МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение

высшего образования
«МИРЭА  Российский технологический университет»
РТУ МИРЭА

Институт информационных технологий (ИИТ)

Кафедра практической и прикладной информатики (ППИ)

Реферат
по дисциплине «Стандартизация информационных технологий»

Тема реферата: «Обзор основных международных стандартов ИТ-

аудита»

Студент группы ИНБО-01-17 Мартыненко Ольга Олеговна

Руководитель доцент, Лагунова А.Д.

Москва 2020

ОГЛАВЛЕНИЕ
Введение.......................................................................................................................3
1. МЕЖДУНАРОДНЫЕ СТАНДАРТЫ..................................................................5

1.1 Стандарт COBIT..............................................................................................5

1.2 Стандарты ITIL/ITSM...................................................................................10

Заключение................................................................................................................19

Список литературы....................................................................................................20

2
 ВВЕДЕНИЕ
Информационные технологии с каждым годом все более усложняются.
Они поглощают огромные финансовые и временные ресурсы, при этом не
всегда предоставляя адекватный эффект. Положительные аспекты оттеняются
новыми рисками, что требует дополнительного контроля со стороны высшего
менеджмента, внешнего и внутреннего аудита.
Аудит ИТ — системный процесс получения и оценки объективных
данных о текущем состоянии информационной системы, действиях и событиях,
происходящих в ней, устанавливающий уровень их соответствия определенным
критериям и предоставляющий результаты Заказчику.
Важную роль в аудите и аудиторской деятельности играют стандарты
аудита, регулирующие профессиональную деятельность аудиторов. Стандарты
аудита — это документы, формулирующие единые требования, при
соблюдении которых обеспечивается соответствующий уровень качества
аудита и сопутствующих ему услуг. Эти стандарты имеют широкое
распространение, поскольку позволяют достичь наибольшей объективности в
выражении аудиторского мнения.
Аудиторские стандарты формулируют единые базовые требования,
определяющие определенный уровень гарантии результатов аудиторской
проверки при соблюдении этих требований. Они устанавливают единые
требования к процедуре аудирования, к аудиторскому заключению и к самому
аудитору.
Стандарты определяют общий подход к проведению аудита, масштаб
аудиторской проверки, виды отчетов аудиторов, а также методологию аудита.
Стандарты определяют базовые принципы, которым должны следовать все
представители профессии. Они должны выполняться независимо от условий, в
которых проводится аудит. Аудитор, допускающий в своей практике
отступление от стандартов, должен быть готов объяснить причину этого.
Для аудита необходимо полное понимание ключевых областей
управления ИТ:
3
  Соответствие стратегии делает акцент на связи между планами
бизнеса и ИТ; выявлении, поддержке и контроле за ценностным предложением
ИТ; а также на соответствии ИТ и бизнес операций.
 Полезность представляет собой реализацию ценностного
предложения, контроль за тем, чтобы ИТ обеспечивали определенные
стратегией преимущества, сосредоточение на оптимизации затрат и
подтверждение подлинной ценности ИТ.
 Управление ресурсами посвящено вопросам, связанным с
управлением критичными ИТ ресурсами, а именно, оптимизацией инвестиций и
должному руководству приложениями, информацией, инфраструктурой и
персоналом. Ключевые вопросы касаются оптимизации знаний и
инфраструктуры.
 Управление рисками требует осведомленности высшего
руководства в области рисков, четкого понимания корпоративного подхода в их
отношении, соответствия требованиям прозрачности в отношении
существенных рисков, включения функции или системы управления рисками в
практику организации.
 Оценка эффективности представляет собой контроль за
реализацией стратегии, результатами проектов, использованием ресурсов,
эффективностью процессов и сервисным обслуживанием. Для этого
применяются, в частности, системы сбалансированных показателей, которые
преобразуют стратегию в последовательность действий, результаты которых
измеряются иными, по сравнению с бухгалтерским учетом, методами.
Целью данной работы является представление основных актуальных
международных стандартов в области ИТ-аудита, которые используются при
проведении различных типов проверок информационных технологий.

