1 cobit a drozdov

©2007 IT Governance Institute. All rights reserved. 1

Корпоративное управление ИТ и ИБ.Подход COBIT.

Андрей Дроздов, CISA, CISM, CGEITВице-президент российского отделения ISACAСтарший менеджер [email protected]


Организациям необходим структурированный подход дляуправления этими и другими проблемами.

Такой подход позволит гарантировать согласованность целейбизнеса и ИТ, внедрение мер контроля в соответствие с лучшейпрактикой а также мониторинга эффективности ИТ.

Важность корпоративного управления ИТ

НепрерывностьИТ сервисов

Безопасность

Цена/Качество

Управлениекомплексной средой

Соответствие ИТцелям бизнеса

Соответствиерегуляторным требованиям


Корпоративное управление – комплексуправленческих решений и практик, применяемых высшим руководством, сцелью:

• Определения стратегическогонаправления

• Обеспечения достижения целей

• Адекватного управления рисками

• Надлежащего использованиякорпоративных ресурсов

Важность Корпоративного управления ИТ

PERFORM

ANCE

MEASUREM

ENT

RESOURCEMANAGEMENT

RISK

MAN

AGEM

ENT

VALUEDELIVERYSTRATEGIC

ALIGNMENT

www.itgi.orgwww.itgi.org


Корпоративное управление ИТ:

• Ответственность Совета Директоров ивысшего руководства

• Неотъемлемая часть корпоративногоуправления, состоящая из руководства, организационных структур и процессов, обеспечивающих соответствие ИТтекущим и стратегическим целяморганизации

Корпоративной управление ИТ (определение ITGI)

PERFORM

ANCE

MEASUREM

ENT

RESOURCEMANAGEMENT

RISK

MAN

AGEM

ENT

VALUEDELIVERYSTRATEGIC

ALIGNMENT

www.itgi.orgwww.itgi.org

64% Работают в этом направлении

42% Ничего не делают2003

2005 36%

58%

Source: Surveys by PwC for the IT Governance Institute Sep-Oct 2003 and Sep-Oct 2005


Корпоративное управление:

Соответствие требованиям• законодательства, внутреннимполитикам, требованиям аудита, и.т.д.

Эффективность• Повышение прибыльности, результативности, эффективности, динамики роста, и.т.д.

Корпоративное управление определяет управление ИТ

Корпоративное управление и управление ИТ требуют баланса междуцелями, связанными с необходимостью соответствия требованиям иповышения эффективности, установленными высшим руководством.

Эффективность

СоответствиеТребованиям


Области Корпоративного управления ИТ

Value delivery

Направлено на обеспечение соответствия бизнес и ИТ планов; определение, поддержание и оценку привносимой ИТ пользы; а также взаимосвязи ИТ операций и бизнес-операций

Рассматривает привносимую ИТ пользу как цикл, обеспечивающийдостижение декларируемых преимуществ от ИТ в соответствиесо стратегией, с учетом оптимизации затратРассматривает оптимизацию инвестиций в ИТ и надлежащееуправление критичными ИТ ресурсами: приложениями, информацией, инфраструктурой и персоналом. Ключевыепроблемы относящиеся к оптимизации знаний иинфраструктуры.Необходимость осведомленности высшего руководства в областирисков, четкого понимания корпоративного подхода вотношении рисков, представления о требованияхзаконодательства, прозрачности в отношении существенныхрисков, а также включение функции управления рисками впрактику организации

Performance measurement

Risk management

Resource management

Strategic alignment

Мониторинг реализации стратегии, осуществления проектов, использования ресурсов, эффективности процессов и сервисов, сиспользованием, например, системы сбалансированныхпоказателей, которые транслируют стратегию в действиянаправленные на достижение измеримости достижения целейкроме традиционной отчетности


Для успешного внедрения корпоративного управления ИТнеобходимо:

Добиться, чтобы управление ИТ работало—реагирование на проблемы ИТ. Максимальный фокус на повышение эффективности и достижение конкурентныхпреимуществ путем предотвращения проблем. Достижение того, чтобы корпоративное управление ИТ стало совместной областьюответственности бизнеса (потребителя услуг) и поставщика ИТ услуг, при полнойподдержке и направлении со стороны Совета Директоров. Достижение согласованности управленческой модели ИТ и общего корпоративногоуправления организации.Совет Директоров и высшее руководство должно расширить принципы общегокорпоративное управление путем включения аспектов ИТ, обеспечив необходимоелидерство и организационные структуры, а также требовать внедрения должнымобразом управляемых и контролируемых процессов.

