Зачем проводить аудит информационных систем?

Поволжский  Кооперативный Институт

Российского Университета Кооперации  
 
 
 

Реферат 

Тема:  Зачем проводить аудит информационных систем?

Выполнила: Моисеенко Е.В.

студентка 4-го курса 

группы  ПИ-61

Проверила: Павлова Ю.П.  
 
 
 
 
 
 
 
 

г. Энгельс

2010г. 
 

Содержание 

1.   Введение………………………………………………………………………...3

2.   ISACA (Ассоциация аудита и контроля информационных систем)………...6 

3.  Практика проведения аудита ИС……………………………………………...10 

4.  Заключение……………………………………………………………………..17

5.  Список использованной литературы…………………………………………18 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Введение 

Под термином аудит Информационной Системы понимается системный процесс получения  и оценки объективных данных о  текущем состоянии ИС, действиях  и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику. 
В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых

- это моральное  старение оборудования и программного  обеспечения) видят неадекватность  ранее вложенных средств в  информационные системы и ищут  пути решения этой проблемы. Их может быть два: с одной стороны - это полная замена ИС, что влечет за собой большие капиталовложения, с другой - модернизация ИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС. 
Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется.

 Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС. 
Кроме того возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных. 
Спектр угроз расширился. Это обусловлено следующими причинами: 
1. передача информации по сетям общего пользования; 
2. "информационная война" конкурирующих организаций;

3. высокая текучка кадров с низким уровнем порядочности. 
По данным некоторых западных аналитических агентств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации. 
Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные  
1.идеи; 
2.знания; 
3.проекты; 
4.результаты внутренних обследований. 
В настоящее время многие системные интеграторы декларируют поставку полного, законченного решения. К сожалению, в лучшем случае, все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры "остается за кадром" и к решению не прилагается.  
Оговоримся, что в данном случае под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе. 
Все чаще и чаще к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания: 
1. Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций). 
2. Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы? 
3. Как оптимизировать инвестиции в ИС? 
4. Что происходит внутри этого "черного ящика" - ИС организации? 
 

 Сбои в работе ИС, как выявить и локализовать проблемы? 
Как решаются вопросы безопасности и контроля доступа? 
Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие? 
Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации? 
Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит? 
Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это? 
Почему все время производится закупка дополнительного оборудования? 
Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость? 
Какие действия предпринимать в случае возникновения внештатной ситуации? 
Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски? 
Как снизить стоимость владения ИС? 
Как оптимально использовать сложившуюся ИС при развитии бизнеса? 
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки можно получить достоверную, обоснованную информацию.  
Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга - аудит Информационной Системы. 
 
 
 

ISACA (Ассоциация  аудита и контроля  информационных систем)

Подход к проведению аудита ИС, как отдельной самостоятельной  услуги, с течением времени упорядочился и стандартизировался.  
Крупные и средние аудиторские компании образовали ассоциации - союзы профессионалов в области аудита ИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое "ноу-хау". 
Однако, существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита ИС. 
Ассоциация ISACA основана в 1969 году и в настоящее время объединяет около 20 тысяч членов из более чем 100 стран, в том числе и России. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем. 
Основная декларируемая цель ассоциации - это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. 
В помощь профессиональным аудиторам, руководителям ОИТП, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT.

CoBiT (Контрольные  Объекты Информационной  Технологии)

CoBiT - Контрольные  ОБъекты Информационной Технологии - открытый стандарт, первое издание,  которое в 1996 году было продано  в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий.  
Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС.  

CoBiT учитывает  все особенности информационных  систем любого масштаба и сложности. 
Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией (Рис. 1).

А теперь немного  разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT: 
Трудовые ресурсы - под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы. 
Приложения - прикладное программное обеспечение, используемое в работе организации. 
Технологии - операционные системы, базы данных, системы управления и т.д. 
Оборудование - все аппаратные средства ИС организации, с учетом их обслуживания. 
 

Данные - данные в самом широком смысле - внешние  и внутренние, структурированные  и неструктурированные, графические, звуковые, мультимедиа и т.д. 
Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита ИС по следующим критериям: 
Эффективность - критерий, определяющий уместность и соответствие информации задачам бизнеса. 
Технический уровень - критерий соответствия стандартам и инструкциям. 
Безопасность - защита информации. 
Целостность - точность и законченность информации. 
Пригодность - доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов. 
Согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу. 
Надежность - соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей. 
CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы: 
технические стандарты; 
кодексы; 
критерии ИС и описание процессов; 
профессиональные стандарты; 
требования и рекомендации; 
требования к банковским услугам, системам электронной торговли и производству. 
 

Стандарт разработан и проанализирован сотрудниками соответствующих подразделений  ведущих консалтинговых компаний и  используется в их работе наряду с собственными разработками. 
Применение стандарта CoBiT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС. Обычный вариант прямой и обратной задач.  
Если в первом случае - это соответствие текущего состояния ИС лучшей практике аналогичных организаций и предприятий, то в другом - изначально верный проект и, как следствие, по окончании проектирования - ИС, стремящаяся к идеалу.  
В дальнейшем мы будем рассматривать аудит ИС, подразумевая при этом, что на любом этапе возможно решение обратной задачи - проектирования ИС. 
Несмотря на малый размер разработчики старались, чтобы стандарт был прагматичным и отвечал потребностям бизнеса, при этом сохраняя независимость от конкретных производителей, технологий и платформ. 
На базовой блок-схеме CoBiT отражена последовательность, состав и взаимосвязь базовых групп. Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения аудита. 
Четыре базовые группы (домена) содержат в себе тридцать четыре подгруппы, которые, в свою очередь состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС. 
Отличительные черты CoBiT: 
1. Большая зона охвата (все задачи от стратегического планирования и основополагающих документов до анализа работы отдельных элементов ИС). 
2. Перекрестный аудит (перекрывающиеся зоны проверки критически важных элементов). 
3. Адаптируемый, наращиваемый стандарт. 
 
 

Рассмотрим преимущества CoBiT перед многочисленными западными  и российскими разработками. Прежде всего, это его достаточность - наряду с возможностью относительно легкой адаптации к особенностям отечественных ИС. И, конечно же, то, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные не изменяя общие подходы и собственную структуру.

Практика  проведения аудита ИС

Представленная  на Рис. 2 блок-схема отражает, хотя и  не в деталях, ключевые точки проведения аудита ИС. Рассмотрим их подробнее. 
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита: 
Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации. 
На основании результатов предварительного аудита всей ИС (в первом приближении) проводится углубленный аудит выявленных проблем. 
 
 

В это же время  создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и  согласовывается необходимая документация. 
Далее проводится сбор информации о текущем состоянии ИС с применением стандарта CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее важностью и актуальностью. 
Проведение анализа - наиболее ответственная часть проведения аудита ИС. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации.  
Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает не возбраняется использовать разрешенные ISACA разработки других компаний. 
Результаты проведенного анализа являются базой для выработки рекомендаций, которые после предварительного согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения. 
Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций. 
На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых могут вызвать сбои в работе ИС. Например, отдельное углубленное рассмотрение вопросов обеспечения безопасности ИС. 
Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика проведения последующих проверок является одним из результатов профессионального аудита.