Взаимосвязи трех основных методологий, предлагаемых ISACA, показаны на рис. 15.1 . Это методологии COBIT, Val IT и Risk IT.
Рис.
15.1.
Центральной в этой картине является методология COBIT, последний релиз которой, COBIT 4.1 (CobiT, 2007) , мы сейчас кратко рассмотрим.
COBIT 4.1
Аббревиатура "COBIT" с трудом поддается адекватному переводу на русский язык из-за многозначности английского слова control , широко используемого в терминологии COBIT. Опубликованный русский перевод названия методологии Control Objectives for Information and Related Technology (COBIT) - "Цели контроля для информационных и смежных технологий" (COBIT 4.1 рус, 2008), на мой взгляд, содержательно неточен. Я предпочитаю менее компактный, но более понятный и передающий смысл документа перевод: "Цели управления информационными и связанными с ними технологиями", хотя возможны и другие варианты. Вообще, я буду использовать разные варианты перевода слова control в зависимости от контекста. Чаще других будут употребляться термины "средство управления" или просто "управление".
Существует целый ряд публикаций по COBIT, подготовленных ISACA. Значительная часть их доступна только членам ISACA, и только несколько документов - всем желающим. К сожалению, у меня нет доступа к полному комплекту документов ISACA, поэтому все дальнейшее изложение базируется только на открытых источниках, в первую очередь (COBIT, 2007). Я использовал также русский перевод этого документа (CobiT 4.1 рус, 2008).
В связи с этим нужно сделать важную оговорку. Все неточности, недоговоренности и неясности, встречающиеся в (CobiT, 2007), возможно, разъясняются в других документах по COBIT, поэтому не всегда следует относить их на счет несовершенства и недоработанности самой методологии.
Концепция и основные понятия COBIT
По утверждению авторов, COBIT представляет собой совокупность признанных практик (good practices ) методов управления ИТ, изложенных с использованием процессного подхода . Акцент в COBIT делается не на детальном описании процессов, а на методах их организации, оценки, измерения и т. п. С точки зрения COBIT, для того, чтобы ИТ удовлетворяли требованиям бизнеса, менеджмент должен позаботиться о том, чтобы разработать и внедрить специальную систему управления ИТ. Методология COBIT является кандидатом на роль такой системы, поскольку она:
- устанавливает связь между ИТ и бизнесом;
- использует общепризнанный процессный подход для описания ИТ-активностей;
- выявляет основные ИТ-ресурсы, которые следует использовать;
- определяет цели управления для рассмотрения их менеджментом.
Для решения первой из перечисленных задач в COBIT вводится понятие ИТ-цели, обусловленной целями бизнеса. Это принципиально важное понятие, которое не встречалось ни в одной из рассмотренных ранее методик. Обратимся, например, к ITIL .
На рис. 15.2 показаны взаимосвязи между бизнес-услугой, ИТ-услугой, целями бизнеса и место , которое должны были бы занимать цели ИТ в парадигме ITIL v.3. Видно, что достижение целей бизнеса в ITIL обеспечивается опосредованно за счет того, что ИТ-услуги создаются и развиваются как инструмент, обеспечивающий реализацию бизнес-услуг и в точном соответствии с требованиями последних. Бизнес-услуги через бизнес-процессы связаны с целями бизнеса. Таким образом, никакая ИТ-услуга не может появиться вне связи с целью бизнеса, т. е. в модели ITIL v.3 "цель ИТ" просто лишняя.
Рис. 15.2.
Это означает, что в COBIT принята другая, нежели в ITIL , модель взаимодействия бизнеса и ИТ. Однажды определив долгосрочные цели ИТ, связанные с целями бизнеса, ИТ-организация далее развивается как бы автономно до момента, когда эти цели будут скорректированы. Это приводит к появлению в модели процессов COBIT такого процесса, как стратегическое планирование ИТ (см. ниже). В ITIL v.3 подобного процесса нет, а есть только Портфель услуг, наполнение которого в каждый момент времени и определяет все планы развития ИТ. Я сравниваю COBIT именно с ITIL v.3, потому что COBIT тоже придерживается взгляда на взаимодействие ИТ-организации и бизнеса как на предоставление и потребление услуг, использует понятия Портфеля и Каталога услуг, хотя и на гораздо менее конкретном уровне, чем ITIL v.3.