4
 1. МЕЖДУНАРОДНЫЕ СТАНДАРТЫ
1.1 Стандарт COBIT
COBIT – «Задачи информационных и смежных технологий» подход к
управлению информационными технологиями, созданный Ассоциацией
контроля и аудита систем (Information Systems Audit and Control Association -
ISACA) и Институтом руководства ИТ (IT Governance Institute - ITGI) в 1992
году. Он предоставляет менеджерам, аудиторам и ИТ пользователям набор
утверждённых метрик, процессов и лучших практик с целью помочь им в
извлечении максимальной выгоды от использования информационных
технологий и для разработки соответствующего руководства и контроля ИТ в
компании. [3]
COBIT соответствует всем общепринятым мировым стандартам и
инструкциям, включая:
 ISO, EDIFACT и т. д.;
 критерии оценки ИС и процессов: ITSEC, TCSEC, ISO 9000, SPICE,
TickIT и т. д.;
 COSO, IFAC, IIA, AICPA, GAO, PCIE, ISACA и т. д.;
 производственные стандарты и требования промышленных
форумов ESF, I4 и т. д.;
 специализированные требования промышленности.
Основное положение COBIT гласит: «Ресурсы информационных систем
управляются набором естественно сгруппированных процессов для
обеспечения организации необходимой и надежной информацией». Весь
стандарт выстроен на основании этого утверждения. [2]
Задача COBIT — ликвидации разрыва между руководством компании с
их видением бизнес-целей и IT-департаментом, которая должна способствовать
достижению этих целей. [1]
COBIT, служит своеобразной платформой-буфером для диалога между
всеми участниками бизнеса:

5
  непосредственными исполнителями;
 руководителями среднего звена;
 топ-менеджерами;
 аудиторами.
В COBIT детально описаны цели и принципы управления, объекты
управления, четко определены все IT-процессы, протекающие в компании (для
каждого процесса определены входы и выходы, исполнители и ответственные,
а также объекты контроля и метрики), и требования к ним, описан возможный
инструментарий для их реализации. Также приведены практические
рекомендации по управлению IT-безопасностью.
COBIT вводит целый ряд показателей для оценки эффективности
реализации системы управления IT, которые используются аудиторами IT-
систем. В их число входят показатели качества и стоимости обработки
информации, характеристики ее доставки получателю, показатели,
относящиеся к субъективным аспектам обработки информации (например
стиль, удобство интерфейсов). Оцениваются показатели, описывающие
соответствие компьютерной IT-системы принятым стандартам и требованиям,
достоверность обрабатываемой в системе информации, ее действенность,
общепринятые показатели информационной безопасности —
конфиденциальность, целостность и доступность обрабатываемой в системе
информации.
Концепция стандарта предполагает построение механизмов управления
ИТ исходя из того, какая информация необходима для достижения бизнес-
целей. При этом информация рассматривается как результат использования ИТ
ресурсов, управление которыми осуществляется в рамках ИТ процессов. ИТ
ресурсы включают в себя приложения, информацию (данные в любой форме),
инфраструктуру, персонал. [7]
Для достижения целей бизнеса информация должна удовлетворять
определённым критериям, которые в стандарте COBIT называют бизнес-

6
требованиями к информации. Выделяют следующие бизнес-требования к
информации или информационные критерии:
 эффективность,
 рациональность,
 конфиденциальность,
 целостность, доступность,
 соответствие нормам,
 надёжность информации. [4]
Механизмы управления включают в себя политики, организационные
структуры, процедуры и регламенты. Задачей управления ИТ является
формулировка желаемого результата или цели, которые должны быть
достигнуты путём реализации механизмов управления в рамках конкретного
ИТ процесса.
В более ранних версиях COBIT оценка системы управления проводилась
исключительно как оценка некоторой совокупности взаимосвязанных
процессов, необходимых для достижения целей ИТ и, следовательно, целей
организации. Был только один оцениваемый фактор – процесс.
Вся деятельность, связанная с ИТ, описана в COBIT в виде
взаимосвязанных между собой процессов. Все процессы сгруппированы по
доменам, количество доменов и процессов для разных версий COBIT различно.
Домены отражают разные области управления, включая задание направления,
планирование, построение, внедрение, эксплуатацию, мониторинг, анализ и
совершенствование.
Концептуальное ядро стандарта COBIT 5 (выпущен в 2013 году)щ
сформировано из 37 высокоуровневых процессов (которые покрывают порядка
200 целей контроля), сгруппированных в 5 доменов (сферы деятельности) [5]:
1. Планирование и организация: включает стратегию и тактику, а
также определение способов наиболее эффективного использования ИТ для
достижения бизнес-целей. Регламентируемые процессы:

