COBIT (аббр. от англ. Control Objectives for Information and Related Technologies «Задачи управления для информационных и смежных технологий») — методология управления информационными технологиями, принадлежащая и разрабатываемая некоммерческой организацией ISACA[англ.] (англ. Information Systems Audit and Control Association). Представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита IT-безопасности, основанных на анализе и гармонизации существующих стандартов и ведущих практик в области управления IT.
История создания
правитьCOBIT принадлежит и разрабатывается некоммерческой ассоциацией ISACA. Компания впервые выпустила COBIT в 1996 году, первоначально как набор целей контроля, чтобы помочь сообществу финансового аудита лучше маневрировать в IT-среде. Из-за потребности в расширении рамок за пределы сферы аудита, ISACA выпустила более широкую версию 2 в 1998 году и расширила ее еще больше, добавив руководящие принципы управления в версии 2000 года 3.
Разработка As 8015: австралийского стандарта корпоративного управления в области информационно-коммуникационных технологий в январе 2005 года и более международного проекта стандарта ISO / IEC DIS 29382 (который вскоре стал ISO / IEC 38500) в январе 2007 года повысили осведомленность о необходимости большего количества компонентов управления информационно-коммуникационными технологиями. В апреле 2012 года ISACA представила COBIT 5, а в 2019 году COBIT-2019[1], который используется сейчас. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — всё то, что так или иначе имело отношение к целям управления.
Структура COBIT
правитьЗадача COBIT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и IT-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению бизнес-целей.
Нередко руководство компании в силу объективных причин не понимает IT-специалистов. По представлению руководства, сотрудники IT-подразделения разговаривают на каком-то птичьем языке. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Всё это приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.
COBIT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:
- топ-менеджерами;
- руководителями среднего звена (IT-директором, начальниками отделов);
- непосредственными исполнителями (инженерами, программистами и т. д.);
- аудиторами.
Структура и составляющие
правитьВ COBIT детально описаны цели и принципы управления, объекты управления, чётко определены все IT-процессы (задачи), протекающие в компании, и требования к ним, описан возможный инструментарий (практики) для их реализации. В описании IT-процессов также приведены практические рекомендации по управлению IT-безопасностью.
Кроме того, COBIT вводит целый ряд показателей (метрик) для оценки эффективности реализации системы управления IT, которые часто используются аудиторами IT-систем. В их число входят показатели качества и стоимости обработки информации, характеристики её доставки получателю, показатели, относящиеся к субъективным аспектам обработки информации (например стиль, удобство интерфейсов).
COBIT позволяет связать бизнеc-цели с непосредственными IT-процессами, оценивать текущее состояние процессов управления IT, определять направления для совершенствования бизнеса. Оцениваются показатели, описывающие соответствие компьютерной IT-системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, её действенность, общепринятые показатели информационной безопасности: конфиденциальность, целостность и доступность обрабатываемой в системе информации.
Управление IT по COBIT можно представить в следующем ступенчатом виде (по порядку реализации):
- Стратегии (выстраивание IT-процесса по бизнес-целям, постановка задачи, цели и создание концепции IT-процесса; ответственные: руководство бизнес-подразделений).
- Политики (методы достижения целей в рамках стратегий, например: «длина пароля регламентируется»; ответственные: руководство IT-подразделений).
- Стандарты (метрики для политик-методов, например: «длина пароля должна составлять не менее 8 символов»; ответственные: руководство IT-подразделений).
- Процедуры (регламенты работ для применения политик-методов с использованием стандартов-метрик, рабочие инструкции для исполнителей; ответственные: руководство IT-подразделений).
Стандарт отвечает всем потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность использования его как для проведения аудита IT-системы компании, так и для проектирования IT-системы. В первом случае COBIT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором — спроектировать систему, почти идеальную по своим характеристикам.
Примечания
править- ↑ Evaluate the COBIT framework 2019 update (англ.). SearchITOperations. Дата обращения: 5 ноября 2022. Архивировано 5 ноября 2022 года.
Ссылки
править- Официальный сайт ISACA/Информация о CobIT (англ.)
- Описание CobIT(русский. Литература, ПО CobIT
- Московское отделение ISACA http://www.isaca.org/chapters2/moscow/
См. также
править
Для улучшения этой статьи желательно:
|