IT Compliance – регулации и стандарти
IT Infrastructure Library (ITIL), Objectives for Information and Related Technology (CobiT), Capability Maturity Model Integration (CMMi), както и ISO 2700x играят важна роля в дефинирането на процеси в ИТ организациите. Тези дефакто стандарти са създадени от различни организации по различно време. Също така те преследват и различни цели.
ITIL
ITIL е създадена от Central Computer and Telecommunications Agency (сега Office of Government Commerce). Този набор от най-добри практики е организиран в поредица от книги, описващи жизнения цикъл на услугите. ITIL е много подходящ за описание на ИТ процеси. Той дава отговор на въпроса как да внедрим процесите в нашата организация. В новата трета версия на ITIL, се обръща значително внимание и на външните доставчици на услуги.
CobiT
Първоначално публикуван през 1996 година от Information Systems Audit and Control Association (ISACA) като стандарт за ИТ сигурност и практики за контрол. В настоящата си 4-та версия CobiT е дефакто стандарт за контрол на данните и системите и спомага на организациите да внедрят ефективно управление на системите и приложенията си.
Версия 4.0 е публикувана в края на 2005 г. CobiT отговаря на въпроса какво да бъде направено, а не точно как да се направи. Оперира на по-високо ниво от ITIL, CMMi, ISO 2700x. Много често контролите от CobiT се използват за одитиране на вече внедрени с помощта на ITIL процеси в организациите, например за сертифициране на организациите по SOX или с цел вътрешен одит. Management Guidelines частта на CobiT се състои от набор правила и метрики за измерване на 34 ИТ процеса, както и модели за измерване “зрелостта” на компаниите. Фокусът на CobiT е върху това дали организацията има или няма контроли, необходими за удовлетворяване изискванията на различни регулации.
CMMi
Публикуван от Carnegie Mellon University през 1991 г. Идеята е да се създаде набор от практики, които да подобрят процесите в разработката на софтуер. CMMi се използва за подобряване качеството на услугите и продуктите, както и за повишаване ефикасността на програмния процес и намаляване на рисковете, асоциирани с процеса на разработка и тестване. Има 5 нива на “зрялост” на организацията. Всяко ниво представя набор от най-добри практики, които компаниите трябва да внедрят за да отбележат подобрение в своята работа. Подобна класификация на зрелостта на организациите има и в CobiT.
ITIL не се концентрира върху процеса по разработка на софтуер и в това отношение процесите от CMMi могат добре да допълнят ITIL базираните процеси в организациите, ако това е необходимо.
ISO 2700x
Серията 2700х се състои от най-добри практики и препоръки за изграждането и поддръжката на система за управление на информационната сигурност (Information Security Management Systems - ISMS).
ISO/IEC 27001 – сертификационен стандарт, който се използва за сертифициране на ISMS на организациите. Публикуван през 2005 година.
ISO/IEC 27002 – този стандарт описва най-добрите практики за прилагане на ISMS (преди това известен като ISO 17799, който пък е наследник на BS 7799-1).
ISO/IEC 27006 – представлява наръчник за сертификационния процес. Той е публикуван през 2007 година.
Когато става дума за припокриване на стандарти, и в CobiT, и в ITIL има процеси, в които се разглежда информационната сигурност. Ако организацията ви е вече сертифицирана по ISO 27001, то по всяка вероятност обхватът касаещ информационната сигурност, залегнал в другите най-добри практики е вече покрит от ISO 27001 и не е необходимо да му обръщате сериозно внимание при внедряване на тези практики.
На фигура 1 виждате препокриването на различните най-добри практики и стандарти в управлението на ИТ.
Фигура 1: Препокриване на най-добрите практики в управлението на ИТ
Комбинираният подход дава най-добри резултати
Както се вижда, няма еднозначен отговор на въпроса “Кой стандарт да изберем?”. Това зависи изцяло от организациите и от конкретните регулации, които трябва да бъдат изпълнявани. Например организации, в които има разработване на софтуер, по всяка вероятност ще използват в допълнение към ITIL, CobiT, ISO 2700x и CMMi. В някой държави вътрешните регулации са изключително строги и тези стандарти трябва да бъдат “допълвани”, спрямо конкретните изисквания при внедряване в организациите.
Всяка организация се нуждае от индивидуален подход при избора си на най-добри практики. В повечето случаи комбинирания подход дава най-добри резултати.
Владимир Кънчев има опит като консултант и архитект на решения при внедряване на ИТ проекти в големи организации. През последните 5 години се занимава с дефиниране и внедряване на ИТ процеси. Внедрявал е процеси в ДСК Банк, Mobilkom Austria Group, Булбанк, Холсим, както и в някои големи организации в Сърбия, Македония и Албания. Притежава множество технологични сертификации - MCSE, CISSP, CCNA, CCSP, както и сертификации в управлението на ИТ процеси – ITIL Manager, ITIL Infrastructure Manager, itSMF ISO 20000 Consultant и др. Членува в множество професионални организации, като ISACA, itSMF, (ISC)2. В момента е ръководител отдел “Управление на ИТ услуги” в ITCE.