Внедрение корпоративного управления ИТ


Корпоративное управление ИТ –Заинтересованные стороны

Руководители бизнес-подразделений

Определение направлений развития ИТ, оценкарезультатов и требования по исправлениюнедостатков

Определение бизнес-требований к ИТ,обеспечение достижения пользы от ИТ иуправление рисками

Обеспечение и совершенствование ИТ сервисов всоответствие с требованиями бизнесаРуководство ИТ Служб

Совет Директоров ивысшее руководство

Обеспечение независимой оценки, что ИТпредоставляет требуемые сервисыИТ Аудит

Оценка соответствия нормативным документам сучетом новых рисков

Управление Рисками иКонтроль засоблюдением требований


COBIT:Основывается на требованиях бизнесаПроцессно-ориентированный, структурирующийзадачи ИТ в общепринятую процессную модельИдентифицирует основные необходимые ИТ ресурсыОпределяет необходимые цели контроляИнкорпорирует основные международные стандартыСтал де факто стандартом в области управления иконтроля ИТ

COBIT помогает заполнить разрывы между бизнес-рисками, требуемымимерами контроля и техническими проблемами. Он приводит лучшиепрактики в различных областях и процессах, а также перечень требуемыхзадач для ИТ в стройной логической системе.

ИТ ресурсы должны управляться в рамкахестественным образом сгруппированных

процессов. COBIT предоставляет методику длядостижения этой цели.

COBIT предоставляет методологию для корпоративногоуправления ИТ


COBIT предоставляет следующиепреимущества при внедрениикорпоративного управления ИТ:

Позволяет построить соответствиецелей ИТ целям бизнеса и наоборотЛучшее взаимодействие ИТ и бизнеса, основывающаяся на целях бизнесаПредставление деятельности ИТ службна понятном бизнесу языкеЧеткое определение владельцев иответственных, основанное напроцессном подходеПризнаваемый третьими сторонами ирегуляторными органами стандартВзаимопонимание между всемизаинтересованными лицами, основанное на общем языкеСоответствие требованиям COSO вотношении среды контроля ИТ

Как COBIT помогает внедрить эффективноекорпоративное управление ИТ?


Организации используют различные модели ИТ, стандарты и лучшиепрактики. Данный слайд демонстрирует возможное совместноеиспользование различных стандартов, при этом COBIT выступает вкачестве консолидирующего (‘зонтичного’) стандарта.

COBIT

ISO 9000

ISO 17799

ITIL

COSO

ЧТО КАК

COBIT и другие стандарты в области ИТ

ОБЛАСТЬ ПРИМЕНЕНИЯ


ЭФФЕКТИВНОСТЬ: Цели Бизнеса

СООТВЕТСТВИЕТРЕБОВАНИЯМBasel II, SOX, …

Корпоративное Управление

Корпоративное управление ИТ

ISO 9001:2000

ISO17799

ISO 20000Стандарты лучших практик

QAПроцедурыконтролякачества

Процессы и процедуры

Стимулы

COBIT

COSO

Безопасность ITIL

СистемаСбалансированных

показателей

Что покрывает COBIT?


Методология COBIT

► Методология COBIT характеризуется:

Ориентация на бизнесПроцессный подходТребования к мерам контроляИзмеримость

► Аббревиатура COBIT – Цели Контроля в области Информационных и смежныхТехнологий.

Основные характеристики COBIT


Последняя информация по COBIT на сайте www.isaca.org/cobit.

