Узнайте нужен ли в Вашей компании Service Desk

8 (495) 726-15-52

Аудит информационных систем

Аудит информационной безопасности: цели, методы и средства, пример

Аудит информационной безопасности является независимой проверкой или экспертной оценкой безопасности, характеризующей информационную систему, организованную на каком-либо предприятии, учреждении либо организации, соответствующую специально разработанным критериям и показателям. Проще говоря, аудит информационной системы необходим для оценки уровня защиты различных аспектов: от баз данных клиентов до проводимых банковских операций, от сохранности электронных денежных средств до сохранности банковской тайны. Это необходимо для исключения вмешательства в деятельность компании сторонних лиц, пользующимися электронными и компьютерными средствами.

Почти каждому из нас звонят по городскому либо мобильному телефону с предложениями, связанными с кредитом или депозитным вкладом, причем из неизвестного банка. Аналогичная ситуация возникает с предложениями от торговых учреждений. Откуда у них информация о вашем номере? Данные о человеке попадают в единую клиентскую базу после взятого кредита или открытия депозитного счета. Следовательно, информация незаконным способом оказалась в третьих руках: либо ее украли, либо передали лица, работающие в банке, осознанно. Для исключения таких вещей требуется проведение аудита информационных систем, необходимого не только компьютерным или «железным» средствам защиты, но и всему персоналу банковского учреждения.

Любую проверку, внутреннюю либо внешнюю, начинают с формулирования задач и целей. Аудитору необходимо определиться с основными аспектами проверки, дальнейшей методикой всего процесса. В соответствии со спецификой структуры предприятия при проведении работ придется столкнуться со множеством поставленных задач.

Аудит отдела информационных технологий проводится для выполнения нескольких унифицированных целей:

  • оценки состояния защищенности информации и информационных систем;
  • анализа возможных рисков, от внешней угрозы проникновения до возможных методов осуществления такого вмешательства;
  • локализации прорех, связанных с системой безопасности;
  • анализа соответствия между безопасностью информационных систем и действующими стандартами и нормативно-правовыми актами;
  • разработки и выдачи рекомендаций, предназначенных для устранения существующих проблем;
  • усовершенствования имеющихся средств защиты и внедрения новых разработок.

Реализация информационного аудита представлена несколькими основными этапами, начиная с инициирования процедуры проверки, четкого определения обязанностей аудитора, подготовки плана и согласования с руководством, решения вопросов, связанных с границами проводимого исследования, накладывания определенных обязательств, связанных с помощью и своевременным предоставлением информации, сбора исходных данных, связанных со:

  • структурой системы безопасности;
  • распределением средств обеспечения безопасности;
  •  анализом методов получения, предоставления, хранения и обработки информации;
  • определением каналов связи и взаимодействия ИС с другими структурами;
  • иерархией пользователей компьютерных сетей;
  • изучением протоколов.

 Аудит информационных систем может быть комплексным или частичным, с анализом рисков в соответствии со стандартами, с обязательной выдачей рекомендаций и созданием отчетной документации.

Перейдем к рассмотрению наиболее простого примера ситуации. Один из сотрудников компании, ведущей закупки за рубежом, установил на компьютер мессенджер для переговоров. Правда, данная система оказалась небезопасной. Этот сотрудник, регистрируя номер, указал электронную почту, созданную на несуществующем домене. После проведения аудита информационных технологий было обнаружено, что злоумышленник мог осуществить регистрацию такого же домена в комплексе с созданием другого регистрационного терминала, чтобы общаться с компанией, владеющей сервисом этого мессенджера. Он мог обратиться к ней по поводу восстановления пароля, в результате чего получил бы доступ к переписке, чтобы отправить товар или денежные средства по другому адресу. Такой пример можно назвать самым безобидным. Серьезные хакеры могут нанести более существенный ущерб.

