Автор работы: Пользователь скрыл имя, 04 Марта 2010 в 16:50, Не определен
1. Введение
2. ISACA (Ассоциация аудита и контроля информационных систем)
3. Практика проведения аудита ИС
4. Заключение
5. Список использованной литературы…
Российского
Университета Кооперации
Реферат
Тема: Зачем проводить аудит информационных систем?
Выполнила: Моисеенко Е.В.
студентка 4-го курса
группы ПИ-61
Проверила:
Павлова Ю.П.
г. Энгельс
2010г.
Содержание
1. Введение…………………………………………………………
2. ISACA (Ассоциация аудита и контроля информационных систем)………...6
3. Практика проведения аудита ИС……………………………………………...10
4. Заключение……………………………………………………
5. Список использованной
литературы…………………………………………18
Введение
Под термином
аудит Информационной Системы понимается
системный процесс получения
и оценки объективных данных о
текущем состоянии ИС, действиях
и событиях, происходящих в ней, устанавливающий
уровень их соответствия определенному
критерию и предоставляющий результаты
заказчику.
В настоящее время актуальность аудита
резко возросла, это связано с увеличением
зависимости организаций от информации
и ИС. Рынок насыщен аппаратно-программным
обеспечением, многие организации в силу
ряда причин (наиболее нейтральная из
которых
- это моральное
старение оборудования и
Более существенная причина проведения
аудита состоит в том, что при модернизации
и внедрении новых технологий их потенциал
полностью не реализуется.
Аудит ИС
позволяет добиться максимальной отдачи
от средств, инвестируемых в создание
и обслуживание ИС.
Кроме того возросла уязвимость ИС за
счет повышения сложности элементов этой
ИС, увеличения строк кода программного
обеспечения, новых технологий передачи
и хранения данных.
Спектр угроз расширился. Это обусловлено
следующими причинами:
1. передача информации по сетям общего
пользования;
2. "информационная война" конкурирующих
организаций;
3. высокая текучка
кадров с низким уровнем порядочности.
По данным некоторых западных аналитических
агентств до 95% попыток несанкционированного
доступа к конфиденциальной информации
происходит по инициативе бывших сотрудников
организации.
Проведение аудита позволит оценить текущую
безопасность функционирования ИС, оценить
риски, прогнозировать и управлять их
влиянием на бизнес-процессы организации,
корректно и обоснованно подойти к вопросу
обеспечения безопасности информационных
активов организации, основные
1.идеи;
2.знания;
3.проекты;
4.результаты внутренних обследований.
В настоящее время многие системные интеграторы
декларируют поставку полного, законченного
решения. К сожалению, в лучшем случае,
все сводится к проектированию и поставке
оборудования и программного обеспечения.
Построение информационной инфраструктуры
"остается за кадром" и к решению
не прилагается.
Оговоримся, что в данном случае под информационной
инфраструктурой понимается отлаженная
система, выполняющая функции обслуживания,
контроля, учета, анализа, документирования
всех процессов, происходящих в информационной
системе.
Все чаще и чаще к системным интеграторам,
проектным организациям, поставщикам
оборудования возникают вопросы следующего
содержания:
1. Что дальше? (Наличие стратегического
плана развития организации, место и роль
ИС в этом плане, прогнозирование проблемных
ситуаций).
2. Соответствует ли наша ИС целям и задачам
бизнеса? Не превратился ли бизнес в придаток
информационной системы?
3. Как оптимизировать инвестиции в ИС?
4. Что происходит внутри этого "черного
ящика" - ИС организации?
Сбои в работе
ИС, как выявить и локализовать проблемы?
Как решаются вопросы безопасности и
контроля доступа?
Подрядные организации провели поставку,
монтаж, пуско-наладку. Как оценить их
работу? Есть ли недостатки, если есть,
то какие?
Когда необходимо провести модернизацию
оборудования и ПО? Как обосновать необходимость
модернизации?
Как установить единую систему управления
и мониторинга ИС? Какие выгоды она предоставит?
Руководитель организации, начальник
отдела ОИТП должны иметь возможность
получать достоверную информацию о текущем
состоянии ИС в кратчайшие сроки. Возможно
ли это?
Почему все время производится закупка
дополнительного оборудования?
Сотрудники отдела ОИТП постоянно чему-либо
учатся, есть ли в этом необходимость?
