Rambler's Top100
Реклама
 
Статьи ИКС № 1 2007
Галина БОЛЬШОВА  Хендрик КОЛЕМАНС   01 января 2007

Зачем нам CobiT?

Пояснения дает Хендрик КОЛЕМАНС, признанный гуру в области создания и управления системами информационной безопасности. Хендрик КОЛЕМАНС, глава InfoGovernance, один из ведущих экспертов ISACA.

В начале декабря 2006 г. УЦ «Информзащита» впервые на территории бывшего СССР организовал и провел обучение по авторскому курсу Х. КОЛЕМАНСА «Применение CobiT 4.0 для эффективного управления ИТ».

«ИКС» не преминул воспользоваться уникальной возможностью.

– CobiT – панацея для управления ИТ и ИБ или есть про! тивопоказания к его применению?

– CobiT – это набор общепринятых целей и мер контроля в области ИТ и ИБ, во главу угла которых положены требования и цели бизнеса. Создавался для руководителей компаний и профессионалов ИТ и ИБ, практически сразу стал стандартом в области управления ИС и СИБ и базой для аудита систем.

По оценке Brookings Institute, соотношение стоимости материальных и нематериальных активов организаций – 15:85. А нематериальные на 99% – это информация, т.е. ключевой фактор бизнеса. Но она обрабатывается в ИС, главная проблема которой – защищенность.

В CobiT (версия 4.0 опубликована в декабре 2005 г. международной ассоциацией ISACA) аккумулирован мировой опыт: способы оценки качества управления корпоративными ИС и обеспечения безопасности бизнес-процессов, рекомендации и требования более 40 международных и национальных стандартов и норм. Не знаю другой методологии, которая смогла бы на структурном уровне подогнать стратегию и тактику в области ИТ и ИБ под требования бизнеса, снизить риски и дать методы адекватной оценки эффективности мер по их предотвращению. Благодаря универсальному подходу он применим в других областях управления бизнесом, в различных отраслях экономики.

Всегда ли CobiT срабатывает? Негативных примеров – единицы. И если повышение качества контроля и управления в организации не достигается, значит, CobiT использовался неверно. За правильность применения отвечает руководство организации, поскольку сертифицирующего органа нет. И это еще один побудительный фактор для повышения квалификации руководства в области менеджмента.

– Что полезнее – CobiT и ITIL?

– CobiT используется на стратегическом уровне управления бизнесом (10 лет и более), а для тактического (3–5 лет) и оперативного (1 год) управления существуют ISO 17799 (управление ИБ) и ITIL (управление и организация ИТ-процессов).

ITIL – стандарт, подробно описывающий процедуры использования и внедрения ИТ-систем (например, HelpDesk). CobiT «не видит» процессы столь детально, но способен более точно устанавливать связи между целями бизнеса, ИТ-процессами и ИТ-средой, оценивать соответствие ИТ-структуры требованиям бизнеса.

– Сколько компаний в мире полностью соответствуют требованиям CobiT?

– Такой статистики не ведется. Думаю, полностью – никто. Стандарт настолько общий, что каждая организация может выбрать требования, соответствующие ее бизнесу и целям. Наиболее широкий набор – у банков. Существенно меньше CobiT распространен в производственных компаниях и корпоративном секторе. А вот операторы (France Telecom и BelgaCom) не упускают шанс повысить эффективность бизнеса за счет оптимизации ИТ- и ИБ-управления.

– Что мешает активному продвижению стандарта?

– Наиболее сложный момент для внедрения CobiT – культура менеджмента, привычка рассматривать ИТ и ИБ с точки зрения бизнес-целей. В приложении к ИТ-специалистам компаний это означает принимать любые решения, отвечающие нуждам клиентов-сотрудников компании. Чаще всего «айтишники» думают только о «своей» инфраструктуре, сервисах и правильном управлении ими в отрыве от бизнес-целей компании.

Ускорить освоение CobiT может дружественная правовая среда. Так, закон Сарбейнса–Оксли (SOX) заставляет организации выполнять определенные требования к финотчетности и процедурам ИТ-управления, что вынуждает их следовать CobiT, правда, не в полном объеме.

– Считаете ли вы, что в России, имеющей свои ГОСТы, следует адаптиро! вать и принять CobiT как на! циональный стандарт?

– Никто не стремится навязывать CobiT в этом качестве. Но как рекомендательный он мог бы быть полезен. Мне кажется, что каждая страна для своего успешного развития должна убедительно рекомендовать организациям использовать CobiT: если он – основа управления бизнесом компании, то растет бизнес, повышается его контроль, в итоге растет национальный продукт страны. Насколько мне известно, в стандарте ЦБ присутствуют некоторые рекомендации CobiT. Кстати, распределяя финансы для поддержки отраслей в своих странах, ЕС ставит главным условием – соответствие CobiT.

– Ваши впечатления об уровне управляемости ИТ и ИБ российских организаций и компаний?

– Всё, как в других странах: нужно еще многое сделать. Судя по комментариям и вопросам слушателей, контроль в области ИТ в России недостаточен и соответствует скорее уровню Восточной Европы. В то же время в некоторых российских организациях и банках система контроля намного сильнее общего уровня.

ДОСЬЕ «ИКС»

Хендрик КОЛЕМАНС, глава InfoGovernance, один из ведущих экспертов ISACA. Профессиональные сертификации – CISA, MBA, MCA. В числе его работ – концепция ИБ национального банка Швейцарии.

Практика обучения: более 100 семинаров по проблемам ИТ-аудита в Европе, Америке, Азии и Африке; свыше 10 курсов и 100 тренингов по созданию и управлению ИС и СИБ. Более 2500 учеников в области ИТ, из них только по международному стандарту CobiT –1700.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!