируемого субъекта, для того чтобы определить и конкретизировать именно те направления сбора исходной информации, которые могут дать достаточные и надлежащие знания о стоящих перед ним проблемах. Расширяя и уточняя свои знания, полученные на подготовительном этапе, а также при проведении предыдущих исследований, на этапе предварительного планирования аудирующий субъект должен определить и оценить значительный объем всевозможных факторов и при этом выделить именно те из них, которые оказывают наибольшее влияние на эффективность развития аудируемой хозяйственной системы, и в частности информационной инфраструктуры.

Логическим завершением этапа планирования аудита информационных технологий любого хозяйствующего субъекта (независимо от формы его собственности) является разработка стратегической модели аудиторского исследования, а также текущих планов и программ на весь цикл предстоящего аудирования.

Стратегическая модель аудита информационных технологий представляет собой совокупность планов, программ и методического инструментария, подготавливаемых аудирующим субъектом для выполнения аудиторского задания. Иными словами, стратегическая модель, разрабатываемая аудирующим субъектом на этапе стратегического планирования, представляет собой общий стратегический план всего аудиторского исследования, согласующийся с целевой направленностью деятельности аудируемого субъекта или принятого конкретизированного аудиторского задания, выявленными на предварительном этапе планирования проблемами, стоящими перед аудируемым субъектом, возможностями их решения и преодоления, а также предполагаемого для применения на всем протяжении аудиторского цикла исследовательского инструментария.

Тестирование аудирующего субъекта

После завершения этапа планирования и формирования стратегической модели аудита информационных технологий аудирующий субъект приступает к аудированию по существу. Согласно требованиям стандарта Cobit, процедура аудита по существу включает в себя четыре последовательных этапа:

• идентификация и документирование, т.е. сбор и первичный анализ информации, дополняющей и расширяющей знания, полученные на этапе планирования и формирования стратегической модели;
• оценка механизмов управления;
• тест соответствия;
• детальное тестирование.

На этапе идентификации и документирования осуществляется документирование и идентификация существующих механизмов управления посредством интервьюирования руководящего звена системы управления аудируемым субъектом, отдельных компетентных ИТ-специалистов, специалистов по управлению рисками и основных пользователей ИТ-сервисов с целью получению или уточнения знаний относительно:

• требований деятельности аудируемого субъекта и связанных с ней рисков;
• организационной структуры;
• распределения ролей и ответственности; политик и процедур, имеющих отношение к оценке рисков; страхования остаточных рисков и пр.;
• требований нормативной базы;
• существующих механизмов управления;
• существующей отчетности.

На этапе оценки механизмов управления аудирующий субъект осуществляет оценку эффективности существующих у аудируемого субъекта механизмов управления при выполнении задач управления, их целесообразность и адекватность. При этом осуществляется сравнение существующих механизмов управления с установленными критериями, требованиями технических стандартов и критическими факторами успеха. В свою очередь, стандарт Cobit предполагает, что, для того чтобы модель управления работала надлежащим образом, необходимо четко распределить ответственность за бизнес-процессы, установив при этом строгую подотчетность каждого должностного лица.

На этом этапе аудитор должен убедиться в том, что существующие ИТ-процессы надлежащим образом задокументированы, а ответственность и подотчетность четко определены. Кроме того, аудитор должен по необходимости предусмотреть и разработать компенсирующие механизмы управления. Для получения гарантий пригодности существующих у аудируемого субъекта механизмов управления для решения задач управления аудитор должен провести тесты соответствия. Тестирование осуществляется посредством получения прямых и косвенных свидетельств надлежащего выполнения установленных процедур управления за исследуемый период. Кроме того, на этом этапе аудирования по существу выполняется ограниченное исследование пригодности результатов процессов управления, а также определяется уровень детального тестирования и объем дополнительных процедур, необходимых для получения гарантий адекватности ИТ-процессов. Согласно требованиям стандарта Cobit, оценку механизмов управления необходимо осуществлять путем исследования следующих утверждений:

• существование надлежащей структуры систематической оценки рисков (включая риски недостижения целевых установок), а также системы управления этими рисками;
• подходы к анализу рисков предусматривают регулярность обновления оценок на всех уровнях управления;
• существующие процедуры оценки рисков позволяют учитывать как внешние, так и внутренние факторы, а также учитывают результаты аудитов, ожидания и идентифицированные инциденты;
• целевые установки хозяйствующего субъекта включены в процесс идентификации рисков;
• процедуры мониторинга изменений в работе систем аудируемого субъекта предусматривают своевременное уточнение данных о системных рисках и уязвимостях;
• существование процедур непрерывного мониторинга и улучшения оценки рисков, облегчающее процессы создания надлежащих механизмов управления (в частности, оперативного операционного аудита);
• включены ли в процедуру идентификации рисков вероятность, частота и методы их анализа;
• включает ли в себя документация по оценке рисков описание методологии этой оценки, идентификацию существенных уязвимостей и соответствующих рисков;
• адекватна ли квалификация персонала, выполняющего оценку рисков.

И наконец, детальное тестирование механизма управления предполагает оценку и обоснование рисков невыполнения задач управления посредством применения аналитических и эвристических методов (в частности, методов экспертных оценок). Целью указанного этапа является побуждение высшего звена системы управления аудируемым субъектом к выполнению выработанных по результатам аудиторского ис- следования корректирующих воздействий по улучшению состояния системы управления информационными технологиями. На данном этапе аудирующий субъект производит документирование свидетельств всех недостатков механизмов управления, угроз и уязвимостей, являющихся следствием этих недостатков, реальных и потенциальных последствий угроз. При этом инструментом указанного исследования служит сравнительный и причинно-следственный анализ. После завершения указанных этапов аудирующий субъект формулирует выводы и управленческие рекомендации. Результаты аудита информационных технологий обычно классифицируют по трем основным группам:

• организационная: планирование, управление, документооборот функционирования информационной инфраструктуры;
• техническая: сбои, неисправности, оптимизация работы элементов информационной инфраструктуры, непрерывное обслуживание, модернизация инфраструктуры и т.д.;
• методологическая: подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Таким образом, проведенный аудит информационных технологий позволяет обосновать:

• долгосрочный план развития информационной инфраструктуры аудируемого субъекта;
• политику безопасности;
• методологию работы и доводки информационных технологий;
• план восстановления информационной инфраструктуры в чрезвычайных ситуациях.

Перечень указанных выгод проведения аудита информационных технологий не окончателен и в каждом конкретном случае аудирования может быть значительно расширен.

В статье описываются общие принципы и схема проведения ИТ-аудита в соответствии со стандартом COBIT, определяющим набор универсальных задач управления ИТ.

COBIT — стандарт, определяющий набор универсальных задач управления ИТ. Основная ценность COBIT заключается в том, что он предлагает модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами. В статье (она является продолжением «Введения в COBIT», опубликованного в предыдущем номере журнала) описываются общие принципы и схема проведения ИТ-аудита в соответствии со стандартом COBIT.

B состав последней редакции COBIT входит несколько книг. «Резюме для руководства» служит введением в остальные разделы стандарта, содержит общие сведения о стандарте, определяет миссию COBIT и понятие Систем управления ИТ. «Концептуальное ядро COBIT» представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на базе которых строятся все положения стандарта. «Руководство по менеджменту» позволяет реализовывать более эффективные стратегии управления ИТ, устанавливать контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг, давать сравнительную оценку достижения бизнес-целей и оценивать производительность в рамках каждого ИТ-процесса. «Набор инструментов внедрения» дает разъяснение ключевых концепций, пошаговое описание и примеры успешного внедрения COBIT [3].

Одна из основных книг COBIT — «Руководство по аудиту» (Audit Guideline), определяющее правила использования концептуального ядра и основных принципов управления COBIT при проведении ИТ-аудита. В нем описывается, как производить проверку реализации каждого из 34 высокоуровневых ИТ-процессов и 318 детальных задач управления, определяемых в концептуальном ядре COBIT. Это позволяет аудитору оценивать адекватность реализованной системы управления требованиям стандарта и бизнес-целям, формировать рекомендации по ее улучшению.

Различные формы проведения внешнего и внутреннего ИТ-аудита включают обследования и обзоры безопасности информационных систем, сертификацию и аттестацию, технические экспертизы, а также различные формы контроля качества. При этом используемые в каждом конкретном случае методы и программы проведения аудита могут существенно различаться. Основная задача COBIT — определение основных принципов и общей структуры проведения ИТ-аудита, применимых к самому широкому кругу организаций и информационных систем.

