Вопросами аудита информационной безопасности в настоящее время занимаются различные аудиторные компании, фирмы организации, многие из которых входят в состав государственных и негосударственных ассоциаций. Наиболее известной международной организацией занимающейся аудитом информационных систем является ISACA, по инициативе которой была разработана концепция по управлению информационными технологиями в соответствии с требованиями ИБ.
На основе этой концепции описываются элементы информационной технологии, даются рекомендации по организации управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and Related Technology - Контрольные объекты информационной технологии), который состоит из четырех частей
Третья часть этого документа в некотором смысле аналогична международному стандарту BS 7799. Примерно так же подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT - пакет открытых документов, первое издание которого было опубликовано в 1996 году. COBIT описывает универсальную модель управления информационной технологией, представленную на рис. 3.2 .
Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологий (IT), являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования сгруппированы следующим образом.
Во первых , требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю – показатели, в обобщенном виде входящие в показатели доступности и частично – конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии. Во-вторых , доверие к технологии -группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В-третьих , показатели информационной безопасности – конфиденциальность, целостность и доступность обрабатываемой в системе информации.
Рис. 3.2. Структура стандарта COBIT
В стандарте COBIT выделены следующие этапы проведения аудита .
Подписание договорной и исходно-разрешительной документации . На этом этапе определяются ответственные лица со стороны заказчика и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с точки зрения проводимых аудитом компонентов системы.
Сбор информации с применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных изменяется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Основное требование, предъявляемое к информации, – это ее полезность, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной).
Анализ исходных данных проводится только с учетом достоверных исходных данных. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COBIT рекомендует применять описанные в стандарте методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.
Выработка рекомендаций . Полученные в результате проведенного анализа рекомендации после предварительного согласования с заказчиком обязательно должны быть проверены на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT рекомендует оформлять рекомендации отчетом о текущем состоянии информационных систем, техническом задании на внесение изменений, отчетом о проведенном аудите. Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологи ческие. Каждая из названных групп направлена на улучшение организационного, технического или методологического обеспечения информационной системы. К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании, снижению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес-задачам, снижение стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем и некоторые другие. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты позволяют предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.
Подписание отчетных актов приемки работы с планом-графиком проведения последующих проверок, разработкой такой дополнительной документации, как долгосрочные и краткосрочные планы развития ИС, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому создание плана-графика проведения последующих проверок является одним из условий проведения профессионального аудита.
Любая работающая информационная технология в модели COBIT проходит следующие стадии жизненного цикла :
Планирование и организация работы . На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем решаются вопросы реализации: построение архитектуры системы, решение технологических и организационных задач, обеспечение финансирования и т.д. Всего на этой стадии выделяется 11 основных задач .
Приобретение и ввод в действие . Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется 6 основных задач, решаемых на данной стадии.
Поставка и поддержка. Выделяется 13 основных задач данной стадии, предназначенных обеспечить эксплуатацию информационной технологии .
Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется 4 основные задачи, решаемые на данной стадии.
Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки информации (рис. 3.2).
Кроме традиционных свойств информации – конфиденциальности, целостности и доступности, – в модели дополнительно используются еще 4 свойства – действенность , эффективность , соответствие формальным требованиям и достовер ность . Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их использование объясняется соображениями удобства интерпретации результатов.
Применение стандарта COBIT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач. Если в первом случае – это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом – изначально верный проект и, как следствие, по окончании проектирования – ИС, стремящаяся к идеалу.
На базовой блок-схеме COBIT (рис. 3.2.) отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки COBIT на всех этапах построения и проведения аудита.
Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь, состоят из трехсот двух объектов контроля (в данной работе не рассматриваются). Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.
Отличительные черты COBIT:
Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС).
Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).
Адаптируемый, наращиваемый стандарт.
Основными преимуществами COBIT перед другими аналогичными стандартами является то, что он позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные, не изменяя общие подходы и собственную структуру.
Представленная на рис 3.3 блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита ИС с использованием стандарта COBIT. Рассмотрим их подробнее.
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:
Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем.
В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается исогласовывается необходимая документация.
Далее проводится сбор информации о текущем состоянии ИС с применением стандарта COBIT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.
Проведение анализа – наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте COBIT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.
Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.
На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС.
Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.
Аннотация: Введение в методологию COBIT: назначение и основные принципы.
