Библиографический список (References)
1. Грибунин В.Г., Оков И.Н., Турин-
цев И.В. Цифровая стеганография. М.: СОЛОН-Пресс, 2002.
2. Barni M., Bartolini R., Cappellini V., Piva A. A DCT-domain system for robust image watermarking // Signal Processing, Special Issue on Copyright Protection and Control. 1998. Vol. 66. № 3.
1. Gribunin V.G., Okov I.N., Turintsev
I.V. (2002) Tsifrovaya steganografiya [Digital steganography]. Moscow: SOLON-Press.
2. Barni M., Bartolini R., Cappellini V., Piva A. (1998) A DCT-domain system for robust image watermarking // Signal Processing, Special Issue on Copyright Protection and Control. Vol. 66.
№ 3.
УДК 006.065, 004.428
ПРОВЕДЕНИЕ АУДИТА ИНФОРМАЦИОННОЙ СИСТЕМЫ НА ОСНОВЕ МЕТОДОЛОГИИ COBIT
AUDITING OF INFORMATION SYSTEMS WITH THE HELP OF COBIT METHODOLOGY
© Чернышова Галина Юрьевна
Galina Y Chernyshova
кандидат экономических наук, доцент кафедры информационных систем в экономике, Саратовский социально-экономический институт (филиал) ФГБОУ ВПО «РЭУ им. Г.В. Плеханова»
Cand. Sc. (Economics), associate professor at the department of information systems in economics, Saratov socio-economic institute (branch) of Plekhanov Russian University of Economics
e-mail: [email protected]
© Забелина Ирина Александровна
Irina A. Zabelina
бакалавр, Саратовский социально-экономический институт (филиал) ФГБОУ ВПО «РЭУ им. Г.В. Плеханова»
bachelor, Saratov socio-economic institute (branch) of Plekhanov Russian University of Economics
e-mail: [email protected]
В статье представлен современный подход к организации всех видов работ ИТ-структур на основе стандарта COBIT. Разработанное приложение позволяет повысить эффективность управления ИТ-услугами.
Ключевые слова: аудит информационных технологий, управление ИТ-услугами (ITSM), стандарт COBIT.
The paper presents a modern approach to organizing all types of IT structure activities based on COBIT. An application is developed that allows to increase the efficiency of IT service management.
Keywords: audit of information technology, IT service management (ITSM), COBIT standard.
Необходимость оценивания ИТ-процессов организации обусловлена значимостью постоянного совершенствования информационных технологий. Управление информационными технологиями предоставляет основу, которая связывает ИТ-процессы, ИТ-ресурсы со стратегией и целями предприятия. Это позволяет максимально эффективно использовать информацию, получая конкурентные преимущества. Чтобы лучше понять и организовать управление ИТ, организации обращаются к стандарту COBIT (Control Objectives for Information and Related Technology).
COBIT является единым подходом к сбору, анализу информации, подготовке выводов и заключений на всех этапах управления, контроля и аудита ИТ, предоставляющих возможность сравнения существующих ИТ-процессов с лучшими практиками, в том числе отраслевыми [1]. COBIT разработан в форме открытого стандарта и регулярно принимается во многих государствах в виде модели управления и контроля для введения и реализации эффективного управления ИТ. Первая версия стандарта была выпущена в 1996 г., последняя - в 2012 году. COBIT имеет связь со множеством других стандартов и ведущих практик (ISO 27000, ISO 38500, ISO 31000, ISO 20000, ITIL, CMMI, TOGAF, PCI DSS, NIST SP800-53, Basel II, SOХ 404) [2].
Если рассматривать COBIT в области управления информационными технологиями, то целями являются ориентирование ИТ на нужды бизнеса, использование ИТ для максимизации выгоды для бизнеса, рациональное использование ИТ-ресурсов и управление ИТ-рисками.
COBIT может помочь предприятиям в достижении следующих целей:
• организовать процессы управления информационными технологиями на базе передового опыта и с ориентацией на нужды бизнеса;
• достичь поставленных бизнес-целей, в том числе соответствия стандартам;
• установить четкие и аргументированные цели бизнес-процессов, подходящие бизнес-целям предприятия, и предоставить средства измерения прогресса на пути их достижения;
• обеспечить эффективное регулирование информационных технологий и контроль на уровне бизнес-процессов, возможность ИТ-подразделения осознать, насколько оно исполняет требования к информационным технологиям, поставленные государственными или внешними регулирующими органами.