7
  PO1 Разработка стратегического плана
 PO2 Определение ИТ архитектуры
 PO3 Определение направлений развития технологий
 PO4 Формализация ИТ процессов, организации и взаимоотношений
с бизнесом
 PO5 Управление инвестициями в ИТ
 PO6 Согласованное управление целями и задачами
 PO7 Управление ИТ персоналом
 PO8 Управление качеством
 PO9 Оценка и управление рисками ИТ
 PO10 Управление проектами
2. Приобретение и внедрение: для реализации ИТ стратегии нужно
идентифицировать, разработать или приобрести соответствующие ИТ решения,
которые должны быть внедрены и интегрированы в бизнес-процессы, а также
внести изменения в информационные системы. Регламентируемые процессы:
 AI1 Идентификация и выбор решений по автоматизации
 AI2 Проектирование и разработка приложений
 AI3 Проектирование и поддержка технической инфраструктуры
 AI4 Обеспечение работы и использования ИС
 AI5 Закупка ИТ ресурсов
 AI6 Управление изменениями
 AI7 Установка и утверждение решений и изменений
3. Предоставление и поддержка: включает предоставление требуемых
информационных служб, в том числе обеспечение безопасности и
непрерывности бизнеса, обучение, а также обработку данных прикладными
системами. Регламентируемые процессы:
 DS1 Определение и управление уровнями сервиса
 DS2 Управление сервисами подрядчиков
 DS3 Управление производительностью и мощностью
8
  DS4 Обеспечение непрерывности сервисов
 DS5 Обеспечение безопасности систем
 DS6 Определение и распределение ИТ затрат
 DS7 Обучение пользователей
 DS8 Управление службой поддержки и инцидентами
 DS9 Управление конфигурацией
 DS10 Управление проблемами
 DS11 Управление данными
 DS12 Управление физическим оборудованием
 DS13 Управление эксплуатацией.
4. Мониторинг и оценка: качество и соответствие ИТ процессов
требованиям контроля должны оцениваться на регулярной основе. Этот домен
включает в себя надзор со стороны руководства за процессами управления в
организации, а также независимый контроль со стороны внутренних и внешних
аудиторов. Регламентируемые процессы:
 ME1 Отслеживать и оценивать производительность ИТ
 ME2 Отслеживать и оценивать внутренние контроли
 ME3 Гарантировать соответствие регулирующим требованиям
 ME4 Обеспечивать руководство ИТ.
5. Управление: нужно определить значимых заинтересованных лиц,
их цели, ответственность и полномочия в рамках процесса. [7]
Посредством использования стандарта COBIT руководители ИТ
подразделений преобразуют задачи бизнеса в чёткие и понятные планы
развития ИТ.
Основным преимуществом стандарта COBIT является его полнота и
отчётливые практические рекомендации и инструменты, с помощью которых
можно построить систему управления информационными технологиями
корпорации и, в том числе, эффективную систему управления рисками в ИТ.
Таким образом, при использовании методологии COBIT информационная
9
система строится исходя из требований бизнеса и условий жесткой экономии
ресурсов, а также эффективного использования этих ресурсов. Другими
словами, стандарт COBIT описывает бизнес-ориентированный подход к
созданию информационной среды: ИТ рассматриваются в виде инструмента
бизнеса, а стандарт определяет принципы построения и организации работы ИТ
департамента.

