Описание COBIT 5 и его применение
Недостаточный обмен информацией
Все чаще многие руководители отделов ИТ, а также представители топ-менеджмента бизнеса осознают, что сотрудникам ИТ отделов необходимо лучше понимать потребности бизнеса. Кроме того, необходимо постоянно улучшать процессы взаимодействия с представителями бизнеса, так как чаще всего обмен информацией между бизнес-подразделением и отделами ИТ неудовлетворительный.
Возникает три основных точки, на которые стоит обратить внимание каждому ИТ руководителю:
Для реализации этих мероприятий можно использовать методологию управления информационными технологиями - COBIT 5.
COBIT 5 предлагает комплексный подход, который помогает предприятиям в решении задач, связанных с руководством и управлением корпоративными службами ИТ. Проще говоря, он позволяет предприятиям оптимизировать ценность ИТ за счет поддержания баланса между получением выгод и снижением уровня рисков и использования ресурсов. COBIT 5 позволяет построить целостную систему руководства и управления ИТ в масштабах всего предприятия, охватывая полностью все функциональные зоны ответственности бизнеса и ИТ и учитывая связанные с ИТ интересы внутренних и внешних заинтересованных сторон. COBIT 5 - это инструмент общего назначения, который может быть полезен предприятиям независимо от их размера и того, являются ли коммерческими, некоммерческими или относятся к государственному сектору.
Эта методология состоит из набора документов в области управления ИТ, которая разрабатывается некоммерческой ассоциацией ISACA.
История COBIT началась в 1996 году, в это время ISACA, образованная в 1969 году выпустила первую версию методологии оценки ИТ. Дальнейшее развитие было в 1998 году - версия 2, в 2000-м - версия 3, в 2005-м году вышла версия 4. В 2007 году версия 4 была доработана и в 2007 году стала нести индекс 4.1. На сегодняшний момент аудиторы параллельно используют две версии 4.1 и 5, которая вышла в 2012 году, и только набирает обороты в профессиональной среде.
Сейчас COBIT имеет связь со множеством других стандартов и лучших практик, таких как ISO 20000, ISO 27000, ISO 38500, ISO 31000, ISO 9000, ITIL, PRINCE2, PMBOK, CMMI, TOGAF, Basel II и другие. При этом в большинстве случаев в тексте указаны ссылки на конкретные главы в источниках.
Многих интересует вопрос, в чем отличие COBIT 5 от предыдущей версии?
В первую очередь, это применение интеграционного подхода, который объединил в себе управление ИТ, которое было в версии 4.1, управление инвестициями в ИТ, которое было описано в Val IT 2.0, а также управление рисками ИТ.
Введена новая система оценки, основанная на ISO 15504 и не совместимая с CMM.
Но стоит заметить, что COBIT 5 опирается на предыдущие версии, тем самым позволяя компаниям использующим предыдущие версии безболезненно переходить на новую.
Основные изменения содержащиеся в COBIT 5:
COBIT 5 консолидирует COBIT 4.1, Val IT и рисковать в единую структуру, и был обновлен для согласования с текущей наилучшей практики-например, ITIL, TOGAF. Новая модель может быть использована в качестве руководства для корректировки, по мере необходимости, процессов на собственном предприятии (так же, как COBIT 4.1).
Итак, COBIT 5 состоит из следующих доменов:
Стоит обратить внимание, на то, как COBIT определяет понятия РУКОВОДСТВО и УПРАВЛЕНИЕ.
Руководство (governance) - обеспечивает анализ потребностей заинтересованных сторон, условий и возможностей с тем, чтобы определить сбалансированные и согласованные цели предприятия; задание направления развития через приоритезацию и принятие решений; а также контроль исполнения и соответствия согласованным направлению и целям. В большинстве организаций общее руководство является прерогативой совета директоров, возглавляемого председателем.
Управление (management) - проектирует, выстраивает, ведет и контролирует деятельность в соответствии с направлением, заданным руководящим органом для достижения целей предприятия. В большинстве организаций управление находится в зоне ответственности высшего менеджмента, возглавляемого генеральным директором.