Модели проведения аудита

Согласно COBIT основной целью ИТ-аудита является предоставление руководству организации обоснованных гарантий эффективного выполнения задач управления ИТ. Кроме того, ИТ-аудит должен способствовать улучшению состояния информационной системы, характеризующегося уровнем ее безопасности и эффективностью процессов управления ИТ. Поэтому в ходе аудита анализируется текущее состояние и при наличии существенных отклонений от норм производится оценка результирующих рисков, выдаются рекомендации по поводу корректирующих действий.

Наиболее распространенная модель оценки механизмов управления — классическая модель аудита, на которой и построено «Руководство по аудиту». В соответствии с ней критерии аудита определяются стандартами и другими нормативными документами. Еще одним общепринятым подходом является модель анализа рисков, при которой критерии аудита формируются на основании оценки рисков. Любая из этих моделей может применяться на практике при проведении ИТ-аудита в организациях на базе COBIT.

Вместе с тем, подходы к анализу и управлению рисками, а также вопросы их использования при проведении ИТ-аудита остаются за рамками COBIT. Стандарт ограничивается лишь определением общих понятий. Пожалуй, вся содержательная часть посвященного этой теме раздела COBIT заключается в диаграмме, приведенной на рис. 1, и в кратком пояснении к ней.

Анализ рисков (Risk Assessment) начинается с оценки ИТ-ресурсов (Asset Valuation), необходимых для достижения бизнес-целей. ИТ-ресурсы включают в себя информацию, технические, программные и прочие средства, необходимые для ее получения, обработки и хранения. На следующем шаге осуществляется анализ уязвимостей (Vulnerability Assessment) и анализ угроз (Threat Assessment), препятствующих достижению бизнес-целей. Вероятность угрозы, величина уязвимости и размер возможного ущерба определяют степень риска, ассоциированного с возможностью осуществления данной угрозы. Далее выполняется выбор контрмер (Counter Measures) и оценка их эффективности (Control Evaluation), a также определяется величина остаточных рисков (Residual Risk). Результатом анализа рисков является план действий по внедрению механизмов управления (Action Plan).

Более полное описание моделей проведения ИТ-аудита, а также обзор современных методов анализа и управления рисками приводятся в публикации [2].

Уровни описания процедуры аудита

Общий подход к проведению ИТ-аудита, изложенный в COBIT, опирается на следующие основные элементы:

• концептуальное ядро COBIT, определяющее общий понятийный аппарат и включающее в себя классификацию ИТ-процессов, описание информационных критериев и ИТ-ресурсов;
• общие требования к процедуре аудита ИТ-процессов, изложенные в разделах «Планирование и выработка стратегии аудита» и «Обобщенная схема руководства по аудиту»;
• общие принципы управления, изложенные в разделе «Общие замечания относительно оценки процессов управления».

На более низком уровне абстракции определяются основные стадии проведения аудита и формулируются «Детальные инструкции по аудиту конкретных ИТ-процессов», которые аудитор дополняет и конкретизирует с целью осуществить их соответствие с конкретными условиями проведения аудита и особенностями исследуемой информационной системы. «Руководство по аудиту» содержит детальные инструкции для каждого из 34 ИТ-процессов (в терминологии COBIT — высокоуровневых задач управления). Не все задачи управления, описанные в COBIT, применимы в каждой конкретной ситуации. Определение актуальных задач управления производится исходя из текущих потребностей организации на основе анализа рисков.

Инструкции и требования, приведенные в «Руководстве по аудиту», предназначены для использования лишь в качестве вспомогательных средств и методологической основы при разработке конкретных программ проведения ИТ-аудита. Они не могут заменить конкретные методики, используемые аудиторами. В ходе планирования аудита должны также учитываться:

• критерии и требования, специфичные для данной отрасли;
• отраслевые и промышленные стандарты;
• особенности используемых программно-аппаратных платформ;
• конкретные механизмы управления, используемые в организации.

Критерии оценки процессов управления ИТ

В центре внимания COBIT находится аудит системы управления ИТ, охватывающий организационный и процедурный уровни управления ИТ-процессами; программно-технические аспекты остаются за рамками этого стандарта. Общие принципы управления определяют стратегию проведения ИТ-аудита. Они сосредоточены главным образом на распределении ответственности, стандартах управления и управлении информационными потоками между субъектами и объектами управления.

В COBIT процесс управления подразделяется на четыре этапа. На первом определяется стандарт оценки эффективности ИТ-процесса. На втором — анализируется состояние ИТ-процесса путем получения субъектом управления (ИТ-менеджер) информации от объекта управления (ИТ-процесс). На третьем этапе информация о состоянии ИТ-процесса сравнивается с требованиями стандарта. На четвертом — в случае выявления несоответствия ИТ-процесса требованиям стандарта субъект управления предпринимает корректирующие действия путем передачи соответствующей управляющей информации ИТ-процессу (см. рис. 2).

Рис. 2. Управление ИТ-процессами

Исходя из этой модели, формулируются основные критерии оценки механизмов управления.

1. Распределение ответственности и подотчетность. Для того чтобы модель управления работала, ответственность за бизнес-процессы необходимо четко распределить, установив строгую подотчетность каждого должностного лица. В противном случае не будет происходить обмена управляющей информацией и корректирующих действий не последует.
2. Стандарты и допустимые отклонения. Стандарты оценки эффективности ИТ-процессов могут быть самыми разными, начиная с высокоуровневых планов и стратегий и заканчивая ключевыми индикаторами производительности и критическими факторами успеха [3]. Четко документированные, поддерживаемые в актуальном состоянии и доступные для всех сотрудников организации стандарты — важный критерий эффективности системы управления ИТ. Для каждого ИТ-процесса должны быть четко определены допустимые отклонения от требований стандарта.
3. Информационные критерии. В COBIT определяется семь информационных критериев: эффективность, продуктивность, конфиденциальность, целостность, доступность, соответствие и надежность. Эффективность управляющей информации, то есть ее актуальность, своевременность и пригодность, а также ее целостность служат основой функционирования системы управления ИТ-процессами. Их необходимо рассматривать в качестве базовых информационных критериев.

Основные этапы аудита

При составлении планов и выработке стратегии аудита прежде всего необходимо определить границы его проведения в терминах бизнес-подсистем, информационных подсистем, являющихся объектами исследования, их физического расположения и взаимосвязей. При этом анализируются следующие данные:

• структура бизнес-процессов;
• платформы и структура информационных систем, поддерживающих бизнес-процессы;
• структура ролей и распределения ответственности, включая аутсорсинг;
• бизнес-риски и бизнес-стратегия.

План аудита должен определять совокупность оцениваемых ИТ-процессов, ИТ-ресурсов и информационных критериев, последовательность шагов по сбору и анализу информации аудита и проведению необходимых тестов. На этапе планирования определяются информационные критерии, наиболее значимые для существующих бизнес-процессов. Затем идентифицируются ИТ-риски и оценивается общий уровень контроля рассматриваемых бизнес-процессов. При этом принимаются во внимание существующие механизмы управления, последние изменения в бизнесе и ИТ-окружении, зарегистрированные инциденты и результаты предыдущих аудиторских проверок. На основе полученной информации осуществляется выбор соответствующих ИТ-процессов и связанных с ними ИТ-ресурсов, служащих объектом исследования.

После разработки плана и стратегии проведения ИТ-аудита выполняется процедура аудита, на описании которой в основном и сосредоточено «Руководство по аудиту». По завершении данной процедуры следуют выработка рекомендаций и подготовка отчетных документов.

Процедура аудита включает в себя четыре последовательных этапа: идентификация и документирование (сбор и первичный анализ информации); оценка механизмов управления; тест соответствия; детальное тестирование.

На этапе идентификации и документирования осуществляется документирование процедур и идентификация существующих механизмов управления путем интервьюирования руководства и сотрудников организации с целью уяснения следующих вопросов: требования бизнеса и ассоциированные с ними риски; организационная структура; распределение ролей и ответственности; политики и процедуры; требования нормативной базы; существующие механизмы управления; существующая отчетность.

На этапе оценки механизмов управления производится оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность сравнивается с установленными критериями, промышленными стандартами и критическими факторами успеха. При помощи методов экспертных оценок определяется, для каких механизмов управления на следующем этапе должно быть протестировано соответствие установленным процедурам. Аудитору необходимо убедиться в том, что существующие ИТ-процессы документированы, ответственность и подотчетность четко определены, а там, где необходимо, предусмотрены компенсирующие механизмы управления.

Тестом соответствия называют этап аудита, задачей которого является получение гарантий пригодности существующих механизмов управления для решения задач управления. Проверка осуществляется путем получения прямых и косвенных свидетельств надлежащего выполнения установленных процедур управления за оцениваемый период. На этом этапе выполняется также ограниченное исследование адекватности результатов процессов управления, определяется уровень детального тестирования и объем дополнительной работы, необходимой для получения гарантий адекватности ИТ-процесса.