1.2 Стандарты ITIL/ITSM

В современных условиях происходит смещение акцентов в управлении
ИТ-службой предприятия, связанное с тем, что фактически бизнес-
подразделения предприятия потребляют не информационные системы, а
сервисы (решение проблем и задач бизнеса средствами информационных
технологий), оценка которых должна производиться не только по
предоставляемой функциональности, но и по качеству обслуживания (см.
введение). При этом серьезно меняется модель управления ИТ-службой
предприятия, объектом управления становится услуга (а не информационная
система), целью – решение бизнес-задачи (а не обеспечение технических
возможностей использования ИС).
Основные идеи этого подхода были воплощены в следующих стандартах:
 ITIL–IT Infrastructure Library, проект систематизации передовой
практики управления информационными технологиями;
 ITSM – IT Service Management, модель процессов службы ИС.

Первоначальным владельцем проекта была организация CCTA – Central

Computing & Telecommunication Agency (UK). В настоящее время владельцем
проекта является OGC – Office of Government Commerce (UK). Организация
TSO (The Stationery Office) занимается публикацией книг с изложением
стандартов ITIL/ITSM.
Начало проекта относится к 80-м годам прошлого века, а в конце 1980-х
гг. образовалось сообщество ITIL в составе CCTA (OGC). В 90-е годы
формируется библиотека книг стандартов и появляется интерес
10
неправительственных организаций. В конце 1990-х гг. – ITIL становится
стандартом де-факто. Сегодня стандарты ITIL/ITSM состоят из 15 книг по всем
основным областям управления информационными технологиями, включая
примеры.
ITSM базируется на понятиях сервиса и процесса. Основные отличия
управления ИТ-сервисами от управления информационными системами
заключаются в следующем:
 бизнес формулирует требования к ИТ-сервисам, а ИТ-служба
обеспечивает их реализацию;
 информационные системы для ИТ-службы имеют статус ресурса;
 финансовый результат ИТ-службы определяется традиционным для
бизнес-единицы образом: доходы за счет предоставления сервисов минус
расходы по их разработке, внедрению и сопровождению;
 контроль деятельности ИТ-службы осуществляется на основе
показателей, имеющих ценность с позиций клиента (использующего сервисы);
 прозрачность деятельности ИТ-службы обеспечивается за счет
формализации управленческих процедур в виде пакета документов,
являющихся нормативной базой для всех бизнес-процессов ИТ-службы.
Переход к модели ITIL/ITSM обеспечивает единый механизм оценки,
планирования, реализации и технической поддержки ИТ-сервисов, а
формализация управленческих процедур обеспечивает их прозрачность. [2]
Стандарт ITIL/ITSM имеет статус свободно распространяемой модели и
является сегодня самым популярным подходом к управлению ИТ-сервисами.
Точнее всего его можно определить как систему взглядов. Он применим ко
всем секторам и организациями любого размера и может быть внедрен как
полностью, так и частично, как в каноническом, так и в измененном виде.
Стандарт ITIL/ITSM описывает не организационные единицы и их функции, а
процессы, причем количественных требований (например, число
администраторов на число пользователей) или требований к используемому
программному обеспечению он не содержит.
11
 В стандарте основной упор делается на пользователей ИТ-сервисами, на
вопросы улучшения коммуникаций с ИТ-департаментом и более эффективного
применения в ИТ-бизнесе.
Все книги стандартов ITIL/ITSM имеют гриф «Библиотека лучшего
международного опыта в области информационных технологий».

Создание стандарта ITIL было обусловлено тем, что требования к

информационным системам стремительно возрастали в условиях
ограниченности ресурсов. Такое положение дел обусловливало необходимость
сокращения издержек при обслуживании и модернизации.
Как и в CobiT, в стандарте ITIL деятельность по обеспечению ИТ-услуг
представляется в виде отдельных процессов, имеющих входные/выходные
параметры и четко определенные цели. Все процессы разделены на две
большие категории.
1. Предоставление услуг (Service Delivery). В эту категорию входят
такие функции, как управление уровнем услуг (Service Management),
производительностью (Capacity Management), доступностью (Availability
Management), управление затратами (Cost Management) и непрерывностью
(Contingency Management).
2. Поддержка услуг (Service Support). В эту категорию попадают такие
функции, как управление конфигурациями (Configuration Management),
проблемами (Problem Management), изменениями (Change Management),
разработкой и распространением программного обеспечения (Software Control
& Distribution), а также взаимодействие с пользователями (Service Desk).
Краткое содержание стандарта ITIL:
 о бизнес-перспективах (The Business Perspective Set). О роли
информационных технологий для современного бизнеса и изменении их
влияния в условиях современного динамичного мира;

