Стандарт CobiT подготовка лекции: А.Д. Фирсов контроль качества: А.Г. Дубинский

Курс SE MSF.NET CobiT 2 План занятия План занятия 1. IT на службе бизнеса 2. Стандарт CobiT 3. Принципы управления и Принципы аудита 4. Ассоциация ISACA

Курс SE MSF.NET CobiT 3 Вопрос: Что первично Что первично курица или яйцо? курица или яйцо?

Курс SE MSF.NET CobiT 4 Вопрос: Что первично организация или управление?

Курс SE MSF.NET CobiT 5 IT на службе бизнеса ИТ для организации являются определяющим фактором построения четкой структуры управления, создания эффективной вертикали принятия решения, его реализации и системы контроля ИТ для организации являются определяющим фактором построения четкой структуры управления, создания эффективной вертикали принятия решения, его реализации и системы контроля Эффективная система управления и контроля над ИТ позволяет решать не только внутренние проблемы, но и увеличивает степень доверия инвесторов, партнеров, заказчиков Эффективная система управления и контроля над ИТ позволяет решать не только внутренние проблемы, но и увеличивает степень доверия инвесторов, партнеров, заказчиков

Курс SE MSF.NET CobiT 6 IT на службе бизнеса Как организовать систему управления ИТ-подразделением? На основе каких стандартов, методик, подходов? Как организовать систему управления ИТ-подразделением? На основе каких стандартов, методик, подходов? Доступны такие стандарты, как ISO, ITIL, MOF, СobiT Доступны такие стандарты, как ISO, ITIL, MOF, СobiT

Курс SE MSF.NET CobiT 7 Рассмотрим одно из существующих решений стандарт CobiT Контрольные ОБъекты для Информационных и смежных Технологий Control Objectives for Information and related Technology

Курс SE MSF.NET CobiT 8 Стандарт описан в наборе документов, в которых изложены базовые принципы управления и аудита информационных технологий Стандарт описан в наборе документов, в которых изложены базовые принципы управления и аудита информационных технологий CobiT позиционируется как открытый стандарт CobiT позиционируется как открытый стандарт В состав стандарта входят шесть книг, которые ориентированны на разные аудитории В состав стандарта входят шесть книг, которые ориентированны на разные аудитории Введение

Курс SE MSF.NET CobiT 9 Книги 1. Резюме для руководителя. Содержит описание стандарта CobiT, ориентированное на топ-менеджеров. Позволяет оценить применимость стандарта в конкретной организации 2. Описание структуры. Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним 3. Объекты контроля. В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов

Курс SE MSF.NET CobiT 10 Книги 4. Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения 5. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ 6. Набор инструментов внедрения стандарта практические советы по ежедневному использованию стандарта в управлении и аудите ИТ

Курс SE MSF.NET CobiT 11 Резюме для руководителя Описаниеструктуры Объекты контроля Принципы управления Принципы аудита Модели зрелости Критические факторы успеха Ключевые индикаторы цели Ключевые индикаторы результата Набор инструментов для внедрения для внедрения

Курс SE MSF.NET CobiT 12 CobiT это единый подход к сбору и анализу информации, подготовке выводов и заключений на всех этапах управления, контроля и аудита ИТ. И как следствие - возможность оценки существующих ИТ-процессов в сравнении с лучшими практиками, в том числе отраслевыми И как следствие - возможность оценки существующих ИТ-процессов в сравнении с лучшими практиками, в том числе отраслевыми

Курс SE MSF.NET CobiT 13 Постулат CobiT Ресурсы ИТ должны управляться набором естественно сгруппированных процессов В любых инерциальных системах отсчета все физические явления при одних и тех же условиях протекают одинаково

Курс SE MSF.NET CobiT 14 4 домена IT процессов: Планирование и Организация Проектирование и Внедрение Эксплуатация и Сопровождение Мониторинг

Курс SE MSF.NET CobiT ИТ-процесса и соответственно 34 высокоуровневые цели контроля

