Читаем Обеспечение информационной безопасности бизнеса полностью

— обеспечение эффективной трансляции бизнес-требований в соответствующие возможности решений в сфере информационных технологий;

— интеграция приложений и информационных технологий в бизнес-процессы организации;

— обеспечение эффективных взаимоотношений с другими организациями;

— обеспечение прозрачности ИТ-расходов, потенциала, стратегии, политики и качества услуг;

— обеспечение учета и эффективного использования всех ИТ-активов;

— увеличение эффективности инвестиций в ИТ и вклада информационных технологий в общую эффективность бизнеса;

— оптимизация ИТ-инфраструктуры и ресурсов;

— обеспечение достоверности выполняемых автоматизированных транзакций;

— обеспечение адекватного противодействия ИТ неблагоприятным внешним и внутренним факторам;

— обеспечение требуемой доступности ИТ-услуг;

— поддержка целостности информации и инфраструктуры;

— обеспечение соответствия ИТ-деятельности законам и регулирующим нормам;

— обеспечение стабильного качества услуг, поддержка процесса непрерывного совершенствования.

Все перечисленные позиции органично развивают положения модели Комитета COSO, предлагая риск-ориентированный прагматичный подход к использованию организациями информационных технологий в контексте пользы и выгоды организации от их применения.

Оба стандарта базируются на модели непрерывного совершенствования (в спецификации ITIL явно указано на соответствие модели ИСО 9000; стандарт COBIT подобных формулировок не содержит, но фактически им соответствует).

Во введении стандарта COBIT отмечается, что его структура максимально адаптирована к поддержке структуре контроля для корпоративного управления организации и управления риском, изложенный в рекомендациях Комиссии COSO «Внутренний контроль — Интегрированная структура» и аналогичным руководствам.

Фундаментальным различием COBIT и ITIL является их происхождение, а следовательно, и специфика использования.

Заказчиком и спонсором спецификации ITIL являлись организации, использующие в своей деятельности информационные технологии. С позиций классики модели деятельности организации ИТ реализуют сервисную (вспомогательную) функцию к процессам формирования добавочной стоимости продукции и процессам корпоративного управления. Исключением может быть ситуация, когда основной целью деятельности организации является предоставление ИТ-услуг. Такие компании также присутствуют на рынке, но, как правило, для целей обслуживания крупного «материального бизнеса» (нефтяного или машиностроительного холдинга и т. п.). В таком видении вклада ИТ в обеспечение деятельности организации наиболее уместной представляется сервисная модель организации и реализации процессов менеджмента ИТ в организации со всеми вытекающими сущностями сервисной модели (планирование сервисов, требования к сервисам и т. п.). Именно такая модель положена в основу спецификации ITIL.

Положения стандарта COBIT не отвергают сервисной модели, даже рекомендуют ее к использованию совместно с COBIT. Однако общий взгляд на ИТ в стандарте COBIT несколько иной. Он как бы акцентируется на вопросах интеграции ИТ в общекорпоративный менеджмент, всецелом удовлетворении бизнес-требований и широком охвате контролем достижения целей. В положениях стандарта COBIT отмечается, что структура мер контроля COBIT способствует удовлетворению потребности системы внутреннего контроля организации посредством следующего:

— обеспечения связи с бизнес-требованиями;

— систематизации ИТ-деятельности в виде общепризнанной процессной модели;

— идентификации основных ИТ-ресурсов, которые должны использоваться;

— определения целей контроля управления, которые должны рассматриваться.

Для организации в целом, использование рекомендаций COBIT обеспечивает основу для:

— создания измеримой связи между бизнес-требованиями и ИТ-целями;

— предоставления инструментальных средств для руководства;

— установления целей и метрик, позволяющих оценивать функционирование ИТ;

— использования моделей зрелости, позволяющих проводить сравнительный анализ возможностей процессов;

— применения ролевых нотаций «Ответственность, подотчетность, консультирование и информирование» для прояснения ролей и обязанностей персонала организации.

В качестве преимуществ реализации COBIT как структуры корпоративного управления ИТ в стандарте отмечается:

— лучшая синхронизация бизнеса и ИТ на основе сосредоточения на бизнесе;

— общее понимание среди всех причастных сторон, основанное на общем языке;

— понимание бизнес-руководством того, что поддерживается и реализуется средствами ИТ;

— четкие обязанности и принципы владения на основе процессной ориент ации;

— широкое признание третьими сторонами и регулятивными органами;

— удовлетворение требований COSO для среды контроля ИТ.

Общую спецификацию процессов COBIT иллюстрирует рис. 47.

Комплекс документов стандарта COBIT включает руководства для многих заинтересованных сторон. Документы COBIT систематизированы по следующим трем уровням (см. рис. 48), предназначенным для поддержки:

— исполнительного высшего руководства организации и правления;

— бизнес-руководителей и ИТ-руководства;