Стандарт COBIT

 Control Objectives for Information

and Related Technology («Задачи
информационных и смежных
технологий»)
Информационные
технологии

COBIT

Эффективный бизнес
 А нужен ли COBIT?

 Огромные тома абстрактной документации, в которых нет ни одного

пошагового HOW TO и ни одной конкретной рекомендации.
 COBIT бесполезен для малых и в большинстве случаев для средних
компаний
 Задача – убраться в серверной

CCM (Chief Cleaning Manager)

CIO (Chief Information Officer)

Высшее руководство и абстрактно-стратегические цели

COBIT

Информационно-технический отдел
и конкретные материальные задачи
 Концепция COBIT уже успешно внедрена в некоторых
действительно больших организациях. Например, сюда
относятся:
 Министерство обороны США
 Почтовая служба США
 Департамент по делам ветеранов США (VA)
 Правительство штата Альберта, Канада
 Агентство банковского регулирования и надзора, Турция (BRSA)
 Агентство по страхованию и рынкам капитала, Израиль
 Управление генеральной инспекции Евросоюза (OIG)
 Управление государственного аудита, Литовская Республика
 Правительство штата Керала, Индия
 Управление финансов, Колумбия
 Главное управление финансов (SUGEF), Коста-Рика
 Правительство Бахрейна
 Федеральное правительство Нигерии
 Правительство Южно-Африканской Республики
 Структура и состав документов COBIT

COBIT — результат обобщения мирового опыта,

международных и национальных стандартов и руководств в
области управления ИТ, аудита и информационной
безопасности.
Первая версия стандарта была выпущена в 1996 году
Организацией аудита и контроля информационных систем
(Information Systems Audit and Control Foundation, ISACF). Она
включала в себя
 «Концептуальное ядро» (COBIT Framework), определяющее
набор основополагающих принципов и понятий в области
управления ИТ,
 описание «Задач управления» (Control Objectives)
 «Руководство по аудиту» (Audit Guideline).
 Структура и состав документов COBIT

Вторая версия COBIT была опубликована в 1998 году. Она содержала:

 переработанную версию высокоуровневых и детальных «Задач
управления»,
 «Набор инструментов внедрения» (Implementation Tool Set).
Третья редакция была выпущена уже Институтом управления ИТ (IT
Governance Institute), учрежденным Ассоциацией аудита и контроля
информационных систем (Information Systems Audit and Control
Association, ISACA), совместно с ISACF
В третьей версии стандарта появилось:
 «Руководство по менеджменту» (Management Guidelines), в основе
которого лежит понятие «Система управления ИТ» (IT Governance).
 Стандарт CobiT изложен в шести
книгах:
1. Резюме для руководителя. Описание стандарта CobiT,
ориентированное на топ-менеджеров организации для
принятия ими решения о применимости стандарта в
конкретной организации.
2. Описание структуры. Книга содержит развернутое
описание структуры стандарта, высокоуровневых целей
контроля и пояснения к ним, необходимые для
эффективной навигации и результативной работы со
стандартом.
3. Объекты контроля. В книгу включены детальные
описания объектов контроля, содержащие расшифровку
каждого из объектов.
 Стандарт CobiT изложен в шести
4. книгах:
Принципы управления. Книга отвечает на вопросы как
управлять ИТ, как правильно поставить достижимую
цель, как ее достичь и как проконтролировать полноту ее
достижения. Предназначена для руководителей ИТ-
служб.
5. Принципы аудита. Правила проведения ИТ-аудита.
Описание того, у кого можно получить необходимую
информацию, как ее проверить, какие вопросы задавать?
Книга предназначена для внутренних и внешних
аудиторов ИТ, а также консультантов в сфере ИТ.
6. Набор инструментов внедрения стандарта —
практические советы по ежедневному использованию
стандарта в управлении и аудите ИТ. Книга
предназначена для внутренних и внешних аудиторов ИТ,
консультантов в сфере ИТ.
 Резюме для руководства