Курс SE MSF.NET CobiT 16 Ресурсы ИТ в CobiT описаны пятью составляющими: Данные объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д Данные объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д Приложения совокупность автоматизированных и выполняемых вручную процедур Приложения совокупность автоматизированных и выполняемых вручную процедур Технологии аппаратное обеспечение, программное обеспечение (операционные системы, системы управления базами данных, сетью и мультимедиа) Технологии аппаратное обеспечение, программное обеспечение (операционные системы, системы управления базами данных, сетью и мультимедиа) Оборудование все ресурсы, создающие и поддерживающие информационные технологии Оборудование все ресурсы, создающие и поддерживающие информационные технологии Люди персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги Люди персонал, его навыки: умение планировать и организовывать, комплектовать, обслуживать и контролировать информационные системы и услуги

Курс SE MSF.NET CobiT 17 Критерии оценки информации: Эффективность (Effectiveness) актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации Эффективность (Effectiveness) актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации Продуктивность (Efficiency) обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов Продуктивность (Efficiency) обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов Конфиденциальность (Confidentiality) обеспечение защиты информации от неавторизованного ознакомления Конфиденциальность (Confidentiality) обеспечение защиты информации от неавторизованного ознакомления Целостность (Integrity) точность, полнота и достоверность информации в соответствии с требованиями бизнеса Целостность (Integrity) точность, полнота и достоверность информации в соответствии с требованиями бизнеса Пригодность (Availability) предоставление информации по требованию бизнес-процессов Пригодность (Availability) предоставление информации по требованию бизнес-процессов Согласованность (Compliance) соответствие законам, правилам и договорным обязательствам Согласованность (Compliance) соответствие законам, правилам и договорным обязательствам Надежность (Reliability) доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия Надежность (Reliability) доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия

Курс SE MSF.NET CobiT 18 Четыре домена CobiT, объединяющие 34 ИТ-процесса, критерии информации и ресурсы ИТ (См. Приложение 1)

Курс SE MSF.NET CobiT 19 Две основные книги: Принципы управления и Принципы аудита

Курс SE MSF.NET CobiT 20 Принципы управления. Три стратегических вопроса 1.Существуют ли в настоящее время в организации Информационные Технологии, при управлении которыми удовлетворяются все информационные потребности организации? 2.Как организация обеспечивает инфраструктуру и управляет рисками, насколько организация зависит от этого? 3.С какими проблемами организация сталкивается при управлении ИТ?

Курс SE MSF.NET CobiT 21 Принципы управления. Тактические вопросы Что является результатом ИТ- процессов? Что является результатом ИТ- процессов? Что является решением проблем в ИТ? Что является решением проблем в ИТ? Из чего состоят эти решения? Из чего состоят эти решения? Будут ли работать эти решения? Будут ли работать эти решения? Как их реализовать? Как их реализовать?

Курс SE MSF.NET CobiT 22 Принципы управления. Артефакты Модели Зрелости ( Maturity Models ) КФУ - Критические Факторы Успеха ( Critical Success Factors ) КИЦ - Ключевые Индикаторы Цели ( Key Goal Indicators ) КПР - Ключевые Показатели Результата ( Key Performance Indicators )

Курс SE MSF.NET CobiT 23 Принципы управления. Виды представления информации 1. Инструментальная панель 2. Карты оценки 3. Эталонное тестирование

Курс SE MSF.NET CobiT 24 Модели зрелости 0. Не существует. Полное отсутствие процессов управления ИТ. Организация не признает существования проблем в ИТ 1. Начало (Анархия). Организация признает существование проблем управления ИТ и необходимость их решения. Но не существует никаких стандартизованных решений 2. Повторение (Фольклор). Существует всеобщее осознание проблем управления ИТ. Показатели деятельности и ИТ-процессов находятся в развитии, охватывая процессы планирования, функционирования и мониторинга ИТ. Деятельность по управлению ИТ описана и интегрирована в процесс управления организацией 3. Описание (Стандарты). Развивается базовый набор показателей управления ИТ: определена связь между результатом и показателями производительности, она зафиксирована и внедрена в стратегические процессы планирования и мониторинга 4. Управление (Измеряемый). Четко распределена ответственность, установлен уровень владения процессами. Процессы ИТ соответствуют бизнесу и стратегии ИТ 5. Оптимизация (Оптимизируемый). В результате непрерывного улучшения процессы соответствуют моделям зрелости, построенным на основании "лучшей практики"