Основными объектами COBIT являются:
• ресурсы;
• критерии оценки;
• инструменты.
В качестве критериев оценки информации в С0В1Т отметим:
• полезность (соответствие требованиям потребителя, использующего информацию для выполнения своей задачи);
• эффективность (актуальность информации, соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации. Информация считается эффективной, если она соответствует требованиям потребителя, ее нетрудно получить и использовать);
• достоверность (правдивость информации. Данный критерий скорее связан с восприятием пользователя, чем с фактической точностью);
• доступность (обеспечение доступности информации с помощью оптимального использования ресурсов);
• конфиденциальность (обеспечение защиты информации от неавторизованного ознакомления);
• целостность (точность, полнота и достоверность информации в соответствии с требованиями бизнеса);
• соответствие требованиям (соответствие законам, правилам и договорным обязательствам).
В методологии С0В1Т присутствуют взаимосвязанные инструменты для ответа на вышеизложенные вопросы, такие как модель зрелости, критические факторы успеха, ключевые индикаторы цели и ключевые показатели результата.
Модель зрелости предназначена для организации эффективного управления методом определения ключевых действий, которые показывают, что нужно сделать для достижения необходимого уровня зрелости, и содержат способы контроля над правильностью исполнения основных ИТ-процессов и методов их измерения [3]. Всего существует 6 уровней зрелости процессов:
уровень 5 - оптимизированные; уровень 4 - предсказуемые; уровень 3 - налаженные; уровень 2 - управляемые; уровень 1 - выполняемые; уровень о - неполные. С0В1Т описывает жизненный цикл информационных технологий с помощью четырех групп, так называемых доменов процессов:
1) планирование и организация (Р0) (определяет направления в отношении внедрения решений (А1) и обеспечение услуг);
Научно-практический журнал. ISSN 1995-5731
2) приобретение и внедрение (AI) (обеспечивает внедрение решений и оказание услуг на их основе);
3) эксплуатация и сопровождение (DS) (представляет решения и делает их применимыми для конечных пользователей);
4) мониторинг и оценка (ME) (выполняет надзор за всеми процессами, чтобы убедиться в продвижении в верном направлении).
COBIT является документом высокого уровня, при внедрении его необходимо применение специфических стандартов. COBIT представляет собой руководство, а не готовое решение, требует выполнения соотношения рисков, проектов и инфраструктуры информационных технологий на предприятии с учетом бизнес-целей предприятия.
Для эффективной реализации оценки зрелости бизнес-процессов как основного элемента внутреннего аудита по методологии COBIT важно оценить существующее программное обеспечение. На рынке имеется несколько программных продуктов для реализации управления ИТ:
Meycor COBIT Suit;
RSAM GRC;
Easy2comply GRC;
GRC&Audit Enterprise Suit;
ProcessGene Suite Plug-In.
Данные программные продукты представляют собой системы GRC (Governance, Risk management, and Compliance), включающие управление предприятием, управление риска-
ми и соответствие стандартам. В настоящее время существует ряд проблем, связанных с использованием подобных систем на российском рынке: слабый менеджмент организации; отсутствие стабильных бизнес-процессов; отсутствие формализации бизнес-процессов, а также обработки нарушений и отклонений от стандартов.
Для применения стандартов управления ИТ для малых и средних предприятий с недостаточно развитой информационной системой потребовалась модификация стандартного списка процессов, предлагаемого в рамках COBIT (рис. 1). Всего представлено пятнадцать процессов, распределенных по четырем доменам. Были выделены основные показатели оценки каждого процесса. Предварительным этапом проведения аудита является проведение анкетирования для оценки зрелости текущей ситуации.
Для автоматизации управления ИТ, а именно диагностирования текущей ситуации, проведения периодических оценок, было разработано приложение «АудитИТ». Приложение реализует алгоритм оценки процессов на основании анкетирования, результатом которого является количественная оценка, данная экспертами для каждого процесса. Приложение обеспечивает автоматизированную поддержку следующих процессов: анкетирование пользователей; проведение диагностики уровня зрелости различных технологических процессов; построение диаграмм анализа, сравне-
Рис. i. Процессы в рамках методологии COBIT
ние полученных оценок в разные периоды; генерация отчетности.
