Управление и аудит информационных технологий

 

Тема: «Управление и аудит информационных технологий»

 

                                               

 

 

 

 

 

Содержание

1. Введение
2. ISACA
3. Управление и аудит ИТ. Стандарт CobiT
4. Аудит информационных систем и технологий
5. Цели и задачи аудита ИТ
6. Виды услуг по аудиту ИТ на российском рынке
7. Стандарты ИТ-аудита
8. Заключение
9. Список использованных источников информации

 

 

Введение

В условиях стремительно возрастающей роли ИТ-составляющей профессиональный подход к управлению и систематическое  обследование информационных технологий (ИТ) по международным стандартам позволяют  компенсировать на первый взгляд невидимые, но существенные недостатки в организации  производственных процессов. Построение грамотной структуры управления, создание эффективной вертикали  принятия решения и системы контроля напрямую зависят от состояния информационных технологий, от их эффективности, производительности, безопасности, надежности и других не менее важных показателей.

Эффективная система управления и  контроля над ИТ решает не только внутренние проблемы, но и позволяет повысить инвестиционную привлекательность  организации, позиционируя ее для инвестора  как "открытую" финансовую систему. С другой стороны достаточно трудно подобрать комплексное решение  для таких задач. Одно из решений  — внедрение стандарта CobiT, который  формализует не только конкретные проекты  в сфере ИТ, но и создает то ядро управления и контроля ИТ, вокруг которого выстраиваются производственные процессы организации с максимально  возможным уровнем эффективности.

Управление и аудит ИТ — это  нечто большее, чем традиционный термин — управление и аудит информационной безопасности, в том числе на соответствие требованиям ФАПСИ, BS7799 (ISO 17799) или  другим разработанным критериям.

В той или иной форме вопросы, связанные с внутренним контролем  бизнес-процессов организации, ее финансово-хозяйственной  деятельности и информационными  технологиями возникают постоянно. В поиске ответов на эти вопросы  руководители организаций создают  собственные службы внутреннего  аудита, приглашаются аудиторские компании, обращаются к консультантам.

 

ISACA

Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов  в контроле ИТ. Ассоциация Аудита и  Контроля Информационных Систем является ведущей мировой профессиональной организацией с представительствами  в более чем 100 странах мира и  охватывает все уровни ИТ:

• Организации;
• Управления;
• Практического применения.

Ассоциация занимает уникальную позицию мирового лидера в области  разработки и распространения стандартов по аудиту ИТ, ее стратегический альянс с другими ассоциациями и консалтинговыми  компаниями в областях финансово-хозяйственной  деятельности, бухгалтерского учета  и аудита ИТ обеспечивает не имеющий  равных уровень интеграции и соответствия требованиям владельцев бизнес-процессов.

 

Управление и  аудит ИТ. Стандарт CobiT

Аббревиатура CobiT расшифровывается как Контрольные ОБъекты для  Информационных и смежных Технологий. За этой аббревиатурой скрывается набор  документов, в которых изложены принципы управления и аудита информационных технологий. CobiT позиционируется как  открытый стандарт "де-факто", в  настоящее время переживающий свое третье издание.

В состав стандарта входят шесть книг, ориентированных на разные аудитории:

1. Резюме для руководителя. Описание стандарта CobiT, ориентированное на топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации. С переводом этой книги на русский язык Вы можете ознакомиться: http://www.isaca.ru
2. Описание структуры. Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом.
3. Объекты контроля. В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.
4. Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб.
5. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.
6. Набор инструментов внедрения стандарта — практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.

Рисунок 1. Состав книг CobiT

Модель процессов, выстраиваемая  на базе CobiT, предпочтительней других подходов, в основе которых не лежат бизнес-процессы организации (методики и стандарты  аудита производителей программно-аппаратных средств), по нескольким причинам:

1. По определению: процесс — это действие, направленное на достижение результата, при оптимальном использовании ресурсов, и которое может корректироваться при его выполнении. При выполнении процесса все задействованные ресурсы структурируются и выстраиваются таким образом, чтобы максимально эффективно выполнять этот процесс.
2. Во-вторых, процессы в подавляющем большинстве организаций, а особенно их цели не так часто изменяются, по сравнению с организационными объектами (организационно-штатная структура: сотрудники, отделы, департаменты и т.д.).
3. В-третьих, развертывание информационной системы или внедрение информационных технологий не может быть ограничено спецификой одного отдела или департамента, а затрагивает руководителей, пользователей из других подразделений и ИТ-специалистов. Таким образом, прикладные системы (прикладное программное обеспечение то, что видит пользователь) — это неотъемлемая часть структуры CobiT и могут быть стандартно оценены, как и прочие объекты контроля CobiT, в рамках единой структуры и с применением единых метрик.