Стандарты и практики, используемые при проведении аудита безопасности информационных систем

Если рассматривать имеющиеся стандарты аудита информационных систем, то следует упомянуть о Международном стандарте, разработанном Институтом Внутренних Аудиторов «International Professional Practices Framework (IPPF) for Internal Auditing Standards». Его действующую редакцию выпустили в 2013 году для целевой аудитории, представленной сотрудниками внутреннего аудита. Стандарт помогает определиться с

  •  базовыми принципами проведения внутреннего аудита;
  •  стандартным набором практик проведения внутреннего аудита;
  • базовыми показателями оценки эффективности процедур внутреннего аудита.

Стандарт помогает определиться с универсальными принципами и подходами, используемыми при внутреннем финансовом и операционном аудите, а также внутреннем аудите информационных технологий.

Группа стандартов безопасности ISO 27000  содержит набор стандартов в области информационной безопасности, включающих в себя оценку технических, организационных и процессных рисков, связанных с информационной безопасностью.

Руководство для аудиторов «Cobit 5 for Assurance» создано для пользования специалистами по АИС, которые занимаются проверками систем на основании сборника лучших практик COBIT 5.

Этапность работ по проведению аудита безопасности информационных систем

Во время первого, наиболее простого этапа аудита информационной системы принятие решения осуществляется аудитором совместно с руководством предприятия. Для рассмотрения границ проведения анализа можно воспользоваться общим собранием акционеров, что обусловлено правовым полем.

Во время второго этапа занимаются сбором исходных данных, как при проведении внутреннего информационного аудита, так и при внешней аттестации. Данный этап является ресурсоемким, что обусловлено необходимостью в изучении технической документации, связанной со всем программно-аппаратным комплексом, и узконаправленным интервьюированием сотрудников компании, для чего зачастую пользуются специальными опросными листами или анкетами.

Этапность работ по проведению аудита информационных систем предприятия

При аудиторской проверке технической документации на предприятии важно получить полную информацию, связанную со следующими параметрами:

  • структурой ИС;
  • приоритетными уровнями доступа сотрудников;
  •  общесистемным и прикладным программным обеспечением (от используемых операционных систем до приложений, используемых при ведении бизнеса, управлении им и учете);
  •  а также с установленными средствами защиты софтверного и не программного типа (антивирусами, файрволлами).

Помимо этого, сюда включают полную проверку провайдеров, занимающихся предоставлением услуг связи: от организации сети до используемых протоколов для подключения, от типов каналов связи до методов, связанных с передачей и приемом информационных потоков.

Далее определяются с тем, как проводить аудит информационных систем. Используется три метода. Анализ рисков является наиболее сложной методикой, базирующейся на определении возможностей, связанных с проникновением в ИС и нарушениями ее целостности, для чего пользуются всеми возможными методами и средствами. Оценку соответствия стандартам и законодательным актам считают наиболее простым и самым практичным методом. Он основан на сравнении текущего положения дел и требований, предъявляемыми международными стандартами и внутригосударственными документами в сфере информационной безопасности. Имеется и комбинированный метод с объединением двух первых.

После предоставления результатов приступают к их анализу. Аудит можно осуществлять довольно разнообразными средствами, соответствующими специфике деятельности предприятий, типу информации, используемому программному обеспечению, средствам защиты. Аудитор при проведении работ руководствуется, прежде всего, собственным опытом.

Оценка влияния информационной системы на аудит в целом

При значительной роли информационных систем для аудитора важно составить представление о влиянии между ними и оценить неотъемлемый риск, присущий системе средств контроля. Аудитор должен получить оценку неотъемлемого риска и риска системы контроля в сравнении с существенными утверждениями, содержащимися в финансовой отчетности.

Это обусловлено возможным общим и локальным влиянием неотъемлемых рисков на вероятные существенные искажения информации. Риски могут возникать из-за разных факторов, связанных с функционированием компьютерных систем:

  • разработки и эксплуатации программы;
  • поддержки системного программного обеспечения,
  • обеспечения физической защиты информационных систем,
  • а также контроля над пользованием специализированными обслуживающими программами.