Сертификационная схема в COBIT5
Основные цели COBIT 5 в области ИТ:
COBIT позволит Вам:
Большинство публикаций, в том числе и COBIT framework являются бесплатными и доступны на сайте ISACA после регистрации. Остальные документы, такие как программы аудита технологий или руководства по внедрению можно купить онлайн прямо на сайте. Строго говоря, членство в ISACA стоит денег, но зато дает право получить доступ к множеству полезных документов, которые не всегда можно найти в свободном доступе.
Сейчас существует переведенная на русский язык книга COBIT 4.1, но уже идет работа по переводу и новой, пятой версии.
В данной статье использовались материалы: ITIL(Information Technology Infrastructure Library); MOF (Microsoft Operations Framework); ITSM HP Reference Model; ITPM (IT Process Model); COBIT (Control Objectives for Information and related Technology).
В большинстве случаев успешность телекоммуникационного бизнеса зависит от использования информационных технологий для поддержки ключевых бизнес-процессов компании. Сейчас ИТ – подразделение телекоммуникационной компании становится партнером бизнеса и вместе с производственными подразделениями организации формирует добавочное качество, тогда как раньше ИТ — подразделение только предоставляло в пользование элементы ИТ – инфраструктуры. Однако, необходимо четко обосновывать перед производственными подразделениями направления развития информационных технологий в компании и преимущества выбранных ИТ–решений.
От используемых информационных технологий и качества их сопровождения зависит оказание услуг внешним пользователям, что напрямую влияет на конкурентоспособность компании, и все это повышает требования к эффективности ИТ – подразделения. Задача повышения эффективности информационных технологий уже решалась не раз и наиболее эффективные результаты сведены в стандартах и библиотеках в области информационных технологий. Использование данных стандартов позволяет «не придумывать велосипед», а взять наиболее совершенное решение и привести его в соответствие со своей ситуацией.
Если говорить о существующих стандартах библиотеках, то наиболее известными являются следующие:
предлагает другой взгляд на деятельность ИТ- подразделения которое становится таким же формирующим прибавочное качество подразделением, как и остальные подразделения организации. Причем ИТ- подразделение теперь не предоставляет в пользование оборудование, а предоставляет ИТ- услуги, необходимые для конечных пользователей, которых в таком контексте предпочтительнее именовать «потребителями услуг». Можно сказать, что предоставляемое оборудование «обертывается» услугами по его поддержке и предоставлению. Переход на термин ИТ- услуги требует перехода от отношений владелец-пользователь оборудования (приложений) к отношениям покупатель-продавец ИТ- услуг, что в свою очередь требует выработки способов измерения качества предоставляемых услуг. Помимо этого вводится понятие стоимости услуги, что фактически выводит ИТ- подразделение на финансовое взаимодействие между ИТ- подразделением и бизнесом.
Фактически библиотека ITIL предлагает построение процессной модели для управления ИТ- подразделением, результатом деятельности которого являются ИТ- услуги для бизнеса с прозрачной стоимостью, качество которых гарантируется путем организации непрерывного контроля. Библиотека ITIL содержит лучший мировой опыт по построению единой комплексной системы управления ИТ- подразделением, который возможно применять к конкретной ситуации. Поскольку библиотека является свободно распространяемой, то она является наиболее применяемым сегодня подходом к управлению ИТ- услугами, который применим ко всем секторам и организациями любого размера. ITIL может быть внедрен как полностью, так и частично, и фактически, это некоторая система взглядов на управление информационными технологиями в компании. Владельцем проекта ITIL в настоящее время является OGC/CCTA (Офис правительственной коммерции / Центральное агентство по компьютерам и телекоммуникациям). Обобщение опыта управления ИТ на протяжении 20 лет под эгидой правительства Великобритании сделало книги ITIL по всем основным областям управления ИТ стандартом «де-факто».
