42
Для 34 критических процессов ИТ указано общее число из 300 основных задач (заданий). Для каждого задания распределены необходимые ресурсы и определены цели контроля, основанные на требованиях категорий качества, безопасности и регулярности.
B.7.4 Разносторонность
Благодаря матричной структуре COBIT пользователь может рассматривать только отдельные области или процессы и/или выбирать подгруппу из семи бизнес-требований (например, только требования безопасности к конфиденциальности, целостности и доступности).
B.7.5 Своевременность
COBIT были разработаны в 1996 г. Ассоциацией аудита и контроля информационных систем. B 1998 г. они были расширены и полностью переработаны. Bо второй редакции были предложены материалы и программное обеспечение для работы с COBIT. Третья редакция (опубликованная в 2000 г.) была издана как «открытый стандарт».
B.7.6 Завершенность
COBIT предлагает метод фиксирования ориентированных на ИТ и сопутствующих им процессов. Cвязанные с ними цели контроля определяются независимо от технологий и могут использоваться для различных системных окружений. Oднако для создания концепций безопасности необходимо добавить дополнительные меры контроля, специфические для той или иной системы.
COBIT ориентированы на интересы типичного предприятия, связанные с безопасностью. Рассматриваются сохранение основных интересов компаний (целостность и конфиденциальность внутренней информации и процессов) и соблюдение обязательных положений (защита секретности данных, финансовая отчетность).
Фиксированный уровень безопасности отсутствует, а ориентация делается на цели предприятия.
B.7.7 Стоимость реализации/работа по реализации
Полный анализ всех целей контроля в рамках предприятия среднего масштаба с COBIT длится не более одного рабочего месяца.
B.7.8 Поддержка инструментальными средствами
Применение COBIT поддерживается различными инструментальными средствами, среди которых:
- «Консультант по COBIT» — Methodware Limited, г. Bеллингтон, Новая Зеландия;
- «Юамооценка по COBIT» — Институт по обучению в области сертификации, CI1IA.
Bторая редакция COBIT содержит также полезную дополнительную информацию, заявочные материалы и материалы по представлению.
В самом COBIT упоминаются примеры проведения проверок (специфические меры безопасности). С помощью этих примеров можно оценить степень удовлетворения целей контроля. Однако, как правило, пользователи COBIT (например, аудиторские организации) применяют собственные схемы оценки.
B.7.9 Сфера действия криптографии
Криптографические процедуры рассматриваются как меры, применимые для защиты информации и верификации аутентичности. В этой связи учитываются как соблюдение обязательных требований, таки проблемы легального сохранения зашифрованных данных.
B.7.10 Оценка и сертификация
Сертификат COBIT в полном смысле этого слова не существует. Однако метод используется аудиторскими организациями в условиях ежегодного аудита счетов для тестирования среды контроля ИТ. Результаты тестирования ИТ помещаются в ревизионный отчет о годовой отчетности.
B.7.11 Убедительность и признание
COBIT является стандартом, поддерживаемым крупнейшими международными бухгалтерскими фирмами.
B.8 ИСО 9000
B.8.1 Цель обеспечения доверия
Назначением серии ИСО 9000 является определение метода испытаний, в котором обозначена необходимость документирования требований к системе менеджмента качества как доказательство ее способности соответствовать требованиям заказчика и возможности оценивать эту способность внутренними и внешними контролерами. Проводятся также проверки в отношении выполнения средой ИТ организации требований заказчика и ее соответствия бизнес-целям заказчика.
Данный стандарт не подразумевает однородность систем менеджмента качества. На проектирование и внедрение системы менеджмента качества в организации оказывают влияние цели организации, требования заказчика, продукция или предлагаемые услуги и процессы.
B.8.2 Целевая аудитория
К данному методу обеспечения доверия относится доверие к среде в рамках любой организации на относительно высоком уровне. Содержащиеся в ИСО 9000 требования являются высокоуровневыми и независимыми от какого-либо промышленного или экономического сектора. Они относятся к организациям любого типа и масштаба.
В данном случае документация по процессам помогает организации достичь единообразия, определить области взаимодействия и разъяснить установившуюся практику каждому работнику.
Благодаря интеграции в процессы менеджмента структура стандарта стопроцентно применима к предприятию. Стандарты применимы ко всем областям, в которых структура ИТ применяется для поддержки внутренних процессов и/или требований заказчика. Более того, по причине их доминирования данные стандарты можно применять ко всем