Риски могут привести к увеличению вероятности мошенничества или ошибок, связанных с конкретными прикладными программами, базами данных или главными файлами, а также с компьютерной обработкой. Несмотря на постоянство целей и объема аудита информационной системы предприятия пользование компьютерами может привести к изменению характера аудиторских процедур, оценки аудиторских рисков, тестов контроля и процедур проверок по существу.

Аудитор должен руководствоваться компьютерными информационными системами, занимаясь аудиторскими процедурами, чтобы снизить риски до приемлемо низких значений. Конкретные цели не оказывают влияния на обработку учетных данных вручную либо с помощью компьютера. Существует связь между аудиторскими процедурами и способами компьютерной обработки информации. Для обладания достаточным количеством доказательств аудитор может воспользоваться методами ручной обработки либо обработки данных на компьютере, либо тем и иным способом.

Аудит в среде компьютерных информационных систем

Среди наиболее длительных и трудоемких этапов проверки упомянем о сквозном тестировании внедренной системы. Группа специалистов, занимающихся аудитом в среде компьютерных информационных систем, обязана выполнить проверку соответствия системы и заданных алгоритмов, полноты и корректности учетных данных, а также уровня программного контроля системных документов, служащего для определения иерархии ответственности и адекватности разграничения полномочий.

Необходимо также определиться со степенью автоматизации процессов по учету, чтобы добиться минимизации дополнительных трудозатрат, имеющих отношение к ручному контролю. Процедура тестирования также состоит из оценки совершенства системы, занимающейся автоматическим контролем некорректных действий, связанных с неподтвержденными, фальсифицированными данными, ошибками ручного ввода. Это важно для снижения финансовых рисков. Система не может функционировать без организации периодических проверок, анализов отчетов и данных, необходимых для выявления возможных отклонений.

Вопросам, связанным с надежностью и безопасностью системы, уделяют при проверке значительное внимание. Выявление недостатков, связанных с организацией доступа к системе, осуществляют специализированными аудиторскими процедурами, заключающимися в

  •  периодическом анализе прав пользователей для исследования их избыточности;
  • системном подходе к разделению полномочий посредством ограничения доступа к функциям бизнеса.

На заключительной стадии осуществляют проверку пользовательской документации и процесса управления документацией. Из-за ее неактуальности, особенно при внедрении новой системы, может произойти снижение эффективности и оперативности работы пользователей, а также затруднение проведения адекватного анализа рисков и снижение уровня качества контроля процессов, связанных с управлением проектом.

Аудит информационных систем дает ответы на такие вопросы

Нередко возникает вопрос, что такое аудит информационной системы. Это в том числе проверка автоматизированного контроля, например, целостности электронных доказательств, электронных печатей данных, цифровых подписей.

Аудиторское заключение, связанное с проектом внедрения, необходимо для получения целостной картины процесса, позволяющей дать оценку текущего состояния дел, перечня недостатков, в сочетании с возможными рисками, несоответствиями, чтобы предоставить рекомендации для их устранения. Заключение необходимо руководителям для оценки качества внедрения, возможностей системы, приоритетности запланированных задач и выбора последующей стратегии развития.

После проведенной проверки осуществляется составление подробного заключения, в соответствии со всеми существенными вопросами:

  • оценкой степени автоматизации и настройки учетных процессов;
  • адекватностью контрольных процедур;
  • анализом однородности и совместимости системных решений;
  • анализом рисков, связанных с внедрением новых информационных систем;
  • ошибками и несоответствиями в автоматизированных системах;
  • мониторингом работоспособности и контролем производительности информационных систем, реакции и действий в критических ситуациях;
  • вопросами сохранности информации и восстановления данных;
  • оценкой качества информационной безопасности (организации и управления ролями и полномочиями в компьютерных информационных системах, парольной политики, аудита событий и действий пользователей, контроля несанкционированного доступа);
  • структурой ролей в IT-отделе и степенью зависимости безопасности компании от кадров данного отдела, оценкой квалификации сотрудников и процесса поддержания полноты и актуальности базы знаний в данной области, мотивацией персонала с целью снижения риска потери ценных кадров, обладающих реальным практическим опытом.

