Информационная система под лупой аудита

Информационная  система под лупой аудита.

Стандарты и практика проведения аудита информационной системы.

Сергей Гузик - сотрудник компании "Джет Инфосистемс"

Информационная инфраструктура - это прежде всего отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, протекающих в информационной системе.

Аудит информационной системы (ИС) - это системный процесс получения  и оценки объективных данных о  текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень  их соответствия определенному критерию и предоставляющий результаты заказчику. Вот только несколько причин проведения на предприятии аудита информационной системы. Увеличилась зависимость предприятий и организаций от информации. Большие объемы начальных и последующих инвестиций в информацию и информационную систему предполагают планирование и обоснование инвестиций, создание продуманной и обоснованной политики инвестирования. Растет уязвимость информационных систем в связи с повышением их сложности, территориальным разбросом, подключением к интернету, да и уволенные сотрудники теперь становятся источником повышенной опасности. Так, на Западе 95% попыток несанкционированного доступа к информации организации предпринимают ее бывшие сотрудники.

У владельцев информационных систем возникает множество вопросов к системным интеграторам, проектным  организациям, поставщикам оборудования. Какова роль информационной системы  в стратегическом плане развития организации? Соответствует ли информационная система целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы? Как оптимизировать инвестиции в информационную систему? Что происходит внутри этого "черного  ящика", называемого информационной системой организации? Как выявить  и локализовать проблемы при сбоях  в работе информационной системы? Как  решаются вопросы безопасности и  контроля доступа? Подрядные организации  провели поставку, монтаж и пусконаладку. Как оценить их работу? Есть ли недостатки? Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации? Как установить единую систему управления и мониторинга информационной системы? Какие выгоды она принесет? Руководитель организации и начальник отдела информационно-технической поддержки должны иметь возможность получать достоверную информацию о текущем состоянии информационной системы в кратчайшие сроки. Возможно ли это? Почему все время производится закупка дополнительного оборудования? Сотрудники отдела информационно-технической поддержки постоянно чему-то учатся, есть ли в этом необходимость? Что делать в случае возникновения нештатной ситуации? Какие возникают риски при размещении конфиденциальной информации в информационной системе организации? Как их минимизировать? Как снизить стоимость владения информационной системой? Как оптимально использовать сложившуюся информационную систему при развитии бизнеса?

На подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все взаимосвязи  внутри информационной системы, учитывая нюансы и недостатки, можно получить достоверную и обоснованную информацию.

Вообще говоря, держать  у себя специалистов, способных отвечать на перечисленные вопросы, - дорогое  удовольствие. Тем более что они, возможно, и понадобятся только раз  в году, когда подводятся итоги  работы предприятия или организации. Но есть компании, занимающиеся финансовым аудитом и управленческим консалтингом и предлагающие такую услугу как  аудит информационной системы.

ISACA - ассоциация  аудита и контроля информационных  систем 

Подход к предоставлению аудита информационной системы как  отдельной самостоятельной услуги с течением времени упорядочился и стандартизировался. Крупные и  средние консалтинго-аудиторские компании образовали ассоциации - союзы профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое "ноу-хау". Однако существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита информационных систем (http://www.isaca.org/). Ассоциация основана в 1969 году и в настоящее время объединяет около 20 тыс. членов более чем из 100 стран, в том числе и России, где создано ее отделение. Ассоциация координирует деятельность свыше 12 тыс. аудиторов информационных систем.

Основная декларируемая цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

CoBiT - контрольные объекты информационной технологии

В помощь профессиональным аудиторам, руководителям отделов  информационно-технической поддержки, администраторам и заинтересованным пользователям ассоциацией ISACA и  привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан открытый стандарт CoBiT, первое издание которого в 1996 году было продано в 98 странах и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт (рис. 1) связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий получить адекватное представление о целях и задачах информационной системы, учитывая все особенности информационных систем любого масштаба и сложности.

Рис. 1. Структура стандарта  CoBiT

Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией.

Какие же ресурсы и критерии их оценки используются в стандарте  CoBiT?

Людские ресурсы - под людскими ресурсами понимаются не только сотрудники организации, но так же ее руководство и контрактный персонал. Рассматриваются навыки штата, понимание им задач и производительность его работы.

Приложения - производственное ПО.

Технологии - аппаратные средства, операционные системы, базы данных, системы  управления информационной системой и  т. д.

Оборудование - все аппаратные средства информационной системы организации  с учетом их обслуживания.

Данные - данные в самом  широком смысле: внешние и внутренние, структурированные и не структурированные, графические, звуковые и т. д.

