cobit.

Управление ИТ рисками.
Использование модели
COBIT.
Михаил Савчук, ООО «ЕвразХолдинг»
06 июня 2013 года
Несколько слов о компании
2
ИТ без надлежащего управления
3
Хорошее ИТ
 Насколько важны те или
иные информационные
сервисы или ИТ в целом?
Какая выгода от их
использования?
 Что делать если ИТ
система недоступна или
работает некорректно?
 Стоит ли тратить
дополнительные ресурсы
на покупку, разработку,
дополнительную
поддержку?
4
Модель COBIT
www.isaca.org
5
Принципы COBIT
ИТ технологии очень сложны.
Управление ИТ не обязано быть таким.
6
Движущие силы COBIT
Принципы, политики и системы
Процессы
Организационные структуры
Культура, этика и поведение
Информация
Сервисы, инфраструктура и
приложения
 Люди, умения и компетенции






7
Процессы COBIT
EDM Оценка, выбор направления и наблюдение
EDM01 Обеспечение
создания и обновление
подхода к руководству
EDM02 Обеспечение
создания выгоды
EDM03 Обеспечение
оптимизации рисков
EDM04 Обеспечение
оптимизации ресурсов
APO Обеспечение соответствия, планирование и организация
APO01
Управление
подходом к
управлению ИТ
APO02
Управление
стратегией
APO03
Управление
архитектурой
предприятия
APO04
Управление
инновациями
APO05
Управление
портфелем
APO06
Управление
бюджетом и
затратами
APO08
Управление
отношениями
APO09
Управление
соглашениями
об услугах
APO10
Управление
подрядчиками
APO11
Управление
качеством
APO12
Управление
рисками
APO13
Управление
безопасностью
APO07
Управление
персоналом
EDM05 Обеспечение
прозрачности для
заинтересованных
сторон
MEA
Отслеживание,
измерение и
оценка
MEA01 Отслеживание,
подсчет и оценка
производительности и
соответствия
BAI Создание, приобретение и внедрение
BAI01
Управление
программами
и проектами
BAI02
Управление
выявлением
требований
BAI08
Управление
знаниями
BAI09
Управление
активами
BAI03
Управление
выбором и
внедрением
решений
BAI04
Управление
доступностью
и мощностью
BAI05 Управление
поддержкой
организационных
изменений
BAI06
Управление
изменениями
BAI10 Управление
конфигурациями
BAI07
Управление
передачей и
приемкой
изменений
MEA02 Отслеживание,
подсчет и оценка
системы внутреннего
контроля
DSS Обслуживание, эксплуатация и сопровождение
DSS01
Управление
эксплуатацией
DSS02
Управление
запросами на
обслуживание и
инцидентами
DSS03
Управление
проблемами
DSS04 Управление
непрерывностью
DSS05
Управление
услугами
безопасности
8
DSS06
Управление
контролями
бизнеспроцессов
MEA03 Отслеживание,
подсчет и оценка
соответствия внешним
требованиями
Основные контрольные задачи
Развитие
Эффективная реализация ИТ
проектов в рамках ожидаемых
бюджетов, сроков и
полученных от реализации
выгод
Формирование оптимальных
показателей портфеля ИТ
проектов
Использование существующих ИТ сервисов
Минимизация затрат при
заданном уровне
эффективности
Максимизация выгод при
фиксированных затратах
9
Пять почему (пример декомпозиции рисков)
минимизация затрат при заданном уровне
эффективности при использовании существующих
ИТ сервисов и услуг
адаптации существующих ИТ услуг к изменяющимся
бизнес требованиям
эффективности масштабирования существующих
ИТ услуг (например, в части изменения количества
пользователей, географии и т.д.)
эффективности обработки транзакций при
увеличении количества пользователей и данных
10
Меры по компенсации рисков
Невозможность обработки транзакций при
увеличении количества пользователей и данных
 APO03. Управление архитектурой предприятия
Создание архитектуры, основанной на принципах
масштабируемости и гибкости (TOGAF);
 BAI03. Управление выбором и внедрением решений
Управление инфраструктурой (COBIT: Enabling process);
 BAI04. Управление доступностью и мощностью
Планирование и управление проблемами с мощностью и
производительностью (ISO/IEC 20000, ITIL)
11
Уровни зрелости ИТ процессов






0 Отсутствующий.
1 Начальный.
2 Повторяемый, но интуитивный.
3 Определенный.
4 Управляемый и измеримый.
5 Оптимизируемый.
Целевой уровень
зрелости определяется
задачами бизнеса и
рисками
12
Саммари
Контрольные
задачи высшего,
среднего и
низшего уровней
COBIT 5
Связанные ИТ
риски
COBIT 5: Enabling
Processes
Необходимые к
реализации ИТ
процессы и
уровень зрелости
COBIT 5
Implementation
COBIT 5 for
Information Security
Больше информации на www.isaca.org
13
Стандарты,
организационная
структура, потоки
информации
Спасибо за внимание
Михаил Савчук, CIA, CISA
Руководитель блока внутреннего
аудита по ИТ ООО «ЕвразХолдинг»
e-mail: mikhail.savchuk@evraz.com
14