Основные направления аудита информационной безопасности

Аудит структуры информационной системы осуществляется по ряду направлений, обусловленных:

  • описанием моделей построения системы информационной безопасности (ИБ), с учетом угроз, уязвимостей, рисков и принимаемых для их снижения или предотвращения контрмер;
  • рассмотрением методов анализа и управления рисками;
  • изложением базовых понятий аудита безопасности и предоставлением характеристик целей его проведения;
  • анализом основных международных и российских стандартов, используемых при проведении аудита ИБ;
  • показом возможностей пользования программными средствами для проведения аудита ИБ;
  • предоставлением практических рекомендаций, связанных с проведением аудита ИБ на предприятии.

Основные международные стандарты и лучшие практики проведения аудита информационных технологий

Базовым международным стандартом для проведения аудита ИС является «IT Audit Framework 2nd Edition» (ITAF). Выпуск основной редакции осуществлен в 2013 году. Стандарт предназначен для специалистов, занимающихся формализованными аудиторскими проверками информационных систем и ИТ-инфраструктуры, для определения

  •  основных терминов и концепций, специфичных для специалистов в области ИТ-аудита;
  • минимальных требований, связанных с навыками и знаниями специалистов, занимающихся выполнением аудиторских проверок информационных систем;
  •  основных этапов проведения аудиторских проверок, связанных с информационными системами и подготовкой аудиторского отчета;
  • перечня поддерживающих стандарт руководств, рабочих программ и инструментальных средств проведения аудита информационных систем.

Разработка ITAF осуществлялась в качестве стандарта, применяемого при проведении работ, связанных с отдельными аудитами информационных систем и аудитом информационных систем в рамках финансовых и операционных аудитов.

Понятие аудита безопасности и цели его проведения

Аудит информационных систем можно назвать независимой экспертизой отдельных областей, имеющих отношение к функционированию организации. Аудит бывает внешним и внутренним. Внешний аудит является разовым мероприятием, инициированным акционерами либо руководством организации. Проведение внешнего аудита должно быть регулярным, а в ситуации со многими финансовыми учреждениями и акционерными обществами это обязательное требование, предъявляемое их учредителями и акционерами.

Внутренний аудит является непрерывной деятельностью, осуществляемой в соответствии с действующими положениями и планом, подготовленным службой безопасности и утвержденным руководством.

 Аудит в информационных системах проводится для

  •  анализа рисков, связанных с возможным осуществлением угроз безопасности по отношению к ресурсам;
  •  оценки текущего уровня, характеризующего защищенность ИС;
  • локализации узких мест подразделений, связанных с системой защиты ИС;
  •  оценки соответствия между ИС и существующими стандартами в области, обусловленной информационной безопасностью;
  • выработки рекомендаций, обусловленных внедрением новых и повышением эффективности, присущей существующим механизмам безопасности ИС.

Аудит безопасности ИС: анализ

Если рассмотреть существующие виды аудита ИС, то первый из них, считающийся самым сложным, основан на анализе рисков. В соответствии с методами анализа рисков, аудиторы могут определиться с индивидуальными требованиями безопасности, наиболее соответствующие особенностям данной ИС, среде ее функционирования и угрозе безопасности, характерной для данной среды. Отметим наибольшую трудоемкость данного подхода, требующего наивысшего уровня квалификации аудиторов. Существует прямая зависимость между качеством результата аудита и используемой методологией анализа, управляемостью рисками и применимостью к конкретному типу ИС.