CobiT — это сохранение  единого подхода к сбору, анализу  информации, подготовке выводов  и заключений на всех этапах  управления, контроля и аудита  ИТ, возможность сравнения существующих  ИТ-процессов с "лучшими"  практиками, в том числе отраслевыми.

Аудит информационных систем и технологий

Аудит информационных систем и технологий (Аудит ИТ)- системный процесс получения и оценки объективных данных о текущем состоянии информационных систем и технологий, действиях и событиях происходящих в них, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

Аудит ИТ позволит ответить на нижеприведенные вопросы, а также предложить пути решения  обнаруженных проблем:

Какие вопросы  может решить аудит ИТ:

1. Принято решение о необходимости в организации ИС, что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций);

2. Соответствуют ли применяемые информационные системы и технологии целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы? Как оптимизировать инвестиции в ИТ?

3. Что происходит внутри этого "черного ящика" – информационных системах и технологиях организации?

4. Сбои в работе ИТ, как выявить и локализовать проблемы?

5. Как решаются вопросы безопасности и контроля доступа?

6. Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки?

7. Когда необходимо проводить модернизацию оборудования и программного обеспечения? Как обосновать необходимость модернизации?

8. Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?

9. Руководитель организации, Директор по ИТ (CIO) должен иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?

10. Почему все время производится закупка дополнительного оборудования?

11. Сотрудники подразделения ИТ постоянно чему-либо учатся, есть ли в этом необходимость?

12. Что делать в случае возникновения внештатной ситуации?

13. Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как их минимизировать?

14. Как снизить стоимость владения ИС?

15. Как оптимально использовать сложившуюся ИС при развитии бизнеса?

На эти и  другие подобные вопросы нельзя мгновенно  дать однозначный ответ. Только рассматривая все взаимосвязи между проблемами, учитывая нюансы, недостатки можно  получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях  во всем мире существует определенная специфическая услуга - аудит информационных систем и технологий.

Ключевыми этапами  проведения аудита ИС могут стать  следующие шаги:

1. Определение границ проведения аудита

2. Сбор информации

3. Анализ информации

4. Выработка рекомендаций

5. Составление аудиторского отчета и заключения

6. Контроль выполнения ключевых рекомендаций

Рассмотрим  эти этапы поподробнее.

На этапе  подготовки и подписания исходно-разрешительной документации определяются границы  проведения аудита:

1. Границы аудита определяются критическими точками ИС (элементами ИС), в которых наиболее часто возникают проблемные ситуации.
2. На основании результатов предварительного аудита всей ИС (в первом приближении), проводится углубленный аудит выявленных проблем. В это же время создается команда проведения аудита, определяются ответственные лица со стороны Заказчика. Создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии  ИС с применением стандарта CoBiT, объекты  контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной форме (Да/Нет), так и форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение  информации и ее важностью, актуальностью.

Проведение  анализа - наиболее ответственная часть  проведения аудита ИС. Использование  при анализе недостоверных, устаревших данных недопустимо, поэтому возможно уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора  информации. Методики анализа информации существуют в стандарте CoBiT, но если их не хватает, не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты  проведенного анализа являются базой  для выработки рекомендаций, которые  после предварительного согласования с Заказчиком должны быть проверены  на выполнимость, актуальность с учётом рисков внедрения. Контроль выполнения рекомендаций - немаловажный этап, требующий  непрерывного отслеживания хода выполнения рекомендаций. На этапе разработки дополнительной документации проводится работа, направленная на создание документов, отсутствие или недочеты в которых  могут вызвать сбои в работе ИС. Например, отдельное углубленное  рассмотрение вопросов обеспечения  безопасности ИС. Постоянное проведение аудита гарантирует стабильность функционирования ИС, поэтому создание план-графика  проведения последующих проверок является одним из результатов профессионального  аудита.

Цели и задачи аудита ИТ

Целью ИТ-аудита является совершенствование  системы контроля за ИТ. Для этого  аудиторы:

• осуществляют оценку рисков ИТ;
• содействуют предотвращению и смягчению сбоев ИС;
• участвуют в управлении рисками ИТ;
• помогают подготавливать нормативные документы;
• помогают связать бизнес-риски и средства автоматизированного контроля;
• осуществляют проведение периодических проверок;
• содействуют ИТ-менеджерам в правильной организации управления ИТ;
• осуществляют «взгляд со стороны».