– стандарт управления и аудита в области информационных технологий. Основой стандарта COBIT являются 34 высокоуровневые цели контроля, по одной на каждый ИТ- процесс, которые сгруппированы в 4 домена: Планирование и Организация, Проектирование и Внедрение, Эксплуатация и Сопровождение, Мониторинг. Особенностью стандарта COBIT по отношению к другим стандартам в области ИТ является присутствие в нем модели зрелости разработанной в конце 80-х годов Институтом проектирования и разработки программного обеспечения (Software Engineering Institute’s). Maturity Models (MM) – не технология, не стандарт, для нее нет формальных описаний, в ней нет жестких требований, и она не привязана к конкретным информационным технологиям. Однако данная модель зрелости вводит понятие нескольких уровней зрелости процессов:
Использование механизма оценки уровней зрелости и целей контроля, делает данный стандарт более высокоуровневым, хотя в нем содержится множество полезной информации для организации процессов ИТ. Данай стандарт наиболее эффективно использовать для определения целей в области ИТ, построения системы сбалансированных показателей (BSC) для ИТ- подразделения и проведения внутренних и внешних аудитов в области информационных технологий, помимо этого, на основании результатов аттестации процессов по уровням зрелости возможно сформировать мероприятия по совершенствованию процессов.
— Управление информационными технологиями эта тема, в которой компания Microsoft имеет свое видение. Система стандартов Microsoft Enterprise Services от компании Microsoft представляет собой три области:
MOF состоит из набора статей (white papers), руководств (operations guides), обучающих курсов и включает в себя три основные модели:
Общая похожесть данного стандарта на ITIL и ориентация на продукты Microsoft делает данный стандарт менее используемым, относительно ITIL. Однако для пользователей технологий Microsoft использование данного стандарта оправдано, хотя нужно понимать, что большинство процессов в MOF перешло из библиотеки ITIL.
– это корпоративная модель, которая была разработана компанией HP на основе и в полном соответствии с библиотекой ITIL. Фактически данная модель является переработкой ITIL с учетом зрения компании HP и перечень процессов в обеих моделях одинаковый.
– это стандарт, который был предложен компанией IBM в конце 70-х годов прошлого века для решения задач управления компьютерными системами. Была создана архитектура ISMA (Information Systems Management Architecture) и концепция (IT Process Model), возникшая из ISMA и принятая к использованию компанией IBM. Данный подход отличается от ITIL не только по способу деления процессов, но и в ряде терминологических моментов. Фактически IT Process Model — это 41 процесс, собранный в восемь групп по числу основных факторов, влияющих на успех ИТ- проектов:
Однако, если говорить о практике использования данной модели в России, то она используется достаточно редко. ISO 20000 – один из новых стандартов в области менеджмента качества, который вобрал в себя с незначительными изменениями большинство основных принципов и процессов ITIL. В настоящий момент времени производится сертификация ИТ – подразделений на соответствие сервис -ориентированному и процессному подходу в области управления ИТ с использованием данного стандарта.
Библиотека передового опыта в области ИТ включает в себя множество книг в которых содержится информация: о роли ИТ для современного бизнеса; об организации взаимодействия с клиентами, планировании, организации и контроле сервисов; опыте в вопросах управления; управлении качеством; о поддержке и предоставлении сервисов; вопросы лицензирования и обеспечения функционирования ПО и все аспекты ежедневного оперативного функционирования оборудования и технологий.
Библиотека ITIL вводит понятие услуга/сервис ИТ под которым подразумевается решение определенной задачи в рамках бизнес-процессов или проектов организации средствами информационных технологий. Все услуги собираются в каталог услуг/сервисов ИТ и для каждой услуги определяются параметры услуг, такие как согласованное время обслуживания, доступность, надежность, конфиденциальность и др. Все услуги и их параметры фиксируются в Соглашениях об уровне услуг (SLA). Одним из основополагающих процессов ITIL является процесс предоставления сервисов (Service Delivery) в рамках которого определены следующие процессы:
Другим основополагающим процессом ITIL является процесс поддержки сервисов (Service Support) в рамках которого определены следующие процессы:
Если сравнивать между собой ITIL и COBIT, то ITIL наиболее полезен в части организации предоставления ИТ- услуг и разработки детальных процессов, а COBIT специализируется на высокоуровневом управлении ИТ и аудите ИТ. COBIT представляет топ-менеджерам возможность донести цели и задачи бизнеса до руководителей ИТ-служб, преобразовав стратегические и тактические планы организации в четкие и понятные планы развития ИТ. Тогда как методология ITIL применяется для оптимизации процесса обслуживания информационных систем с точки зрения проектирования логики процессов и механизмов их оценки. Преимущества использования ITIL заключаются в следующем:
Если сравнивать объем библиотеки ITIL c моделью процессов MOF, то модель MOF является некоторым расширением процессов, описанных в книгах «Предоставление ИТ-услуг» и «Поддержка ИТ-услуг» библиотеки ITIL. Фактически модель MOF Process Model представляет процессы управления обслуживанием информационных систем, которые представлены в виде функций управления услугами (Service Management Functions, SMF).
