Миссия CobiT

Исследовать, разрабатывать, рекламировать и продвигать авторитетный современный международный набор общепринятых документов для целей управления и контроля для ежедневного использования менеджерами и аудиторами.

CobiT – процессно-ориентированный стандарт, ориентированный скорее на управление/аудит процессов ИТ, чем на управление/аудит конкретных функций или приложений. CobiT состоит из 34 процессов управления/высокоуровневых объектов контроля, которые охватывают все параметры применяемых информационных систем и технологий, учитывают жизненный цикл и специфические задачи решаемые ИТ.

История CobiT

· Объекты контроля

· Первое издание – 1996 год

· Второе издание – 1998 год

· Третье издание – 2000 год

· Четвертое издание – 2005 год

Преимущества процессной модели CobiT

Процесс – это действие, направленное на достижение полезного результата при оптимальном использовании ресурсов, причем такое, которое может корректироваться при выполнении.

Модель процессов, выстраиваемая на базе CobiT, предпочтительней других подходов, в основе которых не лежат бизнес-процессы организации (методики и стандарты аудита производителей программно-аппаратных средств), по нескольким причинам:

Во-первых, при выполнении процесса все задействованные ресурсы структурируются и выстраиваются таким образом, чтобы максимально эффективно выполнять этот процесс.

Во-вторых, в подавляющем большинстве организаций процессы, а особенно их цели не так часто изменяются, по сравнению с организационными объектами (организационно-штатная структура: сотрудники, отделы, департаменты и т.Д.).

В-третьих, развертывание информационной системы или внедрение информационных технологий не может быть ограничено спецификой одного отдела или департамента, а затрагивает руководителей, пользователей из других подразделений и ИТ-специалистов. Таким образом, прикладные системы (то, что видит пользователь) - это неотъемлемая часть структуры CobiT и они могут быть стандартно оценены, как и прочие объекты контроля CobiT, в рамках единой структуры и с применением единых метрик.

Почему и зачем применяется CobiT:

•Объединяет основные международные стандарты

•Стал стандартом Де-факто для контроля над ИТ

•Исходит от требований бизнеса

•Ориентирован на процессы

Источники обновления информации для CobiT 4:

COSO: Internal Control - Integrated Framework, 1994 и Enterprise Risk Mangement - Integrated Framework, 2004

OGC: IT Infrastructure Library (ITIL), 1999-2004

ISO: ISO/IEC 17799:2005, Code of Practice for Information Security Management

SEI: SEI Capability Maturity Model (CMM) , 1993 и SEI Capability Maturity Model Integration (CMMI), 2000

PMI: Project Management Body of Knowledge (PMBOK), 2000

ISF: The Standard of Good Practice for Information Security, 2003

Для оценки зрелости процессов управления ИТ в основу стандарта CobiT положены модели зрелости CMMI.

Взаимосвязь CobiT и других методик и стандартов

Ассоциация ISACA и Институт ИТ руководства недавно опубликовали книгу «CobiT Mapping: Оценка взаимосвязей между CobiT и другими международными стандартами, вторая редакция» в которой проводится сравнение CobiT с другими признанными международными методиками и стандартами:

• COSO
• ITIL
• ISO/IEC 17799:2005
• FIPS PUB 200
• ISO/IEC TR 13335
• ISO/IEC 15408:2005/Common Criteria/ITSEC
• PRINCE2
• PMBOK
• TickIT
• CMMI
• TOGAF 8.1
• IT Baseline Protection Manual
• NIST 800-14

При подготовке раздела использована часть авторского учебного курса: Руководителя рабочей группы ISACA.ru Сергея Гузика «Управление, сопровождение и аудит информационных систем и технологий».