Детальным тестом называют заключительный этап аудита, целью которого является оценка и обоснование рисков невыполнения задач управления путем использования аналитических методов и экспертных оценок. Его конечная цель — побудить руководство к выполнению корректирующих действий для улучшения состояния системы управления ИТ. На данном этапе аудитор производит документирование недостатков механизмов управления, угроз и уязвимостей, являющихся следствием этих недостатков, реальных и потенциальных последствий реализации угроз путем причинно-следственного анализа и проведения сравнительного тестирования.

Обобщенная схема аудита

Согласно изложенному в статье подходу, общая схема проведения аудита (General Audit Guideline) включает в себя четыре этапа: идентификация (identify), оценка (evaluate), тест соответствия (test), детальный тест (substantiate). Для оценки достижения каждой из задач управления используются «Детальные инструкции по аудиту» (Detailed Audit Guideline). Выработка стратегии и планирование процедуры аудита осуществляется в соответствии с «Общими требованиями» (Audit Process Requirements). При проведении аудита также должны учитываться «Критерии оценки процессов управления» (Control Observations). Kpome того, во всех перечисленных документах используется понятийный аппарат и модель взаимосвязей между бизнес-целями, ИТ-процессами, ИТ-ресурсами, информационными критериями и задачами управления, определяемыми «Концептуальным ядром COBIT» (Control Framework).

Литература

1. COBIT 3rd Edition, Released by the COBIT Steering Committee and the IT Governance Institute, July 2000.
2. Астахов A. M., Аудит безопасности информационных систем. ISACA.RU, 2002.
3. Астахов А. «Введения в COBIT», //Директор информационной службы, № 7-8/2003.

Александр Астахов — CISA, руководитель отдела защиты информации, компания «Вимм-Билль-Данн Продукты Питания», участник рабочей группы ISACA.RU, alexastahov@hotmail.ru

---

Этап оценки механизмов

Инструкции по аудиту на этапе оценки механизмов управления отражает следующая диаграмма.

Оценка механизмов управления осуществляется путем проверки ряда утверждений.

• Существует структура для систематической оценки рисков, включая риски недостижения целей организации, а также система управления рисками.
• Подход к анализу рисков предусматривает регулярное обновление оценок на глобальном и системном уровне.
• Процедура оценки рисков позволяет учитывать как внешние, так и внутренние факторы, а также принимает во внимание результаты аудитов, ожидания и идентифицированные инциденты.
• Цели всей организации включены в процесс идентификации рисков.
• Процедуры мониторинга изменений в работе систем предусматривают своевременное уточнение данных о системных рисках и уязвимостях.
• Существуют процедуры непрерывного мониторинга и улучшения оценки рисков, облегчающие процессы создания механизмов управления.
• Вероятность, частота и методы анализа рисков включены в процедуру идентификации рисков.
• Документация по оценке рисков включает в себя: описание методологии оценки рисков; идентификацию существенных уязвимостей и соответствующих рисков; риски и соответствующие уязвимости, для противодействия которым существуют механизмы управления.
• Квалификация персонала, выполняющего оценку рисков, является адекватной.
• Существует формальный количественный, качественный или комбинированный подход к идентификации и измерению величины рисков, угроз и уязвимостей.
• Для измерения рисков, угроз и уязвимостей используются вычислительные и иные методы.
• Для реализации необходимых контрмер, направленных против рисков, угроз и уязвимостей, используется план управления рисками.
• Решение о допустимости тех или иных остаточных рисков принимает во внимание политику организации, идентификацию и измерение рисков, неопределенность, присущую самому подходу к оценке рисков, а также стоимость и эффективность реализации контрмер и механизмов управления.
• Страховка покрывает остаточные риски.
• Существуют формальные количественные или качественные подходы к выбору механизмов управления и максимизации возврата.
• Установлен баланс между используемыми детектирующими, превентивными, корректирующими и восстанавливающими контрмерами.
• Предусмотрены формальные процедуры для обнародования целей механизмов управления.

Этап детального тестирования

Пример инструкций для этапа детального тестирования выглядит следующим образом.

Обоснование риска невыполнения задач управления осуществляется путем сравнения структуры оценки рисков с другими организациями отрасли, с соответствующими международными стандартами или с общепризнанными «лучшими практиками» с последующим детальным исследованием подхода к оценке рисков, используемого для идентификации, измерения и уменьшения величины рисков до приемлемого уровня.

Данный этап призван выявить:

• неидентифицированные риски;
• неизмеренные риски;
• риски, которые не были уменьшены до приемлемого уровня;
• устаревшие оценки рисков;
• ошибочные оценки рисков, угроз и уязвимостей;
• планы управления рисками, не предусматривающие экономически оправданных механизмов управления и мер безопасности;
• отсутствие формального признания остаточных рисков;
• неадекватное страховое обеспечение.

Этап тестирования соответствия

Оценка соответствия выполняется путем тестирования следующих утверждений.

• Структура оценки рисков предусматривает регулярное обновление оценки рисков с целью уменьшения рисков до приемлемой величины.
• Документация по оценке рисков согласована со структурой оценки рисков, должным образом подготовлена и сопровождается.
• ИТ-менеджеры и ИТ-персонал вовлечены в процесс оценки рисков.
• Руководство организации осведомлено о факторах, обусловливающих риски, и вероятности угроз.
• Соответствующий персонал понимает и формально принимает остаточные риски.
• Отчеты по оценке рисков предоставляются высшему руководству на согласование своевременно.
• Подход, используемый для анализа рисков, имеет своей целью измерить количественно или качественно величину уязвимости к риску.
• Риски, угрозы и уязвимости, идентифицированные руководством, и их атрибуты используются для выявления каждой разновидности угрозы.
• План управления рисками является актуальным и включает в себя экономически оправданные механизмы управления и контрмеры, направленные на уменьшение рисков.
• Существует система приоритетов и для каждого риска имеется соответствующая контрмера (а именно: спланированная превентивная мера, вторичный детектирующий механизм управления, а также третичный корректирующий механизм управления).
• Сценарии осуществления угроз документированы, актуальны и доведены до сведения ответственных лиц.
• Для остаточных рисков существует достаточное страховое обеспечение, учитывающее различные сценарии угроз, в том числе: пожар, затопление, землетрясение, ураганы, терроризм, непредвиденные природные бедствия; недостаточная ответственность сотрудников организации; потеря прибылей и клиентов в результате прерывания бизнес-процессов; иные риски, обычно не охватываемые рассмотренными планами обеспечения непрерывности бизнеса.

Этап идентификации и документирования

Приведенная здесь диаграмма иллюстрирует «оценку рисков» для ИТ-процесса, выполняемую на этапе идентификации и документирования.

Идентификация и документирование осуществляются путем интервьюирования высшего руководства ИТ, отдельных ИТ-специалистов, отдельных специалистов по управлению рисками и ключевых пользователей ИТ-услуг. Результатом является получение следующих сведений:

• политики и процедуры, имеющие отношение к оценке рисков;
• документы с оценкой бизнес-рисков, операционных рисков и ИТ-рисков;
• детали базиса, по которому измеряется величина риска и потери;
• файлы персонала, для которого производится оценка рисков;
• политики страхования остаточных рисков;
• мнения экспертов;
• результаты обследований;
• база данных управления рисками.

Аудит
информационной безопасности представляет
собой независимую экспертизу отдельных
областей функционирования организации.
Различают внешний и внутренний аудит.
Внешний
аудит
– это, как правило, разовое мероприятие,
проводимое по инициативе руководства
организации или акционеров. Рекомендуется
проводить внешний аудит регулярно, а,
например, для многих финансовых
организаций и акционерных обществ это
является обязательным требованием со
стороны их учредителей и акционеров.
Внутренний
аудит
представляет собой непрерывную
деятельность, которая осуществляется
на основании «Положения о внутреннем
аудите» и в соответствии с планом,
подготовка которого осуществляется
подразделениями службы безопасноти и
утверждается руководством организации
[1].

Целями
проведения аудита безопасности
являются:

• анализ
  рисков, связанных с возможностью
  осуществления угроз безопасности в
  отношении ресурсов;

• оценка
  текущего уровня защищенности ИС;

• локализация
  узких мест в системе защиты ИС;

• оценка
  соответствия ИС существующим стандартам
  в области информационной безопасности;

• выработка
  рекомендаций по внедрению новых и
  повышению эффективности существующих
  механизмов безопасности ИС.

Вопросами
аудита информационной безопасности в
настоящее время занимаются различные
аудиторные компании, фирмы организации,
многие из которых входят в состав
государственных и негосударственных
ассоциаций. Наиболее известной
международной организацией занимающейся
аудитом информационных систем является
ISACA,
по инициативе которой была разработана
концепция по управлению информационными
технологиями в соответствии с требованиями
ИБ.

