Во введении стандарта COBIT отмечается, что его структура максимально адаптирована к поддержке структуре контроля для корпоративного управления организации и управления риском, изложенный в рекомендациях Комиссии COSO «Внутренний контроль — Интегрированная структура» и аналогичным руководствам.
Фундаментальным различием COBIT и ITIL является их происхождение, а следовательно, и специфика использования.
Заказчиком и спонсором спецификации ITIL являлись организации, использующие в своей деятельности информационные технологии. С позиций классики модели деятельности организации ИТ реализуют сервисную (вспомогательную) функцию к процессам формирования добавочной стоимости продукции и процессам корпоративного управления. Исключением может быть ситуация, когда основной целью деятельности организации является предоставление ИТ-услуг. Такие компании также присутствуют на рынке, но, как правило, для целей обслуживания крупного «материального бизнеса» (нефтяного или машиностроительного холдинга и т. п.). В таком видении вклада ИТ в обеспечение деятельности организации наиболее уместной представляется сервисная модель организации и реализации процессов менеджмента ИТ в организации со всеми вытекающими сущностями сервисной модели (планирование сервисов, требования к сервисам и т. п.). Именно такая модель положена в основу спецификации ITIL.
Положения стандарта COBIT не отвергают сервисной модели, даже рекомендуют ее к использованию совместно с COBIT. Однако общий взгляд на ИТ в стандарте COBIT несколько иной. Он как бы акцентируется на вопросах интеграции ИТ в общекорпоративный менеджмент, всецелом удовлетворении бизнес-требований и широком охвате контролем достижения целей. В положениях стандарта COBIT отмечается, что структура мер контроля COBIT способствует удовлетворению потребности системы внутреннего контроля организации посредством следующего:
— обеспечения связи с бизнес-требованиями;
— систематизации ИТ-деятельности в виде общепризнанной процессной модели;
— идентификации основных ИТ-ресурсов, которые должны использоваться;
— определения целей контроля управления, которые должны рассматриваться.
Для организации в целом, использование рекомендаций COBIT обеспечивает основу для:
— создания измеримой связи между бизнес-требованиями и ИТ-целями;
— предоставления инструментальных средств для руководства;
— установления целей и метрик, позволяющих оценивать функционирование ИТ;
— использования моделей зрелости, позволяющих проводить сравнительный анализ возможностей процессов;
— применения ролевых нотаций «Ответственность, подотчетность, консультирование и информирование» для прояснения ролей и обязанностей персонала организации.
В качестве преимуществ реализации COBIT как структуры корпоративного управления ИТ в стандарте отмечается:
— лучшая синхронизация бизнеса и ИТ на основе сосредоточения на бизнесе;
— общее понимание среди всех причастных сторон, основанное на общем языке;
— понимание бизнес-руководством того, что поддерживается и реализуется средствами ИТ;
— четкие обязанности и принципы владения на основе процессной ориент ации;
— широкое признание третьими сторонами и регулятивными органами;
— удовлетворение требований COSO для среды контроля ИТ.
Общую спецификацию процессов COBIT иллюстрирует рис. 47.
Комплекс документов стандарта COBIT включает руководства для многих заинтересованных сторон. Документы COBIT систематизированы по следующим трем уровням (см. рис. 48), предназначенным для поддержки:
— исполнительного высшего руководства организации и правления;
— бизнес-руководителей и ИТ-руководства;
— специалистов в сфере корпоративного управления, доверия, контроля и безопасности.
Существуют также производные продукты (руководства) для определенных целей, например, документы, которые рассматривают:
— цели контроля ИТ (на основе COBIT) для Закона Сарбейнса — Оксли;
— базовый уровень безопасности и менеджмент информационной безопасностью COBIT: руководство для совета директоров и исполнительного руководства;
— руководство к COBIT для малых и средних предприятий или больших предприятий, стремящихся достичь более широкой реализации корпоративного управления ИТ.
Все компоненты COBIT взаимосвязаны и предназначены для поддержки потребностей в корпоративном управлении, управлении, контроле и доверии различных заинтересованных сторон (см. рис. 49).
COBIT — это структура и совокупность поддерживающих механизмов и технологий, которые позволяют руководителям ликвидировать расхождения в отношении требований контроля, технических вопросов и бизнес-рисков и информировать об этом уровне контроля причастные стороны.
Практическая сторона использования любой рассмотренной стандартизированной спецификации ИТ, как COBIT, так и ITIL и иных подобных, в конечном случае сопряжена с оценками и измерениями в операционной среде организации. Только информация контроля может показать, насколько планы предприятия реализованы. Только данные по измерениям могут показать «на сколько» планы реализованы или перевыполнены. Тот же COBIT иллюстрирует данный тезис, как показано на рис. 50.
В конечном итоге информация контроля и данные измерений и оценки имеют ценность в организации ровно настолько, насколько ее способна «переварить» система корпоративного контроля и управления.
Измеренное (оцененное) значение «0,8», «40», «70 %» без контекста, сопровождающего данное значение оценки, абсолютно бесполезно для системы принятия решений организации (надо что-то делать или, может, подождать). Более того, оно вредно, так как сопровождается затратой ресурсов организации (операционной среды и системы управления), если только наличие какой-либо оценки не является основной целью такой оценки.