«Резюме для руководства» содержит общие сведения о

стандарте, определяет миссию COBIT и понятие системы
управления ИТ.
Система управления ИТ - структура взаимоотношений и
процессов, задающих направление и осуществляющих
управление предприятием для достижения бизнес-целей
путем получения добавленной стоимости при наличии
баланса между величиной рисков и возвратом инвестиций,
сделанных в ИТ.
СУИТ в настоящее время признается ключевой частью
системы управления предприятием (Enterprise Governance).
COBIT является инструментом, позволяющим
руководству предприятия:

 обеспечить переход от постановки

бизнес-задач к вопросам управления ИТ;
 установить должный уровень понимания
рисков и преимуществ, связанных с
использованием ИТ
 реализовать эффективную систему
управления ИТ, направленную на
достижение бизнес-целей предприятия.
 Связь бизнес-процессов,
информационных ресурсов и информации
 Концептуальное ядро
Книга «Концептуальное ядро
COBIT» представляет собой набор
основополагающих принципов и понятий, а также
модель управления ИТ, на которых базируются все
положения COBIT.

Концепция стандарта предполагает построение

механизмов управления ИТ исходя из того, какая
информация необходима для достижения бизнес-
целей. При этом информация рассматривается как
результат использования ИТ-ресурсов,
управление которыми осуществляется в рамках
ИТ-процессов.
 Отправным пунктом является следующее
утверждение:

Для своевременного и полного получения

информации, необходимой организации для
достижения бизнес-целей, управление ИТ-
ресурсами должно осуществляться при
помощи набора естественным образом
сгруппированных процессов.
 Концептуальное ядро COBIT сформировано из набора 34
высокоуровневых задач управления (одна задача для каждого
ИТ-процесса), сгруппированных в четыре домена:
планирование и организация;
проектирование и внедрение;
эксплуатация и сопровождение;
мониторинг.

Такая структура охватывает все аспекты управления и

использования ИТ. Выполнение всех 34 задач управления,
позволяет гарантировать владельцу бизнес-процесса, что
система управления ИТ является адекватной задачам бизнеса.
 Ресурсы ИТ

 Данные — объекты в широком смысле (то есть внутренние и

внешние), структурированные и неструктурированные, а также
графика, звук и т.д.
 Приложения — совокупность автоматизированных и выполняемых
вручную процедур.
 Технология — аппаратное обеспечение, программное обеспечение,
операционные системы, системы управления базами данных, сетью
и мультимедиа.
 Оборудование — все ресурсы, создающие и поддерживающие
информационные технологии.
 Люди — персонал, его навыки: умение планировать и
организовывать, комплектовать, обслуживать и контролировать
информационные системы и услуги.
 Критерии оценки информации
 Эффективность — актуальность информации, соответствующего бизнес-
процесса, гарантия своевременного и регулярного получения правильной
информации.
 Продуктивность — обеспечение доступности информации с помощью
оптимального (наиболее продуктивного и экономичного) использования
ресурсов.
 Конфиденциальность — обеспечение защиты информации от
неавторизованного ознакомления.
 Целостность — точность, полнота и достоверность информации в
соответствии с требованиями бизнеса.
 Пригодность — предоставление информации по требованию бизнес-
процессов.
 Согласованность — соответствие законам, правилам и договорным
обязательствам.
 Надежность — доступ руководства организации к соответствующей
информации для текущей деятельности, для создания финансовых отчетов
и оценки степени соответствия.
 ИТ-процесс «управление финансовыми потоками
организации при помощи электронных
шифрования и подписи платежных систем»
 данные в виде электронных ордеров, электронных ключей, используемых для
этих ордеров при отправке в банк, выписок о состоянии
счетов, полученных из банка, а также бумажные оригиналы этих документов;
 прикладные системы, включающие в себя программное обеспечение "банк -
клиент", а также ручные процедуры, связанные с подготовкой, верификацией,
подписанием бумажных документов и формирование электронных платежек в
системе "банк - клиент";
 технологии, используемые для реализации электронных платежей, вместе с
рабочими местами операторов платежной системы, телекоммуникационным
оборудованием (модемы, каналообразующее оборудование и линии связи),
операционная система, на базе которой функционирует программное обеспечение
системы "банк - клиент", СУБД, используемая для хранения электронных ордеров и
квитанций, полученных из банка;
 средства поддержки, включая изолированное помещение, в котором установлен
АРМ оператора системы банк-клиент и физические средства контроля доступа в
это помещение в виде электронных замков и видеокамер;
 людские ресурсы - сотрудники бухгалтерии организации, выполняющие функции
по формированию, верификации, подписанию, отправке электронных ордеров и т.
п., а также технические специалисты, отвечающие за администрирование и
сопровождение системы "банк - клиент".
 Домены процессов управления ИТ
 Планирование и организация. Включает стратегию и тактику, а также
определение способов наиболее эффективного использования ИТ для
достижения бизнес-целей. Реализацию стратегических замыслов надо
спланировать и согласовать; необходимо создать соответствующую
организационную и ИТ-инфраструктуру.
 Проектирование и внедрение. Для реализации ИТ-стратегии нужно
идентифицировать, разработать или приобрести соответствующие ИТ-
решения, которые должны быть внедрены и интегрированы в бизнес-
процессы, а также внести изменения в информационные системы.
 Эксплуатация и сопровождение. Включает предоставление требуемых
информационных служб, в том числе обеспечение безопасности и
непрерывности бизнеса, обучение, а также обработку данных
прикладными системами.
 Мониторинг. Качество и соответствие ИТ-процессов требованиям
контроля должны оцениваться на регулярной основе. Этот домен включает
в себя надзор со стороны руководства за процессами управления в
организации, а также независимый контроль со стороны внутренних и
внешних аудиторов.
 «Руководство по менеджменту» позволяет
руководству предприятия