Не секрет, что информация в современном мире играет ключевую роль и является самым ценным активом для любой организации. Стоимость информации и ее качество стали ключевыми факторами бизнеса. Согласно оценке Brookings Institute, 15 % рыночной стоимости организации находится в материальных активах, и 85% - в нематериальных, большая часть которых является информацией . Вместе с ростом ценности и значимости информации , возникла необходимость эффективного управления информационными технологиями. Если раньше бизнес не задумывался о роли и ценности ИТ-области, то теперь он хочет наладить взаимодействие, понять, какую пользу может принести ИТ и что он, бизнес, может сделать, чтобы содействовать развитию ИТ. При этом возникает необходимость в систематизации накопленных знаний, создании системы принятия решений и контроля. Перед руководством встает вопрос о выборе методологии, в соответствии с которой будут организованы основные процессы ИТ. В настоящее время существует множество стандартов и методологий, посвященных вопросам управления ИТ. Этот курс посвящен методологии COBIT, созданной организацией ISAСA. Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. В настоящее время организация занимает одну из лидирующих ролей в области разработки стандартов по аудиту ИТ.
Control Objectives for Information and Related Technology (COBIT) представляет собой набор открытых документов, около 40 международных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Буквально на русский язык COBIT переводится как "Контрольные Объекты для Информационных и смежных Технологий", но в некоторых изданиях встречается более привычный для русского уха "Цели контроля для информационных и смежных технологий".
Вот как говорит о своей миссии сам COBIT:"Исследование, разработка, публикация и продвижение авторитетной, современной, международно-признанной методологии корпоративного управления в сфере ИТ, предназначенной для внедрения в организациях и повседневного использования бизнес менеджерами, специалистами в сфере ИТ и аудиторами".
Итак, основной целью COBIT является управление ИТ. Управление ИТ в свою очередь является неотъемлемой частью корпоративного управления . Корпоративное управление – комплекс управленческих решений и практик, применяемых высшим руководством с целью:
Корпоративное управление и управление ИТ требуют баланса между целями, связанными с необходимостью соответствия требованиям и повышения эффективности, установленными высшим руководством. Ответственность за корпоративное управление лежит на Совете директоров и высшем руководстве.
В COBIT используется термин заинтересованные стороны. В первую очередь к ним относятся:
Ключевым понятием COBIT является сервис или услуга . Что же это такое? Сам COBIT ответа на этот вопрос не дает, а лишь приводит примеры. Предоставление доступа в Интернет или защищенного хранилища информации является услугой . Возьмем определение из публикаций ITIL , которые также посвящены управлению услугами. Услуга или сервис (от англ. service) – способ предоставления ценности заказчикам через содействие им в получении результатов на выходе, которых заказчики хотят достичь без владения специфическими затратами и рисками. Предоставление услуг является сложной и нетривиальной задачей, которая требует в первую очередь системы внутреннего контроля.
Основные принципы COBIT:
Современный подход к управлению услугами делает упор на взаимодействие бизнеса и ИТ. Раньше бизнес зачастую воспринимал ИТ-область как нечто несущественное и не требующее особого внимания. Теперь, когда от информационных технологий напрямую зависит прибыль компании, руководство хочет понять, какую пользу может принести ИТ, какие средства необходимо в нее инвестировать и как можно проконтролировать и измерить результаты. В свою очередь ИТ должна быть ориентирована, прежде всего, на потребности бизнеса, а не руководствоваться только своими целями и возможностями. Подводя итог, мы приходим к пониманию первого принципа COBIT – цели бизнеса и ИТ должны быть взаимосвязаны, но лидером этих "отношений" являются цели бизнеса.
Второй принцип – использование процессного подхода. COBIT выделяет 34 ИТ-процесса, которые объединяются в четыре домена. Такая структура позволяет систематизировать область и обеспечить организацию информации , необходимой для достижения ее бизнес-целей.
Принцип ранжирования ресурсов понятен. Не стоит следить за всеми ресурсами, а только за теми, которые влияют на бизнес-процессы и их результаты.
Определение целей, пожалуй, является одной из самых сложных и важных задач. В глобальном смысле руководство и менеджеры преследуют две цели – достижение поставленных бизнес-целей и предотвращение нежелательных событий (или исправление их последствий). Например, инвестирование средств в систему резервного копирования никак не поможет напрямую бизнесу, то есть не принесет ему непосредственной выгоды. Но оно сможет помочь в случае сбоя для быстрого восстановления информации и нормального функционирования. Другой немаловажный вопрос для руководства – где необходимы улучшения, сколько нужно в них инвестировать и как измерить результат? COBIT дает руководству ИТ методологию для поиска ответов на указанные вопросы.