В вопросах совершенствования необходимы сведения об ожиданиях (целях и задачах), имевших место при планировании работ. Тогда контроль и измерения в таких условиях сопровождаются платформой и семантикой предполагаемой шкалы и методов контроля и измерения.
При следовании организацией рекомендациям модели Комитета COSO в системе корпоративного менеджмента функциональные и обеспечивающие подразделения, а также ее высшее руководство получают возможность использования в своей практике соответствующих их деятельности моделей непрерывного совершенствования. Наряду с этим и высшее руководство потенциально способно эффективно управлять и адекватно реагировать на события в своей операционной среде и среде бизнеса своей организации. В таких условиях возможно максимально эффективное использование практически любого стандартизированного решения, реализующего модели непрерывного совершенствования, как для сферы обеспечения информационной безопасности бизнеса, так и для информатизации и контроля информационных технологий. Более того, это позволяет выстраивать максимально эффективные и результативные «горизонтальные» связи, например, между подразделениями информатизации и безопасности в контексте общих принципов корпоративного менеджмента и контроля достижения целей деятельности организации.
Далее рассмотрим возможные подходы к измерениям и контролю в моделях непрерывного совершенствования, включая совершенствования системы менеджменты информационной безопасности бизнеса.
2.4. Контроль и аудит (оценки, измерения) в моделях менеджмента (управления)
Измерения и контроль в моделях менеджмента предназначены для удовлетворения информационных потребностей тех или иных заинтересованных сторон в информации, касающейся функционирования объекта измерения и контроля. Все результаты измерений и контроля имеют информационную природу. Потребители информации (заинтересованные стороны) могут быть как внутренними (органы управления и контроля, сервисные подразделения и т. п.), так и внешними (собственники/акционеры, органы надзора и регулирования, инвесторы и т. д.) по отношению к организации.
В вопросах совершенствования деятельности организации информация измерений и контроля необходима в том числе и для актуализации виртуальной модели материального мира, используемой органами управления в системе принятия решений. В случаях, если поступающие данные от измерений и контроля в организации «не ложатся» (не находят своего места) в виртуальной модели материального мира органа управления, они не могут быть им использованы, а следовательно, являются бесполезными. В связи с этим все затраты организации на осуществление таких измерений можно относить к ущербу (упущенной выгоде, уменьшенной добавочной стоимости и т. п.).
«Классические» рекомендации по роли информации в управлении организацией можно найти во многих известных стандартах, например, таких как ГОСТ Р ИСО 9004. В них отмечается, что лица органов управления должны обращаться с данными как с фундаментальным источником для преобразования в информацию и постоянного развития базы знаний организации, которая важна при принятии решений, основанных на фактах. Это среди прочего может стимулировать нововведения, инновации, объективную основу для решений по совершенствованию деятельности. Для этого органам управления организацией следует:
— определить потребности в информации (категориях и типах, формах ее представления);
— преобразовывать информацию в знания, используемые в организации;
— проводить оценку выгод, получаемых за счет использования информации, с целью улучшения менеджмента информации и знаний организации.
В то же время неэффективно и неадекватно спроектированные измерения и меры контроля могут сформировать ложную уверенность в надлежащем (правильном, эффективном, адекватном условиям и т. д.) функционировании объекта контроля, что способно привести к еще большим издержкам организации.
Какие результаты дает произвольная система измерений, мы можем видеть на улицах российских городов. Метрики контроля эффективности деятельности, устанавливаемые для сотрудников патрульно-постовой службы, инспекторов безопасности дорожного движения, зачастую далеки от факторов, оказывающих действенное влияние на снижение уличной преступности и безопасности на дорогах. Подобные проблемы не являются характерными только для российской действительности. Например, Г. Нив в своей книге [6] приводит пример, когда Деминг показывает ему заголовок из одной газеты: «Констебль виновен в неисполнении обязанностей — не выполнил план по арестам». За это невыполнение полицейский из Торонто был смещен с должности.
Этот достаточно наглядный пример приведен в пятой части книги Г. Нива «Четырнадцать пунктов снова перед нами», где он рассматривает с практической стороны «работу» 14 принципов программы Деминга для менеджмента, иллюстрируя их характерными примерами. Материалы данной главы Нива и других, могут быть полезны всем, кто не на словах, а на деле желает что-либо изменить в лучшую сторону в своей управленческой деятельности.
Что касается рассматриваемого вопроса, то в принципах программы Деминга для менеджмента ожидаемо нашлось место и вопросам измерения и контроля. В главе 29 «Пункт 11: исключите произвольные количественные цели» ярко и на примерах рассмотрены ситуации и последствия поверхностного и непродуманного подхода к измерениям и сформулированы соответствующие рекомендации. Где-то они носят идеалистический характер, но многие из них вполне практичны. Например, нельзя не согласиться с тезисом Деминга «Измерения — всегда только верхушка айсберга».