На
основе этой концепции описываются
элементы информационной
технологии,
даются
рекомендации по организации управления
и обеспечению режима информационной
безопасности. Концепция изложена
в документе под названием COBIT
3rd Edition
(Control
Objectives
for
Information
and
Related
Technology
— Контрольные объекты информационной
технологии),
который состоит из четырех частей

• часть
  1 –
  краткое описание концепции (Executive
  Summary);

• часть
  2
  – определения и основные понятия
  (Framework).
  Помимо требований
  и основных понятий, в этой части
  сформулированы требования к ним;

• часть
  3
  – спецификации управляющих процессов
  и возможный инструментарий
  (Control
  Objectives);

• часть
  4
  – рекомендации по выполнению аудита
  компьютерных информационных
  систем (Audit
  Guidelines).

Третья
часть этого документа в некотором смысле
аналогична международному
стандарту BS
7799. Примерно так же подробно
приведены практические рекомендации
по управлению информационной безопасностью,
но модели систем управления в сравниваемых
стандартах сильно
различаются. Стандарт COBIT
— пакет открытых документов, первое
изда­ние
которого было опубликовано в 1996 году.
COBIT
описывает универсальную модель
управления информационной технологией,
представленную на рис. 7.2.

Кратко
основная идея стандарта COBIT
выражается следующим образом: все
ресурсы
информационной системы должны управляться
набором естественно сгруппированных
процессов для обеспечения компании
необходимой и надежной информацией.
В модели COBIT
присутствуют ресурсы информационных
технологий
(IT),
являющиеся источником информации,
которая используется в бизнес-процессе.
Информационная технология должна
удовлетворять требованиям бизнес-процесса.
Эти требования сгруппированы следующим
образом.

Во-первых,
требования к качеству технологии
составляют показатели качества и
стоимости обработки информации,
характеристики ее доставки получателю.
Показатели качества подробно описывают
возможные негативные аспекты, которые
в обобщенном виде входят в понятия
целостности и доступности. Кроме того,
в эту
группу включаются показатели, относящиеся
к субъективным аспектам обработки
информации, например: стиль, удобство
интерфейсов. Характеристики доставки
информации получателю – показатели, в
обобщенном виде входящие в
показатели доступности и частично –
конфиденциальности и целостности.
Рассмотренная система показателей
используется при управлении рисками и
оценке эффективности
информационной технологии. Во-вторых,
доверие к технологии -группа показателей,
описывающих соответствие компьютерной
информационной системы
принятым стандартам и требованиям,
достоверность обрабатываемой в
системе информации, ее действенность.
В-третьих, показатели информационной
безопасности – конфиденциальность,
целостность и доступность обрабатываемой
в системе информации.

Рис.
7.2. Структура стандарта COBIT

В
стандарте COBIT
выделены следующие этапы проведения
аудита.

Подписание
договорной и исходно-разрешительной
документации.
На
этом этапе
определяются ответственные лица со
стороны заказчика и аудиторской компании,
устанавливаются рамки проведения
аудита, указываются контролируемые
элементы
информационной системы, составляется
и согласовывается необходи­мая
документация. По результатам
предварительного аудита всей
информацион­ной
системы проводится углубленная проверка
подозрительных с точки зрения проводимых
аудитом компонентов системы.

Сбор
информации
с
применением стандарта COBIT,
который в данном случае регламентирует
состав объектов контроля исследуемой
системы. Степень детализации
описания объектов контроля определяется
на этапе разработки исходно-разрешительной
документации. При этом стараются добиться
оптимального соотношения
между временными, стоимостными и прочими
затратами на получение исходных данных
и их важностью для целей исследования.
Диапазон представления
исходных данных изменяется от бинарных
ответов типа ДА/НЕТ до развернутых
отчетов. Основное
требование, предъявляемое к информации,
– это ее полезность, то
есть информация должна быть понятной,
уместной (относящейся к делу) и
достоверной (надежной).

Анализ
исходных данных
проводится
только с учетом достоверных исходных
данных. Требования к проведению анализа
определяются на этапе сбора исходных
данных.
Стандарт COBIT
рекомендует применять описанные в
стандарте методики анализа
данных, но при необходимости допускается
использование разрешенных ISACA
разработок других членов ассоциации.
На этапе анализа возможен возврат к
этапу сбора информации для получения
недостающих исходных данных.

Выработка
рекомендаций.
Полученные
в результате проведенного анализа
рекомендации
после предварительного согласования
с заказчиком обязательно должны
быть проверены на выполнимость и
актуальность с учетом рисков внедрения.
Стандарт COBIT
рекомендует оформлять рекомендации
отчетом о текущем
состоянии информационных систем,
техническом задании на внесение
изменений, отчетом о проведенном аудите.
Результаты проведения аудита можно
разделить
на три условные группы: организационные,
технические и методологические.
Каждая
из названных групп направлена на
улучшение организационного, технического
или методологического обеспечения
информационной системы.
К организационной группе относятся
оценки стратегического планирования,
общего
управления и инвестиций в информационную
систему, рекомендации, способствующие
повышению конкурентоспособности
компании, снижению затрат
на обслуживание информационной системы,
результаты проверки соответствия
информационной системы решаемым
бизнес-задачам, снижение стоимости
эксплуатации
информационной системы, управление
рисками, проектами, выполняемыми
в рамках информационных систем и
некоторые другие. Техническая группа
результатов позволяет лучше понять
проблемы информационных систем и
разработать пути их решения с минимальными
затратами, оценить технологические
решения, реализовать весь потенциал
новых технологий, системно решить
вопросы
безопасности, осуществить профессиональный
прогноз функционирования и
необходимости модернизации информационных
систем, повысить эффективность
функционирования информационной
системы, определить уровень обслуживания
информационных систем. Методологические
результаты позволяют
предоставить апробированные подходы
к стратегическому планированию и
прогнозированию, оптимизации
документооборота, повышению трудовой
дисциплины,
обучению администраторов и пользователей
информационных систем, получению
своевременной и объективной информации
о текущем состоянии информационной
системы компании.

Контроль
за выполнением рекомендаций
подразумевает
постоянное отслеживание
аудиторской компанией выполнения
заказчиком рекомендацией.

Подписание
отчетных актов
приемки
работы с планом-графиком проведения
последующих
проверок, разработкой такой дополнительной
документации, как долгосрочные
и краткосрочные планы развития ИС, план
восстановления
информационной системы в чрезвычайных
ситуациях, порядок действий при нарушении
защиты, концепция политики безопасности.
Постоянное
проведение аудита гарантирует
работоспособность системы, поэтому
создание
плана-графика проведения последующих
проверок является одним из условий
проведения профессионального аудита.

Любая
работающая информационная технология
в модели COBIT
проходит следующие
стадии
жизненного цикла:

Планирование
и организация работы.
На
этой стадии определяется стратегия и
тактика развития информационных
технологий в интересах достижения
основных
целей бизнеса, а затем решаются вопросы
реализации: построение архитекту­ры
системы, решение технологических и
организационных задач, обеспечение
финансирования
и т.д. Всего на этой стадии выделяется
11 основных задач[1].

Приобретение
и ввод в действие.
Выбранные
на этой стадии решения должны быть
документально оформлены и спланированы.
Выделяется 6 основных задач, решаемых
на данной стадии.

Поставка
и поддержка.
Выделяется
13 основных задач данной стадии,
предназначенных
обеспечить эксплуатацию информационной
технологии [10].

Мониторинг.
За
процессами информационной технологии
необходимо наблюдать
и контролировать соответствие их
параметров выдвинутым требованиям.
Выделяется
4 основные задачи, решаемые на данной
стадии.

Всего
в стандарте COBIT
выделяется 34 задачи верхнего уровня
обработки информации
(рис. 7.2).

Кроме
традиционных свойств информации –
конфиденциальности, целостности и
доступности, – в модели дополнительно
используются еще 4 свойства – действенность,
эффективность, соответствие формальным
требованиям и достоверность.
Эти свойства не являются независимыми,
поскольку частично связаны с
первыми тремя. Но их использование
объясняется соображениями удобства
интерпретации
результатов.

Применение
стандарта COBIT
возможно как для проведения аудита ИС
организации, так и для изначального
проектирования ИС. Обычный вариант
прямой и обратной задач. Если в первом
случае – это соответствие текущего
состояния ИС лучшей практике аналогичных
организаций
и предприятий, то в другом – изначально
верный проект и, как следствие, по
окончании проектирования – ИС, стремящаяся
к идеалу.