Ключевой составляющей управления ИТ является оценка процесса на основе предлагаемых COBIT моделях зрелости.
COBIT выделяет следующие ключевые области управления ИТ (рис.1.1):
Рис.
1.1.
COBIT предназначен для:
Вот какие продукты включает COBIT 4.1:
Требования бизнеса обуславливают и направляют инвестиции в ресурсы ИТ. Ресурсы ИТ используются для обеспечения и поддержки процессов ИТ. Процессы ИТ работают с корпоративной информацией и производят ее. Результатом цикла является соответствие корпоративной информации требованиям бизнеса. COBIT выделяет следующие корпоративные требования к информации :
Рассмотрим составляющие рис.1.3 более подробно. Организация для достижения своих целей и рассмотренных требований к информации должна инвестировать средства в ИТ-область, в частности, в ресурсы. К ресурсам ИТ, согласно COBIT, относятся:
Вот какие преимущества внедрения COBIT описаны в самом стандарте:
Подход к управлению ИТ, предлагаемый COBIT, позволит гарантировать согласованность целей бизнеса и ИТ, внедрение адекватных и своевременных мер контроля в соответствии с лучшими практиками и осуществить мониторинг эффективности ИТ.
COBIT - подход к управлению информационными технологиями , созданный Ассоциацией контроля и аудита систем (Information Systems Audit and Control Association - ISACA) и Институтом руководства ИТ (IT Governance Institute - ITGI) в 1992 году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор утверждённых метрик, процессов и лучших практик с целью помочь им в извлечении максимальной выгоды от использования информационных технологий и для разработки соответствующего руководства и контроля ИТ в компании.
Первая редакция COBIT увидела свет в 1996 году. Версия COBIT 4.1 вышла в мае 2007 года. В основе COBIT 4.1 лежит процессный подход, система сбалансированных показателей BSC, модель зрелости SEI CMM/CMMI, PMBoK (методология проектного управления), а также подходы стандартов PRINCE2, TickIT, ITIL® и другие.
Концепция стандарта предполагает построение механизмов управления ИТ исходя из того, какая информация необходима для достижения бизнес-целей. При этом информация рассматривается какрезультат использования ИТ ресурсов, управление которыми осуществляется в рамках ИТ процессов . ИТ ресурсы включают в себя приложения, информацию (данные в любой форме), инфраструктуру, персонал.
Для достижения целей бизнеса информация должна удовлетворять определённым критериям, которые в стандарте COBIT называют бизнес-требованиями к информации. Выделяют следующие бизнес-требования к информации или информационные критерии: эффективность, рациональность, конфиденциальность, целостность, доступность, соответствие нормам и надёжность информации. Механизмы управления включают в себя политики, организационные структуры, процедуры и регламенты. Задачей управления ИТ является формулировка желаемого результата или цели, которые должны быть достигнуты путём реализации механизмов управления в рамках конкретного ИТ процесса.
Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):
Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:
Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:
Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:
Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:
Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.
В стандарте COBIT детально описаны цели и принципы управления, объекты управления, чётко определены все ИТ процессы (для каждого процесса определены входы и выходы, исполнители и ответственные, а также объекты контроля и метрики) и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании ИТ процессов также приведены практические рекомендации по управлению ИТ безопасностью. COBIT применяется для контроля и аудита существующей системы управления информационными технологиями, организации оперативного и стратегического управления ИТ, анализа расходов на ИТ проекты и поддержку соответствующей инфраструктуры, соответствия требованиям стандартам и регулирующим организациям, таких как SOX и COSO.
Посредством использования стандарта COBIT руководители ИТ подразделений преобразуют задачи бизнеса в чёткие и понятные планы развития ИТ. Основным преимуществом стандарта COBIT является его полнота и отчётливые практические рекомендации и инструменты, с помощью которых можно построить систему управления информационными технологиями корпорации и, в том числе, эффективную систему управления рисками в ИТ. Таким образом, при использовании методологии COBIT информационная система строится исходя из требований бизнеса и условий жесткой экономии ресурсов, а также эффективного использования этих ресурсов. Другими словами, стандарт COBIT описывает бизнес-ориентированный подход к созданию информационной среды: ИТ рассматриваются в виде инструмента бизнеса, а стандарт определяет принципы построения и организации работы ИТ департамента.