Все эти ресурсы оцениваются  CoBiT на каждом из этапов построения или аудита информационной системы по следующим критериям:

эффективность - уместность информации и ее соответствие задачам бизнеса;

технический уровень - соответствие стандартам и инструкциям;

безопасность - защита информации;

целостность - точность и  законченность информации;

пригодность - доступность  информации, потребной для бизнес-процессов  в настоящем и будущем, защита необходимых и сопутствующих  ресурсов;

согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, т. е. внешних  требований к бизнесу;

надежность - достоверность  информации, предоставляемой руководству  организации, осуществление соответствующего управления финансированием и согласованность  должностных обязанностей.

CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимая во внимание все утвержденные ранее стандарты и нормативные документы: технические стандарты, кодексы, профессиональные стандарты, требования и рекомендации, требования к банковским услугам, системам электронной торговли и производству.

Стандарт CoBiT может применяться как для аудита информационной системы организации, так и на этапе ее проектирования. Если в первом случае проверяется соответствие текущего состояния информационной системы передовой практике аналогичных организаций и предприятий, то во втором использование стандарта позволяет спроектировать информационную систему, стремящуюся к идеальному соотношению "цена/качество".

На рис. 2 отражена последовательность и взаимосвязь базовых операций аудита. Бизнес-процессы предъявляют  свои требования к ресурсам информационной системы, которые анализируются  с использованием критериев оценки CoBiT на всех этапах проведения аудита.

Рис. 2. Общая последовательность проведения аудита

Четыре базовые группы (домены) содержат в себе 34 подгруппы, которые в свою очередь состоят  из 302 объектов контроля. Объекты контроля предоставляют аудитору всю достоверную  и актуальную информацию о текущем  состоянии информационной системы.

Отличительными чертами  CoBiT являются большая зона охвата (все задачи, от стратегического планирования и основополагающих документов до анализа работы отдельных элементов информационной системы), наличие перекрестного аудита (перекрывающиеся зоны проверки критически важных элементов), адаптируемость, наращиваемость стандарта.

В области стандартизации аудита информационных систем существуют многочисленные западные, а также  российские разработки, однако CoBiT отличает прежде всего возможность относительно легкой адаптации к особенностям российских информационных систем и то обстоятельство, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные.

Практика проведения аудита информационной системы 

Представленная на рис. 2 блок-схема отражает ключевые точки  проведения аудита.

На этапе подготовки и  подписания исходно-разрешительной документации определяются границы проведения аудита. Они могут быть обусловлены критическими точками информационной системы (элементами, в которых наиболее часто возникают  проблемные ситуации), либо принимается  решение о проведении полного  аудита с последующей углубленной  проверкой выявленных проблем. В  это же время создается команда  проведения аудита, определяются ответственные  лица со стороны заказчика, создается  и согласовывается необходимая  документация.

Далее проводится сбор информации о текущем состоянии информационной системы в соответствии со стандартом CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования информационной системы, как в двоичной форме (Да/Нет), так и в форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т. д.) на получение информации и ее актуальностью.

Анализ - наиболее ответственная  часть аудита. Использование при  анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора  информации. Методики анализа информации имеются в стандарте CoBiT, но если их не хватает, не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа становятся базой для  выработки рекомендаций, которые  после предварительного согласования с заказчиком должны быть проверены  на выполнимость и актуальность с  учетом рисков внедрения.

Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

На этапе разработки дополнительной документации создаются документы, отсутствие которых, например документов, содержащих углубленное рассмотрение вопросов обеспечения безопасности информационной системы, может вызвать  сбои в ее работе.

Постоянное проведение аудита гарантирует стабильность функционирования информационной системы, поэтому создание плана-графика последующих проверок является одним из результатов профессионального  аудита.

Требования к  представлению информации

Применение стандарта  CoBiT гарантирует соблюдение требований к представлению информации при проведении аудита, разработанных и принятых ассоциацией ISACA.

Основное требование - полезность информации. Чтобы информация была полезной, она должна обладать определенными  характеристиками:

Понятность. Информация должна быть понятной для пользователя, который  обладает определенным уровнем знаний, что не означает, однако, исключения сложной информации, если она необходима.

Уместность. Информация является уместной, если она влияет на решения  пользователей и помогает им оценивать  прошлые, настоящие или будущие  события или подтверждать или  исправлять прошлые оценки. На уместность информации влияет ее содержание и  существенность. Информация является существенной, если ее отсутствие или  неправильная оценка могут повлиять на решение пользователя. Еще одна характеристика уместности -- своевременность информации, означающая, что вся значимая информация включена в отчет и отчет представлен вовремя. Аналогом принципа уместности в российской практике может служить требование полноты отражения всех хозяйственных операций за учетный период, хотя требование отражения всей информации не тождественно требованию отражения существенной информации.