КорпоративноеУправление

COBIT 4

2005

COBIT 3

Управление

2000

COBIT 2

Контроль

1998

COBIT 1

Аудит

1996

Эволю

ция

COBIT: Методология управления и контроля в области ИТ


COBIT 4.1: 2007 год


COBIT:

► Общепризнанная мировая лучшая практика► Ориентация на высшее руководство► Подкреплена инструментариями и учебными курсами► Общедоступна,включая возможность загрузки Is freely downloadable

► Предусматривает совместное использование экспертных знаний► Постоянно совершенствуется► Поддерживается признанным институтом (ISACA, ITGI)

► 100 % соответствие COSO

► Соответствует основным международным стандартам в данной области► Представляет собой руководство, а не готовое лекарство

Организациям необходимо провести анализ целей и кастомизировать COBITс учетом:

► Стимулов► Профиля рисков► Организации, проектов и инфраструктуры ИТ

COBIT: Достоинства и ограничения


Компоненты COBIT

Организации зависят от надежной с своевременной информации. Компоненты COBIT предоставляют комплексную методику для достижения целей организации на основеуправления рисками и мер контроля информации.

СтратегияБизнеса

СвойстваИнформа-

ции

ИТ Ресурсы

ИТ Процессы


COBIT: Преимущества

Основные преимущества использования COBIT:

► COBIT связан с другими стандартами и лучшими практиками и должениспользоваться вместе с ними.

► Методика COBIT и соответствующие лучшие практики позволяют внедрить хорошоуправляемую и гибкую ИТ среду в организации.

► COBIT позволяет построить среду контроля, отвечающую потребностям бизнеса, атакже помогающую руководству и аудиторам осуществлять свои контрольныефункции.

► COBIT предоставляет инструментарий для управления задачами ИТ.


COBIT и Корпоративное управление ИТ

► COBIT направлен на совершенствование корпоративного управления ИТ ворганизации.

► COBIT предоставляет методику для управления и контроля задачами ИТ иподдерживает пять требований к среде контроля.

Общеприня-тая методика

Содействиесоответствиюзаконодатель-ства

СредаКонтроля

Общий языквзаимо-действия

Четкаяориентацияна бизнес

Процес-сныйподход


COBIT и Корпоративное управление ИТ (Продолжение)

Ориентация на бизнес► COBIT позволяет достичь четкойориентации на бизнес благодарясвязыванию бизнес и ИТ целей.

► Измерение эффективности ИТдолжно исходить из вклада ИТ вреализацию стратегии бизнеса.

► COBIT, при поддержкенадлежащих бизнес-ориентированных метрик, позволят получить уверенность втом, что основной фокус ИТнаправлен на предоставлениепользы бизнесу, а нетехнологические достижениясами по себе.









Процессный подход► При внедрении COBITорганизации используют подход,в большей степениориентированный на процессы.

► Инциденты и проблемырассматриваются в рамкахпроцессов.

► Отклонения могут быть описаны врамках процессов.

► Назначение владельцевпроцессов позволяет достичьлучшей управляемости иконтроля в периодысущественных изменений иорганизационных катаклизмов.









Общепринятая методика► COBIT – общепризнанный в мирестандарт, направленный наувеличение вклада ИТ в успехорганизаций.

► Методика непрерывносовершенствуется и развиваетсяс учетом лучших практик.

► ИТ профессионалы по всемумиру регулярно встречаются ипривносят идеи.









Требования законодательства► Последние корпоративныесудебные процессы привели кусилению требований со сторонырегуляторов на СоветыДиректоров в части отчетности поадекватности среды контроля, втом числе и в области ИТ.

► Организациям приходитсяпостоянно совершенствоватьэффективность ИТ идемонстрировать адекватностьсоответствующих мер контроля.

► Многие ИТ менеджеры, консультанты и аудиторыиспользуют COBIT в качестве de facto реакции на требованиязаконодательства в части ИТ.