Governance Institute, ITGI), который является де-юре автором всех методик, продвигаемых ISACA. Дополнительную информацию об ITGI можно найти на его официальном сайте.Взаимосвязи трех основных методологий, предлагаемых ISACA, показаны на рис. 15.1 . Это методологии COBIT, Val IT и Risk IT.
Рис.
15.1.
Центральной в этой картине является методология COBIT, последний релиз которой, COBIT 4.1 (CobiT, 2007) , мы сейчас кратко рассмотрим.
Аббревиатура "COBIT" с трудом поддается адекватному переводу на русский язык из-за многозначности английского слова control , широко используемого в терминологии COBIT. Опубликованный русский перевод названия методологии Control Objectives for Information and Related Technology (COBIT) - "Цели контроля для информационных и смежных технологий" (COBIT 4.1 рус, 2008), на мой взгляд, содержательно неточен. Я предпочитаю менее компактный, но более понятный и передающий смысл документа перевод: "Цели управления информационными и связанными с ними технологиями", хотя возможны и другие варианты. Вообще, я буду использовать разные варианты перевода слова control в зависимости от контекста. Чаще других будут употребляться термины "средство управления" или просто "управление".
Существует целый ряд публикаций по COBIT, подготовленных ISACA. Значительная часть их доступна только членам ISACA, и только несколько документов - всем желающим. К сожалению, у меня нет доступа к полному комплекту документов ISACA, поэтому все дальнейшее изложение базируется только на открытых источниках, в первую очередь (COBIT, 2007). Я использовал также русский перевод этого документа (CobiT 4.1 рус, 2008).
В связи с этим нужно сделать важную оговорку. Все неточности, недоговоренности и неясности, встречающиеся в (CobiT, 2007), возможно, разъясняются в других документах по COBIT, поэтому не всегда следует относить их на счет несовершенства и недоработанности самой методологии.
По утверждению авторов, COBIT представляет собой совокупность признанных практик (good practices ) методов управления ИТ, изложенных с использованием процессного подхода . Акцент в COBIT делается не на детальном описании процессов, а на методах их организации, оценки, измерения и т. п. С точки зрения COBIT, для того, чтобы ИТ удовлетворяли требованиям бизнеса, менеджмент должен позаботиться о том, чтобы разработать и внедрить специальную систему управления ИТ. Методология COBIT является кандидатом на роль такой системы, поскольку она:
Для решения первой из перечисленных задач в COBIT вводится понятие ИТ-цели, обусловленной целями бизнеса. Это принципиально важное понятие, которое не встречалось ни в одной из рассмотренных ранее методик. Обратимся, например, к ITIL .
На рис. 15.2 показаны взаимосвязи между бизнес-услугой, ИТ-услугой, целями бизнеса и место , которое должны были бы занимать цели ИТ в парадигме ITIL v.3. Видно, что достижение целей бизнеса в ITIL обеспечивается опосредованно за счет того, что ИТ-услуги создаются и развиваются как инструмент, обеспечивающий реализацию бизнес-услуг и в точном соответствии с требованиями последних. Бизнес-услуги через бизнес-процессы связаны с целями бизнеса. Таким образом, никакая ИТ-услуга не может появиться вне связи с целью бизнеса, т. е. в модели ITIL v.3 "цель ИТ" просто лишняя.
Это означает, что в COBIT принята другая, нежели в ITIL , модель взаимодействия бизнеса и ИТ. Однажды определив долгосрочные цели ИТ, связанные с целями бизнеса, ИТ-организация далее развивается как бы автономно до момента, когда эти цели будут скорректированы. Это приводит к появлению в модели процессов COBIT такого процесса, как стратегическое планирование ИТ (см. ниже). В ITIL v.3 подобного процесса нет, а есть только Портфель услуг, наполнение которого в каждый момент времени и определяет все планы развития ИТ. Я сравниваю COBIT именно с ITIL v.3, потому что COBIT тоже придерживается взгляда на взаимодействие ИТ-организации и бизнеса как на предоставление и потребление услуг, использует понятия Портфеля и Каталога услуг, хотя и на гораздо менее конкретном уровне, чем ITIL v.3.
