Библиотека

Наши друзья

Менеджмент.com.ua .:. Интернет-портал для управленцев Consulting.ru Организация времени - тайм менеджмент и управление временем

О сайте

Проект “Vernikov.ru” — это библиотека, содержащая в себе уникальную и качественную подборку аналитических материалов по вопросам экономики, менеджмента и информационных технологий. Материалов в Интернете очень много. Мы не пытаемся опубликовать всё. Мы экономим Ваше время и публикуем только лучшее.

Помимо доступа к материалам, на сайте “Vernikov.ru” любой посетитель, столкнувшись с новыми и сложными задачами, может быстро и бесплатно получить консультацию у профессионалов.

IT-аудит в соответствии со стандартом COBIT

Автор: Александр Астахов 08 Сентября 2010, 15:20

В статье описываются общие принципы и схема проведения ИТ-аудита в соответствии со стандартом COBIT, определяющим набор универсальных задач управления ИТ.

 COBIT — стандарт, определяющий набор универсальных задач управления ИТ. Основная ценность COBIT заключается в том, что он предлагает модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами. В статье (она является продолжением «Введения в COBIT», опубликованного в предыдущем номере журнала) описываются общие принципы и схема проведения ИТ-аудита в соответствии со стандартом COBIT.

 
B состав последней редакции COBIT входит несколько книг. «Резюме для руководства» служит введением в остальные разделы стандарта, содержит общие сведения о стандарте, определяет миссию COBIT и понятие Систем управления ИТ. «Концептуальное ядро COBIT» представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на базе которых строятся все положения стандарта. «Руководство по менеджменту» позволяет реализовывать более эффективные стратегии управления ИТ, устанавливать контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг, давать сравнительную оценку достижения бизнес-целей и оценивать производительность в рамках каждого ИТ-процесса. «Набор инструментов внедрения» дает разъяснение ключевых концепций, пошаговое описание и примеры успешного внедрения COBIT.
 
Одна из основных книг COBIT — «Руководство по аудиту» (Audit Guideline), определяющее правила использования концептуального ядра и основных принципов управления COBIT при проведении ИТ-аудита. В нем описывается, как производить проверку реализации каждого из 34 высокоуровневых ИТ-процессов и 318 детальных задач управления, определяемых в концептуальном ядре COBIT. Это позволяет аудитору оценивать адекватность реализованной системы управления требованиям стандарта и бизнес-целям, формировать рекомендации по ее улучшению.
 
Различные формы проведения внешнего и внутреннего ИТ-аудита включают обследования и обзоры безопасности информационных систем, сертификацию и аттестацию, технические экспертизы, а также различные формы контроля качества. При этом используемые в каждом конкретном случае методы и программы проведения аудита могут существенно различаться. Основная задача COBIT — определение основных принципов и общей структуры проведения ИТ-аудита, применимых к самому широкому кругу организаций и информационных систем.
 

Модели проведения аудита

Согласно COBIT основной целью ИТ-аудита является предоставление руководству организации обоснованных гарантий эффективного выполнения задач управления ИТ. Кроме того, ИТ-аудит должен способствовать улучшению состояния информационной системы, характеризующегося уровнем ее безопасности и эффективностью процессов управления ИТ. Поэтому в ходе аудита анализируется текущее состояние и при наличии существенных отклонений от норм производится оценка результирующих рисков, выдаются рекомендации по поводу корректирующих действий.
 
Наиболее распространенная модель оценки механизмов управления — классическая модель аудита, на которой и построено «Руководство по аудиту». В соответствии с ней критерии аудита определяются стандартами и другими нормативными документами. Еще одним общепринятым подходом является модель анализа рисков, при которой критерии аудита формируются на основании оценки рисков. Любая из этих моделей может применяться на практике при проведении ИТ-аудита в организациях на базе COBIT.
 
Вместе с тем, подходы к анализу и управлению рисками, а также вопросы их использования при проведении ИТ-аудита остаются за рамками COBIT. Стандарт ограничивается лишь определением общих понятий. Пожалуй, вся содержательная часть посвященного этой теме раздела COBIT заключается в диаграмме, приведенной на рис. 1, и в кратком пояснении к ней.
 
Анализ рисков (Risk Assessment) начинается с оценки ИТ-ресурсов (Asset Valuation), необходимых для достижения бизнес-целей. ИТ-ресурсы включают в себя информацию, технические, программные и прочие средства, необходимые для ее получения, обработки и хранения. На следующем шаге осуществляется анализ уязвимостей (Vulnerability Assessment) и анализ угроз (Threat Assessment), препятствующих достижению бизнес-целей. Вероятность угрозы, величина уязвимости и размер возможного ущерба определяют степень риска, ассоциированного с возможностью осуществления данной угрозы. Далее выполняется выбор контрмер (Counter Measures) и оценка их эффективности (Control Evaluation), a также определяется величина остаточных рисков (Residual Risk). Результатом анализа рисков является план действий по внедрению механизмов управления (Action Plan).
 
Более полное описание моделей проведения ИТ-аудита, а также обзор современных методов анализа и управления рисками приводятся в публикации.
 