 реализовать более эффективные стратегии управления ИТ;

 установить контроль над использованием информационных
ресурсов и соответствующими процессами;
 осуществлять мониторинг;
 давать сравнительную оценку достижения бизнес-целей;
 оценивать производительность в рамках каждого ИТ-процесса.

Определяемые в COBIT модели зрелости организации (Maturity

Model) позволяют руководству организации дать оценку текущему
состоянию ИТ-процессов в сравнении с лучшими примерами в
данной отрасли и найти возможности их совершенствования.
 Модели зрелости

 Модели зрелости предназначены для организации

эффективного управления. Они определяют ключевые
действия, которые указывают, что надо сделать для
достижения требуемого качества и содержат способы
контроля над правильностью выполнения ключевых
ИТ-процессов и методы их корректировки.
 Модели зрелости в CobiT предназначены для контроля
над ИТ-процессами организации. Они базируются на
определении уровня развития организации от
несуществующего до оптимизированного (от 0 до 5
уровня модели зрелости).
Шкала моделей зрелости
 Модели зрелости
0. Не существует. Полное отсутствие процессов управления ИТ.
Организация не признает существования проблем в ИТ
1. Начало (Анархия). Организация признает существование проблем
управления ИТ и необходимость их решения. Но не существует никаких
стандартизованных решений
2. Повторение (Фольклор). Существует всеобщее осознание проблем
управления ИТ. Показатели деятельности и ИТ-процессов находятся в
развитии, охватывая процессы планирования, функционирования и
мониторинга ИТ. Деятельность по управлению ИТ описана и
интегрирована в процесс управления организацией
3. Описание (Стандарты). Развивается базовый набор показателей
управления ИТ: определена связь между результатом и показателями
производительности, она зафиксирована и внедрена в стратегические
процессы планирования и мониторинга
4. Управление (Измеряемый). Четко распределена ответственность,
установлен уровень владения процессами. Процессы ИТ соответствуют
бизнесу и стратегии ИТ
5. Оптимизация (Оптимизируемый). В результате непрерывного
улучшения процессы соответствуют моделям зрелости, построенным на
основании "лучшей практики"
 Критические Факторы Успеха - определяют наиболее важные
проблемы или действия руководителей, направленные на
достижение контроля над ИТ-процессами

 стандартизация ИТ-процессов и их нацеленность на достижение

целей бизнеса;
 определение групп пользователей ИТ-процессов и их требований;
 обеспечение масштабируемости ИТ-процессов и оптимального
управления ресурсами в рамках этих процессов;
 качество персонала информационной системы (квалификация,
моральные качества и т. п.);
 использование финансовых метрик для измерения
производительности ИТ-процессов и премирование руководителей
ИТ-отделов на основании результатов этих измерений;
 наличие процедур контроля и повышения качества ИТ-процессов.
 Ключевые индикаторы целей (Key Goal Indicator) определяют
критерии оценки достижения бизнес-целей при помощи ИТ-
процессов.
Примеры наиболее общих целей ИТ-процессов:
доступность информационных ресурсов, систем и служб;
минимизация рисков, связанных с нарушением целостности и
конфиденциальности данных;
снижение себестоимости ИТ-процессов.