Методы построения целей ИТ остаются за рамками COBIT. В приложениях к (COBIT, 2007) приведены лишь примеры условных целей бизнеса и соответствующих им столь же условных целей ИТ. Между тем попытки применить этот подход на практике показывают, что построение целей ИТ не является тривиальной задачей. Во-первых, цели бизнеса не являются постоянными, застывшими, и далеко не везде и не всегда их изменение происходит дискретно в запланированные сроки. Непонятно, как в этом случае организовать непрерывную коррекцию соответствующих целей ИТ. Во-вторых, цели бизнеса и ИТ формулируются на совершенно разных языках, и это порождает проблемы. Такие понятия как, например, "рентабельность", "прозрачность", "прибыльность", обычные для бизнес-языка, объективно оказываются очень сложными и многозначными при попытке перевода их на язык ИТ. Для выполнения работы по переводу целей бизнеса в цели ИТ нужен переводчик, одинаково хорошо владеющий языком бизнеса и техническим языком ИТ и пользующийся полным доверием бизнеса и ИТ-специалистов. Даже если переводчиком служит квалифицированный и профессиональный независимый консультант, обеспечить доверие к переводу, особенно со стороны бизнеса, удается далеко не всегда. Таким образом, попытка построить управление, отталкиваясь от целей ИТ, порождает целый ряд сложностей и во всяком случае не является единственно возможным подходом к стратегическому планированию ИТ.
Для описания деятельности по развитию корпоративных ИТ в соответствии со сформулированными целями ИТ в COBIT выстроена довольно сложная и не всегда строго определенная собственная система понятий, не встречающихся в других методологиях и стандартах.
В основе системы - совокупность средств и механизмов управления, называемых в оригинале controls . Сюда включаются "политики, процедуры, практики и организационные структуры, сконструированные так, чтобы обеспечить то, что цели бизнеса достигаются, а нежелательные события исключаются или распознаются и корректируются". Точных определений, эталонного перечня средств управления или хотя бы набора примеров книга (COBIT, 2007) не дает.
Различаются средства управления бизнесом и средства управления ИТ: первые обеспечивают достижение целей бизнеса, вторые - целей ИТ. Они находятся в довольно сложных и не до конца определенных отношениях. В частности, утверждается, что на уровне предприятия средства управления бизнесом, представляющие собой политики и сформулированные цели бизнеса, влияют на все средства управления ИТ. Об обратном же влиянии ничего не говорится, хотя в некоторых видах бизнеса (например, в Интернет-бизнесе) это влияние довольно велико.
На уровне бизнес-процессов, согласно COBIT, существует две разновидности средств управления процессом: ручные (например, распределение ролей в процессе) и автоматические (разработанные приложения, выполняющие отдельные задачи). Последние в оригинале называются "средствами управления, реализованными в виде приложений" ( application controls); я буду для краткости называть их просто "автоматическими". Бизнес отвечает за определение и использование как ручных, так и автоматических средств управления. Роль ИТ-организации - только поддерживать автоматические средства управления. В COBIT приводятся следующие примеры автоматических средств управления:
- средства обеспечения законченности транзакции;
- средства обеспечения точности информации;
- средства обеспечения достоверности вводимых данных;
- средства управления правами доступа;
- средства распределения ролей по выполнению транзакций.
Еще одна категория средств управления возникает в связи с взглядом, согласно которому ИТ-организация отвечает за предоставление ИТ-услуг, общих для нескольких бизнес-процессов или даже для всего предприятия. Средства управления деятельностью по предоставлению ИТ-услуг называются общими ( general ). Примерами общих средств управления ИТ служат, согласно COBIT:
- средства управления разработкой систем;
- средства управления изменениями;
- средства обеспечения информационной безопасности;
- средства обеспечения функционирования компьютеров.
Сами по себе средства управления в COBIT не изучаются, и структура их для COBIT не представляет интереса. Они важны только как объект целеполагания, т. е. как то, чему можно сопоставить цель. Эти цели называются целями управления (control objectives ); они играют фундаментальную роль в концепции COBIT.
Таким образом, возникают цели управления ИТ организации в целом, цели автоматических средств управления (приложений) в бизнес-процессах, цели общих средств управления ИТ.
Для того чтобы как-то структурировать этот набор разнородных целей, в COBIT используется собственная модель процессов управления ИТ, называемых ИТ-процессами; каждый процесс в модели состоит из активностей. С помощью модели процессов строится иерархия целей управления. На самом верхнем уровне расположены цели управления ИТ (или цели ИТ), затем - цели управления процессами, и на нижнем уровне - цели управления активностями. Цели общих средств управления выражаются целями процессов и активностей. Из этой стройной картины выпадают цели приложений, да и вообще, понятие "цели" применительно к автоматическому средству управления выглядит довольно странно. В COBIT рекомендованные цели приложений для всех приложений одинаковы и сформулированы следующим образом ( нумерация COBIT сохранена).
Обеспечить то, чтобы исходные документы готовились уполномоченным и квалифицированным персоналом, следующим установленным процедурам, с учетом разделения ответственностей по созданию и утверждению документа. Минимизировать ошибки и пропуски за счет надлежащего построения форм ввода. Регистрировать ошибки и ошибочные ситуации для подготовки отчетов и исправления.
АС2. Сбор и ввод исходных данных
Обеспечить, чтобы ввод данных выполнялся своевременно и с участием квалифицированного и уполномоченного персонала. Корректировка и повторный ввод данных в случае ошибки при вводе должны выполняться с авторизацией на тех же уровнях. По возможности сохранять первоначальные исходные документы в течение надлежащего периода времени.
