Аббревиатура CobiT расшифровывается как Контрольные Объекты для Информационных и смежных Технологий. За этой аббревиатурой скрывается набор документов, в которых изложены принципы управления и аудита информационных технологий. CobiT позиционируется как открытый стандарт «де-
CobiT – это сохранение единого подхода к сбору, анализу информации, подготовке выводов и заключений на всех этапах управления, контроля и аудита ИТ, возможность сравнения существующих ИТ процессов с «лучшими» практиками, в том числе отраслевыми.
В основу стандарта CobiT положено следующееутверждение: "Для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов".
Для этого CobiT выделяет 34 высокоуровневые цели контроля, по одной на каждый ИТ процесс, которые сгруппированы в 4 домена:
Планирование и Организация;
Проектирование и Внедрение;
Эксплуатация и Сопровождение;
Мониторинг.
Ресурсы ИТ в CobiT описаны пятью составляющими:
1. Данные – объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а такжеграфика, звук и т.д.
2. Приложения – совокупность автоматизированных и выполняемых вручную процедур.
3. Технология – аппаратное обеспечение, программное обеспечение, операционные системы, системы управления базами данных, сетью и мультимедиа.
4. Оборудование – все ресурсы, создающие и поддерживающие информационные технологии.
5. Люди – персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги.
Критерии оценки информации:
Эффективность – актуальность информации, соответствующего бизнес_процесса, гарантия своевременного и регулярного получения правильной информации.
Продуктивность – обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов.
Конфиденциальность – обеспечение защиты информации от неавторизованного ознакомления.
Целостность – точность, полнота и достоверность информации в соответствии с требованиями бизнеса.
Пригодность – предоставление информации по требованию бизнес-
Согласованность – соответствие законам, правилам и договорным обязательствам.
Надежность – доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.
Схема CobiT, объединяющая 34 ИТ_процесса и учитывающая критерии информации и ресурсы ИТ на всем протяжении жизненного цикла, представлена на рисунке ниже.
В состав стандарта входят шесть книг, ориентированных на разные аудитории:
1. Резюме для руководителя. Описание стандарта CobiT, ориентированное на топ-
2. Описание структуры. Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом.
3. Объекты контроля. В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.
4. Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ служб.
5. Принципы аудита. Правила проведения ИТ аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.
6. Набор инструментов внедрения стандарта – практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.
Причины применения стандарта CobiT для управления и аудита ИТ
После проведения ИТ_аудита с использованием принципов аудита, изложенных в CobiT, организация получит возможность:
1. Оценить степень соответствия ИТ-
2. Определить приоритеты основных ИТ-
3. Выявить критически важные элементы ИТ.
4. Выявить и оценить факторы риска.
5. Определить степень адекватности мер, принимаемых для управления рисками.
6. Оценить степень защищенности компании от чрезвычайных происшествий и их последствий.
7. Реализовать рекомендации по обеспечению бесперебойности функционирования ИТ.
8. Создать план работ по устранению недостатков и разработать способы их устранения.