Стандарт COBIT 3rd Edition
К настоящему времени аудиторскими компаниями образованы различные государственные и негосударственные ассоциации, объединяющие профессионалов к области аудита информационных систем, которые занимаются созданием и сопровождением, как правило, закрытых, тщательно охраняемых от посторонних глаз стандартов аудиторской деятельности в области информационных технологий (табл. 1).
Таблица 1. Сравнение некоторых стандартов и концепций аудита информационных технологий
| COBIT | SAC | COSO | SAS 55/78 | |
| Целевая аудитория | ТОР-менеджеры, пользователи, аудиторы информационных систем | Внутренние аудиторы компании | ТОР-менеджеры | Внешние аудиторы |
| Понятие аудита | Системный процесс проверки на соответствие декларируемым целям политики безопасности организации, обработки данных, норм эксплуатации | Системный процесс проверки на соответствие декларируемым целям бизнес-процессов, политики безопасности и кадровой политики | Системный процесс проверки на соответствие декларируемым целям бизнесс-процессов, а также политики безопасности компании | Системный процесс проверки на соответствие декларируемым целям бизнесс-процессов, а также политики безопасности компании |
| Цели аудита | Развитие бизнеса, повышение его эффективности и рентабельности, следование нормативно-правовой базе | Развитие бизнеса, финансовый контроль, следование нормативно-правовой базе | Развитие бизнеса, финансовый контроль, следование нормативно-правовой базе | Развитие бизнеса, финансовый контроль, следование нормативно-правовой базе |
| Область применения | Планирование и организация, постановка задач и выполнение, эксплуатация и сопровождение, мониторинг | Управление производством, эксплуатация автоматизированных и автоматических систем управления | Управление производством, риск-менеджмент, управление информационными системами, мониторинг корпоративных информационных систем | Управление производством, управление рисками, мониторинг и управление корпоративными информационными системами |
| Акцент | Информационный менеджмент | Информационный менеджмент | Менеджмент | Финансовый менеджмент |
| Срок действия сертификата аудита | Интервал времени | Время проверки | Интервал времени | Интервал времени |
| Заинтересованные лица | ТОР-менеджеры компании | ТОР-менеджеры компании | ТОР-менеджеры компании | ТОР-менеджеры компании |
| Объем документов, регламентирующих проведение аудит | 4 документа общим объемом 187 с. | 12 частей общим объемом 1193 с. | 4 тома общим объемом 353 с. | 2 документа общим объемом 63 с. |
Ассоциация ISACA, в отличие от других, занимается открытым аудитом информационных систем. Она основана в 1969 году и в настоящее время объединяет более 23000 членов из более чем 100 стран, в том числе и России. Ассоциация ISACA координирует деятельность более чем 26000 аудиторов информационных систем, имеет свою систему стандартов в этой области, ведет исследовательские работы, занимается подготовкой кадров, проводит конференции.
Ассоциация ISАСА под аудитом информационной безопасности в информационной системе понимает процесс сбора сведений, позволяющих установить, обеспечиваются ли безопасность ресурсов компании, необходимые параметры целостности и доступности данных, достигаются ли цели предприятия в части эффективности информационных технологий.
По заявлениям руководящих органов ISACA, основная цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В интересах профессиональных аудиторов, руководителей информационных систем, администраторов и всех заинтересованных лиц ассоциация развивает свою концепцию управления информационными технологиями в соответствии с требованиями информационной безопасности. На основе этой концепции описываются элементы информационной технологии, даются рекомендации по компании управления и обеспечению режима информационной безопасности. Концепция изложена в документе под названием COBIT 3rd Edition (Контрольные объекты информационной технологии), который состоит из четырех частей [69—71]:
• часть 1- краткое описание концепции;
• часть 2 - определения и основные понятия;
• часть 3 - спецификации управляющих процессов и возможный инструментарий;
• часть 4 - рекомендации по выполнению аудита компьютерных информационных систем.
Третья часть этого документа в некотором смысле аналогична международному стандарту BS ISO/IEC 7799:2000 (BS 7799-1:2000). Примерно так же подробно приведены практические рекомендации по управлению информационной безопасностью, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт COBIT - пакет открытых документов, первое издание которого было опубликовано в 1996 году.
Кратко основная идея стандарта COBIT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения компании необходимой и надежной информацией. В модели COBIT присутствуют ресурсы информационных технологии, являющиеся источником информации, которая используется в бизнесс-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса.
Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например: стиль, удобство интерфейсов. Характеристики доставки информации получателю - показатели, в обобщенном виде входящие в показатели доступности и частично - конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.
Во-вторых, доверие к технологии - группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность.
В третьих, показатели информационной безопасности - конфиденциальность, целостность и доступность обрабатываемой в системе информации.
