Лекция 8. Современные подходы к организации управления и контроля над информационными технологиями

 

Цель: Рассмотрение необходимости аудита ИТ. Изучение современного стандарта по организации управления и контроля над информационными технологиями

 

План:

1.   Необходимость эффективной системы управления и контроля над ИТ.

2.   Стандарт CobiT: управление и аудит ИТ.

3.   Стандарт CobiT: принципы управления ИТ:

·  Модели зрелости;

·  Критические Факторы Успеха;

·  Ключевые Индикаторы Цели;

·  Ключевые Индикаторы Результата.

4.   Стандарт CobiT: принципы аудита ИТ:

·  CobiT Advisor 4rd Edition (Audit);

·  Этика аудитора ИТ.

5.   Структура принципов аудита CobiT.

6.   Взаимосвязь CobiT и других требований и стандартов.

7.   Практические рекомендации.

        

Конспект лекции

Любому крупному предприятию необходима эффективная система контроля и управления не только за ключевыми бизнес - процессами, но и за информационными технологиями, их поддерживающими.

Управление и аудит информационных технологий в настоящее время стал устоявшимся термином, под которым подразумевают не только стандартный набор шагов по контролю за деятельностью ИТ подразделения, но и аудит информационной безопасности. 

Считается, что аудит является эффективным средством контроля и управления на предприятии. Регулярное проведение процедуры аудита  позволяет накопить информацию о состоянии организации. В последующем подобную информацию можно использовать для оптимизации структуры предприятия. Некоторые аналитики считают, что регулярное проведение аудита информационных технологий предоставляет возможность высшему руководству донести цели и задачи бизнеса до руководителей ИТ подразделений и проконтролировать их выполнение. 

Одним из наиболее популярных решений для аудита и контроля использования информационных технологий является использования стандарта CobiT (разработанного ассоциацией ISACA), который позволяет формализовать основные процессы, использующиеся для проектирования, внедрения, поддержки и мониторинга информационных систем на предприятии [CobiT 4.1.,2008].

Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов и контроля за использованием информационных технологий. Ассоциация Аудита и Контроля Информационных Систем является ведущей мировой профессиональной организацией с представительствами в более чем 100 странах мира и охватывает все уровни информационных технологий:

·             Организации;

·             Управления;

·             Практического применения.

Ассоциация занимает уникальную позицию мирового лидера в области разработки и распространения стандартов по аудиту ИТ, ее стратегический альянс с другими ассоциациями и консалтинговыми компаниями в областях финансово-хозяйственной деятельности, бухгалтерского учета и аудита ИТ обеспечивает не имеющий равных уровень интеграции и соответствия требованиям владельцев бизнес-процессов.

CobiT (Control Objectives for Information and related Technology) – Контрольные Объекты для Информационной и смежных Технологий -  является набором документов описывающих принципы управления и аудита Информационных технологий. Стандарт CobiT включает в себя шесть следующих книг:

·             Резюме для руководителя (Executive Summary). Описание стандарта CobiT, ориентированное на топ - менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации.

·             Описание структуры (Framework). Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом.

·             Детализированные цели контроля (Control objectives). В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.

·             Принципы управления (Management Guidelines). Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ - служб.

·             Принципы аудита (Audit Guidelines). Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.

·             Набор инструментов внедрения стандарта (Implementation Tool Set) — практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.

В основу стандарта CobiT положено следующее утверждение: «для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов».

Для этого CobiT выделяет 34 высокоуровневые цели контроля, по одной на каждый ИТ- процесс, которые сгруппированы в 4 домена:

·             Планирование и Организация;

·             Проектирование и Внедрение;

·             Эксплуатация и Сопровождение;

·             Мониторинг.

Предлагаемая структура объединяет все аспекты информации и технологий, поддерживающих ее. Применяя 34 высокоуровневые цели контроля, руководитель может быть уверен, что ему будет предоставлена адекватная система контроля над ИТ - средой, которая учитывает задействованные ресурсы ИТ, дающая возможность оценить ИТ по предлагаемым CobiT семи критериям оценки информации.

Кроме модели процессов стандарт CobiT включает в себя следующие элементы:

·             Модели зрелости в CobiT предназначены для контроля над ИТ - процессами организации. Этот подход был привнесен в CobiT из Моделей Зрелости, разработанных Институтом проектирования и разработки программного обеспечения (Software Engineering Institute), созданных для оценки уровня зрелости разработки программного обеспечения.

·             Критические Факторы Успеха (КФУ) — определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ - процессами. КФУ должны быть управляемыми, ориентированными на успех и описывать, как выполнять необходимые стратегические, технические, организационные или процедурные действия для достижения успеха.

Ключевые Индикаторы Цели (КИЦ) описывают комплекс измерений, которые по факту сообщают руководству, что ИТ - процесс достиг предъявляемых бизнес - требований. КИЦ выражается в терминах информационных критериев:

Ключевые Индикаторы Результата (КИР) описывают комплекс действий, необходимых для определения, насколько ИТ - процессы достигают поставленных целей. КИР являются основными индикаторами, отображающими вероятность достижения цели. А также индикаторами, отражающими адекватность способов, методов и навыков, используемых при достижении результата.

Считается, что аудит информационных систем проводится для того, чтобы оперативно получать информацию для управления развития информационных технологий и ИТ подразделения.

Результаты аудита информационных технологий позволяют обосновать инвестиции в развитие информационных технологий, выявить существующие недостатки в построении ИТ подразделения и спланировать его дальнейшее развитие, прогнозировать возникновение проблемных ситуаций.

 

Литература:

Астахов А. М., Аудит безопасности информационных систем. М.: ISACA.RU, 2002.

COBIT 4.1. Аудит и контроль информационных систем. М.: Кудиц-Пресс, 2008.

 

Контрольные вопросы:

1.      Зачем необходима система контроля и управления информационных систем?

2.      Как можно использовать стандарт CobiT для проведения аудита?

3.      Как можно использовать стандарт CobiT для управления?

4.      Описание основных доменов CobiT.

5.      Модель зрелости CobiT.

6.      Основные индикаторы CobiT (критические факторы успеха, ключевые индикаторы цели, ключевые индикаторы результата).

7.      Опишите взаимосвязь CobiT с другими стандартами управления ИТ подразделением.