Стандарт CobiT
Стандарт CobiT. Описание четырех доменов. Модель зрелости. Сервисный подход в организации ИТ-службы.
Стандарт CobiT. История CobiT. ИТ-процессы CobiT. Модели зрелости ИТ процессов CobiT. Источники совершенствования: ITIL и CobiT. Сервисный подход в организации ИТ-службы. Организация ИТ-поддержки. Преимущества сервисного подхода для ИТ-поддержки. Преимущества сервисного подхода для бизнеса.
Интернациональным компаниям приходится вести свою деятельность, следуя положениям нормативных актов соответствующих стран. Бизнес сталкивается со все более ужесточающимися требованиями со стороны надзорных органов и общественности, которые предписывают компаниям должным образом использовать и защищать как корпоративную, так и персональную информацию. Эти нормативные документы касаются всех сфер, от безопасности до финансовой отчетности.
Как правило, подход к управлению рисками ИТ-безопасности распределен по подразделениям компании. Вследствие этого часто функциональные обязанности и технические средства, необходимые для их выполнения, дублируются. Системы управления же частично перекрываются и противоречат друг другу. В результате администраторы не знают, насколько успешно они управляют сетевыми рисками.
Современный бизнес работает в бурном ритме, многие компании и организации не имеют временного ресурса для выработки собственных требований и стандартов. Поэтому активно используется чужой опыт и лучшие мировые практики, к которым относятся и стандарты. Стандарты управления и ИТ-безопасности были созданы на основе анализа методов, опробованных как большими группами профессионалов, так и множеством различных компаний и организаций. Как правило, стандарты подаются как рекомендации.
Кроме признанных международных стандартов управления и ИТ-безопасности, существует много национальных. Например, Control Objectives for Information and Related Technology (CobiT) наиболее часто используется для управления информационными системами в США и ряде других стран, а в Великобритании, Нидерландах и Австралии чаще используется IT Infrastructure Library (ITIL), о которой уже говорили в предыдущей лекции.
Успешное предоставление ИТ-услуг в соответствии с требованиями основного бизнеса предполагает наличие системы и методологии внутреннего контроля. Разработанная IT Governance Institute методология CobiT отвечает таким потребностям. Этот подход изначально ориентирован на бизнес и помогает организовать и контролировать управление ИТ в бизнес-контексте. Методология CobiT описывает управление ИТ как систему из 34 процессов, сгруппированных в четыре домена.
CobiT — это сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»).
Рисунок 1 – Модель CobiT
CobiT представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления ИТ, аудита и ИТ-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — все то, что так или иначе имело отношение к целям управления.
Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.
Нередко руководство компании в силу объективных причин не понимает ИТ-специалистов. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.
CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:
· топ-менеджерами;
· руководителями среднего звена (ИТ-директором, начальниками отделов);
· непосредственными исполнителями (инженерами, программистами и т. д.);
· аудиторами.
Таблица 1 - Целевая аудитория CobiT
Пользователи | Использование CobiT |
Высшее руководство | Для контроля отдачи от инвестиций в ИТ ИТ, уравновешивания рисков и управления инвестициями в непредсказуемой сфере ИТ |
Бизнес-менеджмент организации | Для уверенности в надлежащем управлении и контроле над ИТ сервисами |
ИТ-менеджмент | Для оказания ИТ услуг, требуемых бизнесом и реализации корпоративной стратегии в контролируемых и управляемых условиях |
Аудиторы | Для обоснования собственных заключений и/или консультирования менеджмента по вопросам внутреннего контроля |
В CobiT детально описаны цели и принципы управления, объекты управления, четко определены все ИТ-процессы (задачи), протекающие в компании, и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ-процессов также приведены практические рекомендации по управлению ИТ-безопасностью.
Кроме того, CobiT вводит целый ряд показателей (метрик) для оценки эффективности реализации системы управления ИТ, которые часто используются аудиторами ИТ-систем. В их число входят показатели качества и стоимости обработки информации, характеристики ее доставки получателю, показатели, относящиеся к субъективным аспектам обработки информации (например стиль, удобство интерфейсов). Оцениваются показатели, описывающие соответствие компьютерной ИТ-системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность, общепринятые показатели информационной безопасности — конфиденциальность, целостность и доступность обрабатываемой в системе информации.
Также в CobiT описывается модель оценки возможностей каждого процесса, позволяющая определить его уровень зрелости, обосновать необходимость и возможность улучшения процессов, основываясь на целях бизнеса и целях ИТ. Таким образом, модель зрелости, предлагаемая CobiT, может использоваться для оценки и планирования системы управления ИТ. Если обобщить, то управление ИТ по CobiT можно представить в следующем ступенчатом виде (по порядку реализации):
· Стратегии (выстраивание ИТ-процесса по бизнес-целям, постановка задачи, цели и создание концепции ИТ-процесса; ответственные: руководство бизнес-подразделений).
· Политики (методы достижения целей в рамках стратегий, например: «длина пароля регламентируется»; ответственные: руководство ИТ-подразделений).
· Стандарты (метрики для политик-методов, например: «длина пароля должна составлять не менее 8 символов»; ответственные: руководство ИТ-подразделений).
· Процедуры (регламенты работ для применения политик-методов с использованием стандартов-метрик, рабочие инструкции для исполнителей; ответственные: руководство ИТ-подразделений).
Стандарт отвечает всем потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность использования его как для проведения аудита ИТ-системы компании, так и для проектирования ИТ-системы. В первом случае CobiT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором — спроектировать систему, почти идеальную по своим характеристикам.
CobiT делает акцент на том, что необходимо для обеспечения адекватного уровня контроля в области управления ИТ. CobiT соотносится с другими стандартами в сфере ИТ, а также сводами знаний и практик. Методология CobiT часто рассматривается как средство интеграции различных материалов для достижения наиболее понятной и системной картины управления ИТ.
CobiT является инструментарием, который позволяет руководителям предприятий устранить недостатки системы управления с учётом требований контроля и бизнес-рисков, а также продемонстрировать уровень контроля заинтересованным сторонам. CobiT даёт возможность разрабатывать чёткие политики и применять лучшие практики по контролю ИТ в различных организациях. Методология постоянно совершенствуется, текущая версия — CobiT 4.1. При этом охват CobiT расширяется: если ранние версии CobiT были ориентированы в первую очередь на аудит, затем основным акцентом CobiT стал контроль, то текущая версия CobiT 4.1 — это методология стратегического управления ИТ, или IT Governance. Соответственно, расширяется и аудитория CobiT.
Преимущества использования CobiT в качестве методологии руководства и управления ИТ:
· ориентация на потребности основного бизнеса
· понятное для бизнес-руководителей видение ИТ-деятельности
· ясное распределение ответственности, основанное на процессном подходе
· обеспечение соответствия законодательным и другим регулирующим требованиям
· совместимость с подходами и стандартами в сфере управления ИТ.