Вся модель MOF содержит в себе 20 сервисных функций разбитых на четыре квадранта:
В рамках данных четырех квадрантов распределяются все 20 сервисных функций.
В квадранте «Изменение» собраны три следующих сервисных функции:
В квадранте «Поддержка» собраны три следующих сервисных функции:
В квадранте «Оптимизация» собраны шесть следующих сервисных функций:
В квадранте «Обслуживание» собраны 8 следующих функций:
Если сравнивать объем стандарта MOF с процессами ITIL по предоставлению и поддержке услуг, то видно, что MOF несколько шире, однако расширение связано с некоторой детализацией квадранта «Обслуживание», что с одной стороны дает определенную информацию, но с другой стороны данная деятельность присутствует в большинстве ИТ- служб и расширение модели в данном направлении не вносит большой новизны. Добавление сервисной функции Управление персоналом не несет специфических знаний для организации ИТ в компании и является вспомогательным процессом, который присутствует в любой компании и логика выполнения которого предельно понятна. В остальном, процессы ITIL и MOF полностью идентичны, включая одинаковые наименования и описания.
Однако, стандарт MOF помимо процессной модели содержит ролевую структуру для распределения полномочий и ответственности между сотрудниками ИТ — модель команды (MOF Team Model). Причем модель команды не предназначена для описания трудовых обязанностей и не является организационной схемой.
В модели команды MOF описаны шесть ролей, сгруппированных по жизненному циклу ИТ- услуги. Фактически данные роли являются некоторыми направлениями деятельности:
Модель команды содержит слишком общее определение ролей, которое будет невозможно использовать при инжиниринге детальных процессов и поэтому, одним из вариантов использования модели команды может быть распределение в соответствии с приведенными ролями ответственности за сервис- функции, т.е. фактически назначение владельцев процессов.
Помимо модели команды стандарт MOF содержит в себе модель управления рисками (MOF Risk Model), которая определяет основные этапы управления рисками:
Однако если рассмотреть модель управления рисками в отрыве от стандарта ITIL и MOF, то можно увидеть неглубокое представление модели управления рисками. Например, такая методика как CRAMM, содержит более подробные указания по механизмам оценки рисков, а BASEL II – подробнее описывает вопросы организации системы управления рисками в компании. Поэтому для развертывания системы управления рисками более эффективно использовать другие методики, содержащие более полную информацию. По причине схожести методологии ITIL и MOF преимущества от использования данных моделей фактически идентичны.
В результате сравнения ITIL и MOF мы увидели, что MOF обладает рядом существенных особенностей по сравнению со стандартом ITIL, однако если рассмотреть данные особенности, то они не носят ключевого характера: o Процессы, не включенные в ITIL, являются интуитивно понятными и принятыми в оперативной деятельности; o Модель процессов дополнена моделями команды и управления рисками, но применение данных моделей осложнено из-за слабой их детализации; o В противовес документам чисто описательного характера, свойственным ITIL, в MOF предоставлены прикладные материалы, такие как документы серий Windows Operations Guide, Exchange Operations Guide и т.д. Однако данные документы имеют привязку к определенной операционной системе и в принципе не относятся к организации процессов. Если делать вывод о применимости рассмотренных стандартов в области ИТ для оптимизации деятельности, то можно с уверенностью сказать что все они содержат «зерно истины», поэтому применение их в совокупности наиболее предпочтительно, поскольку в определенных областях они имеют новшества относительно друг друга.