АС3. Проверка на точность, завершенность и аутентичность
Обеспечить точность, завершенность и достоверность транзакции. Проверять введенные данные, редактировать или возвращать для исправления как можно ближе к точке ввода.
АС4. Работа с целостностью и достоверностью
Поддерживать целостность и достоверность данных на протяжении всего цикла обработки. Обнаружение ошибочных транзакций не отражается на обработке правильных транзакций.
АС5. Выходные проверки
Разработать процедуры и связанные с ними обязанности, обеспечивающие, что выходные данные обрабатываются в соответствии с правилами авторизации, направляются надлежащему получателю и защищаются при передаче, а также то, что точность выходных данных верифицируется, распознается и корректируется и что информация, содержащаяся в них, используется.
АС6. Аутентификация и целостность транзакции
До передачи данных транзакции между внутренними приложениями и бизнес/операционными подразделениями (внутри организации или вовне ее) проверить правильность их адресной информации, подлинность происхождения и целостность. Поддерживать подлинность и целостность при передаче или пересылке".
Не обсуждая осмысленности и логической завершенности этого перечня, следует отметить, что сформулированные цели скорее относятся не к приложениям, а к единой технологии их разработки. В COBIT говорится, что "ИТ-процессы COBIT затрагивают только те аспекты управления приложениями, которые связаны с их разработкой". Тем самым подразумевается, что достижение целей управления ИТ-процессами должно обеспечивать достижение вышеприведенных целей приложений. О том, как это достигается, COBIT умалчивает.
Значительное место в COBIT занимает описание методов оценки эффективности и результативности ИТ-процессов. Для этого используется комбинированный подход, включающий:
- сравнительный анализ 1в оригинале - benchmarking эффективности и развитости процессов управления ИТ с помощью модели зрелости, близкой к модели CMM ;
- использование иерархии целей и метрик для ИТ в целом, ИТ-процессов и составляющих их активностей.
Более подробно об оценке эффективности процессов будет говориться в разделе, посвященном ИТ-процессам.
Прежде чем переходить к более подробному анализу структуры и содержания модели ИТ-процессов COBIT, стоит сделать два замечания. Во-первых, несмотря на постоянно акцентируемую поддержку взаимосвязи методов управления ИТ и бизнеса, COBIT не предлагает ничего нового в этой сфере. Задача обеспечения взаимосвязи декларируется (как и в множестве других методик, например SPICE ), но конструктивных способов ее решения не даётся. Во-вторых, иерархия целей управления, о которой столько говорится, играет на самом деле чисто декоративную роль: никаких специфических задач, связанных с этой иерархией, не ставится и специальных методических приемов не используется (сразу оговорюсь, что эта иерархия , возможно, используется при аудите, о методике проведения которого в (COBIT, 2007) ничего не говорится). Пожалуй, единственное, для чего эта иерархия может оказаться полезной, - это разработка общего языка для руководителей бизнеса, ИТ-руководителей и специалистов. С этой точки зрения, однако, система понятий, выстроенная COBIT, не оправдывает своего назначения: объем усилий, потраченных на то, чтобы разобраться в невнятном обосновании COBIT, в конечном итоге не вознаграждается, поскольку не приводит к простому и компактному набору убедительных положений, которые могли бы лечь в основу такого языка. Безусловными недостатками (COBIT, 2007) являются многословие, избыток плохо определенных терминов, ненужные "формальные" рассуждения, использующиеся для объяснения очевидных вещей, и поверхностность изложения. Еще хуже обстоит дело с русским переводом (COBIT 4.1 рус, 2008), авторы которого вынуждены были буквально следовать невнятному и косноязычному английскому оригиналу и не могли изложить материал своими словами.
Стандарт CobiT. Описание четырех доменов. Модель зрелости. Сервисный подход в организации ИТ-службы.
Стандарт CobiT. История CobiT. ИТ-процессы CobiT. Модели зрелости ИТ процессов CobiT. Источники совершенствования: ITIL и CobiT. Сервисный подход в организации ИТ-службы. Организация ИТ-поддержки. Преимущества сервисного подхода для ИТ-поддержки. Преимущества сервисного подхода для бизнеса.
Интернациональным компаниям приходится вести свою деятельность, следуя положениям нормативных актов соответствующих стран. Бизнес сталкивается со все более ужесточающимися требованиями со стороны надзорных органов и общественности, которые предписывают компаниям должным образом использовать и защищать как корпоративную, так и персональную информацию. Эти нормативные документы касаются всех сфер, от безопасности до финансовой отчетности.
Как правило, подход к управлению рисками ИТ-безопасности распределен по подразделениям компании. Вследствие этого часто функциональные обязанности и технические средства, необходимые для их выполнения, дублируются. Системы управления же частично перекрываются и противоречат друг другу. В результате администраторы не знают, насколько успешно они управляют сетевыми рисками.
Современный бизнес работает в бурном ритме, многие компании и организации не имеют временного ресурса для выработки собственных требований и стандартов. Поэтому активно используется чужой опыт и лучшие мировые практики, к которым относятся и стандарты. Стандарты управления и ИТ-безопасности были созданы на основе анализа методов, опробованных как большими группами профессионалов, так и множеством различных компаний и организаций. Как правило, стандарты подаются как рекомендации.
