Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Стандарты по управлению ИТ-услугами

 

Всеобщее внимание к эффективному управлению информационными системами и технологиями привело к быстрому развитию множества отраслевых, национальных и международных стандартов управления ими вообще и их безопасностью в частности.

В недавней публикации Американского Института Дипломированных Бухгалтеров (AICPA) было показано, что за последние три года информационная безопасность, определенная как “аппаратные средства, программное обеспечение, процессы и процедуры, объединенные для защиты информационных систем организации от внутренних и внешних угроз” – стала в США темой номер один в области технологий. Из-за высокой динамики современных бизнес процессов просто нет времени для того, чтобы повторно изобретать колесо, и по этой причине, должно преобладать активное использование лучших мировых практик, к которым относятся и стандарты.

Стандарты управления и безопасности ИТ были созданы на основе анализа и обобщения лучших методов, опробованных, как большими группами профессионалов, так и множеством различных организаций. В большинстве стран, стандарты – defacto рассматриваются в качестве рекомендательных и наилучших способов действия вместо обязательных стандартов dejure. Лучшие стандарты управления и безопасности ИТ, также, не являются результатами научных изысканий. Лучше всего их описывает термин “народное творчество”.

В начале 20-ого столетия, когда были изобретены и стали широко использоваться различные электроприборы, для обеспечения безопасности и улучшения условий международной торговли, были разработаны и получили всеобщее признание международные стандарты для электрических приборов. Это привело к основанию Международной Электротехнической Комиссии (IEC). Намного позже, с появлением потребности в международных стандартах в других областях, в том числе и в области качества, была создана Международная Организация по Стандартизации (ISO). Поскольку компьютер и телекоммуникационные системы требуют внимания, как к электротехническим вопросам, так и к вопросам качества, IEC и ISO объединили свои усилия по разработке соответствующих стандартов в JointTechnicalCommittee 1.

Кроме признанных международных стандартов, существует много национальных стандартов управления и безопасности ИТ. Например, в то время как ControlObjectivesforInformationandrelatedTechnology (CobiT) наиболее часто используются для управления ИТ в США и ряде других стран, ITInfrastructureLibrary (ITIL) более часто используется в Великобритании, Нидерландах и Австралии.

Большинство стран имеет собственные организации, издающие стандарты для разных случаев. Это может быть по той причине, что описываемая лучшая практика доступна или применима лишь в местном масштабе. Например, голландский стандарт для голландского национального флага не будет представлять большого интереса для мексиканской фабрики (если только она не решит начать производство флагов). Однако, есть и другая ситуация. Потребность в управлении проектами в соответствии с лучшими практиками привела к появлению PRINCE2 в Европе и PMBOK в США. И это, несмотря на то, что управление проектами не очень сильно различается на разных континентах.

Поскольку стандарты являются результатом обсуждения индивидуумов, различия идей, культурных, политических и национальных особенностей, вели и будут всегда вести к быстрому росту числа локальных стандартов. Синдром “придумано не здесь” распространен очень сильно.

Понятно, что народное творчество и идеи индивидуумов ведут к изобилию хороших методов. Но, как было сказано в начале, преимущество стандартов как раз в том, что их много. Это действительно хорошо, поскольку, когда есть много стандартов, высока вероятность того, что один из многих специфических стандартов подойдет в конкретной ситуации наилучшим образом. Это особенно полезно, если всемирно-признанного фактического стандарта еще нет. Поскольку стандарты часто расцениваются как ограничивающие свободу смирительные рубашки, хорошо иметь выбор. Если CobiT не подходит, можно применять ITIL; если NIST Руководство по безопасности является слишком жестким, можно попробовать ISO 17799. Профессионалы должны использовать лучшие части этих стандартов в качестве кирпичиков и быть готовыми к декомпозиции стандартов. Пабло Пикассо сказал ‘Каждый акт творения начинается с акта разрушения’.

Ценность использования стандартов заключается в экономии значительных ресурсов за счет отсутствия необходимости повторно изобретать колесо, но самая большая ценность в возможности использования чужого опыта и лучших практик для собственной выгоды. Для отдельной организации было бы чрезвычайно трудно придумать лучшую структуру управления ИТ чем COBIT или ITIL. Кроме того, большинство законодательных актов (типа Акта Sarbanes-Oxley в США и Tabaksblat в Нидерландах) обязывают организации, к которым эти акты относятся, применять лучшие практики. В этом случае, вполне нормально, если организация выбирает стандарт defacto (то есть, риски использования внутренних стандартов с возможными упущениями или ошибками минимизируются применением стандартов defacto). Крупнейшие организации уже поняли, что создание собственных политик безопасности часто намного более дорого и менее успешно чем опора на ISO 17799.

