Стандартизация информационных технологий. Стандарт CobiT.
Стандарт CobiT — результат обобщения мирового опыта, международных и национальных стандартов и руководств в области управления ИТ, аудита и информационной безопасности. Разработчики стандарта CobiT опирались на опыт членов своей ассоциации-филиала, экспертов по отрасли и специалистов в области контроля и безопасности. Методика стандарта CobiT представляет собой согласованное мнение экспертов по вопросам управления, контроля и оценки ИТ с позиции основного бизнеса. Использование стандарта, по мнению его авторов, должно помочь организациям (вне зависимости от формы собственности) оптимизировать инвестиции в информационные технологии, способствовать предоставлению требуемого бизнесу уровня ИТ-услуг и обеспечить критерии контроля.
CobiT позволяет согласовать передовой опыт с потребностями бизнеса, его целесообразно использовать как высокоуровневый стандарт, обеспечивающий общую структуру управления, основанную на модели процессов ИТ, которая должна в обобщенном виде подходить для каждой организации. CobiT служит в качестве интегратора различных материалов, суммируя основные задачи в рамках одной структуры, что позволяет устранить одну из основных проблем внедрения принципов ИТ-управления в информационные системы различного уровня — отсутствие единой платформы стандартов и, как следствие, беспорядочное использование различных методов оценки (ITSEC, TCSEC, ISO 9000) и профессиональных стандартов.
На базе CobiT возможно построение иерархии методологических принципов — стандарты, охватывающие конкретные бизнес-практики и отдельные области, можно адаптировать к структуре этого стандарта. Более подробные стандарты и передовая практика использования ИТ расположены на более низком уровне описания методов управления и контроля специальных аспектов ИТ. Например, для обеспечения взаимодействия внутри ИТ-подразделения, в том числе по вопросам организации проектной работы, обеспечения информационной безопасности и других видов деятельности, возможно применение частных стандартов данных областей, таких как ISO 17799, ISO/IES 2000 «Управление предоставлением ИТ-услуг», Project Management Body of Knowledge (PMBOK), ГОСТ P ИСО/МЭК 12207-99 «Процессы жизненного цикла программных средств» и др.
Методология CobiT предполагает его использование в качестве всестороннего стандарта, ориентированного на различные группы пользователей:
- высшее руководство - с точки зрения защищенности инвестиций в ИТ от рисков ИТ;
- руководителей бизнеса - с точки зрения получения гарантии управления и контроля ИТ-услуг, предоставляемых внутренними и третьими лицами;
- руководителей сферы ИТ — с точки зрения предоставления ИТ-услуг, которые необходимы бизнесу для поддержки его стратегии на контролируемой и управляемой основе, понимание области ответственности ИТ и помощь в предоставлении необходимой отчетности о работе ИТ;
- аудиторов - с точки зрения обоснования своих заключений и (или) предоставления рекомендации менеджменту по вопросам внутреннего контроля, является базисом для анализа текущего состояния и выработки рекомендаций;
- пользователи ИТ - для обеспечения уверенности в адекватном контроле и безопасности ИТ.