Кроме признанных международных стандартов управления и ИТ-безопасности, существует много национальных. Например, Control Objectives for Information and Related Technology (CobiT) наиболее часто используется для управления информационными системами в США и ряде других стран, а в Великобритании, Нидерландах и Австралии чаще используется IT Infrastructure Library (ITIL), о которой уже говорили в предыдущей лекции.
Успешное предоставление ИТ-услуг в соответствии с требованиями основного бизнеса предполагает наличие системы и методологии внутреннего контроля. Разработанная IT Governance Institute методология CobiT отвечает таким потребностям. Этот подход изначально ориентирован на бизнес и помогает организовать и контролировать управление ИТ в бизнес-контексте. Методология CobiT описывает управление ИТ как систему из 34 процессов, сгруппированных в четыре домена.
CobiT - это сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»).
Рисунок 1 – Модель CobiT
CobiT представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления ИТ, аудита и ИТ-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта - все то, что так или иначе имело отношение к целям управления.
Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.
Нередко руководство компании в силу объективных причин не понимает ИТ-специалистов. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.
CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:
· топ-менеджерами;
· руководителями среднего звена (ИТ-директором, начальниками отделов);
· непосредственными исполнителями (инженерами, программистами и т. д.);
· аудиторами.
Таблица 1 - Целевая аудитория CobiT
/ Что такое COBIT?
Вконтакте
Одноклассники
Алексей Лагутенков , MBA Kingston University UK, ITSM Manager, MCSE+I, MCSE:S:M, MCDBA, MCDST
Что такое COBIT?
Control Objectives for Information and Related Technologies (сокращенно COBIT) можно перевести как «Задачи управления информационными и смежными технологиями». Несмотряна абстрактность формулировок, COBIT – ценный инструмент, позволяющий превратить информационные технологии, использующиеся на предприятии, из вспомогательной, чисто затратной области в объект, который глубоко интегрируется в структуру компании и начнет оказывать помощь в решении стратегических задач предприятия
В большинстве случаев пересечение информационных технологий и менеджмента порождает монстров. Не исключение в этом отношении и COBIT. Первое знакомство инженеров ИT с этой областью знаний обычно не вызывает восторга. Огромные тома абстрактной документации, в которых нет ни одного пошагового HOW TO и ни одной конкретной рекомендации. Казалось бы, кому и зачем все это нужно, когда на работе и так есть, чем заняться? К сожалению, ответ не лежит на поверхности.
Первое, на что следует обратить внимание, – COBIT бесполезен для малых и в большинстве случаев для средних компаний. Использование ИТ в малом бизнесе конкретное ипрактическое: поддержать в рабочем состоянии сеть, создать и оптимизировать собственный веб-сайт и т.д. Однако чем крупнее становятся компания и ее ИТ-отдел, тем более абстрактные задачи приходится решать.
Главное отличие малой компании от большой заключается в том, что совету директоров или акционеров крупного предприятия непонятны, а потому абсолютно не интересны подробности работы ИТ-подразделений. Совет интересует «улучшение конкурентоспособности» или «повышение клиентоориентированности компании» и, скажем, рост стоимости ценных бумаг предприятия на бирже. Поэтому задачи ИТ-директору в большой компании ставятся совершенно не айтишные: «повысить эффективность», «снизить затраты путем оптимизации бизнес-активности на стратегически важных направлениях компании» или «улучшить работу с поставщиками». Все попытки CIO что-то уточнить и предложить конкретные планы автоматизации чего-либо натыкаются на стену глухого непонимания со стороны руководства. Биг-боссы не хотят знать, как именно следует апгрейдить серверы.Они хотят видеть реализацию стратегических целей компании.
| Информация о ISACA
ISACA (ранее полностью – Information Systems Audit and Control Association) является международной некоммерческой ассоциацией профессионалов в области управления ИТ. Деятельность ассоциации фокусируется на аудите, безопасности и корпоративном управлении ИТ. Членство в ISACA отражает разнообразие квалификаций, знаний и опыта, которые делают область управления ИТ интересной и динамичной. Ассоциация предоставляет международные программы сертификации:
Правление Российского отдела ISACA избирается из волонтеров, членов ISACA на ежегодном общем собрании участников ассоциации. Участие членов ISACA в руководстве нашим отделением очень приветствуется. В настоящее время членами правления Российского отделения являются:
Сайт Российского подразделения ISACA: http://www.isaca.ru . |
Отсутствие взаимопонимания между ИT и высшим менеджментом лучше всего пояснить на примере. Предположим, что вы CIO крупной компании. Компания настолько крупная,что в штате есть не просто уборщица, а целый CCM (Chief Cleaning Manager – шеф-клининг-менеджер) с собственным отделом уборщиц. Однажды вы вызываете ССМ на ковер ипросите ее наконец убраться в серверной, ибо уж больно там грязно! Предположим, что наш шеф-клининг-менеджер настолько мотивирована, что она немедленно разворачивает бурную деятельность!