Другие выгоды от использования стандартов управления и безопасности ИТ становятся очевидными тогда, когда организация решает отдать часть своих функций на аутсорсинг. Применение открытых стандартов в качестве основы при заключении соглашений об уровне обслуживания между партнерами ведет к уменьшению разногласий и снижению сопутствующих затрат и рисков.

Для целей аудита ИС (то есть, управления ИТ, безопасности, планирования непрерывности бизнеса и самого процесса аудита), наиболее интересны следующие тактические стандарты defacto:

- Управление ИС – CobiT, BS 15000, Microsoft Operations Framework и ITIL

- Управление проектами – PRINCE2 иthePMBOK

- Управление безопасностью – ISO 13335, ISO 13569 (банковские и финансовые услуги), ISO 17799/ BS 7799-2 (оба локализованы для многих стран), ITBaselineProtectionManual (Германия), ACSI-33 (Австралия), множеств остандартов NationalInstituteofStandardsandTechnology- NISTHandbook (SP800-12, USA), CobiT® SecurityBaseline™, ENV12924 (Медицинская информатика) и the Information Security Forum Standard of Good Practice

- Управление качеством—ISO 9001, EFQM и Baldrige National Quality Plan

- Программирование — TickIT, Capability Maturity Model Integration (Software Engineering Institute)

- IT Governance – COBIT, IT Governance Implementation Guide, COSO Internal Control – Integrated Framework и COSO Enterprise Risk Management – Integrated Framework, и недавно разработанный Австралийский стандарт AS 8015-2005 (корпоративное управление информационными и коммуникационными технологиями)

- Управление рисками – Австралийский стандарт AS/NZS 4360[xiv]

- BCP (планирование непрерывности бизнеса) – BritishStandardsInstitutionPAS-56 и Австралийский стандарт HB 221-2004

- Аудит ИС – COBIT и ISO 19011

 

  Международные стандарты Национальные стандарты Отраслевые стандарты или руководства
Управление ИС   -BS 15000 -COBIT -MOF -ITIL
Управление проектами     -PMBOK -PRINCE2 -APMs
Управление безопасностью -ISO 13335 -ISO 13569 -ISO 17799 -BS 7799-2 -NIST standards -Baseline Protection Manual -ACSI-33 -COBIT Security Baseline -ENV12924 -ISF Standard of Good Practice
Совершенствование процессов программирования/приобретения -ISO 12207 -ISO 15504 -TickIT -CMMI -Bootstrap
Управление качеством -ISO 9001 -EFQM –Baldrige National Quality Plan  
IT Governance   -COSO Internal Control— Integrated Framework -Australian standard AS 8015 -COBIT -IT Governance Implementation Guide
Управление рисками   -AS/NZS 4360 -COSO Enterprise Risk Management  
Планирование непрерывности бизнеса   -PAS-56 -AS/NZS 4360 and HB 221-2004  
Аудит -ISO 19011   -COBIT

Таблица 4.4 Структура стандартов

 

Наравне со значительным числом тактических стандартов (то есть, стандартов, описывающих процессы и процедуры), имеется еще большее число эксплуатационных, технических стандартов. Международная Организация по Стандартизации (ISO), Европейский Институт Стандартов Телекоммуникаций и Национальный Институт Стандартов и Технологии (NIST) издали стандарты по таким вопросам, как шифрование (FIPS 197), критерии (технические) оценки безопасности ИТ (ISO 15408), планирование непрерывности бизнеса (FIPS 87) и использование паролей (FIPS 112).

Не случайно, что Таблица 1 содержит два новых стандарта управления непрерывностью бизнеса: PubliclyAvailableSpecification 56 от Британского Института Стандартов и Handbook 221, BusinessContinuityManagement от StandardsAustralia. Оба стандарта описывают стратегические и эксплуатационные подходы, призванные противостоять нарушениям, перерывам или потерям в процессе производства изделий и услуг. Процессы, описанные в этих стандартах выходят за рамки планирования действий в чрезвычайных ситуациях. Недавний обзор Deloitte показал, что “... приблизительно только треть респондентов чувствовала, что они имеют всеобъемлющую структуру управления непрерывностью бизнеса, и только половина из них отметила вовлеченность топ-менеджеров в инициирование и управление этими вопросами”. Две трети исследованных компаний указали на то, что они, все еще, не имеют процессов, обеспечивающих необходимую поддержку управления непрерывностью бизнеса. Очевидно, что у них есть насущная потребность в применении лучших практик. Это как раз та область, где соответствующие стандарты могут быть чрезвычайно полезны.