12
  подборка для менеджеров (Managers Set). Об организации
взаимодействия с клиентами, планировании, организации и контроле сервисов,
опыте в вопросах управления, управлении качеством;
 о поддержке сервисов (Service Support Set). Все услуги,
предоставляемые ИТ-подразделением для обеспечения функционирования
прикладных бизнес-сервисов. Рассматривается иерархия критериев по отбору
средств для поддержки сервисов;
 о предоставлении сервисов (Service Delivery Set). Вопросы,
связанные с предоставлением сервисов: условия их доступности,
непрерывности предоставления, управления стоимостью, обеспечения качества,
а также инструментарий для воплощения перечисленных идей;
 поддержка программного обеспечения (Software Support Set).
Вопросы лицензирования и обеспечения функционирования ПО;
 об оперативном функционировании компьютеров (Computer
Operations Set). Все аспекты ежедневного оперативного функционирования
оборудования и технологий, включая руководство по планированию и
внедрению новых функциональных элементов;
 стратегия построения среды (Environmental Strategy). Проблемы
планирования кабельной инфраструктуры;
 об офисной среде (Office Environment Set). Вопросы влияния
внутриофисного дизайна, планирования размещения рабочих мест, роли
человеческого фактора и обеспечения качественного труда персонала;
 управление средой (Environment Management Set). Вопросы
управления электросетями, кабельной инфраструктурой, снижения
акустических и электромагнитных шумов;
 управление данными (Data Management Set). Стандарты управления
данными и роль управления ими в общей концепции корпоративной
информации;

13
  управление информационной безопасностью (Security Management).
Весь спектр вопросов, связанных с обеспечением информационной
безопасности организации.
Дополнительные руководства (Complementary Guidance) – включает тома,
посвященные вопросам планирования, построения и дальнейшего
функционирования сетевой инфраструктуры.
О поддержке сервисов (Service Support Set) – все услуги,
предоставляемые ИТ-подразделением для обеспечения функционирования
прикладных бизнес-сервисов. Рассматривается иерархия критериев по отбору
средств для поддержки сервисов. [2]

ITSM – относительно новая концепция управления ИТ-подразделениями.

Суть ITSM заключается в необходимости перехода от традиционной модели,
где главная цель - это собственно поддержка ИТ инфраструктуры, к схеме,
ориентированной на обслуживание основного бизнеса компании.
То есть, основная идея ITSM заключается в том, чтобы ИТ отдел перестал
быть вспомогательным элементом для основного бизнеса компании,
ответственным только за работу отдельных серверов, сетей и приложений. ИТ
отдел должен стать полноправным участником бизнеса, выступая в роли
поставщика сервисов для бизнес-подразделений, а отношения между ними
формализуются как отношения «поставщик сервисов – потребитель сервисов».
Бизнес-подразделение формулирует свои требования к необходимому спектру
сервисов и их качеству, а ИТ подразделения поддерживают и развивают
информационную инфраструктуру компании таким образом, чтобы она была в
состоянии обеспечить запрошенный сервис с заданным качеством.
Важнейшая составляющая реализации ITSM – разработка
формализованных процессов ИТ отдела. Для каждого процесса определяется
последовательность выполнения работ, необходимые ресурсы и затраты
времени, средства автоматизации и контроля качества. Кроме того, если