На
базовой блок-схеме COBIT
(рис. 3.2.) отражена последовательность,
состав и взаимосвязь базовых групп.
Бизнес-процессы (в верхней части схемы)
предъявляют
свои требования к ресурсам ИС, которые
анализируются с использованием критериев
оценки COBIT
на всех этапах построения и проведения
аудита.

Четыре
базовые группы (домена) содержат в себе
тридцать четыре подгруппы, которые, в
свою очередь, состоят из трехсот двух
объектов контроля
(в данной работе не рассматриваются).
Объекты контроля предоставляют аудитору
всю достоверную и актуальную информацию
о текущем состоянии ИС.

Отличительные
черты COBIT:

1. Большая
   зона охвата (все задачи от стратегического
   планирования и основополагающих
   документов до анализа работы отдельных
   элементов
   ИС).

2. Перекрестный
   аудит (перекрывающиеся зоны проверки
   критически важных элементов).

3. Адаптируемый,
   наращиваемый стандарт.

Основными
преимуществами COBIT
перед другими аналогичными стандартами
является то, что он
позволяет использовать любые разработки
производителей аппаратно-программного
обеспечения и
анализировать полученные данные, не
изменяя общие подходы и собственную
структуру.

Представленная
на рис 7.3 блок-схема отражает, хотя и не
в деталях, ключевые точки проведения
аудита ИС с использованием стандарта
COBIT.
Рассмотрим их подробнее.

На
этапе подготовки и подписания
исходно-разрешительной документации
определяются границы проведения аудита
ИБ:

• Границы
  аудита ИБ определяются критическими
  точками ИС (элементами ИС), в которых
  наиболее часто возникают проблемные
  ситуации.

• На
  основании результатов предварительного
  аудита всей ИС (в первом приближении)
  проводится углубленный аудит выявленных
  проблем.

В
это же время создается команда проведения
аудита, определяются ответственные
лица со стороны заказчика. Создается и
согласовывается
необходимая документация.

Далее
проводится сбор информации о текущем
состоянии ИС с применением стандарта
COBIT,
объекты контроля которого получают
информацию обо всех нюансах функционирования
ИС как в двоичной форме (Да/Нет), так и
форме развернутых отчетов. Детальность
информации
определяется на этапе разработки
исходно-разрешительной документации.
Существует определенный оптимум между
затратами (временными,
стоимостными и т.д.) на получение
информации и ее важностью и актуальностью.

Проведение
анализа – наиболее ответственная часть
проведения аудита ИС. Использование
при анализе недостоверных, устаревших
данных недопустимо,
поэтому необходимо уточнение данных,
углубленный сбор информации. Требования
к проведению анализа определяются на
этапе
сбора информации. Методики анализа
информации существуют в стандарте
COBIT,
но если их не хватает не возбраняется
использовать разрешенные
ISACA
разработки других компаний.

Результаты
проведенного анализа являются базой
для выработки рекомендаций, которые
после предварительного согласования
с заказчиком должны
быть проверены на выполнимость и
актуальность с учетом рисков внедрения.

Контроль
выполнения рекомендаций – немаловажный
этап, требующий непрерывного отслеживания
представителями консалтинговой компании
хода выполнения рекомендаций.

На
этапе разработки дополнительной
документации проводится работа,
направленная на создание документов,
отсутствие или недочеты в которых
могут вызвать сбои в работе ИС. Например,
отдельное углубленное рассмотрение
вопросов обеспечения безопасности ИС.

Постоянное
проведение аудита гарантирует стабильность
функционирования ИС, поэтому создание
план-графика проведения последующих
проверок является одним из результатов
профессионального аудита.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

Несмотря на свою уникальность, всеобъемлемость, универсальность и важность затрагиваемых вопросов, COBIT производит весьма неоднозначное впечатление.

Занятый подготовкой учебного курса по аудиту безопасности информационных систем, автор не смог обойти вниманием стандарт COBIT, ориентированный, прежде всего, на руководство организаций, ИТ-аудиторов и регламентирующий вопросы управления информационными технологиями. COBIT является синтезом четырех десятков международных стандартов де-юре и де-факто. Его задача — ликвидация разрыва между руководством организации с их видением бизнес-целей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры организации, которая должна работать на достижение этих целей. Стремление сделать стандарт как можно более универсальным и не зависящим ни от технических платформ, ни от отраслевых особенностей возводит его создателей на столь высокий уровень абстракции, с которого порой перестает быть виден предмет изучения. Несмотря на свою уникальность, всеобъемлемость, универсальность и важность затрагиваемых вопросов, COBIT производит весьма неоднозначное впечатление.

Данная статья рассматривает основные положения стандарта с точки зрения ИТ-аудитора. Основное внимание уделено изложению «Концептуального ядра COBIT», являющегося основой для понимания всех основных положений стандарта, и«Руководства по аудиту».

Структура и состав документов COBIT

COBIT — результат обобщения мирового опыта, международных и национальных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Интернациональную команду разработчиков COBIT составили сотрудники госучреждений и коммерческих предприятий, учебных заведений и фирм, специализирующихся на вопросах безопасности и управления ИТ.

Первая версия стандарта была выпущена в 1996 году Организацией аудита и контроля информационных систем (Information Systems Audit and Control Foundation, ISACF). Она включала в себя «Концептуальное ядро» (COBIT Framework), определяющее набор основополагающих принципов и понятий в области управления ИТ, описание «Задач управления» (Control Objectives) и«Руководство по аудиту» (Audit Guideline). Вторая версия COBIT была опубликована в 1998 году. Она содержала переработанную версию высокоуровневых и детальных «Задач управления», дополненных «Набором инструментов внедрения» (Implementation Tool Set). Третья редакция была выпущена уже Институтом управления ИТ (IT Governance Institute), учрежденным Ассоциацией аудита и контроля информационных систем (Information Systems Audit and Control Association, ISACA), совместно с ISACF с целью развития и популяризации принципов управления ИТ; он в настоящее время и является основным разработчиком COBIT. В третьей версии стандарта появилось«Руководство по менеджменту» (Management Guidelines) в основе которого лежит понятие «Система управления ИТ» (IT Governance).

Резюме для руководства

«Резюме для руководства» служит введением в остальные разделы стандарта. Оно содержит общие сведения о стандарте, определяет миссию COBIT и понятие системы управления ИТ.

Эффективное управление ИТ — важнейший фактор для успеха каждой организации. Многие осознают потенциальные выгоды, связанные с использованием высоких технологий, однако только успешные организации способны адекватно оценивать и управлять рисками, связанными с их внедрением. Система управления ИТ, одно из основных понятий в COBIT, в настоящее время признается ключевой частью системы управления предприятием (Enterprise Governance). Система управления ИТ определяется в стандарте как структура взаимоотношений и процессов, задающих направление и осуществляющих управление предприятием для достижения бизнес-целей путем получения добавленной стоимости при наличии баланса между величиной рисков и возвратом инвестиций, сделанных в ИТ.

COBIT является инструментом, позволяющим руководству предприятия обеспечить переход от постановки бизнес-задач к вопросам управления ИТ, помогая установить должный уровень понимания рисков и преимуществ, связанных с использованием ИТ, а также реализовать эффективную систему управления ИТ, направленную на достижение бизнес-целей предприятия.

Миссия COBIT состоит в исследовании, разработке, рекламе и продвижении международного набора авторитетных, отвечающих современным требованиям, общепризнанных задач управления ИТ для повседневного использования бизнес-менеджерами и аудиторами.

Таким образом, COBIT служит связующим звеном между бизнес-рисками, задачами управления и технической инфраструктурой. Он представляет лучшие практики, объединенные в структуру доменов и процессов, которые позволяют оптимизировать инвестиции в ИТ и предоставляют критерии для оценки эффективности управления ИТ.

COBIT ориентирован прежде всего на ИТ-менеджеров, руководителей предприятий и владельцев бизнес-процессов, которые должны убедиться в наличии системы внутреннего контроля, поддерживающей бизнес-процессы и устанавливающей роль каждого механизма управления в работе по информационному обеспечению бизнеса. Эффективность управления ИТ-ресурсами выражается в COBIT посредством критериев эффективности, продуктивности, конфиденциальности, целостности, доступности, соответствия и надежности информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путем реализации механизмов управления в рамках конкретного ИТ-процесса.

Концептуальное ядро

Книга «Концептуальное ядро COBIT» представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на которых базируются все положения COBIT. Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается как результат использования ИТ-ресурсов, управление которыми осуществляется в рамках ИТ-процессов.

