Международный стандарт CobiT как средство управления бизнесом

Сергей Леденко, эксперт по информационной безопасности

Игорь Чикалев, доктор технических наук, профессор, советник Комитета по безопасности Госдумы ФС РФ

Общемировые тенденции

Процессы экономической глобализации в мире, связанные с развитием информационных технологий (ИТ), содействуют появлению спроса на новые решения, которые обеспечивают предприятиям более эффективную работу с информацией. В связи с этим отчетливо можно выявить следующие общемировые тенденции.

1. Создание единой всемирной бизнес-среды. Большинство предприятий вышли на мировой уровень и все чаще работают с компаниями, разбросанными по всему миру. Поэтому сейчас широко привлекаются внешние ресурсы. Например, в США около 23,5 млн человек работают в основном на дому.
2. Прозрачность организаций. Развитие организаций, с одной стороны, способствует распространению информационных потоков, но с другой - увеличивает риск несанкционированного использования интеллектуальной собственности.
3. Постоянная доступность. Беспроводные сети и возможности мобильных устройств позволяют без труда получить информацию. Однако отбор нужной информации - это по-прежнему трудная задача.
4. Рост угроз безопасности. Организации по всему миру сталкиваются с новыми угрозами, а также проблемами, возникающими в связи с необходимостью защищать конфиденциальные данные и информационные системы.

С учетом данных тенденций в мировом сообществе отчетливо проявляется стремление к унификации требований к управлению ИТ и их безопасности. Наиболее ярким примером является разработка стандарта CobiT, который стал синтезом наиболее распространенных международных стандартов в области управления ИТ, аудита, контроля и информационной безопасности (ИБ).

Результаты исследований

Как свидетельствуют результаты глобального исследования "IT Governance Global Status Report - 2006", проведенного по заданию Института управления ИТ (IT Governance Institute (ITGI) аналитической группой The PricewaterhouseCoopers International Survey Unit среди 695 респондентов во всем мире, основной тенденцией, характеризующей состояние и направления развития в области управления и аудита ИТ, является рост понимания важности ИТ для общей стратегии предприятий. 57% респондентов подчеркнули, что ИТ "очень важны" для общей стратегии корпорации (рис. 1).

В связи со вступлением в силу Закона РФ "О персональных данных" от 27 июля 2006 г. № 152-ФЗ каждая организация, владеющая персональными данными своих сотрудников, клиентов, партнеров и т.п., должна обеспечить конфиденциальность. Нарушение положений влечет за собой ответственность руководства, вплоть до уголовной.

Согласно исследованию "In-fowatch and Securitylab, 2007", основным препятствием на пути реализации данного закона является расплывчатость и неконкретность его требований (рис. 2).

Однако очевидно, что эти требования должны быть разработаны и конкретизированы в специальных стандартах ИТ. В связи с этим представляется целесообразным учесть мировой опыт в этой области, тем более что ряд стандартов общепризнан в таких организациях, как ВТО и ЕС, с которыми Россия вступает во все более тесные отношения.

Результаты глобального исследования использования стандартов/концептуальных решений в управлении ИТ представлены на рис. 3. Они свидетельствуют о росте интереса к продуктам CobiT. Так, знание о существовании CobiT возросло среди респондентов в 2005 г. по сравнению с 2003 г. на 50%: из 623 респондентов 166 знают о его существовании. Из них 55% знают его содержание, а 30% реально используют CobiT в своих организациях или их отделах. В итоге известность бренда CobiT возросла по сравнению с 2003 г., а его использование в практической работе осталось на том же уровне.

Интересные выводы исследования касаются ответов респондентов на вопрос о сложности использования стандарта CobiT: 43% определили его сложным в использовании и 21% - легким. Этот результат почти полностью противоречит уровню 2003 г., когда 43% определяли его легким и лишь 25% - сложным в применении. Как считают исследователи, это произошло из-за появления новых продуктов и новых пользователей данного стандарта, которые находятся на средней стадии обучения CobiT и еще не осознали, что CobiT не является готовым продуктом для реализации ИТ по единому стандарту, а представляют собой набор лучших практик для определения набора требований к ИТ и мер по их адаптации в той или иной организации.

Структура CobiT

Наиболее широкой популярностью пользуются такие издания CobiT, как "Цели управления" и "Руководство по аудиту". Новые продукты CobiT пока не получили широкого признания: в 2003 г. они еще не были разработаны (рис. 4).

Отличие CobiT от других стандартов заключается в системном подходе к руководству и организации работы ИТ-департамента. CobiT описывает бизнес-ориентированный подход к созданию информационной среды.

CobiT разделяет задачи ИТ на процессы и цели управления.

Определенные в последней редакции CobiT 4.1 "Принципы управления" цели управления подразделены на 34 процесса, распределенные по четырем областям (доменам):

1. Планирование и организация.
2. Приобретение и внедрение.
3. Эксплуатация и сопровождение.
4. Мониторинг и оценка.

Публикации CobiT состоят из основного содержания (Core Content) и руководства по безопасности (Assurance Guide). Последнее находится в настоящее время в разработке и охватывает разделы "Реализация требований к управлению" (Control Practices) и "Руководство по аудиту" (Audit Guidelines) - проверку достижения требований к управлению.

Структуру CobiT 4 можно представить так, как показано на рис. 5.

В новой редакции CobiT 4.1 определены также цели контроля на уровне непосредственных исполнителей (уровень действий) и добавлены в новую секцию "Цели и метрики". CobiT 4 включает также приложение, которое способствует определению процессов, покрывающих основные цели бизнеса.

Основное содержание определено для каждого из 34 процессов:

• описание процесса;
• цель процесса; существенные мероприятия;
• существенные метрики; цели управления (всего 215);
• руководства по менеджменту;
• модель зрелости, описывающая тот или иной процесс по 6 степеням зрелости (от 0 до 5).