Методы построения целей ИТ остаются за рамками COBIT. В приложениях к (COBIT, 2007) приведены лишь примеры условных целей бизнеса и соответствующих им столь же условных целей ИТ. Между тем попытки применить этот подход на практике показывают, что построение целей ИТ не является тривиальной задачей. Во-первых, цели бизнеса не являются постоянными, застывшими, и далеко не везде и не всегда их изменение происходит дискретно в запланированные сроки. Непонятно, как в этом случае организовать непрерывную коррекцию соответствующих целей ИТ. Во-вторых, цели бизнеса и ИТ формулируются на совершенно разных языках, и это порождает проблемы. Такие понятия как, например, "рентабельность", "прозрачность", "прибыльность", обычные для бизнес-языка, объективно оказываются очень сложными и многозначными при попытке перевода их на язык ИТ. Для выполнения работы по переводу целей бизнеса в цели ИТ нужен переводчик, одинаково хорошо владеющий языком бизнеса и техническим языком ИТ и пользующийся полным доверием бизнеса и ИТ-специалистов. Даже если переводчиком служит квалифицированный и профессиональный независимый консультант, обеспечить доверие к переводу, особенно со стороны бизнеса, удается далеко не всегда. Таким образом, попытка построить управление, отталкиваясь от целей ИТ, порождает целый ряд сложностей и во всяком случае не является единственно возможным подходом к стратегическому планированию ИТ.
Для описания деятельности по развитию корпоративных ИТ в соответствии со сформулированными целями ИТ в COBIT выстроена довольно сложная и не всегда строго определенная собственная система понятий, не встречающихся в других методологиях и стандартах.
В основе системы - совокупность средств и механизмов управления, называемых в оригинале controls . Сюда включаются "политики, процедуры, практики и организационные структуры, сконструированные так, чтобы обеспечить то, что цели бизнеса достигаются, а нежелательные события исключаются или распознаются и корректируются". Точных определений, эталонного перечня средств управления или хотя бы набора примеров книга (COBIT, 2007) не дает.
Различаются средства управления бизнесом и средства управления ИТ: первые обеспечивают достижение целей бизнеса, вторые - целей ИТ. Они находятся в довольно сложных и не до конца определенных отношениях. В частности, утверждается, что на уровне предприятия средства управления бизнесом, представляющие собой политики и сформулированные цели бизнеса, влияют на все средства управления ИТ. Об обратном же влиянии ничего не говорится, хотя в некоторых видах бизнеса (например, в Интернет-бизнесе) это влияние довольно велико.
На уровне бизнес-процессов, согласно COBIT, существует две разновидности средств управления процессом: ручные (например, распределение ролей в процессе) и автоматические (разработанные приложения, выполняющие отдельные задачи). Последние в оригинале называются "средствами управления, реализованными в виде приложений" ( application controls); я буду для краткости называть их просто "автоматическими". Бизнес отвечает за определение и использование как ручных, так и автоматических средств управления. Роль ИТ-организации - только поддерживать автоматические средства управления. В COBIT приводятся следующие примеры автоматических средств управления:
Еще одна категория средств управления возникает в связи с взглядом, согласно которому ИТ-организация отвечает за предоставление ИТ-услуг, общих для нескольких бизнес-процессов или даже для всего предприятия. Средства управления деятельностью по предоставлению ИТ-услуг называются общими ( general ). Примерами общих средств управления ИТ служат, согласно COBIT:
Сами по себе средства управления в COBIT не изучаются, и структура их для COBIT не представляет интереса. Они важны только как объект целеполагания, т. е. как то, чему можно сопоставить цель. Эти цели называются целями управления (control objectives ); они играют фундаментальную роль в концепции COBIT.
Таким образом, возникают цели управления ИТ организации в целом, цели автоматических средств управления (приложений) в бизнес-процессах, цели общих средств управления ИТ.
Для того чтобы как-то структурировать этот набор разнородных целей, в COBIT используется собственная модель процессов управления ИТ, называемых ИТ-процессами; каждый процесс в модели состоит из активностей. С помощью модели процессов строится иерархия целей управления. На самом верхнем уровне расположены цели управления ИТ (или цели ИТ), затем - цели управления процессами, и на нижнем уровне - цели управления активностями. Цели общих средств управления выражаются целями процессов и активностей. Из этой стройной картины выпадают цели приложений, да и вообще, понятие "цели" применительно к автоматическому средству управления выглядит довольно странно. В COBIT рекомендованные цели приложений для всех приложений одинаковы и сформулированы следующим образом ( нумерация COBIT сохранена).
