Информатизация бизнеса. Управление рисками - стр. 24

Требования стандарта, обязательные для внедрения, не накладывают каких-либо технических требований на ИТ-средства или средства защиты информации – стандарт не ставит каких-либо ограничений на выбор программно-аппаратных средств и оставляет организации полную свободу выбора технических решений по защите информации.

Преимуществами стандартов, с точки зрения управления ИТ-рисками, являются их общедоступность, наличие русскоязычных версий, поддержка производителей программного обеспечения. К недостаткам можно отнести ограниченность описания рисков информационной безопасности, отсутствие детальных классификаторов, рекомендаций по борьбе с конкретными рисками информационной безопасности.

Управление рисками в жизненном цикле программных проектов специально регламентировано международными стандартами ISO 12207 «Процессы жизненного цикла программных средств» и ISO 15504 «Оценка и аттестация зрелости процессов создания и сопровождения программных средств и информационных систем», которые целесообразно использовать при разработке комплексов программ. В стандарте ISO 15504 содержится специальный раздел «МАН.4. Процесс управления рисками», назначением которого являются регламентирование и планирование процессов выявления и устранения рисков на протяжении всего жизненного цикла программного продукта.

2. Методологии ИТ-аудита. Методология COSO является примером международной практики по управлению рисками на уровне всей организации. В основах COSO заложен принцип системы внутреннего контроля, позволяющий организации выявлять недобросовестное использование информации, злоупотребление данными, искажение финансовой отчетности. Функция аудита заключается в постоянном надзоре и контроле за деятельностью организации с целью обеспечения более высокой степени надежности и достоверности информации.

Методология CobiT предоставляет методологию для корпоративного управления ИТ с отдельно выделенной книгой по ИТ-аудиту. Усиленное внимание аудиту ИТ в методологии объясняется тем, что первоначально CobiT разработан Ассоциацией аудита и контроля информационных систем (ISACA). Методология содержит подробное описание этапов, принципов и правил проведения ИТ-аудита, описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать.

Методология CobiT предоставляет огромные преимущества при проведении ИТ-аудита и внедрении корпоративного управления ИТ за счет обобщения лучших практик и международных стандартов и постоянного совершенствования. Электронная версия методологии постоянно обновляется и доступна, в том числе на русском языке, на сайте ISACA.