В стандарте COBIT выделены следующие этапы проведения аудита.
Подписание договорной и исходно-разрешительной документации. На этом этапе определяются ответственные лица со стороны заказчика и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с точки зрения проводимых аудитом компонентов системы.
Сбор информациис применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных изменяется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Ассоциация ISACA выдвинула ряд требований к предоставлению информации при проведении аудита, которые были реализованы в стандарте COBIT. Основное требование, предъявляемое к информации, - это ее полезность, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной). Причем информация должна быть понятной для грамотного пользователя, что не исключает рассмотрения сложной информации, если она действительно необходима.
Информация уместна, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие или будущие события или подтверждать и исправлять прошлые оценки. На уместность информации влияет ее содержание, существенность и своевременность.
Информация называется существенной, если ее отсутствие или неправильная оценка могут повлиять па решение Пользователя. Иногда полагают, что аналогом уместности информации является требование полноты отражения операций за отчетный период.
Информация является достоверной, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает хозяйственную деятельность. Чтобы быть достоверной, информация должна быть правдивой, нейтральной (не должна содержать однобоких оценок), осмотрительной (готовность к учету потенциальных убытков и, как следствие, создание резервов) и достаточной для принятия решений.
Анализ исходных данныхпроводится только с учетом достоверных исходных данных. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COBIT рекомендует применять описанные в стандарте методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.
Выработка рекомендаций. Полученные в результате проведенного анализа рекомендации после предварительного согласования с заказчиком обязательно должны быть проверены на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT рекомендует оформлять рекомендации отчетом о текущем состоянии информационных систем, техническом задании на внесение изменений, отчетом о проведенном аудите.
Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологические. Каждая из названных групп направлена на улучшение организационного, технического или методологического обеспечения информационной системы.
К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании, снижению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес-задачам, снижение стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем и некоторые другие.
Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем.
Методологические результаты позволяют предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.
Контроль за выполнением рекомендацийподразумевает постоянное отслеживаниеаудиторской компанией выполнения Заказчиком рекомендацией.
Подписание отчетных актовприемки работы с планом графиком проведения последующих проверок, разработкой такой дополнительной документации как долгосрочные и краткосрочные планы развития информационной системы, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому создание плана-графика проведения последующих проверок является одним из условий проведения профессионального аудита. На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты которых могут вызвать сбои в работе в работе информационной системы.
Кроме традиционных свойств информации- конфиденциальности, целостности и доступности - в модели дополнительно используются еще 4 свойства - действенность, эффективность, соответствие формальным требованиям и достоверность. Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их использование объясняется соображениями удобства интерпретации результатов.
Отталкиваясь от решаемых компанией бизнес-задач, стандарт COBIT, учитывая заданные критерии оценки и имеющиеся в распоряжении ресурсы, предлагает описание основных работ по планированию и кампании разработки информационных систем, их комплектации и внедрению, мониторингу, управлению и обслуживанию. В стандарте четыре базовые группы (домена) разбиты на 34 подгруппы, состоящие из 318 объектов контроля, каждый из которых предоставляет аудитору достоверную актуальную информацию о текущем состоянии информационной системы.
Системно скоординировав все лучшее в области аудита безопасности информационных систем, стандарт предоставляет аудиторам пакет руководящих документов. Документы стандарта на современном уровне описывают концептуальную последовательность действий аудитора по сбору данных об исследуемых информационных системах и выдаче рекомендаций по их совершенствованию.
Стандарт COBIT базируется на стандартах ISA, ISACF и других международных стандартах и нормативных документах: технические стандарты, кодексы, критерии оценки информационных систем, профессиональные стандарты, требования к банковским услугам, системам электронной торговли, производству и т. д. Стандарт разработан и проанализирован сотрудниками ведущих консалтинговых компаний и используется в их работе наряду с другими положениями. Несмотря на сравнительно малый объем стандарта, он отвечает потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность его использования как для проведения аудита информационной системы компании, так и для проектирования информационной системы. В первом случае стандарт COBIT позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором - спроектировать систему, почти идеальную по своим характеристикам.
Стандарт COBIT выгодно отличается от многочисленных аналогичных разработок. К достоинствам стандарта следует отнести его достаточность, сравнительно несложную адаптацию к специфике решаемой задачи, осуществимость масштабирования и наращивания возможностей исследуемых информационных систем. Он применим к любым программно-аппаратным решениям без изменения собственной структуры и заложенных в нем принципов. Стандарт характеризуется широким диапазоном решаемых задач - от стратегического планирования до анализа работы отдельных элементов информационной системы, перекрестным контролем критически важных объектов контроля.
Дата добавления: 2016-04-19; просмотров: 962;