Большинство специалистов слышали про COBIT, но многие считают его чем-то далёким и бюрократичным, вроде «свода требований от международных аудиторов». На самом деле, COBIT, это не столько набор требований, сколько структурированная логика принятия решений, которая помогает связать технические задачи информационной безопасности с управленческими целями бизнеса. В российской регуляторике, где часто приходится «подгонять» процессы под ФСТЭК и 152-ФЗ, COBIT может стать тем самым переводчиком, который объясняет руководителю, зачем мы вообще делаем то, что делаем. https://seberd.ru/5434
Что такое COBIT на самом деле
COBIT (Control Objectives for Information and Related Technologies), это не стандарт информационной безопасности в чистом виде, а фреймворк управления ИТ и обеспечения его надёжности. Он был создан международной ассоциацией ISACA для того, чтобы помочь организациям понять, как ИТ-ресурсы поддерживают бизнес.
Первая версия COBIT была выпущена в 1996 году, тогда он был ориентирован на аудиторов и сводился к списку контрольных точек. Сегодняшний COBIT 2019, это уже комплексная система управления, в которой вопросы ИБ вплетены в ткань основных процессов.
Ключевая мысль, которую упускают при поверхностном взгляде, заключается в следующем: COBIT не говорит «делай так, потому что так написано». Он задаёт вопрос «что ты хочешь получить от своих ИТ-активов?» и предлагает логичный путь от ответа до конкретных практик. Именно этот подход делает его ценным в российских реалиях, где требования регуляторов (ФСТЭК, 152-ФЗ) часто воспринимаются как внешнее давление, а не как часть общей системы управления.
Логика COBIT: от бизнес-целей к ИБ-контролям
Сердцевину COBIT 2019 составляют компоненты управления, которые связаны в причинно-следственные цепочки. Это отличает его от многих других фреймворков, где процессы и практики представлены как изолированные списки.
Всё начинается с целей организации. Например, цель «Обеспечить непрерывность оказания услуг» (цель бизнеса). Для её достижения необходима определённая ИТ-цель — «Обеспечить доступность, производительность и отказоустойчивость ИТ-сервисов». Чтобы реализовать эту ИТ-цель, нужно выполнить несколько задач управления: «Управлять производительностью и ёмкостью», «Управлять услугами и инцидентами», «Управлять непрерывностью». И только на уровне практик управления появляются конкретные действия по ИБ: внедрение резервного копирования, мониторинг доступности, планы аварийного восстановления.
каждое действие по информационной безопасности получает обоснование, понятное не только техническому специалисту, но и руководителю. Вы не просто «настраиваете систему резервного копирования, потому что так требует политика», а «обеспечиваете выполнение плана аварийного восстановления для поддержания непрерывности критического сервиса X, что напрямую влияет на выполнение договора с ключевым заказчиком».
Как COBIT помогает соответствовать российским требованиям
Многие российские организации строят систему ИБ «от проверок»: выявляют требования 152-ФЗ или ФСТЭК и пытаются их формально закрыть. Это часто приводит к разрыву между бумажными процедурами и реальными процессами. COBIT предлагает другой путь — строить систему управления, где регуляторные требования становятся естественной частью этой системы, а не довеском к ней.
Рассмотрим на примере управления доступом (требование и 152-ФЗ, и многих документов ФСТЭК). В подходе «от проверки» компания может просто написать политику разграничения доступа и составить реестр учётных записей. В рамках COBIT этот процесс встроен в более широкий контекст.
| Цель управления (COBIT) | Соответствующая практика | Как это покрывает требования регуляторов |
|---|---|---|
| Управление идентификацией и доступом (APO01.06) | Установить и поддерживать процессы предоставления, изменения и прекращения доступа на основе принципа наименьших привилегий. | Прямо соответствует требованиям по разграничению доступа (152-ФЗ, ст. 16, базовый уровень). |
| Обеспечение соответствия (BAI10) | Определить и отслеживать обязательные требования (внутренние и внешние). | Формализует процесс учёта требований 152-ФЗ, ФСТЭК, отраслевых стандартов. |
| Мониторинг и анализ (MEA02) | Регулярно оценивать эффективность системы контроля, включая управление доступом. | Подтверждает выполнение требования о периодической оценке эффективности мер защиты (152-ФЗ). |
COBIT не заменяет собой российские нормативные акты, но он помогает организовать работу по их выполнению системно. Вместо разрозненных мероприятий появляется цельная картина, где каждое действие имеет определённую роль в системе управления.