Ключевые индикаторы производительности (Key

Performance Indicator) определяют критерии оценки
производительности ИТ-процессов в достижении ими бизнес-
целей организации.
Примеры общих индикаторов производительности:
время реакции системы;
степень утилизации пропускной способности сети или
вычислительных мощностей;
повышение качества и совершенствование функциональности
информационных служб и т. п.
 Таким образом:

 Модели зрелости предназначены для стратегического выбора и

эталонного сравнения
 Критические Факторы Успеха предназначены для
организации контроля ИТ-процессов
 Ключевые Индикаторы Цели предназначены для контроля
достижения целей ИТ-процессов
 Ключевые Индикаторы Результата предназначены для
контроля результатов каждого ИТ-процесса
 Набор инструментов внедрения
«Набор инструментов внедрения» разъясняет ключевые
концепции, предлагая пошаговое описание и примеры
внедрения.
Процесс внедрения COBIT в деятельность организации выглядит
так:
 определение бизнес-целей при помощи концептуального ядра;
 выбор ИТ-процессов и механизмов управления с
использованием высокоуровневых и детальных задач
управления;
 согласование программы действий с бизнес-планом;
 оценка существующих процедур и результатов внедрения
механизмов управления при помощи "Руководства по аудиту";
 оценка текущего статуса организации, идентификация
критичных действий и измерение производительности в
достижении целей организации при помощи"Руководства по
менеджменту".
 «Руководство по аудиту»
(Audit Guideline)
Определяет правила использования концептуального ядра и
основных принципов управления COBIT при проведении ИТ-аудита.
В нем описывается, как производить проверку реализации каждого
из 34 высокоуровневых ИТ-процессов и 318 детальных задач
управления, определяемых в концептуальном ядре COBIT.
Это позволяет аудитору оценивать адекватность реализованной
системы управления требованиям стандарта и бизнес-целям,
формировать рекомендации по ее улучшению.
ИТ-аудит должен способствовать улучшению состояния
информационной системы, характеризующегося уровнем ее
безопасности и эффективностью процессов управления ИТ.
Поэтому в ходе аудита анализируется текущее состояние и при
наличии существенных отклонений от норм производится оценка
результирующих рисков, выдаются рекомендации по поводу
корректирующих действий.
Связь процессов управления и аудита ИТ
 Анализ рисков (Risk Assessment):
 Оценка ИТ-ресурсов (Asset Valuation), необходимых для достижения
бизнес-целей. ИТ-ресурсы включают в себя информацию,
технические, программные и прочие средства, необходимые для ее
получения, обработки и хранения.
 Анализ уязвимостей (Vulnerability Assessment)

 Анализ угроз (Threat Assessment), препятствующих достижению

бизнес-целей. Вероятность угрозы, величина уязвимости и размер
возможного ущерба определяют степень риска, ассоциированного с
возможностью осуществления данной угрозы.
 Выбор контрмер (Counter Measures)

 Оценка их эффективности (Control Evaluation)

 Определяется величина остаточных рисков (Residual Risk).

Результатом анализа рисков является план действий по внедрению

механизмов управления (Action Plan).
 Структура принципов аудита CobiT

Секция высокого уровня принципов аудита CobiT отражает:

 Название бизнес-процесса
 Требования бизнеса (Объекты контроля высокого уровня)
 Как осуществлять контроль?
 Что учитывать?