Концептуальное ядро предоставляет владельцу бизнес-процесса инструмент для реализации стратегии управления ИТ. Отправным пунктом является следующее утверждение:

ДЛЯ СВОЕВРЕМЕННОГО И ПОЛНОГО ПОЛУЧЕНИЯ ИНФОРМАЦИИ, НЕОБХОДИМОЙ ОРГАНИЗАЦИИ ДЛЯ ДОСТИЖЕНИЯ БИЗНЕС-ЦЕЛЕЙ, УПРАВЛЕНИЕ ИТ-РЕСУРСАМИ ДОЛЖНО ОСУЩЕСТВЛЯТЬСЯ ПРИ ПОМОЩИ НАБОРА ЕСТЕСТВЕННЫМ ОБРАЗОМ СГРУППИРОВАННЫХ ПРОЦЕССОВ.

Концептуальное ядро COBIT сформировано из набора 34 высокоуровневых задач управления (одна задача для каждого ИТ-процесса), сгруппированных в четыре домена: планирование и организация; комплектование и внедрение; предоставление и поддержка; мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 задач управления, позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.

COBIT оперирует на более высоком уровне абстракции, нежели технологические стандарты в области управления ИТ. Более того, целью COBIT является обеспечение перехода от моделей управления бизнесом к специализированным моделям управления ИТ.

Для достижения целей бизнеса информация должна удовлетворять определенным критериям, которые в COBIT называют бизнес-требованиями к информации. Выделяют следующие классы бизнес-требований:

• требования качества: качество; стоимость; доставка;
• требования доверия: эффективность и производительность операций; надежность информации; соответствие нормативным документам;
• требования безопасности: конфиденциальность; целостность; доступность.

На основе перечисленных классов требований определяется несколько отчасти пересекающихся категорий бизнес-требований к информации (информационные критерии):

• эффективность (effectiveness) — актуальность и уместность информации для бизнес-процесса, а также ее своевременность, корректность, непротиворечивость и практичность;
• продуктивность (efficiency) — предоставление информации путем оптимального использования ресурсов;
• конфиденциальность (confidentiality) — защищенность информации от несанкционированного раскрытия;
• целостность (integrity) — точность и полнота информации, а также ее обоснованность с точки зрения ценностей и ожиданий бизнеса;
• доступность (availability) — возможность получения необходимой информации в течение времени, определяемого требованиями бизнеса; также включает защиту информации и ее носителей от похищения или уничтожения;
• соответствие (compliance) — соответствие информации законам, распоряжениям и соглашениям, регулирующим бизнес-процессы;
• надежность (reliability) — предоставление руководству информации, пригодной для использования в управлении, для подготовки финансовой и иной отчетности.

Определяются следующие классы ИТ-ресурсов:

• данные — информационные объекты в самом широком смысле слова, структурированные и неструктурированные, графические и звуковые и т. п.;
• прикладные системы включают в себя не только автоматизированные (программные), но и ручные процедуры;
• технологии — технические средства, операционные системы, системы управления данными, сетевое оборудование и программы, мультимедиа и т. д.;
• средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования информационных систем;
• люди — сотрудники предприятия со своими навыками и опытом, необходимыми для планирования, организации, комплектования, сопровождения, поддержки и мониторинга информационных систем.

Например, при реализации ИТ-процесса «управления финансовыми потоками организации при помощи электронных платежных систем», задействованы все виды ИТ-ресурсов, в том числе:

• данные в виде электронных ордеров, электронных ключей, используемых для шифрования и подписи этих ордеров при отправке в банк, выписок о состоянии счетов, полученных из банка, а также бумажные оригиналы этих документов;
• прикладные системы, включающие в себя программное обеспечение «банк — клиент», а также ручные процедуры, связанные с подготовкой, верификацией, подписанием бумажных документов и формирование электронных платежек в системе «банк — клиент»;
• технологии, используемые для реализации электронных платежей, вместе с рабочими местами операторов платежной системы, телекоммуникационным оборудованием (модемы, каналообразующее оборудование и линии связи), операционная система, на базе которой функционирует программное обеспечение системы «банк — клиент», СУБД, используемая для хранения электронных ордеров и квитанций, полученных из банка;
• средства поддержки, включая изолированное помещение, в котором установлен АРМ оператора системы банк-клиент и физические средства контроля доступа в это помещение в виде электронных замков и видеокамер;
• людские ресурсы — сотрудники бухгалтерии организации, выполняющие функции по формированию, верификации, подписанию, отправке электронных ордеров и т. п., а также технические специалисты, отвечающие за администрирование и сопровождение системы «банк — клиент».

(Денежные средства и капитал в качестве ИТ-ресурсов не рассматриваются, поскольку являются средствами инвестирования в любой из перечисленных классов ресурсов.)

Для удовлетворения бизнес-требований к информации должны быть определены и внедрены адекватные механизмы управления ИТ-ресурсами. С этой целью и определяется набор задач управления для ИТ-процессов.

Концептуальное ядро COBIT состоит из высокоуровневых задач управления и общей структуры, определяющей их классификацию, в которой выделяются три уровня управления ИТ-ресурсами. На нижнем находятся конкретные действия и задачи, позволяющие получать измеримый результат.

Так, эффективность решения задач по поддержке пользователей измеряется временными нормативами, учет выполнения которых осуществляется в службе HelpDesk. Временные нормативы по выполнению заявок пользователей, регистрируемых через службу HelpDesk могут выглядеть например, как в таблице.

На более высоком уровне находятся ИТ-процессы, включающие набор действий и задач, нацеленных на достижение бизнес-целей. На самом высоком уровне абстракции ИТ-процессы естественным образом объединяются в домены, соответствующие распределению областей ответственности в организационной структуре предприятия.

Концептуальное ядро можно рассматривать с трех точек зрения: информационные критерии; ИТ-ресурсы; ИТ-процессы

Остановимся на том, как определяются четыре домена управления, в которые группируются процессы COBIT.

• Планирование и организация. Включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Реализацию стратегических замыслов надо спланировать и согласовать; необходимо создать соответствующую организационную и ИТ-инфраструктуру.
• Комплектование и внедрение. Для реализации ИТ-стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ-решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы.
• Предоставление и поддержка. Включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами.
• Мониторинг. Качество и соответствие ИТ-процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов.

Механизмы управления не обязательно в равной степени способствуют реализации всех бизнес-требований к информации. Точно так же механизмы управления задействуют ИТ-ресурсы не в равной степени, поэтому концептуальное ядро COBIT для каждой задачи управления определяет ИТ-ресурсы, управление которыми осуществляется в рамках рассматриваемого ИТ-процесса.

Скажем, при выполнении высокоуровневой задачи управления «Определение стратегического плана развития ИТ» из домена «Организация и планирование» будут задействованы все виды ИТ-ресурсов, включая данные, прикладные системы, технологии, средства поддержки и людские ресурсы; а задача управления «Определение архитектуры информационных ресурсов» из того же домена имеет непосредственное отношение только к данным и прикладным системам, используемым для работы с этими данными.

Концептуальное ядро ограничивается описанием высокоуровневых целей контроля для каждого из ИТ-процессов в форме, представленной на рис. 4. Управление ИТ-процессом, удовлетворяющее бизнес-требованию, обеспечивается формулировкой задачи управления, для которой должны быть рассмотрены потенциально применимые практики управления.

Детальные задачи управления

Для каждого из ИТ-процессов, описанных в концептуальном ядре, определяется набор «Детальных задач управления»; всего их насчитывается 318.

Каждая задача управления содержит формулировку ожидаемых результатов, которые необходимо достигнуть путем реализации конкретных процедур управления в рамках ИТ-процесса.

Так, ИТ-процесс «Управление рисками» включает в себя детальные задачи управления, в частности формирование стратегии и методологии анализа рисков, планирование и проведение обследования, идентификацию рисков и оценку их величины, разработку плана уменьшения величины существующих рисков до приемлемых значений и обоснованный выбор контрмер, адекватных существующим рискам. Еще одной задачей управления является использование руководством организации процесса «Управления рисками» в качестве инструмента, предоставляющего сведения для решения задач стратегического планирования и реализации внутренних механизмов контроля.

Формулировки задач управления в COBIT носят в максимальной степени абстрактный характер, что делает их независимыми от конкретных платформ и характера деятельности организации. Задачи управления ориентированы на руководство организации, персонал ИТ-департамента, подразделения внутреннего контроля и аудита, а также (что наиболее важно) на владельцев бизнес-процессов. Они предоставляют рабочий справочник для всех субъектов управления и дают четкое определение минимального набора механизмов управления, необходимых для обеспечения эффективности, продуктивности и экономии ресурсов.

Руководство по менеджменту

«Руководство по менеджменту» позволяет руководству предприятия реализовать более эффективные стратегии управления ИТ, установить контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг и давать сравнительную оценку достижения бизнес-целей, а также оценивать производительность в рамках каждого ИТ-процесса.

