Книги

• Разное
• Экономика
• Право
• История
• Шпоры

реклама

1. Загальний опис стандарту СОВІТ

Абревіатура СОВІТ (Control Objectives for Information and Related Technologies) розшифровується як Контрольні Об'єкти для Інформаційних і суміжних Технологій. Методологія СОВІТ заснована на загальноприйнятих правилах і принципах управління інформацією й інформаційними технологіями, охоплює всі цикли операцій у даній сфері, починаючи від планування і закінчуючи підтримкою і контролем. СОВІТ — результат узагальнення світового досвіду, міжнародних і національних стандартів і керівництв з управління ІТ, аудиту й інформаційної безпеки. Вона увібрала передовий досвід кращих компаній з управління ІТ і відповідає багатьом міжнародним нормам і стандартам. СОВІТ по-суті є відкритим стандартом "де-факто", який нині переживає своє третє видання. Інтернаціональну команду розробників СОВІТ склали співробітники держустанов і комерційних підприємств, навчальних закладів і фірм, що спеціалізуються на питаннях безпеки й управління ІТ.

COBIT є інструментом, що дозволяє керівництву підприємства забезпечити перехід від постановки бізнес-задач до питань управління ІТ, допомагаючи встановити належний рівень розуміння ризиків і переваг, пов'язаних з використанням ІТ, а також реалізувати ефективну систему управління інформаційними технологіями.

Місія COBIT полягає в дослідженні та розробці міжнародного набору авторитетних (таких, що відповідають сучасним вимогам), загальновизнаних задач управління інформаційними технологіями, а також у рекламі та просуванні концепції управління ІТ для повсякденного використання бізнес-менеджерами і аудиторами.

Таким чином, COBIT є об’єднувальною ланкою між бізнес-ризиками, задачами управління і технічною інфраструктурою.

COBIT орієнтована перш за все на ІТ-менеджерів, керівників підприємств і власників бізнес-процесів, регламентує параметри ефективності системи внутрішнього контролю ІТ, що підтримують бізнес-процеси і визначає роль кожного механізму управління ІТ в інформаційній діяльності підприємства. Механізми управління включають стратегії, організаційні структури, процедури і регламенти. Задачею управління ІТ є формулювання бажаного результату або цілі, які повинні бути досягнуті шляхом реалізації механізмів управління в рамках конкретного ІТ-процесу.

Ця методологія розроблена Асоціацією аудиту і контролю інформаційних систем (Information Systems Audit and Control Association, ISACA) — міжнародною організацією зі штаб-квартирою в США, яка нині об'єднує більше 22 тис. членів з представництвами більше ніж у 100 країнах світу.

Спочатку, кілька слів про асоціацію ISACA, яка розвиває та просуває цей стандарт.

Асоціація Аудиту і Контролю Інформаційних Систем (ISACA) була заснована в 1969 році для фінансових аудиторів для контролю ІТ. ISACA є провідною світовою професійною організацією світу, яка охоплює всі рівні ІТ:

Організацію;

Управління;

Практичне застосування.

Асоціація є світовим лідером з розробки і розповсюдження стандартів з аудиту ІТ, її стратегічний альянс з іншими асоціаціями та консалтинговими компаніями у сферах фінансово-господарської діяльності, бухгалтерського обліку й аудиту ІТ забезпечує максимальну інтеграцію і відповідність вимогам власників бізнес-процесів.

На думку деяких фахівців [2, 4] COBIT властиві певні недоліки пов’язані з занадто високим рівнем абстрагування, що часто є гальмом у її впровадженні і не дозволяє вважати цей документ еталоном і узагальненням передового досвіду в області управління й аудиту ІТ. Не зважаючи на це, знайомство з даним стандартом є дуже корисним для ІТ-менеджерів і керівників організацій, а також для ІТ аудиторів.

Перша версія стандарту була випущена в 1996 році Фондом аудиту і контролю інформаційних систем (Information Systems Audit and Control Foundation, ISACF). Вона включала: "Концептуальне ядро" (СОВІТ Framework), яке визначало набір основоположних принципів і понять в області управління ІТ, опис "Об’єктів контролю" (Control Objectives) і "Керівництво з аудиту" (Audit Guideline).

Друга версія СОВІТ була опублікована в 1998 році. Вона містила перероблену версію високорівневих і детальних "Об’єктів контролю", доповнених "Набором інструментів упровадження" (Implementation Tool Set).

