Интеллектуальные компьютерные технологии защиты информации

3.2.3 CoBiT

CoBiT- открытый стандарт, первое издание которого в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном ур

овне получить представление и управлять целями и задачами, решаемыми КИС. CoBiT учитывает все особенности информационных систем любого масштаба и сложности.

Главное правило, положенное в основу CoBiT, следующее: ресурсы КИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией (рис. 3.1).

Рис. 3.1. Структура стандарта CoBIT

Теперь немного разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT:

Трудовые ресурсы— под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы.

Приложения - прикладное программное обеспечение, используемое в работе организации. Технологии - операционные системы, базы данных, системы управления и т.д. Оборудование - все аппаратные средства КИС организации, с учетом их обслуживания.

Данные - данные в самом широком смысле - внешние и внутренние, структурированные и неструктурированные, графические, звуковые, мультимедиа и т.д.

Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита КИС по следующим критериям:

Эффективность - критерий, определяющий уместность и соответствие информации задачам бизнеса.

Технический уровень - критерий соответствия стандартам и инструкциям.

Безопасность - защита информации.

Целостность - точность и законченность информации.

Пригодность - доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов.

Согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу.

Надежность - соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей.

CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы:

• технические стандарты;

• кодексы;

• критерии КИС и описание процессов;

• профессиональные стандарты;

• требования и рекомендации;

• требования к банковским услугам, системам электронной торговли и производству.

Применение стандарта CoBiT возможно как для проведения аудита КИС организации, так и для изначального проектирования КИС. Обычный вариант прямой и обратной задач. Если в первом случае -это соответствие текущего состояния КИС лучшей практике аналогичных организаций и предприятий, то в другом - изначально верный проект и, как следствие, по окончании проектирования - КИС, стремящаяся к идеалу. В дальнейшем мы будем рассматривать аудит КИС.

Несмотря на размер разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям бизнеса, при этом сохраняя независимость от конкретных производителей, технологий и платформ.

На базовой блок-схеме CoBiT отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам КИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения аудита.

Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии КИС.

Отличительные черты CoBiT:

• Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов КИС).

• Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов).

• Адаптируемый, наращиваемый стандарт.

Рассмотрим преимущества CoBiT перед многочисленными западными разработками. Прежде всего, это его достаточность - наряду с возможностью относительно легкой адаптации к особенностям КИС. И, конечно же, то, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные не изменяя общие подходы и собственную структуру.

3.2.4 Практика проведения аудита КИС

Представленная на рис. 3.2. блок-схема отражает, хотя и не в деталях, ключевые точки проведения аудита КИС. Рассмотрим их подробнее.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита. Границы аудита определяются критическими точками КИС (элементами КИС), в которых наиболее часто возникают проблемные ситуации.

На основании результатов предварительного аудита всей КИС (в первом приближении) проводится углубленный аудит выявленных проблем.

В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика. Создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии КИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования КИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью.

Рис. 3.2. Общая последовательность проведения аудита КИС

Проведение анализа - наиболее ответственная часть проведения аудита КИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учётом рисков внедрения.

Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

 Скачать реферат