Определяемые в COBIT модели зрелости организации (Maturity Model) позволяют руководству организации дать оценку текущему состоянию ИТ-процессов в сравнении с лучшими примерами в данной отрасли и найти возможности их совершенствования.

В целом в «незрелых» организациях успешность ИТ-проектов полностью зависит от личности администратора-«универсала». Система управления и преемственность в деятельности ИТ-отдела практически отсутствуют. Вплоть до того, что с уходом «универсала» вообще все может перестать работать. С повышением уровня зрелости организации увеличивается роль системы управления и понижается роль администратора. Администраторы становятся взаимозаменяемыми, а наличие отточенных навыков в узкой предметной области и специальных знаний, начинает цениться выше универсальности. Такая система выгодна для организации, но не выгодна для администратора-«универсала». Этим объясняется то сопротивление со стороны ИТ-специалистов, с которым сталкиваются руководители ИТ-отделов, внедряющие систему управления ИТ. Самого высокого уровня зрелости достигают организации, в которых ИТ-система как совокупность программного обеспечения, оборудования, средств связи, а также специалистов, действующих в рамках стандартизированных ИТ-процессов, представляет собой хорошо отлаженный механизм, обеспечивающий эффективное управление информационными ресурсами организации. В такой организации все ИТ-процессы оптимизированы на основе требований стандартов и лучшей мировой практики управления ИТ, а информационные системы могут быть легко адаптированы к требованиям бизнеса.

Всего определяется шесть уровней зрелости системы управления ИТ-организации.

1. На нулевом, самом нижнем уровне о зрелости речь вообще не идет, системы управления ИТ как таковой не существует, а необходимость ее создания не осознается. Наблюдается полное отсутствие управляемых ИТ-процессов. Все ключевые ИТ-роли выполняются «незаменимыми» сотрудниками, часто являющимися «универсалами», мастерами на все руки. Общая стратегия развития ИТ отсутствует. Часто действия «универсалов» между собой не согласованы. При необоснованно завышенных расходах, например, на обеспечение информационной безопасности в такой организации совокупный результат, как правило, близок к нулю. Если зависимость предприятия от ИТ большая, то в такую организацию инвесторам не выгодно вкладывать деньги.
2. В организациях, находящихся на первом уровне зрелости, руководство начинает осознавать необходимость реализации комплексного подхода к управлению ИТ, что вызвано большой зависимостью этих организаций от ИТ и значительными расходами, которые не дают видимых результатов. На этом уровне еще не существует стандартизированных ИТ-процессов и преобладает фрагментарный подход к их реализации. Руководство только начинает задумываться о получении возврата инвестиций, сделанных в ИТ, не располагая, однако, методикой оценки их эффективности. Для решения каждой задачи ИТ-специалистами вырабатываются собственные подходы. Связь между бизнес-целями и деятельностью ИТ-департамента отсутствует. На этом уровне в настоящее время находятся многие российские предприятия, вкладывающие значительные средства в развитие и поддержание работоспособности своих информационных систем.
3. На втором уровне зрелости уже существуют стандартизированные ИТ-процессы, однако они не документированы и пока не являются частью системы управления. Фактически они реализуются в виде стандартной практики отдельных ИТ-специалистов. На этом уровне необходимость планомерного внедрения системы управления ИТ уже ни у кого не вызывает сомнений, активно разрабатываются показатели эффективности ИТ-процессов, внедряются процессы планирования, мониторинга и предоставления ИТ-услуг, устанавливаются взаимосвязи между ИТ и бизнес-процессами, разрабатывается стратегия развития ИТ. Руководство организации принимает активное участие в формировании управляемых ИТ-процессов, для которых уже существуют базовые методы оценки эффективности. Однако сказывается недостаток опыта управления ИТ, используется ограниченное количество механизмов управления и показателей эффективности.
4. Если на предыдущих уровнях зрелости преобладает администратор-«универсал», то, начиная с третьего уровня, доминирующей становится роль системы управления. Здесь все процедуры стандартизированы и документированы, а сотрудники обучены их использованию. Деятельность ИТ-отдела регламентирована этими процедурами. Однако механизмы контроля качества выполнения процедур пока не работают, а сами процедуры далеки от совершенства, и об их оптимизации говорить не приходится.
5. Четвертый уровень зрелости характеризуется наличием системы контроля качества ИТ-процессов. Эта система осуществляет непрерывный мониторинг ИТ-процессов, устанавливает стандарты качества и контролирует соответствие ИТ-процессов данным стандартам. Наличие системы контроля качества позволяет выявлять неэффективно действующие механизмы управления ИТ-системой и постоянно работать над повышением их эффективности. Четвертый уровень — это уровень, на котором существуют управляемые ИТ-системы.
6. На высшем уровне система управления ИТ отличается от предыдущего по существу лишь более высоким уровнем оптимизации ИТ-процессов, которые являются управляемыми и измеряемыми. Информация о выполнении каждого ИТ-процесса фиксируется. ИТ являются эффективным инструментом бизнеса, а система управления ими — одной из составных частей системы управления организацией.

Критические факторы успеха (Critical Success Factor) определяют ориентированные на руководство методы внедрения системы управления ИТ-процессами. Это важнейшие задачи, решение которых способствует достижению целей ИТ-процессов. К числу общих факторов успеха, применимых к любому ИТ-процессу, относятся:

• стандартизация ИТ-процессов и их нацеленность на достижение целей бизнеса;
• определение групп пользователей ИТ-процессов и их требований;
• обеспечение масштабируемости ИТ-процессов и оптимального управления ресурсами в рамках этих процессов;
• качество персонала информационной системы (квалификация, моральные качества и т. п.);
• использование финансовых метрик для измерения производительности ИТ-процессов и премирование руководителей ИТ-отделов на основании результатов этих измерений;
• наличие процедур контроля и повышения качества ИТ-процессов.

Ключевые индикаторы целей (Key Goal Indicator) определяют критерии оценки достижения бизнес-целей при помощи ИТ-процессов. Несколько примеров наиболее общих целей ИТ-процессов: доступность информационных ресурсов, систем и служб; минимизация рисков, связанных с нарушением целостности и конфиденциальности данных; снижение себестоимости ИТ-процессов.

Ключевые индикаторы производительности (Key Performance Indicator) определяют критерии оценки производительности ИТ-процессов в достижении ими бизнес-целей организации. Примерами наиболее общих индикаторов производительности служат: время реакции системы; степень утилизации пропускной способности сети или вычислительных мощностей; повышение качества и совершенствование функциональности информационных служб и т. п.

Использование описанных показателей (индикаторов) позволяет реализовать стандартизированные, управляемые и измеряемые ИТ-процессы. Например, по отношению к ИТ-процессу «Обеспечение антивирусной защиты корпоративной сети» в качестве ключевых индикаторов целей выступают минимизация количества заражений вирусами компьютеров, подключенных к сети, а также минимизация последствий таких заражений. Критические факторы успеха — перекрытие всех возможных каналов распространения компьютерных вирусов (включая протоколы HTTP, FTP, SMTP и т. п., а также флоппи-дисководы и разделяемые сетевые ресурсы), регулярность обновлений антивирусных баз данных и оптимальность настроек антивирусных программ. Ключевыми показателями эффективности данного ИТ-процесса являются количество обнаруживаемых и успешно обезвреживаемых вирусов, а также скорость и качество реагирования на инциденты, связанные с заражением компьютерными вирусами.

Руководство по менеджменту позволяет находить ответы на следующие вопросы: как далеко следует заходить и компенсируются ли затраты получаемой прибылью; что является индикатором хорошей производительности; что является критическими факторами достижения успеха; каковы риски в случае, если поставленные цели не будут достигнуты; что делают другие?

Набор инструментов внедрения

«Набор инструментов внедрения» разъясняет ключевые концепции, предлагая пошаговое описание и примеры внедрения.

Процесс внедрения COBIT в деятельность организации выглядит так:

• определение бизнес-целей при помощи концептуального ядра;
• выбор ИТ-процессов и механизмов управления с использованием высокоуровневых и детальных задач управления;
• согласование программы действий с бизнес-планом;
• оценка существующих процедур и результатов внедрения механизмов управления при помощи «Руководства по аудиту»;
• оценка текущего статуса организации, идентификация критичных действий и измерение производительности в достижении целей организации при помощи«Руководства по менеджменту».

Уроки внедрения COBIT на предприятиях по всему миру указывают на необходимость вовлечения высшего руководства в проект внедрения уже на ранней его стадии. Следует быть готовым дать разъяснения основных концепций COBIT, а также привести примеры успешных внедрений в других организациях.

