Аудит информационных систем и технологий

Аудит информационных систем и технологий (Аудит ИТ) - системный процесс получения и оценки объективных данных о текущем состоянии информационных систем и технологий, действиях и событиях происходящих в них, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

Аудит ИТ позволит ответить на нижеприведенные вопросы, а также предложить пути решения обнаруженных проблем:

Какие вопросы может решить аудит ИТ:

1. Принято решение о необходимости в организации ИС, что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций);

2. Соответствуют ли применяемые информационные системы и технологии целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы? Как оптимизировать инвестиции в ИТ?

3. Что происходит внутри этого "черного ящика" – информационных системах и технологиях организации?

4. Сбои в работе ИТ, как выявить и локализовать проблемы?

5. Как решаются вопросы безопасности и контроля доступа?

6. Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки?

7. Когда необходимо проводить модернизацию оборудования и программного обеспечения? Как обосновать необходимость модернизации?

8. Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?

9. Руководитель организации, Директор по ИТ (CIO) должен иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?

10. Почему все время производится закупка дополнительного оборудования?

11. Сотрудники подразделения ИТ постоянно чему-либо учатся, есть ли в этом необходимость?

12. Что делать в случае возникновения внештатной ситуации?

13. Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как их минимизировать?

14. Как снизить стоимость владения ИС?

15. Как оптимально использовать сложившуюся ИС при развитии бизнеса?

На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все взаимосвязи между проблемами, учитывая нюансы, недостатки можно получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга - аудит информационных систем и технологий.

Ключевыми этапами проведения аудита ИС могут стать следующие шаги:

1. Определение границ проведения аудита

2. Сбор информации

3. Анализ информации

4. Выработка рекомендаций

5. Составление аудиторского отчета и заключения

6. Контроль выполнения ключевых рекомендаций

Рассмотрим эти этапы поподробнее.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита:

1. Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
2. На основании результатов предварительного аудита всей ИС (в первом приближении), проводится углубленный аудит выявленных проблем. В это же время создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии ИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью, актуальностью.

Проведение анализа - наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому возможно уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает, не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с Заказчиком должны быть проверены на выполнимость, актуальность с учётом рисков внедрения. Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания хода выполнения рекомендаций. На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС. Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.

Дополнительную информацию можно найти в статьях опубликованных в "Jet Info".

1. JetInfo N 10 2000. Статья: Зачем проводить аудит информационных систем?
2. JetInfo N 9 1999. Статья: Аудит безопасности информационных систем
3. JetInfo N 8 1999. Статья: Активный аудит
4. JetInfo N 1 1999. Статья: Анализ рисков, управление рисками