Третя редакція була випущена в 2000 р. вже Інститутом управління ІТ (IT Governance Institute), заснованим Асоціацією аудиту і контролю інформаційних систем (Information Systems Audit and Control Association, ISACA), спільно з ISACF з метою розвитку та популяризації принципів управління ІТ. Нині цей інститут і є основним розробником СОВІТ. У третій версії стандарту з'явилося "Керівництво з менеджменту" (Management Guidelines) в основі якого лежить поняття "Система управління ІТ" (IT Governance).[16]

Нині до його складу входять шість книг (див рис.1), орієнтованих на різні аудиторії:

1. "Резюме для керівника" (Executive Summary) є введенням в інші розділи стандарту. Воно містить загальні відомості про стандарт, визначає місію COBIT і поняття системи управління ІТ. "Резюме для керівника" призначене топ-менеджерам організації для прийняття ними рішення про застосовність стандарту в конкретній організації.

2. "Концептуальне ядро COBIT" (COBIT Framework) є набором основоположних принципів і понять, а також моделлю управління ІТ, на базі якої будуються всі положення стандарту. Книга містить розгорнутий опис структури стандарту, опис цілей контролю високого рівня і пояснення до них, необхідні для ефективної навігації та результативної роботи зі стандартом.

3. "Об'єкти контролю" (Control Objectives). В книгу включені детальні описи об'єктів контролю, які містять розшифровку кожного з об'єктів високого рівня.

4. "Керівництво з менеджменту" (Management Guideline). Книга відповідає на питання як управляти ІТ, як правильно поставити досяжну ціль, як її досягти і як проконтролювати повноту її досягнення. Призначена для керівників ІТ-служб. "Керівництво з менеджменту" дозволяє керівникам підприємства реалізувати більш ефективні стратегії управління ІТ, встановити контроль над використанням інформаційних ресурсів і відповідними процесами, здійснювати моніторинг, давати порівняльну оцінку досягненням бізнес-цілей і оцінювати продуктивність в рамках кожного ІТ-процесу.

5. "Керівництво з аудиту" (Audit Guideline). Містить правила проведення ІТ-аудиту, опис того, де можна отримати необхідну інформацію, як її перевірити, які питання задавати. Книга призначена для внутрішніх і зовнішніх аудиторів ІТ, а також консультантів у сфері ІТ.

6. "Набір інструментів упровадження стандарту" (Implementation Tool Set) — практичні поради з щоденного використання стандарту в управлінні та аудиті ІТ. Книга призначена для внутрішніх і зовнішніх аудиторів ІТ, консультантів у сфері ІТ. "Набір інструментів упровадження" дає роз'яснення ключових концепцій, містить покроковий опис і приклади успішного впровадження COBIT в організаціях по всьому світу.

Рисунок 1 – Склад книг СОВІТ

На думку фахівців, модель процесів, побудована на базі СОВІТ, є кращою за інші підходи, в основі яких не лежать бізнес-процеси організації (зокрема, за методики і стандарти аудиту виробників програмно-апаратних засобів), із кількох причин:

По-перше, за визначенням: процес — це дія, направлена на досягнення результату, за умови оптимального використання ресурсів, і яка може коригуватися при його виконанні. При виконанні процесу всі задіяні ресурси структуруються і вишиковуються так, щоб максимально ефективно виконувати цей процес.

По-друге, процеси у переважній більшості організацій, а особливо їх цілі, не так часто змінюються, порівняно з організаційними об'єктами (організаційна структура, співробітники, відділи, департаменти тощо).

По-третє, розгортання інформаційної системи або впровадження інформаційних технологій не може бути обмеженим специфікою одного відділу або департаменту, а зачіпає керівників, користувачів з інших підрозділів, а також ІТ-фахівців. Таким чином, прикладні системи є невід'ємною частиною структури СОВІТ і можуть бути стандартно оцінені, так само як і інші об'єкти контролю СОВІТ, в рамках єдиної структури та із застосуванням єдиних метрик.

Таким чином СОВІТ, завдяки єдиному підходу до збору, аналізу інформації, підготовки висновків на всіх етапах управління, контролю й аудиту ІТ, надає можливість порівнювати існуючі ІТ-процеси з "кращим" досвідом, у тому числі галузевим.

Розглянемо детальніше кожну зі складових стандарту COBIT.