Какие действия предпринимать в случае
возникновения внештатной ситуации?
Какие возникают риски при размещении
конфиденциальной информации в ИС организации?
Как минимизировать эти риски?
Как снизить стоимость владения ИС?
Как оптимально использовать сложившуюся
ИС при развитии бизнеса?
На эти и другие подобные вопросы нельзя
мгновенно дать однозначный ответ. Только
рассматривая все проблемы в целом, взаимосвязи
между ними, учитывая нюансы и недостатки
можно получить достоверную, обоснованную
информацию.
Для этого в консалтинговых компаниях
во всем мире существует определенная
специфическая услуга - аудит Информационной
Системы.
ISACA (Ассоциация аудита и контроля информационных систем)
Подход к проведению
аудита ИС, как отдельной самостоятельной
услуги, с течением времени упорядочился
и стандартизировался.
Крупные и средние аудиторские компании
образовали ассоциации - союзы профессионалов
в области аудита ИС, которые занимаются
созданием и сопровождением стандартов
аудиторской деятельности в сфере ИТ.
Как правило, это закрытые стандарты, тщательно
охраняемое "ноу-хау".
Однако, существует ассоциация ISACA, занимающаяся
открытой стандартизацией аудита ИС.
Ассоциация ISACA основана в 1969 году и в настоящее
время объединяет около 20 тысяч членов
из более чем 100 стран, в том числе и России.
Ассоциация координирует деятельность
более чем 12 тыс. аудиторов информационных
систем.
Основная декларируемая цель ассоциации
- это исследование, разработка, публикация
и продвижение стандартизованного набора
документов по управлению информационной
технологией для ежедневного использования
администраторами и аудиторами информационных
систем.
В помощь профессиональным аудиторам,
руководителям ОИТП, администраторам
и заинтересованным пользователям ассоциацией
ISACA и привлеченными специалистами из
ведущих мировых консалтинговых компаний
был разработан стандарт CoBiT.
CoBiT (Контрольные Объекты Информационной Технологии)
CoBiT - Контрольные
ОБъекты Информационной
Стандарт связывает информационные технологии
и действия аудиторов, объединяет и согласовывает
многие другие стандарты в единый ресурс,
позволяющий авторитетно, на современном
уровне получить представление и управлять
целями и задачами, решаемыми ИС.
CoBiT учитывает
все особенности
Основополагающее правило, положенное
в основу CoBiT, следующее: ресурсы ИС должны
управляться набором естественно сгруппированных
процессов для обеспечения организации
необходимой и надежной информацией (Рис.
1).
А теперь немного
разъяснений по поводу того, какие ресурсы
и критерии их оценки используются в стандарте
CoBiT:
Трудовые ресурсы - под трудовыми ресурсами
понимаются не только сотрудники организации,
но также руководство организации и контрактный
персонал. Рассматриваются навыки штата,
понимание задач и производительность
работы.
Приложения - прикладное программное
обеспечение, используемое в работе организации.
Технологии - операционные системы, базы
данных, системы управления и т.д.
Оборудование - все аппаратные средства
ИС организации, с учетом их обслуживания.
Данные - данные
в самом широком смысле - внешние
и внутренние, структурированные
и неструктурированные, графические,
звуковые, мультимедиа и т.д.
Все эти ресурсы оцениваются CoBiT на каждом
из этапов построения или аудита ИС по
следующим критериям:
Эффективность - критерий, определяющий
уместность и соответствие информации
задачам бизнеса.
Технический уровень - критерий соответствия
стандартам и инструкциям.
Безопасность - защита информации.
Целостность - точность и законченность
информации.
Пригодность - доступность информации
требуемым бизнес-процессам в настоящем
и будущем. А также защита необходимых
и сопутствующих ресурсов.
Согласованность - исполнение законов,
инструкций и договоренностей, влияющих
на бизнес-процесс, то есть внешние требования
к бизнесу.
Надежность - соответствие информации,
предоставляемой руководству организации,
осуществление соответствующего управления
финансированием и согласованность должностных
обязанностей.
CoBiT базируется на стандартах аудита ISA
и ISACF, но включает и другие международные
стандарты, в том числе принимает во внимание
утвержденные ранее стандарты и нормативные
документы:
технические стандарты;
кодексы;
критерии ИС и описание процессов;
профессиональные стандарты;
требования и рекомендации;
требования к банковским услугам, системам
электронной торговли и производству.
