Стандарт CobiT

Стандарт CobiT. Описание четырех доменов. Модель зрелости. Сервисный подход в организации ИТ-службы.

 

Стандарт CobiT. История CobiT. ИТ-процессы CobiT. Модели зрелости ИТ процессов CobiT. Источники совершенствования: ITIL и CobiT. Сервисный подход в организации ИТ-службы. Организация ИТ-поддержки. Преимущества сервисного подхода для ИТ-поддержки. Преимущества сервисного подхода для бизнеса.

 

Интернациональным компаниям приходится вести свою деятельность, следуя положениям нормативных актов соответствующих стран. Бизнес сталкивается со все более ужесточающимися требованиями со стороны надзорных органов и общественности, которые предписывают компаниям должным образом использовать и защищать как корпоративную, так и персональную информацию. Эти нормативные документы касаются всех сфер, от безопасности до финансовой отчетности.

Как правило, подход к управлению рисками ИТ-безопасности распределен по подразделениям компании. Вследствие этого часто функциональные обязанности и технические средства, необходимые для их выполнения, дублируются. Системы управления же частично перекрываются и противоречат друг другу. В результате администраторы не знают, насколько успешно они управляют сетевыми рисками.

Современный бизнес работает в бурном ритме, многие компании и организации не имеют временного ресурса для выработки собственных требований и стандартов. Поэтому активно используется чужой опыт и лучшие мировые практики, к которым относятся и стандарты. Стандарты управления и ИТ-безопасности были созданы на основе анализа методов, опробованных как большими группами профессионалов, так и множеством различных компаний и организаций. Как правило, стандарты подаются как рекомендации.

Кроме признанных международных стандартов управления и ИТ-безопасности, существует много национальных. Например, Control Objectives for Information and Related Technology (CobiT) наиболее часто используется для управления информационными системами в США и ряде других стран, а в Великобритании, Нидерландах и Австралии чаще используется IT Infrastructure Library (ITIL), о которой уже говорили в предыдущей лекции.

Успешное предоставление ИТ-услуг в соответствии с требованиями основного бизнеса предполагает наличие системы и методологии внутреннего контроля. Разработанная IT Governance Institute методология CobiT отвечает таким потребностям. Этот подход изначально ориентирован на бизнес и помогает организовать и контролировать управление ИТ в бизнес-контексте. Методология CobiT описывает управление ИТ как систему из 34 процессов, сгруппированных в четыре домена.

CobiT — это сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»).

 

 

 

Рисунок 1 – Модель CobiT

 

CobiT представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления ИТ, аудита и ИТ-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — все то, что так или иначе имело отношение к целям управления.

Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и ИТ-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.

Нередко руководство компании в силу объективных причин не понимает ИТ-специалистов. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.

CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:

· топ-менеджерами;

· руководителями среднего звена (ИТ-директором, начальниками отделов);

· непосредственными исполнителями (инженерами, программистами и т. д.);

· аудиторами.

 

Таблица 1 - Целевая аудитория CobiT

Пользователи Использование CobiT
Высшее руководство Для контроля отдачи от инвестиций в ИТ ИТ, уравновешивания рисков и управления инвестициями в непредсказуемой сфере ИТ
Бизнес-менеджмент организации Для уверенности в надлежащем управлении и контроле над ИТ сервисами
ИТ-менеджмент Для оказания ИТ услуг, требуемых бизнесом и реализации корпоративной стратегии в контролируемых и управляемых условиях
Аудиторы Для обоснования собственных заключений и/или консультирования менеджмента по вопросам внутреннего контроля

 

В CobiT детально описаны цели и принципы управления, объекты управления, четко определены все ИТ-процессы (задачи), протекающие в компании, и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ-процессов также приведены практические рекомендации по управлению ИТ-безопасностью.

Кроме того, CobiT вводит целый ряд показателей (метрик) для оценки эффективности реализации системы управления ИТ, которые часто используются аудиторами ИТ-систем. В их число входят показатели качества и стоимости обработки информации, характеристики ее доставки получателю, показатели, относящиеся к субъективным аспектам обработки информации (например стиль, удобство интерфейсов). Оцениваются показатели, описывающие соответствие компьютерной ИТ-системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность, общепринятые показатели информационной безопасности — конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Также в CobiT описывается модель оценки возможностей каждого процесса, позволяющая определить его уровень зрелости, обосновать необходимость и возможность улучшения процессов, основываясь на целях бизнеса и целях ИТ. Таким образом, модель зрелости, предлагаемая CobiT, может использоваться для оценки и планирования системы управления ИТ. Если обобщить, то управление ИТ по CobiT можно представить в следующем ступенчатом виде (по порядку реализации):

· Стратегии (выстраивание ИТ-процесса по бизнес-целям, постановка задачи, цели и создание концепции ИТ-процесса; ответственные: руководство бизнес-подразделений).

· Политики (методы достижения целей в рамках стратегий, например: «длина пароля регламентируется»; ответственные: руководство ИТ-подразделений).

· Стандарты (метрики для политик-методов, например: «длина пароля должна составлять не менее 8 символов»; ответственные: руководство ИТ-подразделений).

· Процедуры (регламенты работ для применения политик-методов с использованием стандартов-метрик, рабочие инструкции для исполнителей; ответственные: руководство ИТ-подразделений).

Стандарт отвечает всем потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность использования его как для проведения аудита ИТ-системы компании, так и для проектирования ИТ-системы. В первом случае CobiT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором — спроектировать систему, почти идеальную по своим характеристикам.

CobiT делает акцент на том, что необходимо для обеспечения адекватного уровня контроля в области управления ИТ. CobiT соотносится с другими стандартами в сфере ИТ, а также сводами знаний и практик. Методология CobiT часто рассматривается как средство интеграции различных материалов для достижения наиболее понятной и системной картины управления ИТ.

CobiT является инструментарием, который позволяет руководителям предприятий устранить недостатки системы управления с учётом требований контроля и бизнес-рисков, а также продемонстрировать уровень контроля заинтересованным сторонам. CobiT даёт возможность разрабатывать чёткие политики и применять лучшие практики по контролю ИТ в различных организациях. Методология постоянно совершенствуется, текущая версия — CobiT 4.1. При этом охват CobiT расширяется: если ранние версии CobiT были ориентированы в первую очередь на аудит, затем основным акцентом CobiT стал контроль, то текущая версия CobiT 4.1 — это методология стратегического управления ИТ, или IT Governance. Соответственно, расширяется и аудитория CobiT.

Преимущества использования CobiT в качестве методологии руководства и управления ИТ:

· ориентация на потребности основного бизнеса

· понятное для бизнес-руководителей видение ИТ-деятельности

· ясное распределение ответственности, основанное на процессном подходе

· обеспечение соответствия законодательным и другим регулирующим требованиям

· совместимость с подходами и стандартами в сфере управления ИТ.