14
процесс чётко определен и документирован, включая входные параметры и
результаты выполнения, можно измерить его производительность.
ITSM не касается подробностей и деталей технического управления
процессами, управление ИТ сервисами направлено на обеспечение реализации
бизнес-процессов и на структурирование внутренней организация работы и
деятельности ИТ-подразделения.
Реализация ITSM также включает в себя формализацию регламентов
работы сотрудников и подразделений ИТ, определение зон ответственности и
полномочий персонала, критерии качества работы и формирование механизмов
контроля и мониторинга состояния процессов. [6]
Концепция ITSM находит своё отражение в рассмотренных ранее
методологиях.
Краткое содержание стандарта ITSM.
Модель ITSM помогает сгруппировать бизнес-процессы ИТ-службы в
следующие тематические блоки:
1. Блок построения взаимоотношений ИТ-подразделения с бизнес-
подразделениями:
a) - процесс анализа потребностей бизнеса, основной задачей которого
является согласование целей и приоритетов между бизнес-подразделениями
предприятия и ИТ-службой;
b) - процесс управления клиентами, определяющий и согласовывающий
требования по конкретным сервисам, необходимым подразделениям;
c) - разработка стратегии развития информационных технологий,
организующая интегрированный корпоративный процесс по развитию
информационных технологий для обеспечения их соответствия основным
целям и потребностям предприятия;
2. Блок предоставления сервисов:
a) - процесс управления уровнем сервиса (качеством сервиса),
согласующий спецификации по составу и параметрам сервиса и
предоставляемым ИТ-службой ресурсам;
15
 b) - процесс управления затратами, осуществляющий расчет издержек,
пользовательских цен, а также поиск путей снижения затрат;
c) - процесс управления доступностью (временем предоставления
сервиса, зависит от ИТ-инфраструктуры);
d) - управление мощностями (производительностью);
e) - управление непрерывностью (способностью поддерживать сервисы
в чрезвычайных ситуациях);
3. Блок разработки и внедрения сервисов:
a) - процесс разработки и тестирования, основной задачей которого
является реализация сервиса в соответствии с его спецификациями;
b) - процесс ввода в эксплуатацию, обеспечивающий инфраструктуру
функционирования нового сервиса и осуществляющий подготовку справочных
руководств, а также обучение специалистов технической поддержке сервиса;
4. Блок поддержки сервисов:
a) - функция поддержки пользователей (Service Desk);
b) - процесс управления инцидентами, обеспечивающий
восстановление сервиса путем обработки инцидентов – событий, не
являющихся частью нормального функционирования сервиса, приводящих
(потенциально) к его отказу или снижению его качества;
c) - процесс управления проблемами, предназначенный для устранения
причин возникновения инцидентов;
d) - процесс управления изменениями, задачами которого являются
регистрация изменений, разрешение и отсев изменений, оценка воздействия
изменений на ИТ-среду и т. п.;
e) - процесс управления конфигурацией, поддерживающий в
актуальном состоянии данные по конфигурации информационных систем;
f) - процесс управления релизами (внедрением новых элементов
конфигурации).
Основные положения стандарта:

16
  ИТ-подразделение является таким же формирующим прибавочную
стоимость подразделением, как и остальные подразделения организации;
 ИТ-подразделение не предоставляет в пользование оборудование, а
оказывает услуги, необходимые для конечных пользователей, которых в таком
контексте предпочтительнее именовать «потребителями услуг»;
 следует перейти от отношений владелец-пользователь
оборудования (приложений) к отношениям покупатель-продавец услуг;
 должны быть выработаны способы измерения качества
предоставляемых услуг: невозможно оценить то, что нельзя измерить;
 качество предоставляемых услуг находится в непосредственной
зависимости от их стоимости: не могут качественные услуги быть дешевыми, а
дешевые – удовлетворять завышенным требованиям потребителей;
 нельзя гарантировать качество предоставляемых услуг без
осуществления его непрерывного контроля и без своевременного принятия
управленческих решений по его обеспечению;
 в современных сложных ИТ-инфраструктурах эффективный
контроль качества предоставляемых услуг не может осуществляться без
применения специализированных средств автоматизации;
 даже самые лучшие средства автоматизации не способны
функционировать самостоятельно; положительный эффект будет достигнут
только в случае построения комплексной системы управления,
предусматривающей не только применение средств автоматизации, но и
правильную организацию взаимодействия ИТ-персонала между собой и с
представителями иных подразделений;
 при построении единой комплексной системы управления следует
учитывать передовой опыт, творчески применяя его к каждой конкретной
ситуации;
 система управления ИТ-инфраструктурой не является бесплатной,
ее правильная реализация требует определенных затрат. Но предоставляемые