Содействиесоответ-ствиюзаконода-тельства




Общий язык взаимодействия► Методика помогает установитьобщий язык взаимодействия спомощью определения ключевыхтерминов и глоссария.

► Координация в проектныхкомандах и организации в целом– ключевая роль в успехепроектов.

► Общий язык позволяет построитьотношения доверия.








COBIT: Основная предпосылка

► Методика COBIT основана на предпосылке, что ИТ необходимо предоставлятьинформацию, требуемую организации для достижения своих целей.

i

ИТ Процессыи Ресурсы

Информацию

Бизнес-Процессов

Целей Бизнеса

обеспечивают

для

Длядостиже-

ния

► Методика COBIT помогает связать ИТ и бизнес посредством фокусировки натребованиях бизнеса к информации и организации ИТ ресурсов. COBIT предоставляетметодику и рекомендации для внедрения корпоративного управления ИТ.


COBIT: Основная предпосылка

Отличительной чертой методики COBIT является взаимосвязь ожиданий высшегоруководства от ИТ с ответственностью высшего руководства в области ИТ. Цель-внедрение корпоративного управления ИТ, направленное на повышение пользы от ИТ сучетом ИТ-рисков.

СтратегияБизнеса

КритерииИнформа-

ции

ИТ Ресурсы



Методика COBIT

Как методика управления и контроля ИТ, COBIT фокусируется на двух ключевых областях:

► Обеспечение информацией, требуемой для поддержки целей и требований бизнеса► Рассмотрение информации как результат взаимодействия ИТ-ресурсов, управляемыхв рамках ИТ-процессов

ПроцессыЗадачи

ГруппыИТ Процессы

РезультативностьЭффективностьКонфиденциальностьЦелостностьДоступностьСоответствие требованиямДостоверность

ИТ Ресурсы

Приложения

Информация

Инфраструктура

Персонал


Требования Бизнеса

Подход на основеконтроля

Рассмотрение• ……………………………• ……………………………• ……………………..……..

Критерии Информации


COBIT Куб

Методика COBIT описывает как ИТ процессы обеспечивают бизнес информацией, требуемой для достижения его целей.

Дл контроля этого, COBIT использует три ключевых компонента, каждый из которыхпредставляет собой измерение куба COBIT.

Требования бизнеса к критериям информации

ИТ ресурсы



COBIT Куб: ИТ Процессы

► COBIT описывает жизненный цикл ИТ с помощью четырех групп процессов(доменов) :

Планирование и ОрганизацияПриобретение и внедрениеЭксплуатация и сопровождениеМониторинг и Оценка

► Процессы представляют собой набор задач (действий), объединенныхестественным образом. 34 процесса разбиты на четыре группы. Процессыспецифицируют, что требуется бизнесу для достижения своих целей. Представлениеинформации контролируется в рамках 34 ИТ процессов.

► Задачи представляют собой действия, необходимые для достижения измеримыхрезультатов. Более того, задачи также имеют свой жизненный цикл и могут включатьнесколько отдельных подзадач.

ПроцессыЗадачи

Группы ИТ Ресурсы

Критерии Информации



COBIT Куб: Группы ИТ Процессов

Планирование и Организация (PO)► Цели:

Формулировка стратегии и тактикИдентификация как ИТ наилучшим образом может внести вклад в достижениецелей бизнесаПланирование, взаимодействие и управление реализацией стратегииВнедрение организационной и технологической инфраструктур

► Область применения:Связаны ли ИТ и бизнес стратегически?Достигает ли организация оптимального использования своих ресурсов?Все ли в организации понимают цели ИТ?Осознаны ли и управляются ли ИТ риски?Адекватно ли качество ИТ систем требованиям бизнеса?

ИТ и Бизнес


Рассмотрим процессную модель COBIT, состоящую из 34 ИТ процессов, в разрезечетырех Групп ИТ процессов.