Практическое применение: настройка процессов для аттестации
Одна из самых трудоёмких задач — подготовка к аттестации объекта информатизации по требованиям ФСТЭК. Здесь часто царит хаос из-за огромного количества документов и требований. Использование логики COBIT позволяет структурировать эту работу.
Вместо того чтобы сразу погружаться в детали методических документов ФСТЭК, можно начать с определения целей управления для аттестуемой системы. Какие бизнес-процессы она поддерживает? Какие требования к доступности, конфиденциальности, целостности данных для неё критичны? Ответы на эти вопросы становятся основой для «Целей организации» в терминах COBIT.
Далее, используя сопоставления (например, из официальных руководств ISACA или отраслевых адаптаций), можно определить, какие процессы COBIT наиболее важны для достижения этих целей в контексте требований ФСТЭК. Это может быть «Управление рисками» (APO12), «Управление изменениями» (BAI06) или «Обеспечение безопасности» (DSS05).
На уровне практик для каждого выбранного процесса вы уже будете видеть конкретные действия. Важный момент: многие практики COBIT напрямую или косвенно соответствуют мерам защиты из приказов ФСТЭК. Систематизируя работу таким образом, вы создаёте не просто «папку для аттестации», а реально действующие процессы управления ИБ, которые будут работать и после успешного прохождения проверки.
Где COBIT не панацея, а где его сила
Важно понимать ограничения COBIT. Это не пошаговая инструкция «как настроить межсетевой экран». Он не даст вам готовых политик или настроек для конкретного СЗИ. Его сила — в более высоком, управленческом слое.
Если ваша организация только начинает путь построения ИБ, и нет чёткого понимания, с чего начать после изучения 152-ФЗ, COBIT может стать картой, которая предотвратит бессистемную трату ресурсов. Он помогает расставить приоритеты: не «делать всё сразу», а определить, какие процессы управления (например, управление рисками или инцидентами) окажут наибольшее влияние на достижение ваших ключевых бизнес-целей в текущих условиях.
Кроме того, COBIT предоставляет общий язык для общения между ИБ-специалистами, ИТ-отделом и бизнес-руководством. Когда вы говорите о необходимости инвестиций в систему DLP, вы можете обосновать это не только ссылкой на приказ ФСТЭК № 239, но и через цепочку COBIT: угроза утечки данных → риск нарушения конфиденциальности → угроза бизнес-цели «Сохранение репутации и доверия клиентов» → необходимость усилить процесс «Защита информации» (DSS05) через внедрение практик мониторинга и контроля.
С чего можно начать
Полное внедрение COBIT, это масштабный проект. Но его принципы можно применять постепенно, даже в рамках текущих задач по выполнению 152-ФЗ или подготовки к проверке ФСТЭК.
- Сопоставьте свои ключевые бизнес.процессы и поддерживающие их ИТ-системы. Это первый шаг к пониманию «что мы защищаем и зачем».
- Выберите 2-3 наиболее критичных процесса или системы. Для них попробуйте построить простую цепочку: бизнес,
цель → ИТ,
цель → основные риски для ИБ → существующие меры защиты. - Найдите в COBIT 2019 процессы, которые покрывают выявленные вами риски. Изучите описание практик для этих процессов. Вы, скорее всего, обнаружите, что многие из этих практик вы уже выполняете — просто не связывали их в единую логику управления.
- Документируйте эту связь. Вместо того чтобы писать политику ИБ как перечень абстрактных требований, попробуйте начать её с описания целей управления для организации и показать, как конкретные правила вытекают из этих целей и процессов COBIT. Это серьёзно повысит качество документов в глазах как руководства, так и проверяющих.
COBIT не добавляет лишней работы, а помогает переосмыслить и систематизировать ту, которая уже есть. Он превращает информационную безопасность из набора обязательных технических мероприятий в управленческую дисциплину, встроенную в работу компании и понятную всем участникам процесса.