В срезе моделей менеджмента (управления) информационных технологий в организации и систем обеспечения информационной безопасности организаций практически все стандартизированные для целей проектирования и реализации измерений решения основываются на единой эталонной структуре, отражающей сущности предметной области измерений и их отношения. В каждом конкретном случае все сущности предметной области измерений имеют свое наполнение или решения «по умолчанию».
Рис. 51 иллюстрирует обобщенную модель измерений в системах менеджмента информационных технологий и информационной безопасности организации.
Лица органов управления организации соответствующего уровня устанавливают нормы и требования к организации и реализации деятельности в подразделениях организации (эталон), отражающие видение руководства того, что и как должно осуществляться в подразделениях организации для достижения поставленных целей. Это может включать нормы и требования организации функционирования и совершенствования деятельности объекта, нормы и требования риск-менеджмента объекта и т. д. Установление лицами органов управления организации норм и требований к организации и реализации деятельности в подразделениях организации порождает потребность контроля их исполнения и измерений достигнутых результатов.
Задачи контроля и измерений достигнутых результатов формулируются в терминах информационной потребности в информации результатов тех или иных видов оценок. Потребность представляет собой понимание, включающее необходимость выявления и разрешения целей, задач, рисков и проблем. Для реализации данной потребности определяются цели, объекты и предмет измерений и контроля. Они наряду с эталоном предопределяют модель оценки, включающую установление того, что и как может быть проверено, учитывая аспекты достоверности и правила реализации сбора сведений и их анализа, оценивания (вычисления качественных и /или количественных значений) и интерпретации результатов.
Модели и методы измерений и контроля могут быть отражены в любой форме, в том числе и в виде отдельного документа. Уровень формализации моделей и методов измерений и контроля может быть любым, при условии, что он позволяет использовать данные модели и методы в операционной среде организации на объектах оценки. Композиция эталона и оценочной модели и методов измерений и контроля образуют основу для формирования и использования методической базы (методики, регламенты, инструментальные средства), что формирует основания для проведения практической деятельности на объектах. Эталон в обязательном порядке должен учитываться при формировании методик оценки объекта, так как в противном случае будет затруднительно отобразить и интерпретировать результаты измерений и контроля в терминах того, что должно было быть выполнено на объекте относительно результатов измерений.
Методическое обеспечение определяет структуру и форму результатов измерений и контроля, которые должны удовлетворять потребностям лиц органов управления организации и могут быть интерпретированы для дальнейшего использования. Применение методик на объектах в условиях регламентированных процедур, отвечающих установленным и признаваемым в организации принципам и методам измерений и контроля, должно позволить сформировать результат требуемого качества, удовлетворяющего информационным потребностям.
Результаты измерений и контроля, формируемые на основе полученных с объекта данных измерений и контроля, должны отвечать заявленной информационной потребности и позволять использовать их лицами органов управления организации для совершенствования деятельности (или в иных целях, например, для передачи третьим лицам).
Важным моментом для практики инициирования новых видов проверок (измерений и способов контроля и оценки) является адекватность текущего установленного эталона (действующих норм и требований, предопределяющих деятельность объектов оценки) сформулированной информационной потребности. Существующий эталон, устанавливая правила функционирования объекта, одновременно задает рамки ограничений на возможные информационные потребности лиц органов управления организации в оценочных категориях и возможные ожидания, имеющиеся относительно различных видов измерений и контроля.
Так, например, на практике встречаются ситуации, когда лица органов управления организации в силу различных обстоятельств формулируют потребности в проверках и оценках по некоторой общепризнанной стандартизированной модели (COBIT, ITIL, ISO/IEC 27001, ISO/IEC 20000 и т. д.). В этом случае, если текущая деятельность организации (существующий эталон) определяет порядок разработки, поставки и внедрения систем организации по требованиям стандартов иных стандартов, например комплексов стандартов ГОСТ 34, ГОСТ 2, ГОСТ 19, то результат может быть далек от ожиданий (соответствия). Результаты оценки не выведут на соответствие, а зачастую не покажут вообще ничего (значение оценки будет «ноль»). Это, как правило, лишний раз доказывает лишь то, что модели и методы измерений должны органично развивать требования эталона и быть с ним совместимым.
Ряд стандартизированных решений менеджмента ИТ и ИБ организации наряду с требованиями менеджмента включает и критерии и методы измерений и контроля (оценки). Среди них можно отметь те же COBIT и ITIL, ISO/IEC 27001, международные стандарты процессного подхода (процессов жизненного цикла ИТ) 15288 (систем) и 12207 (программного обеспечения) и др.
Для целей измерений в стандартах процессного подхода (процессов жизненного цикла ИТ) 15288 (систем) и 12207 (программного обеспечения) еще в 2002 г. был принят международный стандарт ISO/IEC 15939 [22] «Проектирование систем и программного обеспечения — процесс измерения» (пересмотренный пять лет спустя). Данный международный стандарт определяет мероприятия и задачи, необходимые для реализации процесса измерения. Мероприятие — это совокупность взаимосвязанных задач, способствующая достижению назначения и результатов процесса измерения. Задача — строго определенная часть работы. Каждое мероприятие состоит из одной или более задач. Модель процесса измерений по ISO/IEC 15939 иллюстрирует рис. 52.