Например, приносит красиво отпечатанный проект предстоящей уборки и просит вас утвердить решение, какими именно моющими средствами и инструментами уборки ей следует воспользоваться. В проекте заявлены несколько вариантов, с подробным перечислением достоинств и недостатков каждого из веников, швабр, чистящих порошков и гелей. Какова будет ваша реакция на такую инициативу? Вероятнее всего, несчастная уборщица получит изрядный нагоняй. Еще не хватало директору ИT изучать полезные свойства швабр и«мистеров Проперов»! Необходимо, чтобы серверная просто была чистой, а как это будет реализовано, это абсолютно вне зоны ответственности CIO. Важен результат, а не процесс. Ничего не напоминает?
Если посмотреть на деятельность ИТ-департамента в рамках всего предприятия, в свете приведенного выше примера становится очевидно, что ИТ – это всего лишь один из центров затрат, обслуживающих бизнес компании. Конечно же, все вышесказанное не касается компаний-интеграторов. Но если ИТ не задействовано в бизнесе напрямую, то у высшего руководства нет ни одной причины вникать в работу инструментария обслуживающего персонала одного из центров затрат. То есть формально существует некая черта или граница,по одну сторону которой высшее руководство и абстрактно-стратегические цели, а по другую – информационно-технический отдел и конкретные материальные задачи.
Именно на стыке абстрактных стратегических целей высшего руководства и конкретных ИТ-решений и работает COBIT. Если сформулировать задачи COBIT в одном предложении,то COBIT – это инструмент для преодоления пропасти непонимания между CEO/советом директоров/советом акционеров и CIO.
Стратегические цели компании, как правило, выглядят для работников ИТ слишком абстрактно. Добиться от совета директоров инструкций уровня HOW TO для ИТ-отдела – задача практически не реализуемая. Отсутствие этого «моста взаимопонимания» ведет к внедрению бесполезных для бизнеса компании проектов. Рекомендации COBIT позволяют транслировать стратегические цели бизнеса, в конкретные ИТ-активности, в рамках которых можно запускать проекты, которые будут намного точнее отвечать целям компании. ВCOBIT определены 17 возможных стратегических бизнес-целей компании, 17 ИТ-целей компании и составлена таблица соответствия, которая позволяет транслировать одни цели вдругие. Благодаря этому COBIT становится чем-то вроде платформы-буфера для ведения диалога между топ-менеджерами, руководителями ИТ, инженерами-программистами иаудиторами.
Еще одна польза от внедрения COBIT – это наличие множества KPI. Например, существуют показатели для качества и стоимости обработки информации, характеристик ее доставки получателю. Кроме того, с помощью имеющихся индикаторов можно оценить стиль и удобство интерфейсов, а также ряд общепринятых характеристик ИТ-безопасности, такие какцелостность, конфиденциальность, достоверность и доступность.
Управление ИТ с помощью COBIT осуществляется по ступенчатой схеме – от общего к частному. Сначала разрабатываются стратегии. Например, выстраивание ИТ процессов всоответствии с бизнес-целями компании. Затем последовательно определяются политики, в соответствии с которыми будет осуществляться реализация ИТ-стратегий, стандарты-метрики для политик и, наконец, процедуры – то, как именно будут применяться политики и стандарты.
COBIT можно использовать в двух областях: для аудита имеющихся ИТ, а также для разработки новой ИТ-структуры предприятия. Результатом аудита обычно является ответ навопрос: насколько соответствует имеющаяся ИТ-система лучшим практикам? Результатом проектирования системы с нуля в идеале должно стать создание ИТ-структуры, практически идеальной по своим характеристикам. COBIT не зависит от технологий, производителей и платформ реализации.
Концепция COBIT уже успешно внедрена в некоторых действительно больших организациях. Например, сюда относятся :
- Министерство обороны США
- Почтовая служба США
- Департамент по делам ветеранов США (VA)
- Правительство штата Альберта, Канада
- Агентство банковского регулирования и надзора, Турция (BRSA)
- Агентство по страхованию и рынкам капитала, Израиль
- Управление генеральной инспекции Евросоюза (OIG)
- Управление государственного аудита, Литовская Республика
- Правительство штата Керала, Индия
- Управление финансов, Колумбия
- Главное управление финансов (SUGEF), Коста-Рика
- Правительство Бахрейна
- Федеральное правительство Нигерии
- Правительство Южно-Африканской Республики
Впервые COBIT был введен организацией под названием «Ассоциация аудита и контроля над информационными системами» (ISACA – Information Systems Audit and Control Association) в 1996 году. Текущая версия COBIT – пятая. Она была принята в 2012 году (см. рис. 1).
Концепция COBIT буквально на наших глазах эволюционировала из относительно несложного руководства по аудиту ИT-ресурсов в сложную и всеобъемлющую бизнес – модельдля руководства и управления информационными технологиями на крупном предприятии.