Для перехода на уровень детального аудита ИТ-процесса:

 Детальные объекты контроля
 Как понять ИТ-процесс (кому задавать вопросы)?
 Как оценить контроль ИТ-процесса?
 Как оценить соответствие этого контроля — управлению?
 Как доказать риск не достижения целей управления?
 Процесс проведения аудита
На практике при проведении аудита для каждого ИТ – процесса
необходимо выполнить следующее:
 Определить высокоуровневый объект контроля

 Определить ИТ-процесс

 Проанализировать границы аудита

 Определить детальные объекты контроля

 Провести интервью с сотрудниками (ориентировочные названия

должностей для каждого объекта контроля приведены в принципах
управления)
 Назначить задания на оценку средств контроля (Принято ли во
внимание ...)
 Оценить соответствие

 Проверить доказательства
Принципы COBIT5
 CMMI

 Capability Maturity Model Integration (CMMI) –

Комплексная модель производительности и зрелости –
набор моделей (методологий) совершенствования
процессов в организациях разных размеров и видов
деятельности. CMMI содержит набор рекомендаций в
виде практик, реализация которых, по мнению
разработчиков модели, позволяет реализовать цели,
необходимые для полной реализации определенных
областей деятельности (Wikipedia)
 История возникновения

 В середине 1980-х годов перед министерством обороны США встала проблема

повышения качества разрабатываемого по их заказу ПО.
 Поскольку деньги были бюджетные, помимо качества разработки от
исполнителя требовалось ещё и выполнение заказа точно в срок и в рамках
установленного бюджета.
 Проблема была решена следующим образом: созданием модели, на соответствие
которой оценивались все потенциальные исполнители заказа министерства
обороны.