В данной статье использовались материалы: MOF (Microsoft Operations Framework); ITSM HP Reference Model; ITPM (IT Process Model); COBIT (Control Objectives for Information and related Technology).
Аннотация: Введение в методологию COBIT: назначение и основные принципы.
Не секрет, что информация в современном мире играет ключевую роль и является самым ценным активом для любой организации. Стоимость информации и ее качество стали ключевыми факторами бизнеса. Согласно оценке Brookings Institute, 15 % рыночной стоимости организации находится в материальных активах, и 85% - в нематериальных, большая часть которых является информацией . Вместе с ростом ценности и значимости информации , возникла необходимость эффективного управления информационными технологиями. Если раньше бизнес не задумывался о роли и ценности ИТ-области, то теперь он хочет наладить взаимодействие, понять, какую пользу может принести ИТ и что он, бизнес, может сделать, чтобы содействовать развитию ИТ. При этом возникает необходимость в систематизации накопленных знаний, создании системы принятия решений и контроля. Перед руководством встает вопрос о выборе методологии, в соответствии с которой будут организованы основные процессы ИТ. В настоящее время существует множество стандартов и методологий, посвященных вопросам управления ИТ. Этот курс посвящен методологии COBIT, созданной организацией ISAСA. Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. В настоящее время организация занимает одну из лидирующих ролей в области разработки стандартов по аудиту ИТ.
Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, около 40 международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как "Контрольные Объекты для Информационных и смежных Технологий", но в некоторых изданиях встречается более привычный для русского уха "Цели контроля для информационных и смежных технологий".
Вот как говорит о своей миссии сам COBIT:"Исследование, разработка, публикация и продвижение авторитетной, современной, международно-признанной методологии корпоративного управления в сфере ИТ, предназначенной для внедрения в организациях и повседневного использования бизнес менеджерами, специалистами в сфере ИТ и аудиторами".
Итак, основной целью COBIT является управление ИТ. Управление ИТ в свою очередь является неотъемлемой частью корпоративного управления . Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством с целью:
Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Ответственность за корпоративное управление лежит на Совете директоров и высшем руководстве.
В COBIT используется термин заинтересованные стороны. В первую очередь к ним относятся:
Ключевым понятием COBIT является сервис или услуга . Что же это такое? Сам COBIT ответа на этот вопрос не дает, а лишь приводит примеры. Предоставление доступа в Интернет или защищенного хранилища информации является услугой . Возьмем определение из публикаций ITIL , которые также посвящены управлению услугами. Услуга или сервис (от англ. service) – способ предоставления ценности заказчикам через содействие им в получении результатов на выходе, которых заказчики хотят достичь без владения специфическими затратами и рисками. Предоставление услуг является сложной и нетривиальной задачей, которая требует в первую очередь системы внутреннего контроля.
Основные принципы COBIT:
Современный подход к управлению услугами делает упор на взаимодействие бизнеса и ИТ. Раньше бизнес зачастую воспринимал ИТ-область как нечто несущественное и не требующее особого внимания. Теперь, когда от информационных технологий напрямую зависит прибыль компании, руководство хочет понять, какую пользу может принести ИТ, какие средства необходимо в нее инвестировать и как можно проконтролировать и измерить результаты. В свою очередь ИТ должна быть ориентирована, прежде всего, на потребности бизнеса, а не руководствоваться только своими целями и возможностями. Подводя итог, мы приходим к пониманию первого принципа COBIT – цели бизнеса и ИТ должны быть взаимосвязаны, но лидером этих "отношений" являются цели бизнеса.
Второй принцип – использование процессного подхода. COBIT выделяет 34 ИТ-процесса, которые объединяются в четыре домена. Такая структура позволяет систематизировать область и обеспечить организацию информации , необходимой для достижения ее бизнес-целей.
Принцип ранжирования ресурсов понятен. Не стоит следить за всеми ресурсами, а только за теми, которые влияют на бизнес-процессы и их результаты.