Кроме того, приложение позволяет осуществить многопользовательский доступ; сбор данных через онлайн-анкетирование; интеграцию с Microsoft Office; использовать справочник, который содержит описание методологии COBIT. Приложение функционирует в пользовательском и административном режиме. Необходимый уровень информационной безопасности достигается путем реализации идентификации, аутентификации и авторизации пользователей, разделения доступа пользователей к ресурсам на основе управляемой ролевой политики.
Каждую из подсистем приложения можно разделить на три слоя, в зависимости от среды выполнения:
• слой доступа к данным, в котором используются язык запросов SQL;
• бизнес-слой, написанный на языке С#;
• слой представления, написанный с использованием языка разметки HTML, каскадных таблиц стилей СSS и языка программирования JavaScript c использованием библиотеки JQuery.
В качестве СУБД использовалась Microsoft SQL Server 2012.
Для проведения оценки зрелости процессов управления ИТ в экспертную группу могут входить руководители верхнего звена, руководители среднего звена (ИТ-директор, начальники отделов), непосредственные исполнители, внутренние и внешние аудиторы, подрядчики работ (различные аутсорсинговые и консалтинговые организации).
Данное приложение внедрено в деятельность организации «Центр занятости населения города Энгельса». «Центр занятости населения города Энгельса» не является предприятием с развитой ИТ-структурой, и многие процессы, представленные в методологии С0В1Т, не существуют или недостаточно развиты. Это обусловлено спецификой деятельности организации, выполняемыми функциями и решаемыми задачами.
В результате самообследования информационной системы в данной организации с помощью «АудитИТ» был получен отчет, содержащий средневзвешенную оценку, выставленную экспертами по доменам, и диаграмму, показывающую сравнение уровня развития организации с уровнем, которого надо достичь (рис. 2).
На основании отчета можно сделать вывод, что организация находится на третьем уровне
Мониторинг и оценка •1
Эксплуатация и сопровождение
Планирование и организация
Приобретение и внедрение
Рис. 2. Результаты обследования организации средствами «АудитИТ»
зрелости. Несмотря на то что организация не имеет развитой ИТ-инфраструктуры, оценки зрелости доменов являются достаточно сбалансированными. Данная ситуация возникает за счет постоянного внешнего контроля различными государственными структурами. Но руководителем организации надо обратить внимание на процесс «Определение и управление уровнем обслуживания», а точнее улуч-
шать взаимодействие ИТ-персонала и корпоративных пользователей, на внедрение и поддержку нового программного обеспечения.
Разработанное приложение может применяться во многих организациях подобного типа, которые характеризуются отсутствием четко выраженной ИТ-структуры и при этом нуждаются в поддержании управления информационными технологиями на высоком уровне.
Научно-практический журнал. ISSN 1995-5731
Библиографический список (References)
1. ITGI. «COBIT 4.1 Executive Summary». COBIT 4.1 Executive Summary. ITGI. URL: http://www.isaca.org/Knowledge-Center/cobit/ Documents/COBIT4.pdf
2. Tarantino A. Manager's Guide to Compliance: Sarbanes-Oxley, COSO, ERM, COBIT, IFRS, BASEL II, OMB A-123, ASX 10, OECD Principles, Turnbull Guidance, Best Practices, and Case Studies. N.Y.: Wiley, 2006.
3. Haes S. Enterprise Governance of Information Technology - Achieving Strategic Alignment and Value. B.: Springer, 2009.
1. ITGI. «COBIT 4.1 Executive Summary». COBIT 4.1 Executive Summary. ITGI. URL: http://www.isaca.org/Knowledge-Center/cobit/ Documents/COBIT4.pdf
2. Tarantino A. (2006) Manager's Guide to Compliance: Sarbanes-Oxley, COSO, ERM, CO-BIT, IFRS, BASEL II, OMB A-123, ASX 10, OECD Principles, Turnbull Guidance, Best Practices, and Case Studies. N.Y.: Wiley.
3. Haes S. (2009) Enterprise Governance of Information Technology - Achieving Strategic Alignment and Value. B.: Springer.