Курс SE MSF.NET CobiT 25 Критические Факторы Успеха - определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами - определяют наиболее важные проблемы или действия руководителей, направленные на достижение контроля над ИТ-процессами Например: o Действия по управлению ИТ ясно определены, формализованы и осуществляются на основе потребностей предприятия с соответствующей отчетностью o Организационные методы следят за окружающей средой и культурой управления; способствуют нормальному контролю; ведению стандартной практики управления рисками; определяют степень соответствия установленным стандартам o Методы аудита определены таким образом, чтобы избежать сбоев и ошибок в системе внутреннего контроля o Наблюдается интеграция и развитие взаимодействия сложных ИТ-процессов, таких как управление проблемами, изменениями и конфигурациями

Курс SE MSF.NET CobiT 26 Ключевые Индикаторы Цели - описывают комплекс измерений, которые по факту сообщают руководству, что ИТ-процесс достиг предъявляемых бизнес-требований. КИЦ выражается в терминах информационных критериев: Пригодность информации, необходимой для поддержки бизнеса Пригодность информации, необходимой для поддержки бизнеса Риски отсутствия целостности и конфиденциальности Риски отсутствия целостности и конфиденциальности Рентабельность процессов и операций Рентабельность процессов и операций Подтверждение надежности, эффективности и согласованности Подтверждение надежности, эффективности и согласованности

Курс SE MSF.NET CobiT 27 Ключевые Индикаторы Результата - описывают комплекс действий, необходимых для определения, насколько ИТ-процессы достигают поставленных целей. КИР являются основными индикаторами, отображающими вероятность достижения цели. А также индикаторами, отражающими адекватность способов, методов и навыков, используемых при достижении результата Например: o Увеличение рентабельности ИТ-процессов o Улучшение работы и планирования действий по совершенствованию ИТ-процессов o Увеличение нагрузки на ИТ-инфраструктуру o Повышение степени удовлетворения пользователей (опросы пользователей и количество жалоб) o Улучшение взаимодействия и коммуникаций между руководителями ИТ и руководством организации o Повышение производительности сотрудников (в том числе, повышение морального духа)

Курс SE MSF.NET CobiT 28 Таким образом: Модели зрелости предназначены для стратегического выбора и эталонного сравнения Модели зрелости предназначены для стратегического выбора и эталонного сравнения Критические Факторы Успеха предназначены для организации контроля ИТ-процессов Критические Факторы Успеха предназначены для организации контроля ИТ-процессов Ключевые Индикаторы Цели предназначены для контроля достижения целей ИТ-процессов Ключевые Индикаторы Цели предназначены для контроля достижения целей ИТ-процессов Ключевые Индикаторы Результата предназначены для контроля результатов каждого ИТ-процесса Ключевые Индикаторы Результата предназначены для контроля результатов каждого ИТ-процесса

Курс SE MSF.NET CobiT 29 Или получаем цепочку вопросов и ответов приведенную на следующем слайде

Курс SE MSF.NET CobiT 30 1.О чем беспокоится руководство? Выполняются ли все потребности организации? 2. Где измеряется удовлетворение потребностей? Результат бизнес-процесса представлен на сбалансированной карте оценок бизнеса как Ключевой Индикатор Цели 3.Затрагивают ли проблемы, возникающие в ходе реализации бизнес-процессов ИТ организации? ИТ-процессы своевременно предоставляют правильную информацию, позволяя бизнес-процессам эффективно и бесперебойно функционировать. Это является Критическим Фактором Успеха для организации 4.Где это измеряется? Ключевой Индикатор Цели, основанный на сбалансированной карте оценки, представляет ИТ- информацию, сопоставимую с критериями информации (Эффективность, Продуктивность, Конфиденциальность, Целостность, Пригодность, Согласованность, Надежность) 5.Что еще должно быть измерено? Множество Критических Факторов Успеха, которые должны быть измерены как Ключевые Индикаторы Результата для ИТ-процессов

