На международной конференции Information Systems Audit and Control Foundation (Организация по ревизиям информационных систем и контролю над ними - ISACF), проходившей в Калгари, в центре внимания находилась новая методика проведения внутренних контрольных мероприятий, касающихся информационных технологий, которая носит название COBIT.
По утверждению представителей ISACF, COBIT (Control Objectives for Information and Related Technology - указания по проведению контрольных мероприятий, касающихся информационных и смежных с ними технологий) помогут руководствам компаний составить для себя список общепринятых мероприятий по управлению существующими и разрабатываемыми информационными средами и поддержке их безопасности. В этих правилах будет сформулирован определенный набор директив, которыми смогут руководствоваться все разработчики, имеющие одинаковые задачи.
COBIT предоставит средства, позволяющие привести в соответствие поставленные перед ними бизнес-цели и затрачиваемые на их достижение усилия, а также создавать аудиторскую структуру, которая будет повышать эффективность управления ресурсами информационных технологий.
COBIT стал плодом четырехлетней работы исследовательских групп из Австралии, Европы, Японии и США по согласованию стандартов из 18 глобальных источников. COBIT определяет критерии в следующих областях: рекомендации по качеству, рекомендации по управлению и рекомендации по безопасности.
В соответствии с COBIT, ресурсы информационных технологий разбиваются на следующие виды: данные, прикладные системы, технологии, оборудование и люди. Они характеризуются следующими категориями: эффективность, продуктивность, конфиденциальность, целостность, готовность, адекватность и надежность информации.
Программой-максимум ISACF можно назвать повсеместное принятие модели COBIT. Пока реакция на нее была крайне доброжелательной; сотни организаций уже приобрели пакет COBIT, в который входят документ о структуре, краткое руководство для исполнителя, 32 высокоуровневых и 280 подробных указаний по управлению, а также директивы по проведению ревизий.
ISACF, основанная в 1969 году, насчитывает 15 тыс. членов в 92 странах мира. Около 200 из них побывали на конференции в Калгари.
Посетители конференции в течение четырех дней принимали участие в семинарах по самым различным темам. В докладе "Новое в законодательстве: глобальные перспективы" Том Кинэн, декан факультета непрерывного обучения Университета г. Калгари, рассказал о некоторых законодательных проблемах (в частности, касающихся Internet), с которыми сегодня сталкиваются компании.
По мнению Кинэна, Internet заставит общество пересмотреть законы и порядки, имеющие отношение к владению информацией и авторским правам. Несмотря на то что все современные законы относятся и к Internet, сообщество сети им зачастую противится. "Культура Internet предполагает, что все в Internet должно быть бесплатным. Сама идея частной собственности враждебна пользователям Сети", - заметил Кинэн.
В докладе "Предотвращение преступлений, связанных с информационными технологиями" Джолин Смит Джеймсон, специальный агент ФБР, сообщила присутствующим, что существует пять потенциальных "нарушителей спокойствия" компаний: нарушители извне, собственные служащие, уголовный мир, промышленный шпионаж и деятельность зарубежных разведок.
Пугает число вторжений, которые можно приписать служащим или бывшим служащим, - 95%. Джеймсон предложил ответить на ряд вопросов, прежде чем решить, может ли та или иная компания оказаться жертвой "покушения": "Подключены ли вы к Internet? Подключена ли ваша система к модему? Есть ли у вас нештатные служащие?"
Джеймсон дал по этому вопросу следующие рекомендации: установка брандмауэров; доступ к функциям управления по паролю; анализ экономичности использования Internet; сведение к минимуму количества пользователей, обладающих правом доступа к ответственным ресурсам; создание и реализация стратегии защиты информации; тесная работа с органами безопасности в случае любых видов вторжения.