Обеспечение информационной безопасности бизнеса
Шрифт:
— обеспечение прозрачности ИТ-расходов, потенциала, стратегии, политики и качества услуг;
— обеспечение учета и эффективного использования всех ИТ-активов;
— увеличение эффективности инвестиций в ИТ и вклада информационных технологий в общую эффективность бизнеса;
— оптимизация ИТ-инфраструктуры и ресурсов;
— обеспечение достоверности выполняемых автоматизированных транзакций;
— обеспечение адекватного противодействия ИТ неблагоприятным внешним и внутренним факторам;
— обеспечение требуемой доступности ИТ-услуг;
— поддержка целостности информации и инфраструктуры;
— обеспечение
— обеспечение стабильного качества услуг, поддержка процесса непрерывного совершенствования.
Все перечисленные позиции органично развивают положения модели Комитета COSO, предлагая риск-ориентированный прагматичный подход к использованию организациями информационных технологий в контексте пользы и выгоды организации от их применения.
Оба стандарта базируются на модели непрерывного совершенствования (в спецификации ITIL явно указано на соответствие модели ИСО 9000; стандарт COBIT подобных формулировок не содержит, но фактически им соответствует).
Во введении стандарта COBIT отмечается, что его структура максимально адаптирована к поддержке структуре контроля для корпоративного управления организации и управления риском, изложенный в рекомендациях Комиссии COSO «Внутренний контроль — Интегрированная структура» и аналогичным руководствам.
Фундаментальным различием COBIT и ITIL является их происхождение, а следовательно, и специфика использования.
Заказчиком и спонсором спецификации ITIL являлись организации, использующие в своей деятельности информационные технологии. С позиций классики модели деятельности организации ИТ реализуют сервисную (вспомогательную) функцию к процессам формирования добавочной стоимости продукции и процессам корпоративного управления. Исключением может быть ситуация, когда основной целью деятельности организации является предоставление ИТ-услуг. Такие компании также присутствуют на рынке, но, как правило, для целей обслуживания крупного «материального бизнеса» (нефтяного или машиностроительного холдинга и т. п.). В таком видении вклада ИТ в обеспечение деятельности организации наиболее уместной представляется сервисная модель организации и реализации процессов менеджмента ИТ в организации со всеми вытекающими сущностями сервисной модели (планирование сервисов, требования к сервисам и т. п.). Именно такая модель положена в основу спецификации ITIL.
Положения стандарта COBIT не отвергают сервисной модели, даже рекомендуют ее к использованию совместно с COBIT. Однако общий взгляд на ИТ в стандарте COBIT несколько иной. Он как бы акцентируется на вопросах интеграции ИТ в общекорпоративный менеджмент, всецелом удовлетворении бизнес-требований и широком охвате контролем достижения целей. В положениях стандарта COBIT отмечается, что структура мер контроля COBIT способствует удовлетворению потребности системы внутреннего контроля организации посредством следующего:
— обеспечения связи с бизнес-требованиями;
— систематизации ИТ-деятельности в виде общепризнанной процессной модели;
— идентификации основных ИТ-ресурсов, которые должны использоваться;
— определения целей контроля управления, которые должны рассматриваться.
Для
— создания измеримой связи между бизнес-требованиями и ИТ-целями;
— предоставления инструментальных средств для руководства;
— установления целей и метрик, позволяющих оценивать функционирование ИТ;
— использования моделей зрелости, позволяющих проводить сравнительный анализ возможностей процессов;
— применения ролевых нотаций «Ответственность, подотчетность, консультирование и информирование» для прояснения ролей и обязанностей персонала организации.
В качестве преимуществ реализации COBIT как структуры корпоративного управления ИТ в стандарте отмечается:
— лучшая синхронизация бизнеса и ИТ на основе сосредоточения на бизнесе;
— общее понимание среди всех причастных сторон, основанное на общем языке;
— понимание бизнес-руководством того, что поддерживается и реализуется средствами ИТ;
— четкие обязанности и принципы владения на основе процессной ориент ации;
— широкое признание третьими сторонами и регулятивными органами;
— удовлетворение требований COSO для среды контроля ИТ.
Общую спецификацию процессов COBIT иллюстрирует рис. 47.
Комплекс документов стандарта COBIT включает руководства для многих заинтересованных сторон. Документы COBIT систематизированы по следующим трем уровням (см. рис. 48), предназначенным для поддержки:
— исполнительного высшего руководства организации и правления;
— бизнес-руководителей и ИТ-руководства;
— специалистов в сфере корпоративного управления, доверия, контроля и безопасности.
Существуют также производные продукты (руководства) для определенных целей, например, документы, которые рассматривают:
— цели контроля ИТ (на основе COBIT) для Закона Сарбейнса — Оксли;
— базовый уровень безопасности и менеджмент информационной безопасностью COBIT: руководство для совета директоров и исполнительного руководства;
— руководство к COBIT для малых и средних предприятий или больших предприятий, стремящихся достичь более широкой реализации корпоративного управления ИТ.
Все компоненты COBIT взаимосвязаны и предназначены для поддержки потребностей в корпоративном управлении, управлении, контроле и доверии различных заинтересованных сторон (см. рис. 49).
COBIT — это структура и совокупность поддерживающих механизмов и технологий, которые позволяют руководителям ликвидировать расхождения в отношении требований контроля, технических вопросов и бизнес-рисков и информировать об этом уровне контроля причастные стороны.