Текущая версия COBIT – пятая. В ней декларируется пять основных принципов (см. рис. 2).
Для человека, незнакомого с принципами ИT-менеджмента, эта декларация принципов выглядит довольно абстрактно и непонятно. Однако эти принципы есть ключевой момент приответе на вопрос: «Для чего нужен COBIT?»
Принцип первый: «Соответствие потребностям заинтересованных сторон»
Заинтересованная сторона в английском языке называется stakeholder (стэйкхолдер). Точного перевода на русский язык у этого слова, к сожалению, нет. Кто такой этот стэйкхолдер? Это владелец или акционер компании, это все сотрудники компании, владеющие акциями предприятия, миноритарные акционеры и многие-многие другие, совершенно незнакомые друг с другом люди, которых объединяет только одно – все они заинтересованы в том, чтобы предприятие приносило прибыль.
В первом принципе COBIT 5 декларируется довольно-таки банальная, на первый взгляд, мысль: любое предприятие существует исключительно для того, чтобы создавать интересдля стэйкхолдеров. Философская основа данного взгляда заключается в том, что интересы у разных стэйкхолдеров на одном и том же предприятии могут быть совершенно разные. Например, для улучшения эффективности работы фирмы можно поглотить компанию-конкурента, а можно сократить затраты с помощью увольнения «лишнего» персонала. Соответственно, подходы к тому, как же именно управлять предприятием, в зависимости от выбранной стратегии могут быть совершенно противоположные, несмотря на общую цель. Как это касается сферы ИТ? Очень даже напрямую касается! Если говорить о M&A (слияние и поглощение компаний), то ничего страшнее для ИТ-департамента не придумать даже в кошмарном сне! Образно говоря, это сродни тому, чтобы заставить китайца, не желающего учить английский язык, работать вместе с англичанином, не знающим китайского,над проектом, в предметной области которого они оба одинаково некомпетентны.
Система руководства предприятием в этом свете должна учитывать интересы всех заинтересованных сторон (см. рис. 3). Это означает, что компания должна генерировать прибыль и при этом должны адекватно учитываться возможные риски и используемые ресурсы. То есть руководство компании всегда должно иметь ответы на вопросы:
- Кто получит прибыль?
- Кто принимает на себя риск?
- Какие ресурсы необходимы для данного действия?
В итоге интересы стэйкхолдеров необходимо как-то сконвертировать в практическую реализацию стратегии предприятия. COBIT 5 как раз и предлагает каскадировать высокоуровневые цели предприятия в конкретные действия на уровне ИТ.
Принцип второй: «Комплексный взгляд на предприятие»
Основная мысль этого принципа заключается в том, что информация и информационные технологии, используемые на предприятии, не самодостаточны, а являются частью экономического процесса по созданию ценности (см. рис. 4). Вследствие чего управлять информацией и ИТ следует так же, как и любыми другими активами предприятия. Кроме создания ценности или интереса для стэйкхолдеров, руководство включает в себя некоторые дополнительные элементы, такие как факторы влияния, области применения илиобласти охвата, а также роли, виды деятельности и отношения.
Факторы влияния в руководстве – можно сказать, что это инструменты, с помощью которых осуществляется руководство. В качестве таких инструментов могут выступать, например, практические приемы, наработанные за счет чьего-то личного опыта в данной предметной области. Также к факторам влияния относят всевозможные методологии, процессы и любые другие ресурсы предприятия, с помощью которых достигаются цели предприятия. Если обратиться непосредственно к информационным технологиям, тофакторами влияния являются персонал, информация и ИТ-инфраструктура.
Область руководства – это совсем просто! Руководить можно предприятием в целом, а можно отдельным филиалом, подразделением и отделом. Соответственно, на каждом уровне уруководителя будет свой взгляд на то, как все должно быть организовано.
Роли, виды деятельности и отношения – это кто, как и чем руководит и управляет. В COBIT предложено формализовать эту деятельность с помощью введения понятия «доменов». На рис. 5 можно увидеть что-то вроде «дорожной карты», кто и чем занимается.
Принцип третий: «Применение единой интегрированной методологии»
Вообще говоря, для управления предприятием создано множество всевозможных «фреймворков», рекомендаций, сводов знаний, стандартов и наилучших практик. Одно лишь их перечисление займет достаточное количество времени. Вот лишь некоторые из них:
- общее руководство предприятием: COSO – Методология корпоративного руководства, COSO ERM – Риск-менеджмент в рамках COSO, ISO/IEC 9000 – Менеджмент качества, ISO/IEC 31000 – Риск-менеджмент;
- относящиеся к ИТ: ISO/IEC 38500 – корпоративное управление информационными технологиями, ITIL, ISO/IEC 27000 – стандарт управления, включающий информационную безопасность, TOGAF, PMBOK/PRINCE2, CMMI.
Методология COBIT 5 в большей или меньшей степени интегрирует все лучшее, что можно взять от каждого из этих подходов. Поскольку COBIT не противоречит ни одной извышеназванных методик управления, есть возможность совместить область действия любого из вышеназванных подходов с COBIT.