PO1 Определение стратегического планаразвития ИТ.PO2 Определение информационнойархитектуры.PO3 Определение направленийтехнологического развития.PO4 Определение организационнойструктуры и взаимосвязей.PO5 Управление ИТ инвестициями.PO6 Информирование о целях инаправлениях развития.PO7 Управление ИТ персоналом.PO8 Управление качеством.PO9 Оценка и управление ИТ рисками.PO10 Управление проектами.

Планирование и Организация

COBIT Куб: Группы ИТ Процессов (Продолжение)

Планированиеи Организация

Эксплуатацияи Поддержка

Приобретениеи Внедрение

Мониторинги Оценка




Приобретение и внедрение (AI)

► Цели:

Идентификация, разработка или приобретение, внедрение и интеграция ИТрешенийВнесение изменений и поддержка существующих систем

► Область применения:

Насколько новые проекты реализуют решения, соответствующиепотребностям бизнеса?

Насколько новые проекты реализуются в сроки и в соответствие с бюджетом?

Будут ли новые внедряемые системы работать надлежащим образом?

Насколько вносимые изменения повлияют на поддержку текущих бизнесопераций?

Новые Проекты Организация

?




Эксплуатацияи поддержка




AI1 Выбор решений по автоматизации.AI2 Приобретение и поддержкаприложений.AI3 Приобретение и поддержкатехнологической инфраструктуры.AI4 Обеспечение ввода в эксплуатацию.AI5 Приобретение ИТ ресурсов.AI6 Управление изменениями.AI7 Внедрение и приемка ИТ решений иизменений.

Приобретение и внедрение



Эксплуатация и Поддержка (DS)

► Цели:

Фактическое предоставление требуемых сервисовУправление безопасностью и непрерывностью сервисов в отношении данных исредств их обработкиПоддержка пользователей


Насколько ИТ сервисы предоставляются в соответствие с приоритетами бизнеса?

Оптимизированы ли затраты на ИТ?

Насколько персонал способен работать с ИТ системами продуктивно и безопасно?

Насколько внедрены меры обеспечения конфиденциальности, целостности идоступности информации?

ИТ Сервисы Приоритеты бизнеса



DS1 Определение и управление уровнемуслуг.DS2 Управление услугами стороннихорганизаций.DS3 Управление производительностью имощностями.DS4 Обеспечение непрерывностиобслуживания.DS5 Обеспечение безопасности систем.DS6 Определение и распределение затрат.DS7 Обучение и подготовка пользователей.DS8 Поддержка пользователей иуправление инцидентами.DS9 Управление конфигурациями.DS10 Управление проблемами.DS11 Управление данными.DS12 Управление физическойбезопасностью.DS13 Управление операциями.

Эксплуатация и поддержка


Эксплуатацияи Поддержка






Мониторинг и Оценка (ME)

► Цели:

Управление эффективностьюМониторинг системы внутреннего контроляСоответствие требованиям законодательстваКорпоративное управление


Насколько измерима эффективность ИТ, с тем чтобы своевременноидентифицировать проблемы?

Обеспечивает ли руководство эффективную и результативную системувнутреннего контроля?

Может ли деятельность ИТ быть связана с целями бизнеса?

Насколько риски, меры контроля, соответствие требованиям и эффективностьизмеримы и подотчетны?

ИТ Эффективность


ME1 Мониторинг и оценка эффективности ИТ.ME2 Мониторинг и оценка системывнутреннего контроля.ME3 Обеспечение соответствия внешнимтребованиям.ME4 Обеспечение корпоративногоуправления ИТ.

Мониторинг и Оценка


Планирование иОрганизация

Эксплуатация иПоддержка





COBIT Куб: Критерии информации

► Для удовлетворения целям бизнеса, информация должна соответствоватьконтрольным критериям, которые COBIT определяет как требования бизнеса кинформации.