Стандарт разработан
и проанализирован сотрудниками
соответствующих подразделений
ведущих консалтинговых компаний и
используется в их работе наряду с собственными
разработками.
Применение стандарта CoBiT возможно как
для проведения аудита ИС организации,
так и для изначального проектирования
ИС. Обычный вариант прямой и обратной
задач.
Если в первом случае - это соответствие
текущего состояния ИС лучшей практике
аналогичных организаций и предприятий,
то в другом - изначально верный проект
и, как следствие, по окончании проектирования
- ИС, стремящаяся к идеалу.
В дальнейшем мы будем рассматривать аудит
ИС, подразумевая при этом, что на любом
этапе возможно решение обратной задачи
- проектирования ИС.
Несмотря на малый размер разработчики
старались, чтобы стандарт был прагматичным
и отвечал потребностям бизнеса, при этом
сохраняя независимость от конкретных
производителей, технологий и платформ.
На базовой блок-схеме CoBiT отражена последовательность,
состав и взаимосвязь базовых групп. Бизнес-процессы
(в верхней части схемы) предъявляют свои
требования к ресурсам ИС, которые анализируются
с использованием критериев оценки CoBiT
на всех этапах построения и проведения
аудита.
Четыре базовые группы (домена) содержат
в себе тридцать четыре подгруппы, которые,
в свою очередь состоят из трехсот двух
объектов контроля. Объекты контроля предоставляют
аудитору всю достоверную и актуальную
информацию о текущем состоянии ИС.
Отличительные черты CoBiT:
1. Большая зона охвата (все задачи от стратегического
планирования и основополагающих документов
до анализа работы отдельных элементов
ИС).
2. Перекрестный аудит (перекрывающиеся
зоны проверки критически важных элементов).
3. Адаптируемый, наращиваемый стандарт.
Рассмотрим преимущества
CoBiT перед многочисленными
Практика проведения аудита ИС
Представленная
на Рис. 2 блок-схема отражает, хотя и
не в деталях, ключевые точки проведения
аудита ИС. Рассмотрим их подробнее.
На этапе подготовки и подписания исходно-разрешительной
документации определяются границы проведения
аудита:
Границы аудита определяются критическими
точками ИС (элементами ИС), в которых наиболее
часто возникают проблемные ситуации.
На основании результатов предварительного
аудита всей ИС (в первом приближении)
проводится углубленный аудит выявленных
проблем.
В это же время
создается команда проведения аудита,
определяются ответственные лица со
стороны Заказчика. Создается и
согласовывается необходимая документация.
Далее проводится сбор информации о текущем
состоянии ИС с применением стандарта
CoBiT, объекты контроля которого получают
информацию обо всех нюансах функционирования
ИС как в двоичной форме (Да/Нет), так и
форме развернутых отчетов. Детальность
информации определяется на этапе разработки
исходно-разрешительной документации.
Существует определенный оптимум между
затратами (временными, стоимостными и
т.д.) на получение информации и ее важностью
и актуальностью.
Проведение анализа - наиболее ответственная
часть проведения аудита ИС. Использование
при анализе недостоверных, устаревших
данных недопустимо, поэтому необходимо
уточнение данных, углубленный сбор информации.
Требования к проведению анализа определяются
на этапе сбора информации. Методики анализа
информации существуют в стандарте CoBiT,
но если их не хватает не возбраняется
использовать разрешенные ISACA разработки
других компаний.
Результаты проведенного анализа являются
базой для выработки рекомендаций, которые
после предварительного согласования
с Заказчиком должны быть проверены на
выполнимость и актуальность с учетом
рисков внедрения.
Контроль выполнения рекомендаций - немаловажный
этап, требующий непрерывного отслеживания
представителями консалтинговой компании
хода выполнения рекомендаций.
На этапе разработки дополнительной документации
проводится работа, направленная на создание
документов, отсутствие или недочеты в
которых могут вызвать сбои в работе ИС.
Например, отдельное углубленное рассмотрение
вопросов обеспечения безопасности ИС.
Постоянное проведение аудита гарантирует
стабильность функционирования ИС, поэтому
создание план-графика проведения последующих
проверок является одним из результатов
профессионального аудита.
Информация о работе Зачем проводить аудит информационных систем?