Принцип четвертый: «Обеспечение целостности подхода»
Этот принцип посвящен более детальному освещению «факторов влияния», упоминавшихся в описании второго принципа «комплексный взгляд на предприятие». В отличие отвторого принципа четвертый говорит о том, каким должен быть образ мышления руководителя для достижения наилучшего результата (см. рис. 6).
В тексте официального издания COBIT 5 об этом говорится так:
«Любое предприятие всегда должно принимать во внимание взаимосвязанный набор факторов влияния. Это означает, что каждый фактор влияния:
- Должен получать входные данные и ресурсы от прочих факторов влияния с тем, чтобы быть достаточно эффективным. Например, процессам нужна информация, организационным структурам нужны навыки и поведение.
- Предоставляет информацию и результаты другим факторам влияния. Например, процессы создают данные, а навыки и поведение делают процессы рациональными.
Поэтому для принятия правильных решений при руководстве и управлении ИТ на предприятии следует учитывать системный характер мер по руководству и управлению. Это означает, что для удовлетворения потребностей заинтересованных сторон следует анализировать, принимать во внимание и реализовывать все взаимосвязанные факторы влияния».
Принцип пятый: «Разделение руководства и управления»
Прежде всего хочется остановиться на тонкостях английского языка, на котором составлены оригиналы всех документов COBIT. Разница смыслов у терминов, используемых вконцепции COBIT, «Governance» – «Руководство» и «Management» – «Управление» – это один из ключевых моментов понимания всей концепции в целом. В русском тексте COBIT 5 приводится следующая информация:
«Везде в тексте слова «руководство» и «управление» использованы в соответствии со следующими определениями:
Руководство обеспечивает уверенность в достижении целей предприятия путем:
- сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов;
- установления направления развития через приоритизацию и принятие решений;
- постоянного мониторинга соответствия фактической продуктивности и степени выполнения требований установленным направлению и целям предприятия.
Управление заключается в планировании, построении, выполнении и отслеживании деятельности в соответствии с направлением, заданным органом руководства, для достижения целей предприятия» (см. рис. 7).
Модель управления предприятия в рамках COBIT 5 состоит из двух доменов, «Руководство» и «Управление». Более детально эти домены и содержащиеся в них процессы представлены на рис. 8.
Таким образом, можно видеть, что в случае внедрения на предприятии модели управления в соответствии с рекомендациями COBIT оптимизация большинства рабочих процессов произойдет автоматически в соответствии с наилучшими практиками. Каждый из поддоменов имеет достаточно детализированный механизм внедрения и мониторинга, чтопозволяет избежать появления в компании непонятно чем занимающихся структур и подразделений.
Конечно, помимо COBIT, существуют и другие модели управления предприятием и информационными технологиями внутри компании. Например, ITIL достаточно хорошо справляется с решением ИТ-задач уже многие годы. Однако, по признанию некоторых экспертов, уровень абстракции модели COBIT все-таки выше . С практической точки зрения это означает, что с помощью COBIT можно решать не только и не столько вопросы информационных технологий, сколько удовлетворять потребности бизнеса посредством ИТ. бит
- COBIT Fact Sheet – http://www.isaca.org/About-ISACA/Press-room/Documents/2015-COBIT-Fact-Sheet_pre_eng_1015.pdf .
- Aligning CobiT® 4.1, ITIL® V3 and ISO/IEC 27002 for Business Benefit, 2008.
COBIT – это инструмент для преодоления пропасти непонимания между CEO/советом директоров/советом акционеров и CIO
Вконтакте
Вопросами аудита информационной безопасности в настоящее время занимаются различные аудиторные компании, фирмы организации, многие из которых входят в состав государственных и негосударственных ассоциаций. Наиболее известной международной организацией занимающейся аудитом информационных систем является ISACA, по инициативе которой была разработана концепция по управлению информационными технологиями в соответствии с требованиями ИБ.
На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and Related Technology - Контрольные объекты информационной технологии), который состоит из четырех частей
Часть 1 – краткое описание концепции (Executive Summary);
Часть 2 – определения и основные понятия (Framework). Помимо требований и основных понятий, в этой части сформулированы требования к ним;
Часть 3 – спецификации управляющих процессов и возможный инструментарий (Control Objectives);
Часть 4 – рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).
Третья часть этого документа в некотором смысле аналогична международному стандарту BS 7799. Примерно так же подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT - пакет открытых документов, первое издание которого было опубликовано в 1996 году. COBIT описывает универсальную модель управления информационной технологией, представленную на рис. 3.2 .
Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологий (IT), являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом.
Во первых , требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю – показатели, в обобщенном виде входящие в показатели доступности и частично – конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии. Во-вторых , доверие к технологии -группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В-третьих , показатели информационной безопасности – конфиденциальность, целостность и доступность обрабатываемой в системе информации.
Рис. 3.2. Структура стандарта COBIT
В стандарте COBIT выделены следующие этапы проведения аудита .