Задача разработки этой модели была возложена на Software Engineering Institute,

созданный на базе Carnegie Mellon University, который в свою очередь расположен в
славном городе Питтсбурге штата Пенсильвания.
 Для создания этой модели был проведён анализ ключевых активностей,
выполняемых при разработке ПО, и связанных с ними рисков.
 Анализировались как best practices – практики, которые позволили
успешно избежать или смягчить тот или иной риск, так и worst practices
– типичные ошибки, совершение которых приводит к проблемам в
качестве, срыву сроков и превышению бюджетов.
 Для каждой ключевой активности (или цели) модель предлагает ряд
практик, которые позволяют снять или существенно уменьшить
соответствующие проектные риски.
 Все активности были сгруппированы в т.н. процессные области.
 В 1987 году появился прообраз будущей модели – на самом деле
анкета, которая содержала всего 85 процессных и 16
технологических вопросов, ответы на которые и определяли
оцениваемую компанию к одному из пяти уровней зрелости.
 Со временем менялось только количество и содержание
процессных областей. А вот концепция уровней зрелости – это как
раз то, что за 20 с лишним лет в этой модели не изменилось.
 Уровень зрелости – это главный, итоговый показатель оценки
по модели CMMI.
 Как и зачем проводится процедура стороннего
аудита
 Аудит необходим для того, чтобы комплексно и независимо оценить,
насколько эффективно работают процессы.
 Сторонним аудиторам необходимо оценить, насколько зрелы те или
иные процессы, насколько они готовы к тому, что могут произойти
внезапные изменения, что процесс не «сломается» и будет работать как
часы дальше.
 В нашем случае речь пойдет о процессах по управлению и
обеспечению информационной безопасности организации.
 В крупных и зрелых организациях информационная безопасность
существует как отдельный бизнес-процесс, который «шагает» в одну
ногу вместе с ИТ и бизнесом.
 Один из наиболее прогрессивных способов оценить, насколько качественно и
эффективно работает тот или иной процесс по информационной безопасности -
это оценивать его с точки зрения его зрелости.
Для этого могут применяться подходы, такие как COBIT или ITIL. Но в их
основе лежит общий принцип - это методика CMMI.
 CMMI содержит набор рекомендаций в виде практик,
реализация которых, по мнению разработчиков модели,
позволяет реализовать цели, необходимые для полной
реализации определенных областей деятельности.
 Применение данной методики совместно с некоторой
методикой аудита (например, основанной на ISO 27001)
позволяет аудитору оценить тот или иной процесс по
обеспечению информационной безопасности по 5-ти
бальной шкале.
 Уровни CMMI
 уровень 0 - процесс не существует (не выполняется)
 уровень 1 (Начальный) - процесс существует, но выполяется спонтанно, у
него отсутствуют выделенные ответственные, периодичность выполнения
не регламентирована и контролируется, процесс выполняется от случая к
случаю;
 уровень 2 (Управляемый) - внедрены некоторые процедуры и контроли,
которые позволяют обеспечить регулярное выполнение процесса,
неформальным образом определены ответственные исполнители, которые
осведомлены о своей роли в рамках данного процесса;
 уровень 3 (Определенный) для управления процессом разработаны
нормативная документация (политики, регламенты, стандарты и т.п.).
Документы полностью описывают то, как процесс должен выполняться и
требуют того, чтобы он выполнялся именно так. Так же официально
закреплены ответственные за осуществление данного процесса, их
ответственность четко регламентирована
 уровень 4 (Управляемый на основе количественных данных) - во много
повторяет уровень 3, за исключением того, что процесс разработан с
учетом лучших практик отрасли. Но самым важным здесь является
появление процедуры отслеживания эффективности исполняемого
процесса. Для этого для самого процесса определяются некоторые
количественные или качественные метрики (о них будет дальше),
которые позволяют отслеживать, как работает процесс, требует ли он
улучшения и доработки. Для исполнителей процесса определены KPI -
ключевые показатели эффективности, которые позволяют отслеживать
эффективность исполнителей. Соответственно, на основании этих
метрик процесс и улучшается.
 уровень 5 (Оптимизируемый) - высший пилотаж. Данный уровень
предполагает разработку и внедрение процесса с учетом лучших
мировых практик. Организовано постоянное улучшение процесса при
помощи средств автоматизации. В идеале - процесс улучшается
автоматически.
Разберем на примере: Процесс предоставления доступа к информационным
ресурсам на предприятии
 уровень 0 - доступ предоставляется всем по умолчанию, без какого либо
разделения полномочий и т.п.
 уровень 1 - предпринимаются некоторые меры для контроля
предоставляемого доступа. Например: чисто идеалогически в голове у
безопасности есть понимание того, что бухгалтеру не нужно давать доступ
к исходным кодам разрабатываемого приложения. Права на доступ к
ресурсам контролируются вручную, что то можно упустить
 уровень 2 - существует и работает некоторая процедура предоставления
доступа к определенным ресурсам для различных категорий работников. У
бизнес активов неформально определены их "владельцы", т.е.
ответственные. Совместно с ИБ они принимают решение, необходимо ли
предоставлять доступ тому или иному сотруднику к информации в рамках
его должностных обязанностей. Согласование доступа с ИБ и "владельцем"
может происходить по почте. Доступ контролируется, к примеру, в рамках
групп в Active Directory
 уровень 3 - для процедуры предоставления доступом разработана
нормативная документация.
Процесс предоставления доступа и парольная политика полностью
формализованы в рамках внутренних нормативных документов.
Ответственные за контроль доступа формально определены и зафиксированы.
Владельцы информационных активов формально определены и
зафиксированы. Их ответственность в рамках предоставления доступа
зафиксирована.
Процесс работает строго согласно процедуре.
Разработаны детальные ролевые модели доступа.
Предоставление доступа включает в себя процедуры обязательного
согласования.
В цепочку согласования в обязательном порядке включены все лица,
зафиксированные в нормативной документации.
Процедуры предоставления и контроля доступа реализованы при помощи
специализированных автоматизированных систем
 уровень 4 - все тоже самое, что есть на третьем уровне, но
регламентирующая документация и сам процесс разработаны и
внедрены на основе лучших практик в отрасли (например гостов и т.п.).
Для процесса определены метрики, которые позволяют отслеживать его
эффективность. например: Время, необходимое на предоставление
доступа, время необходимое на согласование доступа, количество заявок,
не выполненных в срок, количество доступов, предоставленных по ошибке
и т.п.
Для исполнителей процесса разработаны KPI, с учетом метрик, которые
определены для процесса. Например, для предоставления доступа
установлена метрика - не более 2 дней. Доступ предоставлялся 3 дня,
значит процесс работает плохо, его нужно пересмотреть.
 уровень 5 - здесь все очень экзотично и работает у всех по разному, так
что тяжело привести конкретный пример)))))))