В. Андрианов - Обеспечение информационной безопасности бизнеса
Во введении стандарта COBIT отмечается, что его структура максимально адаптирована к поддержке структуре контроля для корпоративного управления организации и управления риском, изложенный в рекомендациях Комиссии COSO «Внутренний контроль — Интегрированная структура» и аналогичным руководствам.
Фундаментальным различием COBIT и ITIL является их происхождение, а следовательно, и специфика использования.
Заказчиком и спонсором спецификации ITIL являлись организации, использующие в своей деятельности информационные технологии. С позиций классики модели деятельности организации ИТ реализуют сервисную (вспомогательную) функцию к процессам формирования добавочной стоимости продукции и процессам корпоративного управления. Исключением может быть ситуация, когда основной целью деятельности организации является предоставление ИТ-услуг. Такие компании также присутствуют на рынке, но, как правило, для целей обслуживания крупного «материального бизнеса» (нефтяного или машиностроительного холдинга и т. п.). В таком видении вклада ИТ в обеспечение деятельности организации наиболее уместной представляется сервисная модель организации и реализации процессов менеджмента ИТ в организации со всеми вытекающими сущностями сервисной модели (планирование сервисов, требования к сервисам и т. п.). Именно такая модель положена в основу спецификации ITIL.
Положения стандарта COBIT не отвергают сервисной модели, даже рекомендуют ее к использованию совместно с COBIT. Однако общий взгляд на ИТ в стандарте COBIT несколько иной. Он как бы акцентируется на вопросах интеграции ИТ в общекорпоративный менеджмент, всецелом удовлетворении бизнес-требований и широком охвате контролем достижения целей. В положениях стандарта COBIT отмечается, что структура мер контроля COBIT способствует удовлетворению потребности системы внутреннего контроля организации посредством следующего:
— обеспечения связи с бизнес-требованиями;
— систематизации ИТ-деятельности в виде общепризнанной процессной модели;
— идентификации основных ИТ-ресурсов, которые должны использоваться;
— определения целей контроля управления, которые должны рассматриваться.
Для организации в целом, использование рекомендаций COBIT обеспечивает основу для:
— создания измеримой связи между бизнес-требованиями и ИТ-целями;
— предоставления инструментальных средств для руководства;
— установления целей и метрик, позволяющих оценивать функционирование ИТ;
— использования моделей зрелости, позволяющих проводить сравнительный анализ возможностей процессов;
— применения ролевых нотаций «Ответственность, подотчетность, консультирование и информирование» для прояснения ролей и обязанностей персонала организации.
В качестве преимуществ реализации COBIT как структуры корпоративного управления ИТ в стандарте отмечается:
— лучшая синхронизация бизнеса и ИТ на основе сосредоточения на бизнесе;
— общее понимание среди всех причастных сторон, основанное на общем языке;
— понимание бизнес-руководством того, что поддерживается и реализуется средствами ИТ;
— четкие обязанности и принципы владения на основе процессной ориент ации;
— широкое признание третьими сторонами и регулятивными органами;
— удовлетворение требований COSO для среды контроля ИТ.
Общую спецификацию процессов COBIT иллюстрирует рис. 47.
Комплекс документов стандарта COBIT включает руководства для многих заинтересованных сторон. Документы COBIT систематизированы по следующим трем уровням (см. рис. 48), предназначенным для поддержки:
— исполнительного высшего руководства организации и правления;
— бизнес-руководителей и ИТ-руководства;
— специалистов в сфере корпоративного управления, доверия, контроля и безопасности.
Существуют также производные продукты (руководства) для определенных целей, например, документы, которые рассматривают:
— цели контроля ИТ (на основе COBIT) для Закона Сарбейнса — Оксли;
— базовый уровень безопасности и менеджмент информационной безопасностью COBIT: руководство для совета директоров и исполнительного руководства;
— руководство к COBIT для малых и средних предприятий или больших предприятий, стремящихся достичь более широкой реализации корпоративного управления ИТ.
Все компоненты COBIT взаимосвязаны и предназначены для поддержки потребностей в корпоративном управлении, управлении, контроле и доверии различных заинтересованных сторон (см. рис. 49).
COBIT — это структура и совокупность поддерживающих механизмов и технологий, которые позволяют руководителям ликвидировать расхождения в отношении требований контроля, технических вопросов и бизнес-рисков и информировать об этом уровне контроля причастные стороны.
Практическая сторона использования любой рассмотренной стандартизированной спецификации ИТ, как COBIT, так и ITIL и иных подобных, в конечном случае сопряжена с оценками и измерениями в операционной среде организации. Только информация контроля может показать, насколько планы предприятия реализованы. Только данные по измерениям могут показать «на сколько» планы реализованы или перевыполнены. Тот же COBIT иллюстрирует данный тезис, как показано на рис. 50.
В конечном итоге информация контроля и данные измерений и оценки имеют ценность в организации ровно настолько, насколько ее способна «переварить» система корпоративного контроля и управления.
Измеренное (оцененное) значение «0,8», «40», «70 %» без контекста, сопровождающего данное значение оценки, абсолютно бесполезно для системы принятия решений организации (надо что-то делать или, может, подождать). Более того, оно вредно, так как сопровождается затратой ресурсов организации (операционной среды и системы управления), если только наличие какой-либо оценки не является основной целью такой оценки.
В вопросах совершенствования необходимы сведения об ожиданиях (целях и задачах), имевших место при планировании работ. Тогда контроль и измерения в таких условиях сопровождаются платформой и семантикой предполагаемой шкалы и методов контроля и измерения.
При следовании организацией рекомендациям модели Комитета COSO в системе корпоративного менеджмента функциональные и обеспечивающие подразделения, а также ее высшее руководство получают возможность использования в своей практике соответствующих их деятельности моделей непрерывного совершенствования. Наряду с этим и высшее руководство потенциально способно эффективно управлять и адекватно реагировать на события в своей операционной среде и среде бизнеса своей организации. В таких условиях возможно максимально эффективное использование практически любого стандартизированного решения, реализующего модели непрерывного совершенствования, как для сферы обеспечения информационной безопасности бизнеса, так и для информатизации и контроля информационных технологий. Более того, это позволяет выстраивать максимально эффективные и результативные «горизонтальные» связи, например, между подразделениями информатизации и безопасности в контексте общих принципов корпоративного менеджмента и контроля достижения целей деятельности организации.