Уровни описания процедуры аудита

Общий подход к проведению ИТ-аудита, изложенный в COBIT, опирается на следующие основные элементы:
 
  • концептуальное ядро COBIT, определяющее общий понятийный аппарат и включающее в себя классификацию ИТ-процессов, описание информационных критериев и ИТ-ресурсов;
  • общие требования к процедуре аудита ИТ-процессов, изложенные в разделах «Планирование и выработка стратегии аудита» и «Обобщенная схема руководства по аудиту»;
  • общие принципы управления, изложенные в разделе «Общие замечания относительно оценки процессов управления».
На более низком уровне абстракции определяются основные стадии проведения аудита и формулируются «Детальные инструкции по аудиту конкретных ИТ-процессов», которые аудитор дополняет и конкретизирует с целью осуществить их соответствие с конкретными условиями проведения аудита и особенностями исследуемой информационной системы. «Руководство по аудиту» содержит детальные инструкции для каждого из 34 ИТ-процессов (в терминологии COBIT — высокоуровневых задач управления). Не все задачи управления, описанные в COBIT, применимы в каждой конкретной ситуации. Определение актуальных задач управления производится исходя из текущих потребностей организации на основе анализа рисков.
 
Инструкции и требования, приведенные в «Руководстве по аудиту», предназначены для использования лишь в качестве вспомогательных средств и методологической основы при разработке конкретных программ проведения ИТ-аудита. Они не могут заменить конкретные методики, используемые аудиторами. В ходе планирования аудита должны также учитываться:
 
  • критерии и требования, специфичные для данной отрасли;
  • отраслевые и промышленные стандарты;
  • особенности используемых программно-аппаратных платформ;
  • конкретные механизмы управления, используемые в организации.

Критерии оценки процессов управления ИТ

В центре внимания COBIT находится аудит системы управления ИТ, охватывающий организационный и процедурный уровни управления ИТ-процессами; программно-технические аспекты остаются за рамками этого стандарта. Общие принципы управления определяют стратегию проведения ИТ-аудита. Они сосредоточены главным образом на распределении ответственности, стандартах управления и управлении информационными потоками между субъектами и объектами управления.
 
В COBIT процесс управления подразделяется на четыре этапа. На первом определяется стандарт оценки эффективности ИТ-процесса. На втором — анализируется состояние ИТ-процесса путем получения субъектом управления (ИТ-менеджер) информации от объекта управления (ИТ-процесс). На третьем этапе информация о состоянии ИТ-процесса сравнивается с требованиями стандарта. На четвертом — в случае выявления несоответствия ИТ-процесса требованиям стандарта субъект управления предпринимает корректирующие действия путем передачи соответствующей управляющей информации ИТ-процессу.
 
 
Рис. Управление ИТ-процессами
 
Исходя из этой модели, формулируются основные критерии оценки механизмов управления.
 
  1. Распределение ответственности и подотчетность. Для того чтобы модель управления работала, ответственность за бизнес-процессы необходимо четко распределить, установив строгую подотчетность каждого должностного лица. В противном случае не будет происходить обмена управляющей информацией и корректирующих действий не последует.
  2. Стандарты и допустимые отклонения. Стандарты оценки эффективности ИТ-процессов могут быть самыми разными, начиная с высокоуровневых планов и стратегий и заканчивая ключевыми индикаторами производительности и критическими факторами успеха. Четко документированные, поддерживаемые в актуальном состоянии и доступные для всех сотрудников организации стандарты — важный критерий эффективности системы управления ИТ. Для каждого ИТ-процесса должны быть четко определены допустимые отклонения от требований стандарта.
  3. Информационные критерии. В COBIT определяется семь информационных критериев: эффективность, продуктивность, конфиденциальность, целостность, доступность, соответствие и надежность. Эффективность управляющей информации, то есть ее актуальность, своевременность и пригодность, а также ее целостность служат основой функционирования системы управления ИТ-процессами. Их необходимо рассматривать в качестве базовых информационных критериев.

Основные этапы аудита

При составлении планов и выработке стратегии аудита прежде всего необходимо определить границы его проведения в терминах бизнес-подсистем, информационных подсистем, являющихся объектами исследования, их физического расположения и взаимосвязей. При этом анализируются следующие данные:
 
  • структура бизнес-процессов;
  • платформы и структура информационных систем, поддерживающих бизнес-процессы;
  • структура ролей и распределения ответственности, включая аутсорсинг;
  • бизнес-риски и бизнес-стратегия.
План аудита должен определять совокупность оцениваемых ИТ-процессов, ИТ-ресурсов и информационных критериев, последовательность шагов по сбору и анализу информации аудита и проведению необходимых тестов. На этапе планирования определяются информационные критерии, наиболее значимые для существующих бизнес-процессов. Затем идентифицируются ИТ-риски и оценивается общий уровень контроля рассматриваемых бизнес-процессов. При этом принимаются во внимание существующие механизмы управления, последние изменения в бизнесе и ИТ-окружении, зарегистрированные инциденты и результаты предыдущих аудиторских проверок. На основе полученной информации осуществляется выбор соответствующих ИТ-процессов и связанных с ними ИТ-ресурсов, служащих объектом исследования.
 
Ссылка на оригинал статьи: http://www.osp.ru/cio/2003/09/172862/

Защитный код
Обновить