17
при этом возможности по контролю и управлению ИТ-инфраструктурой
позволяют существенно перекрыть эти расходы за счет повышения качества
ИТ-сервисов и

18
 ЗАКЛЮЧЕНИЕ
Прежде всего в проведении аудита заинтересованы коммерческие или
бюджетные организации и предприятия, которые проводят его для обоснования
инвестиций в ИС, а также ИТ компании для оценки влияния ИС на основной
бизнес-процесс и расширения спектра предлагаемых услуг. Для компаний,
проводящих финансовый аудит — аудит ИС, дополнительная услуга, которая
способна повысить рейтинг компании на рынке.
ИТ-аудит позволяет руководителю:
 Оценить степень соответствия ИС требованиям бизнеса.
 Определить приоритеты основных ИТ-процессов.
 Выявить критически важные элементы ИТ.
 Выявить и оценить факторы риска.
 Оценить степень защищенности компании от чрезвычайных
происшествий и их последствий.
 Создать план работ по устранению недостатков и разработать
способы их устранения.
В результате работы были рассмотрены основные международные
стандарты и лучшие практики проведения аудита информационных
технологий.
Рассмотренные стандарты ориентированы на удовлетворение
потребностей бизнес-подразделений ИТ-службой, оперируют понятием
«процесс управления» и измеримыми показателями деятельности. Ни в одном
из них не анализируются организационные структуры ИТ-службы. Это
является их сходством.
Главным отличием стандартов является разная структуризация бизнес-
процессов ИТ-службы. Предполагаются разные способы их реализации:
стандарты ITIL/ITSM – для создания ИТ-службы, стандарт COBIT – для
анализа степени совершенства ИТ-службы (основной способ использования –
аудит).
19
СПИСОК ЛИТЕРАТУРЫ
1. Александр Астахов. Статья: ИТ-АУДИТ в соответствии со
стандартом COBIT. [Электронный ресурс] Режим доступа:
https://www.osp.ru/cio/2003/09/172862/ (Дата обращения 26.02.20).
2. Баронов В. В. Статья: Информационные технологии и управление
предприятием. Стандарты ITIL/ITSM. Стандарт COBIT. [Электронный
ресурс] Режим доступа: https://econ.wikireading.ru/44174 (Дата обращения
26.02.20).
3. Зубок Д.А. Системы аудита и стандарты на информационные
технологии на предприятии. (стр. 58-59) [Электронный ресурс] Режим
доступа: http://fitp.ifmo.ru/shared/files/201409/1_694.pdf (Дата обращения
26.02.20).
4. Павел Рудаков. Статья: Стандарты управления ИТ [Электронный
ресурс] Режим доступа: https://www.osp.ru/cio/2002/07-08/172230/ (Дата
обращения 26.02.20).
5. COBIT®. Эволюция методов оценки системы управления. Сайт: IT
Expert. Training and examination center. [Электронный ресурс] Режим
доступа: https://www.itexpert.ru/rus/newsline/articles/detail.php?ID=14917
(Дата обращения 26.02.20).
6. ITSM (IT Service Management) - современная концепция управления
ИТ-подразделениями. ISTM – что это такое? Методология, внедрение
ITSM. Сайт: IT Expert. Training and examination center. [Электронный
ресурс] Режим доступа: https://www.itexpert.ru/rus/biblio/itsm/ (Дата
обращения 26.02.20).
7. Обзор стандарта COBIT (Control Objectives for Information and
related Technology) v. 4.1. Методология, процессы, критерии, внедрение
Cobit. Сайт: IT Expert. Training and examination center. [Электронный

20
ресурс] Режим доступа: https://www.itexpert.ru/rus/biblio/cobit/ (Дата
обращения 26.02.20).

21