Применение стандартов неадекватных ситуации, может стать причиной инициации дорогостоящих проектов, не обеспечивающих достижения поставленных целей. Успешные стандарты всегда оставляют простор для их интерпретации, но, время от времени, эта интерпретация может привести к проблемам. Стандарт типа ISO 17799 описывает ЧТО такое безопасность, но не КАК ее достичь. В процессе сертификации, вопрос «КАК» может и должен стать предметом серьезных обсуждений с внешним аудитором для достижения взаимоприемлемого варианта.

Некоторые из вышеупомянутых стандартов являются частью семейства стандартов. Например, BS 15000, Британский Стандарт для Управления ИТ Услугами, состоит из двух частей. Первая часть является спецификацией для управления услугами, а вторая часть, Свод правил для Управления Услугами, является нижестоящей ступенью в иерархии. Еще ниже в этой иерархии находится ITIL, содержащий лучшие практики для процессов, описанных в BS 15000, и, более того, внутренние процедуры организации этих процессов.

Подобную иерархию можно увидеть в BS 7799-2 (спецификация управления безопасностью), ISO 17799 (набор лучших практик); и ITIL SecurityManagement (описание процессов безопасности ИС).

 

 

4.7 Функции международной организации ISACA (Information Systems Audit and Contorol Association & Foundation).

 

Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. Ассоциация Аудита и Контроля Информационных Систем является ведущей мировой профессиональной организацией с представительствами в более чем 100 странах мира и охватывает все уровни ИТ:

- Организации;

- Управления;

- Практического применения.

Основная цель ассоциации – это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования руководителями ИТ департаментов, администраторами и аудиторами информационных систем.

Ассоциация занимает уникальную позицию мирового лидера в области разработки и распространения стандартов по аудиту ИТ, ее стратегический альянс с другими ассоциациями и консалтинговыми компаниями в областях финансово-хозяйственной деятельности, бухгалтерского учета и аудита ИТ обеспечивает не имеющий равных уровень интеграции и соответствия требованиям владельцев бизнес-процессов.

Признанный лидер в управлении, контроле и поддержке информационных систем и технологий.

Проблемы с подготовкой специалистов в области аудита, безопасности и управления ИТ существуют не только в отечественных учебных заведениях, но и в западных. Характерное явление отечественной экономики — кадровый голод на фоне безработицы — обусловлен низкой квалификацией кадров. Поэтому особое внимание необходимо уделять квалифицированному обучению. ISACA определяет это одним из приоритетных направлений, активно привлекая в образовательный процесс как вузы, так и студентов индивидуально. Ассоциация проводит сертификацию специалистов в области аудита (CISA), информационной безопасности (CISM) и управления ИТ (CGEIT).

Сертификация CISA является стандартом де-факто в мире аудита ИТ и не нуждается в представлении. Для любого аудитора ИТ в мире сертификат CISA является ценным статусом. История сертификации CISM связана с необходимостью создания такой схемы, которая соединяла бы интересы бизнеса и цели информационной безопасности, создавала бы интерфейс, общий язык между экономикой предприятия и такими абстрактными понятиями, как, например, угрозы, уязвимости, нарушения и показатели непрерывности бизнеса. Особенностями программы CISM является концентрация на эффективности информационной безопасности, под которой, прежде всего, имеется в виду её эффективность с точки зрения бизнеса и его экономических показателей. В период экономического спада задача сохранения активов в компаниях получает высший приоритет. Программа CISM учит не только как компании заработать деньги с помощью информационной безопасности, но и как показать это владельцам и инвесторам. Сертифицированный специалист CISM резко повышает свою стоимость на рынке труда. Сертификация CGEIT является самой молодой, и она рассматривает вопросы IT Governance, что переводится на русский как управление, стратегическое управление или регулирование ИТ.

Программы сертификации CISA, CISM и CGEIT имеют аккредитацию ANSI. Статус Сертифицированного Аудитора Информационных Систем (CertifiedInformationSystemsAuditor, CISA) имеет более 60 000 профессионалов во всем мире, Сертифицированного Менеджера Информационной Безопасности (CertifiedInformationSecurityManager, CISM) — более 9000, Сертификаций в области Управления Корпоративными ИТ (CertifiedintheGovernanceofEnterprise IT, CGEIT) — более 200 профессионалов.

 

 

<== предыдущая лекция | следующая лекция ==>
Стандарты оценки качества ИС | Стандарты аудита эффективности ИС. Корпоративные стандарты
Поделиться с друзьями:


Дата добавления: 2014-01-03; Просмотров: 1320; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.031 сек.