Определение целей, пожалуй, является одной из самых сложных и важных задач. В глобальном смысле руководство и менеджеры преследуют две цели – достижение поставленных бизнес-целей и предотвращение нежелательных событий (или исправление их последствий). Например, инвестирование средств в систему резервного копирования никак не поможет напрямую бизнесу, то есть не принесет ему непосредственной выгоды. Но оно сможет помочь в случае сбоя для быстрого восстановления информации и нормального функционирования. Другой немаловажный вопрос для руководства – где необходимы улучшения, сколько нужно в них инвестировать и как измерить результат? COBIT дает руководству ИТ методологию для поиска ответов на указанные вопросы.
Ключевой составляющей управления ИТ является оценка процесса на основе предлагаемых COBIT моделях зрелости.
COBIT выделяет следующие ключевые области управления ИТ (рис.1.1):
Рис.
1.1.
COBIT предназначен для:
Вот какие продукты включает COBIT 4.1:
Требования бизнеса обуславливают и направляют инвестиции в ресурсы ИТ. Ресурсы ИТ используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с корпоративной информацией и производят ее. Результатом цикла является соответствие корпоративной информации требованиям бизнеса. COBIT выделяет следующие корпоративные требования к информации :
Рассмотрим составляющие рис.1.3 более подробно. Организация для достижения своих целей и рассмотренных требований к информации должна инвестировать средства в ИТ-область, в частности, в ресурсы. К ресурсам ИТ, согласно COBIT, относятся:
Вот какие преимущества внедрения COBIT описаны в самом стандарте:
Подход к управлению ИТ, предлагаемый COBIT, позволит гарантировать согласованность целей бизнеса и ИТ, внедрение адекватных и своевременных мер контроля в соответствии с лучшими практиками и осуществить мониторинг эффективности ИТ.
Как вы работаете: по наитию или по науке? Наверное, никто не даст однозначного ответа: работа в ИТ-сфере предполагает сочетание опыта и технологий, точных указаний, норм и красивых, даже талантливых, инженерных находок. В любом случае, опыт решает. А как насчёт чужого опыта? В мире создано множество сводов и правил, предназначенных для работы ИТ-служб, которые объединяет понятие с маркетинговым оттенком - «лучшие практики». Это опыт, сформированный множеством компаний и позволяющий довольно просто решать стандартные проблемы.
В посте мы расскажем, что такое ITIL, ITSM, CobiT, DevOps, как они связаны и почему даже системные администраторы небольших компаний должны что-то знать об этих аббревиатурах.
На самом деле, эта библиотека породила целую парадигму управления ИТ-инфраструктурой компании, основанную на SLA (соответствие обещаний поставщика услуги ожиданиям клиента) и ITSM (IT Service Management, управление ИТ-услугами). ITSM - это концепция организации работы ИТ-подразделения и его взаимодействия с внешним или внутренним заказчиком, а также внешними контрагентами.
Теперь о рисках. Понятно, что стандарты ITSM и библиотека ITIL описывают лучшие практики и при ознакомлении с ними кажется, что всё логично и именно так работать и должно.
Рассмотрим две распространённые ситуации.
Ситуация первая. У руководства компании может отсутствовать понимание того, что происходит в ИТ-пространстве, но при этом быть полное понимание целей и миссии бизнеса, процессов, продукта и услуг. И наоборот, ИТ-директор может фанатично строить идеальную ИТ-инфраструктуру, практически не интересуясь тем, как она вписывается в стратегию развития компании. И случается такое нередко именно в самом уязвимом слое - среднем бизнесе, который ещё не достиг нового уровня управления (как гигант), но уже пережил разрастание служб и разрыв простых и внятных внутрифирменных коммуникаций, присущих малому бизнесу. А между тем, такое положение вещей не снимает с руководителя ответственность абсолютно за все процессы в компании, в том числе происходящие в ИТ.