Подписание договорной и исходно-разрешительной документации . На этом этапе определяются ответственные лица со стороны заказчика и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с точки зрения проводимых аудитом компонентов системы.
Сбор информации с применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных изменяется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Основное требование, предъявляемое к информации, – это ее полезность, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной).
Анализ исходных данных проводится только с учетом достоверных исходных данных. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COBIT рекомендует применять описанные в стандарте методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.
Выработка рекомендаций . Полученные в результате проведенного анализа рекомендации после предварительного согласования с заказчиком обязательно должны быть проверены на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT рекомендует оформлять рекомендации отчетом о текущем состоянии информационных систем, техническом задании на внесение изменений, отчетом о проведенном аудите. Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологи ческие. Каждая из названных групп направлена на улучшение организационного, технического или методологического обеспечения информационной системы. К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании, снижению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес-задачам, снижение стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем и некоторые другие. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты позволяют предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.
Подписание отчетных актов приемки работы с планом-графиком проведения последующих проверок, разработкой такой дополнительной документации, как долгосрочные и краткосрочные планы развития ИС, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому создание плана-графика проведения последующих проверок является одним из условий проведения профессионального аудита.
Любая работающая информационная технология в модели COBIT проходит следующие стадии жизненного цикла :
Планирование и организация работы . На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем решаются вопросы реализации: построение архитектуры системы, решение технологических и организационных задач, обеспечение финансирования и т.д. Всего на этой стадии выделяется 11 основных задач .
Приобретение и ввод в действие . Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется 6 основных задач, решаемых на данной стадии.
Поставка и поддержка. Выделяется 13 основных задач данной стадии, предназначенных обеспечить эксплуатацию информационной технологии .
Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется 4 основные задачи, решаемые на данной стадии.
Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки информации (рис. 3.2).
Кроме традиционных свойств информации – конфиденциальности, целостности и доступности, – в модели дополнительно используются еще 4 свойства – действенность , эффективность , соответствие формальным требованиям и достовер ность . Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их использование объясняется соображениями удобства интерпретации результатов.
Применение стандарта COBIT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач. Если в первом случае – это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом – изначально верный проект и, как следствие, по окончании проектирования – ИС, стремящаяся к идеалу.
На базовой блок-схеме COBIT (рис. 3.2.) отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки COBIT на всех этапах построения и проведения аудита.
Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь, состоят из трехсот двух объектов контроля (в данной работе не рассматриваются). Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.
Отличительные черты COBIT:
Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС).
Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).
Адаптируемый, наращиваемый стандарт.
Основными преимуществами COBIT перед другими аналогичными стандартами является то, что он позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные, не изменяя общие подходы и собственную структуру.
Представленная на рис 3.3 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС с использованием стандарта COBIT. Рассмотрим их подробнее.
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:
Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.
В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается исогласовывается необходимая документация.
Далее проводится сбор информации о текущем состоянии ИС с применением стандарта COBIT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.
Проведение анализа – наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте COBIT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.
На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.
Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.
К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (см. табл. 3.3).
Таблица 3.3. Сравнение некоторых стандартов аудита ИТ
Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 35 тыс. членов из более чем 100 стран, в том числе и России. Ассоциация IS АС А координирует деятельность более чем 38 тыс. сертифицированных аудиторов информационных систем (CISA - Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции. Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.
По заявлениям руководящих органов ISACA, основная цель ассоциации -исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по разработке политик безопасности компании.
Концепция изложена в документе под названием CobiT 3rd Edition (Control Objectives for Information and Related Technology), который состоит из шести частей:
Часть 1: Резюме для руководителей (Executive Summary);
Часть 2: Определения и основные понятия (Framework). Помимо определений и основных понятий в этой части сформулированы требования к ним;
Часть 3: Цели контроля (Control Objectives);
Часть 4: Принципы аудита (Audit Guidelines);
Часть 5: Набор средств внедрения (Implementation Tool Set);
Часть 6: Принципы управления (Management Guidelines).
Третья часть этого документа в некотором смысле аналогична международному стандарту ISO 17799:2005 (BS 7799-1:2002). Примерно так же подробно приведены практические рекомендации по разработке политик безопасности и управлению информационной безопасностью в целом, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт CobiT (Control Objectives for Information and Related Technology) - пакет открытых документов, первое издание которого было опубликовано в 1996 году. Кратко основная идея стандарта CobiT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов (рис. 3.10) для обеспечения компании необходимой и надежной информацией.
Рас. 3.10. Процессы управления ресурсами информационной системы
В модели CobiT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса, сгруппированным определенным образом (рис. 3.11).
Рис. 3.11. Объекты контроля и управления информационными технологиями
Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например стиль, удобство интерфейсов. Характеристики доставки информации получателю - показатели, в обобщенном виде входящие в показатели доступности и частично - в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.
Во-вторых, доверие к технологии - группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность.
В-третьих, показатели информационной безопасности - конфиденциальность, целостность и доступность обрабатываемой в системе информации.
