Управление ИТ рисками. Использование модели COBIT. Михаил Савчук, ООО «ЕвразХолдинг» 06 июня 2013 года Несколько слов о компании 2 ИТ без надлежащего управления 3 Хорошее ИТ Насколько важны те или иные информационные сервисы или ИТ в целом? Какая выгода от их использования? Что делать если ИТ система недоступна или работает некорректно? Стоит ли тратить дополнительные ресурсы на покупку, разработку, дополнительную поддержку? 4 Модель COBIT www.isaca.org 5 Принципы COBIT ИТ технологии очень сложны. Управление ИТ не обязано быть таким. 6 Движущие силы COBIT Принципы, политики и системы Процессы Организационные структуры Культура, этика и поведение Информация Сервисы, инфраструктура и приложения Люди, умения и компетенции 7 Процессы COBIT EDM Оценка, выбор направления и наблюдение EDM01 Обеспечение создания и обновление подхода к руководству EDM02 Обеспечение создания выгоды EDM03 Обеспечение оптимизации рисков EDM04 Обеспечение оптимизации ресурсов APO Обеспечение соответствия, планирование и организация APO01 Управление подходом к управлению ИТ APO02 Управление стратегией APO03 Управление архитектурой предприятия APO04 Управление инновациями APO05 Управление портфелем APO06 Управление бюджетом и затратами APO08 Управление отношениями APO09 Управление соглашениями об услугах APO10 Управление подрядчиками APO11 Управление качеством APO12 Управление рисками APO13 Управление безопасностью APO07 Управление персоналом EDM05 Обеспечение прозрачности для заинтересованных сторон MEA Отслеживание, измерение и оценка MEA01 Отслеживание, подсчет и оценка производительности и соответствия BAI Создание, приобретение и внедрение BAI01 Управление программами и проектами BAI02 Управление выявлением требований BAI08 Управление знаниями BAI09 Управление активами BAI03 Управление выбором и внедрением решений BAI04 Управление доступностью и мощностью BAI05 Управление поддержкой организационных изменений BAI06 Управление изменениями BAI10 Управление конфигурациями BAI07 Управление передачей и приемкой изменений MEA02 Отслеживание, подсчет и оценка системы внутреннего контроля DSS Обслуживание, эксплуатация и сопровождение DSS01 Управление эксплуатацией DSS02 Управление запросами на обслуживание и инцидентами DSS03 Управление проблемами DSS04 Управление непрерывностью DSS05 Управление услугами безопасности 8 DSS06 Управление контролями бизнеспроцессов MEA03 Отслеживание, подсчет и оценка соответствия внешним требованиями Основные контрольные задачи Развитие Эффективная реализация ИТ проектов в рамках ожидаемых бюджетов, сроков и полученных от реализации выгод Формирование оптимальных показателей портфеля ИТ проектов Использование существующих ИТ сервисов Минимизация затрат при заданном уровне эффективности Максимизация выгод при фиксированных затратах 9 Пять почему (пример декомпозиции рисков) минимизация затрат при заданном уровне эффективности при использовании существующих ИТ сервисов и услуг адаптации существующих ИТ услуг к изменяющимся бизнес требованиям эффективности масштабирования существующих ИТ услуг (например, в части изменения количества пользователей, географии и т.д.) эффективности обработки транзакций при увеличении количества пользователей и данных 10 Меры по компенсации рисков Невозможность обработки транзакций при увеличении количества пользователей и данных APO03. Управление архитектурой предприятия Создание архитектуры, основанной на принципах масштабируемости и гибкости (TOGAF); BAI03. Управление выбором и внедрением решений Управление инфраструктурой (COBIT: Enabling process); BAI04. Управление доступностью и мощностью Планирование и управление проблемами с мощностью и производительностью (ISO/IEC 20000, ITIL) 11 Уровни зрелости ИТ процессов 0 Отсутствующий. 1 Начальный. 2 Повторяемый, но интуитивный. 3 Определенный. 4 Управляемый и измеримый. 5 Оптимизируемый. Целевой уровень зрелости определяется задачами бизнеса и рисками 12 Саммари Контрольные задачи высшего, среднего и низшего уровней COBIT 5 Связанные ИТ риски COBIT 5: Enabling Processes Необходимые к реализации ИТ процессы и уровень зрелости COBIT 5 Implementation COBIT 5 for Information Security Больше информации на www.isaca.org 13 Стандарты, организационная структура, потоки информации Спасибо за внимание Михаил Савчук, CIA, CISA Руководитель блока внутреннего аудита по ИТ ООО «ЕвразХолдинг» e-mail: mikhail.savchuk@evraz.com 14