Обзор подготовлен   CNewsAnalytics

Стандарт COBIT

Стандарт COBITОсновная идея стандарта COBIT заключается в следующем: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. Итак, что же такое COBIT и его третья редакция?

К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий.

Сравнение некоторых стандартов аудита

 COBITSACCOSOSAS 78/94
Целевая аудиторияTOP-менеджеры, пользователи, аудиторы информационных системВнутренние аудиторы компанииTOP-менеджерыВнешние аудиторы
Под аудитом понимаетсяСистемный процесс проверки на соответствие декларируемым целям политики безопасности,
Организацию обработки данных, норм эксплуатации
Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, политики безопасности и кадровой политики Системный процесс проверки на соответствие декларируемым целям бизнесс-процессов, а также политики безопасности компании.Системный процесс проверки на соответствие декларируемым целям бизнесс-процессов, а также политики безопасности компании.
Цели аудитаРазвитие бизнеса, повышение его эффективности и рентабельности, следование нормативно-правой базы Развитие бизнеса, финансовый контроль, следование нормативно-правой базыРазвитие бизнеса, финансовый контроль, следование нормативно-правой базыРазвитие бизнеса, финансовый контроль, следование нормативно-правой базы
Область примененияПланирование и организация, постановка задач и выполнение, эксплуатация и сопровождение, мониторингУправление производством, эксплуатация автоматизированных и автоматических систем управления Управление производством, риск-менеджмент, управление информационными системами, мониторинг корпоративных информационных системУправление производством, управление рисками, мониторинг и управление корпоративными информационными системами
АкцентИнформационный менеджмент Информационный менеджментМенеджментФинансовый менеджмент
Срок действия сертификата аудита интервал времениВремя проверкиинтервал времениИнтервал времени
Заинтересованные лицаTOP-менеджеры компанииTOP-менеджеры компанииTOP-менеджеры компанииTOP-менеджеры компании
Объем документов, регламентирующих проведение аудита4 документа общим объемом 187 страниц 12 частей общим объемом 1193 страниц4 тома общим объемом 353 страниц2 документа общим объемом 63 страницы

Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 23000 членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем (CICA — Certified Information System Auditor), имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.

Ассоциация ISACA под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятии в части эффективности информационных технологий.

По заявлениям руководящих органов ISACA основная цель ассоциации — исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности.

На основе этой концепции описываются элементы информационной технологии, даются рекомендации по компании управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Control Objectives for Information and related Technology), который состоит из четырех частей.

Часть № 1: Краткое описание концепции (Executive Summary).

Часть № 2: Определения и основные понятия (Framework). Помимо требований и основных понятий в этой части сформулированы требования к ним.

Часть № 3: Спецификации управляющих процессов и возможный инструментарий (Control Objectives).

Часть № 4: Рекомендации по выполнению аудита компьютерных информационных систем (Audit Guidelines).

Третья часть этого документа в некотором смысле аналогична международному стандарту ВS ISO/IEC 7799:2000 (BS 7799–1:2000). Примерно также подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT (Control Objectives for Information and related Technology — контрольные объекты информационной технологии) — пакет открытых документов, первое издание которого было опубликовано в 1996 году.

Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией.

Процессы управление ресурсами информационной системы

Процессы управление ресурсами информационной системы
Кликните по изображению, чтобы увеличить

В модели COBIT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса. Эти требования cгруппированы следующим образом.

Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности.

Объекты контроля и управления информационными технологиями.

Объекты контроля и управления информационными технологиями.
Кликните по изображению, чтобы увеличить

Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю — показатели, в обобщенном виде входящие в показатели доступности и частично в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.

Во-вторых, доверие к технологии — группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность. В третьих, показатели информационной безопасности — конфиденциальность, целостность и доступность обрабатываемой в системе информации.

Сергей Петренко / АйТи

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2004 г.

Toolbar | КПК-версия | Подписка на новости  | RSS