Обеспечить то, чтобы исходные документы готовились уполномоченным и квалифицированным персоналом, следующим установленным процедурам, с учетом разделения ответственностей по созданию и утверждению документа. Минимизировать ошибки и пропуски за счет надлежащего построения форм ввода. Регистрировать ошибки и ошибочные ситуации для подготовки отчетов и исправления.
АС2. Сбор и ввод исходных данных
Обеспечить, чтобы ввод данных выполнялся своевременно и с участием квалифицированного и уполномоченного персонала. Корректировка и повторный ввод данных в случае ошибки при вводе должны выполняться с авторизацией на тех же уровнях. По возможности сохранять первоначальные исходные документы в течение надлежащего периода времени.
АС3. Проверка на точность, завершенность и аутентичность
Обеспечить точность, завершенность и достоверность транзакции. Проверять введенные данные, редактировать или возвращать для исправления как можно ближе к точке ввода.
АС4. Работа с целостностью и достоверностью
Поддерживать целостность и достоверность данных на протяжении всего цикла обработки. Обнаружение ошибочных транзакций не отражается на обработке правильных транзакций.
АС5. Выходные проверки
Разработать процедуры и связанные с ними обязанности, обеспечивающие, что выходные данные обрабатываются в соответствии с правилами авторизации, направляются надлежащему получателю и защищаются при передаче, а также то, что точность выходных данных верифицируется, распознается и корректируется и что информация, содержащаяся в них, используется.
АС6. Аутентификация и целостность транзакции
До передачи данных транзакции между внутренними приложениями и бизнес/операционными подразделениями (внутри организации или вовне ее) проверить правильность их адресной информации, подлинность происхождения и целостность. Поддерживать подлинность и целостность при передаче или пересылке".
Не обсуждая осмысленности и логической завершенности этого перечня, следует отметить, что сформулированные цели скорее относятся не к приложениям, а к единой технологии их разработки. В COBIT говорится, что "ИТ-процессы COBIT затрагивают только те аспекты управления приложениями, которые связаны с их разработкой". Тем самым подразумевается, что достижение целей управления ИТ-процессами должно обеспечивать достижение вышеприведенных целей приложений. О том, как это достигается, COBIT умалчивает.
Значительное место в COBIT занимает описание методов оценки эффективности и результативности ИТ-процессов. Для этого используется комбинированный подход, включающий:
Более подробно об оценке эффективности процессов будет говориться в разделе, посвященном ИТ-процессам.
Прежде чем переходить к более подробному анализу структуры и содержания модели ИТ-процессов COBIT, стоит сделать два замечания. Во-первых, несмотря на постоянно акцентируемую поддержку взаимосвязи методов управления ИТ и бизнеса, COBIT не предлагает ничего нового в этой сфере. Задача обеспечения взаимосвязи декларируется (как и в множестве других методик, например SPICE ), но конструктивных способов ее решения не даётся. Во-вторых, иерархия целей управления, о которой столько говорится, играет на самом деле чисто декоративную роль: никаких специфических задач, связанных с этой иерархией, не ставится и специальных методических приемов не используется (сразу оговорюсь, что эта иерархия , возможно, используется при аудите, о методике проведения которого в (COBIT, 2007) ничего не говорится). Пожалуй, единственное, для чего эта иерархия может оказаться полезной, - это разработка общего языка для руководителей бизнеса, ИТ-руководителей и специалистов. С этой точки зрения, однако, система понятий, выстроенная COBIT, не оправдывает своего назначения: объем усилий, потраченных на то, чтобы разобраться в невнятном обосновании COBIT, в конечном итоге не вознаграждается, поскольку не приводит к простому и компактному набору убедительных положений, которые могли бы лечь в основу такого языка. Безусловными недостатками (COBIT, 2007) являются многословие, избыток плохо определенных терминов, ненужные "формальные" рассуждения, использующиеся для объяснения очевидных вещей, и поверхностность изложения. Еще хуже обстоит дело с русским переводом (COBIT 4.1 рус, 2008), авторы которого вынуждены были буквально следовать невнятному и косноязычному английскому оригиналу и не могли изложить материал своими словами.