Интернет-издание о высоких технологиях

«Mr. Сумкин» подготовился к прекращению поддержки WS2003
Как строился электронный бизнес Банка Москвы?
ИКТ в страховании: эффективность в новых условиях Круглый стол 10 июня
Планшет Dell Venue 11 Pro Планшет Dell Venue 11 Pro на базе процессоров Intel® вполне способен решать не только мобильные, но и стационарные рабочие задачи
Заоблачная оптимизация: как Faberlic изменил подход к аналитике Облако Microsoft Azure разгружает мощности серверов, а платформа Microsoft SQL Server отвечает за аналитические инструменты
Рейтинг CNewsInfrastructure 2015: приглашаем участвовать В рамках обзора «Рынок инженерной и ИТ-инфраструктуры 2015» CNewsAnalytics готовит рейтинг крупнейших компаний, оказывавших услуги по построению ИТ-инфраструктуры предприятий
Информационная безопасность бизнеса и госструктур: развитие в новых условиях Конференция 4 июня
Пора выбирать Fujitsu! Узнайте все о продукции и решениях компании!

Обзор подготовлен

Стандарт COBIT

Стандарт COBIT Основная идея стандарта COBIT заключается в следующем: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. Итак, что же такое COBIT и его третья редакция?

К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий.

Сравнение некоторых стандартов аудита

	COBIT	SAC	COSO	SAS 78/94
Целевая аудитория	TOP-менеджеры, пользователи, аудиторы информационных систем	Внутренние аудиторы компании	TOP-менеджеры	Внешние аудиторы
Под аудитом понимается	Системный процесс проверки на соответствие декларируемым целям политики безопасности, Организацию обработки данных, норм эксплуатации	Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, политики безопасности и кадровой политики	Системный процесс проверки на соответствие декларируемым целям бизнесс-процессов, а также политики безопасности компании.	Системный процесс проверки на соответствие декларируемым целям бизнесс-процессов, а также политики безопасности компании.
Цели аудита	Развитие бизнеса, повышение его эффективности и рентабельности, следование нормативно-правой базы	Развитие бизнеса, финансовый контроль, следование нормативно-правой базы	Развитие бизнеса, финансовый контроль, следование нормативно-правой базы	Развитие бизнеса, финансовый контроль, следование нормативно-правой базы
Область применения	Планирование и организация, постановка задач и выполнение, эксплуатация и сопровождение, мониторинг	Управление производством, эксплуатация автоматизированных и автоматических систем управления	Управление производством, риск-менеджмент, управление информационными системами, мониторинг корпоративных информационных систем	Управление производством, управление рисками, мониторинг и управление корпоративными информационными системами
Акцент	Информационный менеджмент	Информационный менеджмент	Менеджмент	Финансовый менеджмент
Срок действия сертификата аудита	интервал времени	Время проверки	интервал времени	Интервал времени
Заинтересованные лица	TOP-менеджеры компании	TOP-менеджеры компании	TOP-менеджеры компании	TOP-менеджеры компании
Объем документов, регламентирующих проведение аудита	4 документа общим объемом 187 страниц	12 частей общим объемом 1193 страниц	4 тома общим объемом 353 страниц	2 документа общим объемом 63 страницы

Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 23000 членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем (CICA — Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.

Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.

По заявлениям руководящих органов ISACA основная цель ассоциации — исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности.

На основе этой концепции описываются элементы информационной технологии, даются рекомендации по компании управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and related Technology), который состоит из четырех частей.

Часть № 1: Краткое описание концепции (Executive Summary).

Часть № 2: Определения и основные понятия (Framework). Помимо требований и основных понятий в этой части сформулированы требования к ним.

Часть № 3: Спецификации управляющих процессов и возможный инструментарий (Control Objectives).

Часть № 4: Рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

Третья часть этого документа в некотором смысле аналогична международному стандарту ВS ISO/IEC 7799:2000 (BS 7799–1:2000). Примерно также подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT (Control Objectives for Information and related Technology — контрольные объекты информационной технологии) — пакет открытых документов, первое издание которого было опубликовано в 1996 году.

Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией.

Процессы управление ресурсами информационной системы

Кликните по изображению, чтобы увеличить

В модели COBIT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования cгруппированы следующим образом.

Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности.

Объекты контроля и управления информационными технологиями.

Кликните по изображению, чтобы увеличить

Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю — показатели, в обобщенном виде входящие в показатели доступности и частично в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.

Во-вторых, доверие к технологии — группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В третьих, показатели информационной безопасности — конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Сергей Петренко / АйТи

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.