Ситуация вторая , свойственная компаниям любого уровня: от микробизнеса до транснациональных корпораций, - неадекватная оценка рисков. Почти каждый из нас хоть раз встречался с рисками завышенного масштаба: например, страх перед DDoS в небольшой компании или всем известная и так и не ставшая реальностью «проблема 2000». Это риски, которым придают огромное значение и которые не несут объективной угрозы. С другой стороны, существуют недооценённые риски, на которые никто не обращает внимание, но именно они способны положить весь рабочий процесс или принести коммерческий ущерб: неограниченный срок действия учётных записей и паролей пользователей от рабочих ПК и корпоративных информационных систем, клиент-банков; передача коммерчески значимых данных по незащищённым каналам; отсутствие антивирусов и проч. Чтобы классифицировать риски и грамотно их оценить, необходимо проводить внутренний и/или внешний ИТ-аудит. Он, в свою очередь, должен быть не проверкой соответствия правилам и не толчком к соблюдению правил, а именно соблюдением правил. Поэтому аудит должен быть регулярным и сопряжённым с мониторингом системным процессом получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих внутри неё.
В свете этих ситуаций вернёмся к CobiT. В нём описаны цели, задачи и принципы управления, объекты управления, ИТ-процессы, инструменты работы с ИТ-инфраструктурой, а также вопросы ИТ-безопасности. Актуальную версию CobiT и статьи по нему можно почитать на сайте ISACA (есть платные и бесплатные материалы). CobiT можно определить как методологию корпоративного управления ИТ, которая:
Как методология DevOps даёт множество преимуществ, среди которых:
Предупреждение о Visible Ops
Вы можете услышать термин Visible Ops. Он не имеет прямого отношения к DevOps, однако имеет отношение к ITIL, а именно - это книга (с развитием технологий превратившаяся в серию книг) Visible Ops Handbook, которая является отличным пошаговым руководством по использованию ITIL в компании. В книгах есть интересные практические примеры крупных корпораций. Первая, ставшая классикой книга, простым английским языком раскрывает проблемы ИТ в компании и цели изменений. В любом случае, хотя бы пролистать PDF-ку стоит.
COBIT - подход к управлению информационными технологиями , созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association - ISACA) и Институтом руководства ИТ (IT Governance Institute - ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании.
Первая редакция COBIT увидела свет в 1996 году. Версия COBIT 4.1 вышла в мае 2007 года. В основе COBIT 4.1 лежит процессный подход, система сбалансированных показателей BSC, модель зрелости SEI CMM/CMMI, PMBoK (методология проектного управления), а также подходы стандартов PRINCE2, TickIT, ITIL® и другие.
Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается какрезультат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов . ИТ ресурсы включают в себя приложения, информацию (данные в любой форме), инфраструктуру, персонал.
Для достижения целей бизнеса информация должна удовлетворять определённым критериям, которые в стандарте COBIT называют бизнес-требованиями к информации. Выделяют следующие бизнес-требования к информации или информационные критерии: эффективность, рациональность, конфиденциальность, целостность, доступность, соответствие нормам и надёжность информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путём реализации механизмов управления в рамках конкретного ИТ процесса.
Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):
Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:
Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:
Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:
Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:
Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.
В стандарте COBIT детально описаны цели и принципы управления, объекты управления, чётко определены все ИТ процессы (для каждого процесса определены входы и выходы, исполнители и ответственные, а также объекты контроля и метрики) и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ процессов также приведены практические рекомендации по управлению ИТ безопасностью. COBIT применяется для контроля и аудита существующей системы управления информационными технологиями, организации оперативного и стратегического управления ИТ, анализа расходов на ИТ проекты и поддержку соответствующей инфраструктуры, соответствия требованиям стандартам и регулирующим организациям, таких как SOX и COSO.
Посредством использования стандарта COBIT руководители ИТ подразделений преобразуют задачи бизнеса в чёткие и понятные планы развития ИТ. Основным преимуществом стандарта COBIT является его полнота и отчётливые практические рекомендации и инструменты, с помощью которых можно построить систему управления информационными технологиями корпорации и, в том числе, эффективную систему управления рисками в ИТ. Таким образом, при использовании методологии COBIT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, стандарт COBIT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ департамента.