Международный стандарт CobiT как средство управления бизнесом. Часть 2

Международный стандарт CobiT как средство управления бизнесом

Часть 2

Сергей Леденко, эксперт по информационной безопасности (ИБ)

Игорь Чикалев, доктор технических наук, профессор, советник Комитета по безопасности Госдумы ФС РФ

ГЛАВНОЕ отличие CobiT - это синтез наиболее распространенных международных стандартов в области управления ИТ, аудита, контроля и И Б. Соответствие ИТ-стандарту СobiT содействует на современном предприятии более успешному выполнению бизнес-задач и позволяет руководству правильно определять направления дальнейшего развития информационной инфраструктуры предприятия для более успешного их выполнения при обеспечении соответствующего уровня ИБ.

Согласно опросу ITGI, более одной трети пользователей CobiT в качестве причины использования данного стандарта на своих предприятиях указали на необходимость обеспечения законодательных и административных требований (см. рис.). Кроме того, CobiT отлично сочетается с международными стандартами управления ИТ (ISO/IEC 17799:2005, ITIL, Prin-ce2, PMBOK, SEI's CMM).

Основная цель применения CobiT заключается в организации такой структуры управления ИТ, которая обеспечила бы выполнение бизнес-задач, максимально эффективно используя информационные ресурсы и процессы.

СobiT ориентирован по своей сущности на установление связи бизнес-целей организации с целями ИТ, предоставление оценочных показателей и моделей зрелости для измерения степени достижения бизнес-целей, а также на определение соответствующей ответственности руководства организации и ИТ-департаментов.
Описанные в стандарте CobiT процессы охватывают широкий диапазон деятельности ИТ-департамента, поэтому применение его требует достаточного опыта и квалификации.

Преимущества

В целом стандарт CobiT имеет ряд безусловных преимуществ, которые заключаются, в частности, в следующем:

• предоставление возможности установления эффективного контроля над инвестициями в ИТ;
• возможность управления ИТ-ресурсами таким образом, чтобы не допускать возникновения сбоев, минимизировать риски и предотвращать их возникновение;
• CobiT не зависит от конкретных технологий и программно-аппаратных средств (стандарт обеспечивает эффективную работу ИТ-инфраструктуры на уровне процессов, оставляя руководителю ИТ-департамента выбор конкретных решений);
• стандарт универсален и может использоваться для любых информационных систем;
• в стандарте содержится опыт, накопленный ведущими мировыми специалистами в области построения эффективных ИС и управления ими.

Для того чтобы обеспечить организацию руководства и управления информацией, необходимой для достижения цели бизнеса, ИТ-ресурсы должны управляться посредством ряда естественно сгруппированных процессов.

Фокусирование на бизнес

По мнению разработчиков СobiT, основная цель данного стандарта заключается в ориентации менеджмента компаний на то, что не только обслуживающие ИТ-структуры, пользователи и ревизоры ИТ должны выполнять требования данного стандарта, но, что особенно важно, он является всеобъемлющим руководством для менеджмента и ответственных за бизнес-процессы.

Сегодня высшее руководство компаний не может рассматривать применение ИТ лишь в качестве средства, облегчающего труд работников компании. Поэтому применение CobiT 4, особенно в крупных и средних компаниях, является эффективным средством достижения поставленных бизнес-целей, обеспечивающих определение системы сбалансированных показателей.

Высокая степень сопряженности CobiT с другими стандартами и требованиями законодательного характера усиливает его значение и совмещение с лучшими практиками ИТ. В дополнение к приложению, содержащему таблицу совмещения процессов ИТ с фокусными областями ИТ-управления высокого уровня, выпущено издание отдельного документа под названием "Сопряжение CobiT, ITIL и ISO 17799 для бизнес-выгоды" (Aligning COBIT, ITIL and ISO 17799 for Business Benefit), представляющего собой методологию CobiT по обеспечению соответствия этим общепризнанным стандартам и их применению в целях обеспечения безопасности информации.

Повышение имиджа российских предприятий

CobiT, таким образом, представляет собой всеобъемлющий инструмент, который позволяет руководству правильно определить направления развития ИТ на предприятии, обеспечить их соответствие требованиям контролирующих органов, согласовать технические решения и бизнес-риски, а также обеспечить предоставление соответствующих отчетов об уровне контроля заинтересованным сторонам. Стандарт способствует разработке четкой политики, учету в организации ИТ лучших мировых практик контроля. В целом CobiT соответствует в настоящее время мировым требованиям и лучшим практикам стандартизации управления ИТ, позволяет перейти на более высокий уровень в управлении бизнес-процессами, помогая понять их взаимозависимость с ИТ, а также управлять рисками и выгодами, связанными с информационными и смежными технологиями. Представляется разумным и оправданным использовать методологии CobiT при разработке российских стандартов управления ИТ в целях достижения соответствия как национальным, так и международным требованиям, что будет содействовать повышению имиджа российских предприятий как соответствующих современным требованиям на мировом рынке.

Литература

1. СOBIT 4.0. ITGI. 2005.
2. IT Control Objectives for Sarbanes-Oxley, 2nd Edition. ITGI. September 2006.
3. COBIT Mapping. Overview of International IT Guidance, 2nd Edition. IT. Governance Institute. 2006.
4. Aligning COBIT, ITIL and ISO 17799 for Business Benefit, ITGI. 2005.
5. IT Governance Global Status Report - 2006. ITGI.
6. Защита персональных данных по закону. InfoWatch и SecurityLab, 2007.
7. Колеманс Х. Применение CobiT для эффективного управления информационными технологиями. "Информзащита". 2006.
8. Гузик С. Стандарт CobiT. http://citforum.ru/consulting/standart_cobit/article1.1.200331 .html
9. Леденко С., Чикалев И. Информационная безопасность компании как результат интерпретации акта Сарбаниса-Оксли. "Банковское дело в Москве", № 1, 2006.
10. Материалы www.isaca.org