В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
Сергей Леденко, эксперт по информационной безопасности
Игорь Чикалев, доктор технических наук, профессор, советник Комитета по безопасности Госдумы ФС РФ
Общемировые тенденции
Процессы экономической глобализации в мире, связанные с развитием информационных технологий (ИТ), содействуют появлению спроса на новые решения, которые обеспечивают предприятиям более эффективную работу с информацией. В связи с этим отчетливо можно выявить следующие общемировые тенденции.
С учетом данных тенденций в мировом сообществе отчетливо проявляется стремление к унификации требований к управлению ИТ и их безопасности. Наиболее ярким примером является разработка стандарта CobiT, который стал синтезом наиболее распространенных международных стандартов в области управления ИТ, аудита, контроля и информационной безопасности (ИБ).
Результаты исследований
Как свидетельствуют результаты глобального исследования "IT Governance Global Status Report - 2006", проведенного по заданию Института управления ИТ (IT Governance Institute (ITGI) аналитической группой The PricewaterhouseCoopers International Survey Unit среди 695 респондентов во всем мире, основной тенденцией, характеризующей состояние и направления развития в области управления и аудита ИТ, является рост понимания важности ИТ для общей стратегии предприятий. 57% респондентов подчеркнули, что ИТ "очень важны" для общей стратегии корпорации (рис. 1).
В связи со вступлением в силу Закона РФ "О персональных данных" от 27 июля 2006 г. № 152-ФЗ каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.п., должна обеспечить конфиденциальность. Нарушение положений влечет за собой ответственность руководства, вплоть до уголовной.
Согласно исследованию "In-fowatch and Securitylab, 2007", основным препятствием на пути реализации данного закона является расплывчатость и неконкретность его требований (рис. 2).
Однако очевидно, что эти требования должны быть разработаны и конкретизированы в специальных стандартах ИТ. В связи с этим представляется целесообразным учесть мировой опыт в этой области, тем более что ряд стандартов общепризнан в таких организациях, как ВТО и ЕС, с которыми Россия вступает во все более тесные отношения.
Результаты глобального исследования использования стандартов/концептуальных решений в управлении ИТ представлены на рис. 3. Они свидетельствуют о росте интереса к продуктам CobiT. Так, знание о существовании CobiT возросло среди респондентов в 2005 г. по сравнению с 2003 г. на 50%: из 623 респондентов 166 знают о его существовании. Из них 55% знают его содержание, а 30% реально используют CobiT в своих организациях или их отделах. В итоге известность бренда CobiT возросла по сравнению с 2003 г., а его использование в практической работе осталось на том же уровне.
Интересные выводы исследования касаются ответов респондентов на вопрос о сложности использования стандарта CobiT: 43% определили его сложным в использовании и 21% - легким. Этот результат почти полностью противоречит уровню 2003 г., когда 43% определяли его легким и лишь 25% - сложным в применении. Как считают исследователи, это произошло из-за появления новых продуктов и новых пользователей данного стандарта, которые находятся на средней стадии обучения CobiT и еще не осознали, что CobiT не является готовым продуктом для реализации ИТ по единому стандарту, а представляют собой набор лучших практик для определения набора требований к ИТ и мер по их адаптации в той или иной организации.
Структура CobiT
Наиболее широкой популярностью пользуются такие издания CobiT, как "Цели управления" и "Руководство по аудиту". Новые продукты CobiT пока не получили широкого признания: в 2003 г. они еще не были разработаны (рис. 4).
Отличие CobiT от других стандартов заключается в системном подходе к руководству и организации работы ИТ-департамента. CobiT описывает бизнес-ориентированный подход к созданию информационной среды.
CobiT разделяет задачи ИТ на процессы и цели управления.
Определенные в последней редакции CobiT 4.1 "Принципы управления" цели управления подразделены на 34 процесса, распределенные по четырем областям (доменам):
Публикации CobiT состоят из основного содержания (Core Content) и руководства по безопасности (Assurance Guide). Последнее находится в настоящее время в разработке и охватывает разделы "Реализация требований к управлению" (Control Practices) и "Руководство по аудиту" (Audit Guidelines) - проверку достижения требований к управлению.
Структуру CobiT 4 можно представить так, как показано на рис. 5.
В новой редакции CobiT 4.1 определены также цели контроля на уровне непосредственных исполнителей (уровень действий) и добавлены в новую секцию "Цели и метрики". CobiT 4 включает также приложение, которое способствует определению процессов, покрывающих основные цели бизнеса.
Основное содержание определено для каждого из 34 процессов:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2007