► В общем случае, критерии информации основаны на следующих требованиях:

КачествоДовериеБезопасность

Требования доверия

Требования безопасности

Требования к качеству

Критерии безопасности

ИТ РесурсыИТ Процессы


COBIT Куб: Критерии информации (Продолжение)

Результатив-ность

Информация должна соответствовать бизнес-процессами предоставляться своевременно, в корректной, непротиворечивой и удобной форме

ЭффективностьИнформация обрабатывается наиболееоптимальным (с точки зрения продуктивности иэкономичности) методами использования ресурсов

Конфиден-циальность

Защищенность важной информации отнеавторизованного раскрытия

ЦелостностьТочность и полнота информации, а также ееобоснованность ожиданиям бизнеса

ДоступностьТекущая и будущая доступность информации по мере требованийбизнес-процессов. Кроме того, сохранность необходимых ресурсов.

Соответствиетребованиям

Соответствие законодательству, регуляторным требованиям и контрактнымобязательствам, релевантных бизнес-процессам, например внешнимтребованиям и внутренним политикам

Достоверность Обеспечение надлежащей информацией руководство для выполнения им своихобязанностей

Требования доверияТребованиябезопасности

Требования к качеству

Критерии информации

ИТ РесурсыИТ Процессы


COBIT Куб: ИТ Ресурсы

► ИТ процессы используют ИТ ресурсы для генерации, предоставления и храненияинформации, необходимой организации для достижения своих целей.

► COBIT определяет следующие ИТ ресурсы:

Приложения – прикладные программы и ручные процедуры, с помощьюкоторых обрабатывается информация.

Информация - данные вводимые, обрабатываемые и выводимые изинформационных систем в любой форме, используемые бизнесом.

Инфраструктура – технологии и среда поддержки, например оборудование, операционные системы, сети, обеспечивающие работу приложений.

Персонал – люди, необходимые для планирования, организации, приобретения, внедрения, эксплуатации, поддержки, мониторинга и оценки информационныхсистем и сервисов. Могут быть как сотрудниками организации, так и внешними.

ПриложенияИнформацияИнфраструктураПерсонал

ИТ Ресурсы

Критерии информации



BUSINESS OBJECTIVES ANDGOVERNANCE OBJECTIVES

Efficiency

ApplicationsInformation

InfrastructurePeople

DELIVER AND

SUPPORT

MONITORAND

EVALUATE

ACQUIREAND

IMPLEMENT

INFORMATION

ITRESOURCES

C O B I TF R A M E W O R K

EffectivenessConfidentiality

Integrity

AvailabilityCompliance

DS1 Define and manage service levels.

DS2 Manage third-party services.DS3 Manage performance and

capacity.DS4 Ensure continuous service.DS5 Ensure systems security.DS6 Identify and allocate costs.DS7 Educate and train users.DS8 Manage service desk and

incidents.DS9 Manage the configuration.DS10 Manage problems.DS11 Manage data.DS12 Manage the physical

environment.DS13 Manage operations.

ME1 Monitor and evaluate IT performance.

ME2 Monitor and evaluate internal control.

ME3 Ensure compliance with external requirements.

ME4 Provide IT governance.

PO1 Define a strategic IT plan.PO2 Define the information

architecture.PO3 Determine technological

direction.PO4 Define the IT processes,

organisation and relationships.PO5 Manage the IT investment.PO6 Communicate management aims

and direction.PO7 Manage IT human resources.PO8 Manage quality.PO9 Assess and manage IT risks.PO10 Manage projects.

AI1 Identify automated solutions.AI2 Acquire and maintain

application software.AI3 Acquire and maintain

technology infrastructure.AI4 Enable operation and use.AI5 Procure IT resources.AI6 Manage changes.AI7 Install and accredit solutions and

changes.

PLANAND

ORGANISE

Reliability

Методика COBIT


COBIT Куб

ИТ ресурсы используются ИТ процессами для достижения ИТ целей, которые в свою очередь отвечают требованиям бизнеса. Это -базовый принцип методики COBIT, как отражено на Кубе.


Взаимосвязь компонент COBIT


Дроздов Андрей Валентинович, CISA, CISM, [email protected]тел. (495) 937-44-77моб.+7(916)104-15-77

Интернет-ресурсыwww.isaca.orgwww.isaca-russia.ru

Вопросы?

1 cobit a drozdov

Documents