Курс SE MSF.NET CobiT 31 Принципы аудита. Последовательность действий Определить высокоуровневый объект контроля Определить высокоуровневый объект контроля Определить ИТ-процесс Определить ИТ-процесс Проанализировать границы аудита Проанализировать границы аудита Определить детальные объекты контроля Определить детальные объекты контроля Провести интервью с сотрудниками (ориентировочные названия должностей для каждого объекта контроля приведены в принципах управления) Провести интервью с сотрудниками (ориентировочные названия должностей для каждого объекта контроля приведены в принципах управления) Назначить задания на оценку средств контроля (Принято ли во внимание...) Назначить задания на оценку средств контроля (Принято ли во внимание...) Оценить соответствие Оценить соответствие Проверить доказательства Проверить доказательства

Курс SE MSF.NET CobiT 32 CobiT Advisor 3rd Edition - программный продукт "CobiT Advisor" предназначен для автоматизации процессов аудита. Представляет собой базу данных Foxpro, структурированную в соответствии с 34 процессами и 318 объектами контроля стандарта CobiT, которая позволяет хранить, обрабатывать и предоставлять информацию о результатах проведения аудита в форме отчетов в различных форматах (например, MS Word, Excel)

Курс SE MSF.NET CobiT 33 А как же ITIL? CobiT - стандарт управления и аудита ИТ CobiT - стандарт управления и аудита ИТ Процессы ITIL, как и любые другие процессы, могут управляться и контролироваться стандартом CobiT Процессы ITIL, как и любые другие процессы, могут управляться и контролироваться стандартом CobiT CobiT предоставляет топ-менеджерам возможность донести цели и задачи бизнеса до руководителей ИТ-служб

Курс SE MSF.NET CobiT 34 Еще два принципиальных момента: CobiT, в части управления, является более высокоуровневым инструментом управления чем ITIL. В отличие от ITIL, в котором дано развернутое описание процессов и процедур их составляющих и в целом предназначенного для взаимодействия Директор по ИТ (CIO) - Руководители подразделений ИТ и предназначенного для разработки и совершенствования некоторой части ИТ процессов, CobiT ориентирован на взаимодействие Куратор ИТ от бизнеса - CIO CobiT, в части управления, является более высокоуровневым инструментом управления чем ITIL. В отличие от ITIL, в котором дано развернутое описание процессов и процедур их составляющих и в целом предназначенного для взаимодействия Директор по ИТ (CIO) - Руководители подразделений ИТ и предназначенного для разработки и совершенствования некоторой части ИТ процессов, CobiT ориентирован на взаимодействие Куратор ИТ от бизнеса - CIO CobiT содержит рекомендации по управлению ИТ процессами, ITIL содержит лучшую практику по построению и совершенствованию ИТ процессов CobiT содержит рекомендации по управлению ИТ процессами, ITIL содержит лучшую практику по построению и совершенствованию ИТ процессов

Курс SE MSF.NET CobiT 35 Ассоциация ISACA Ассоциация Аудита и Контроля Информационных Систем (Information Systems Audit and Control Association) поддерживает и развивает стандарт CobiT. Является международной профессиональной организацией охватывающей более чем 100 стран мира. Занимает позицию лидера в области разработки и распространения стандартов по аудиту ИТ

Курс SE MSF.NET CobiT 36 Сертификация CISA, the Certified Information Systems Auditor is ISACA's cornerstone certification. Since 1978, the CISA exam has measured excellence in the area of IS auditing, control and security. CISA has grown to be globally recognized and adopted worldwide as a symbol of achievement. There are more than 30,000 CISAs worldwide, and more than 11,000 individuals registered for the 2003 CISA exam

Курс SE MSF.NET CobiT 37 Сертификация CISM, the Certified Information Security Manager is ISACA's new certification and is specifically geared toward experienced information security professionals. CISM is business-oriented and focused on information risk management while addressing management, design and technical security issues at the conceptual level. It is for the individual who must maintain a view of the "big picture" by managing, designing, overseeing and assessing an enterprise's information security

Курс SE MSF.NET CobiT 38 Заключение Внедрение стандарта CobiT, позволяет не только формализовать конкретные проекты в сфере ИТ, но и создает то ядро управления и контроля ИТ, вокруг которого строятся производственные процессы организации с максимально возможным уровнем эффективности

Курс SE MSF.NET CobiT 39 Ссылки

Курс SE MSF.NET CobiT 40 В качестве фона к слайдам использовано изображение космического аппарата Океан-О. Такие спутники изготавливает расположенный в Днепропетровске завод ЮМЗ