Руководство по аудиту

Руководство по аудиту (Audit Guideline) позволяет производить проверку реализации каждого из 34 высокоуровневых ИТ-процессов на предмет достижения каждой из 318 детальных задач управления, что дает возможность аудитору гарантировать руководству предприятия адекватность реализованной системы управления ИТ и формировать рекомендации по ее улучшению.

Этот документ облегчает использование концептуального ядра и основных принципов управления COBIT при проведении ИТ-аудита.

Подробное описание схемы и основных подходов к проведению ИТ-аудита в соответствии с требованиями COBIT приводятся в статье автора «Общее руководство по проведению ИТ-аудита в соответствии со стандартом COBIT», которая будет опубликована в следующем номере журнала «Директор ИС».

Выводы

COBIT является международным стандартом, определяющим набор универсальных задач управления ИТ, ориентированных, прежде всего, на руководство организации и на ИТ-аудиторов. Основная ценность COBIT заключается в том, что он предлагает модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами.

В состав третьей редакции COBIT входит несколько книг, в том числе «Резюме для руководства», «Концептуальное ядро», «Руководство по менеджменту», «Руководство по аудиту», «Детальные задачи управления» и «Набор инструментов внедрения».

«Резюме для руководства» служит введением в остальные разделы стандарта. Оно содержит общие сведения о стандарте, определяет миссию COBIT и понятие системы управления ИТ. «Концептуальное ядро COBIT» представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на базе которых строятся все положения стандарта. «Руководство по менеджменту»позволяет руководству предприятия реализовать более эффективные стратегии управления ИТ, установить контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг, давать сравнительную оценку достижениям бизнес-целей и оценивать производительность в рамках каждого ИТ-процесса. «Набор инструментов внедрения» дает разъяснения ключевых концепций, пошаговое описание и примеры успешного внедрения COBIT в организациях по всему миру.

Несмотря на все присущие COBIT недостатки, которые не позволяют считать этот документ эталоном выражения передового опыта в области управления и аудита ИТ, знакомство с данным стандартом является весьма полезным для ИТ аудиторов, ИТ-менеджеров и руководителей организаций.

Литература

1. COBIT 3rd Edition, Released by the COBIT Steering Committee and the IT Governance Institute, July 2000
2. Астахов А. М., Аудит безопасности информационных систем, ISACA.RU, 2002

Александр Астахов — руководитель отдела защиты информации ОАО «Вимм-Билль-Данн продукты питания», CISA, участник рабочей группы ISACA.RU, AstahovAM@wbd.ru

---

Терминология

Дадим определение нескольким ключевым для COBIT понятиям.

Control (механизм управления)

политики, процедуры, практики и организационные структуры, предназначенные для предоставления обоснованных гарантий достижения бизнес-целей, а также предотвращения, обнаружения и корректировки нежелательных событий.

Control Objective (задача управления)

формулировка желаемого результата или цели, которые должны быть достигнуты путем реализации механизмов управления в рамках конкретного ИТ-процесса.

COBIT, Control OBjectives for Information and related Technology (задачи управления для информационных и смежных технологий)

международный стандарт, определяющий набор универсальных задач управления ИТ.

COBIT Framework (концептуальное ядро COBIT)

набор основополагающих принципов и понятий, высокоуровневых задач управления, а также модель управления ИТ, на базе которых строятся все положения COBIT. Концепция COBIT предполагает формирование механизмов управления ИТ исходя из того, какая информация необходима для удовлетворения требований бизнеса. При этом информация рассматривается как результат использования ИТ-ресурсов, управление которыми осуществляется в рамках ИТ-процессов.

IT Governance (система управления информационными технологиями)

структура взаимосвязей и процессов, определяющих направление и осуществляющих управление предприятием для достижения бизнес-целей путем получения добавленной стоимости при наличии баланса между величиной рисков и возвратом инвестиций, сделанных в ИТ.

Александр Астахов

COBIT – подход к управлению информационными технологиями, созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association — ISACA) и Институтом руководства ИТ (IT Governance Institute — ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании.

Первая редакция COBIT увидела свет в 1996 году. Версия COBIT 4.1 вышла в мае 2007 года. В основе COBIT 4.1 лежит процессный подход, система сбалансированных показателей BSC, модель зрелости SEI CMM/CMMI, PMBoK (методология проектного управления), а также подходы стандартов PRINCE2, TickIT, ITIL® и другие.

Ключевые области управления ИТ:

• Соответствие стратегии делает акцент на связи между планами бизнеса и ИТ; выявлении, поддержке и контроле за ценностным предложением ИТ; а также на соответствии ИТ и бизнес операций.
• Полезность представляет собой реализацию ценностного предложения, контроль за тем, чтобы ИТ обеспечивали определенные стратегией преимущества, сосредоточение на оптимизации затрат и подтверждение подлинной ценности ИТ.



• Управление ресурсами посвящено вопросам, связанным с управлением критичными ИТ ресурсами, а именно, оптимизацией инвестиций и должному руководству приложениями, информацией, инфраструктурой и персоналом. Ключевые вопросы касаются оптимизации знаний и инфраструктуры.
• Управление рисками требует осведомленности высшего руководства в области рисков, четкого понимания корпоративного подхода в их отношении, соответствия требованиям прозрачности в отношении существенных рисков, включения функции или системы управления рисками в практику организации.
• Оценка эффективности представляет собой контроль за реализацией стратегии, результатами проектов, использованием ресурсов, эффективностью процессов и сервисным обслуживанием. Для этого применяются, в частности, системы сбалансированных показателей, которые преобразуют стратегию в последовательность действий, результаты которых измеряются иными, по сравнению с бухгалтерским учетом, методами.

Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается как результат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов. ИТ ресурсы включают в себя приложения, информацию (данные в любой форме), инфраструктуру, персонал.

Для достижения целей бизнеса информация должна удовлетворять определённым критериям, которые в стандарте COBIT называют бизнес-требованиями к информации. Выделяют следующие бизнес-требования к информации или информационные критерии: эффективность, рациональность, конфиденциальность, целостность, доступность, соответствие нормам и надёжность информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путём реализации механизмов управления в рамках конкретного ИТ процесса.

Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):

Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:

• PO1 Разработка стратегического плана
• PO2 Определение ИТ архитектуры
• PO3 Определение направлений развития технологий
• PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
• PO5 Управление инвестициями в ИТ
• PO6 Согласованное управление целями и задачами
• PO7 Управление ИТ персоналом
• PO8 Управление качеством
• PO9 Оценка и управление рисками ИТ
• PO10 Управление проектами

Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:

• AI1 Идентификация и выбор решений по автоматизации
• AI2 Проектирование и разработка приложений
• AI3 Проектирование и поддержка технической инфраструктуры
• AI4 Обеспечение работы и использования ИС
• AI5 Закупка ИТ ресурсов
• AI6 Управление изменениями
• AI7 Установка и утверждение решений и изменений

Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:

• DS1 Определение и управление уровнями сервиса
• DS2 Управление сервисами подрядчиков
• DS3 Управление производительностью и мощностью
• DS4 Обеспечение непрерывности сервисов
• DS5 Обеспечение безопасности систем
• DS6 Определение и распределение ИТ затрат
• DS7 Обучение пользователей
• DS8 Управление службой поддержки и инцидентами
• DS9 Управление конфигурацией
• DS10 Управление проблемами
• DS11 Управление данными
• DS12 Управление физическим оборудованием
• DS13 Управление эксплуатацией

Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:

• ME1 Отслеживать и оценивать производительность ИТ
• ME2 Отслеживать и оценивать внутренние контроли
• ME3 Гарантировать соответствие регулирующим требованиям
• ME4 Обеспечивать руководство ИТ

Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.

В стандарте COBIT детально описаны цели и принципы управления, объекты управления, чётко определены все ИТ процессы (для каждого процесса определены входы и выходы, исполнители и ответственные, а также объекты контроля и метрики) и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ процессов также приведены практические рекомендации по управлению ИТ безопасностью. COBIT применяется для контроля и аудита существующей системы управления информационными технологиями, организации оперативного и стратегического управления ИТ, анализа расходов на ИТ проекты и поддержку соответствующей инфраструктуры, соответствия требованиям стандартам и регулирующим организациям, таких как SOX и COSO.

Посредством использования стандарта COBIT руководители ИТ подразделений преобразуют задачи бизнеса в чёткие и понятные планы развития ИТ. Основным преимуществом стандарта COBIT является его полнота и отчётливые практические рекомендации и инструменты, с помощью которых можно построить систему управления информационными технологиями корпорации и, в том числе, эффективную систему управления рисками в ИТ. Таким образом, при использовании методологии COBIT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, стандарт COBIT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ департамента.