Второй метод аудита информации признан наиболее практичным, соответствующим используемым стандартам информационной безопасности. Стандарты являются определяющим фактором для определения базового набора требований безопасности, относящихся к широкому классу ИС, формирующемуся благодаря обобщению мировой практики. Стандарты можно использовать для определения разных наборов требований безопасности, в соответствии с уровнем защищенности ИС, требуемым для обеспечения, ее принадлежностью (от коммерческой организации до государственного учреждения), а также назначением (от финансов до промышленности, от связи до строительства).

Аудитору необходимо правильно определиться с набором требований стандарта, соответствующего конкретной ИС. Необходимо также разработать методику, способствующую получению оценки этого соответствия. Описанный подход отличается своей простотой (стандартным набором требований, заранее определенным стандартом) и надежностью (неоспоримыми требованиями стандарта), поэтому наиболее часто применяется на практике, особенно востребован при внешнем аудите. Благодаря нему можно с минимальными затратами ресурсов вооружиться обоснованными выводами об уровне состояния ИС.

Наиболее эффективный третий метод, относящийся к видам аудита ИС – это аудит, состоящий из комбинирования двух первых.

Аудит безопасности: этапы

Если рассматривать вопросы, связанные с организацией работ, аудит автоматизированных информационных систем состоит из следующих этапов:

  • анкетирования специалистов по конкретным направлениям;
  • интервью с ключевыми работниками;
  • ознакомления с имеющейся нормативной документацией, организационной структурой, принципами управления ИТ;
  • выборочного или массового тестирования аппаратного обеспечения, производительности сети;
  • анализа накопленной информации;
  • выработки соответствующих экспертных оценок и рекомендаций;
  • подготовки развернутого отчета по результатам работ.

Когда возникает необходимость проведения аудита?

Аудит информационных систем – это комплекс мероприятий, предназначенный для выявления правильности применения в работе информационной системы. Практическая деятельность, проводимая предприятием, должна соответствовать стандартам производителя и известным примерам международных корпораций. Аудит относится ко всей организационной структуре и предназначен для обнаружения тонких мест в работе специалистов и обозначения проблем, а также формировании рекомендаций для их решения.

Необходимость в проведении аудита обусловлена также важностью качественного контроля. С помощью приглашенных экспертов дают оценку состояния процессов внутри предприятия, осуществляют тестирование внедренной информационной системы, делают ряд выводов, связанных с полученной информацией.

Аудит проводится для определения слабых мест и обнаружения неэффективных участков применения технологии. Главное – предоставить рекомендации для устранения обнаруженных недочетов. Также процедура позволит дать оценку стоимости внесения изменений, необходимых действующей структуре, и времени для завершения данных работ. Специалисты, занимающиеся изучением действующей информационной структуры компании, оказывают содействие в подборе инструментария, обусловленного реализацией программы улучшений, с учетом особенностей компании. В результате анализа интеллектуальных, производственных и иных данных может быть получена точная оценка в отношении требуемого объема ресурсов.

Методика и средства проведения аудита

Проведение аудита компьютерных информационных сетей (КИС) осуществляется с использованием двух подходов. Первая методика реализуется с использованием текстов либо наборов таблиц, с введением в них информации, связанной с теми или иными правилами бухгалтерского учета. При этом аудитор обходится без пользования информацией, отличающейся бухгалтерским направлением. С помощью подобной методики получение достаточного количества информации, обладающей необходимым уровнем, зачастую становится невозможным.

При использовании второго подхода необходимо получить от клиента полную первичную информацию.

Для создания КИС пользуются двумя способами:

  • поэтапной компьютеризацией аудита;
  • компьютеризацией в соответствии с комплексами поставленных задач.

При реализации аудита необходимо сохранить основную цель в сочетании с соответствующими подходами, используемыми при осуществлении данной процедуры. Существует взаимосвязь между компьютерной обработкой данных и видами учета, а также системами внутреннего контроля, присущих экономическому субъекту.

Оценка возможностей учета с помощью информационной системы

Получив необходимую информацию, аудиторы приступают к ее анализу, чтобы определиться с текущим состоянием защищенности системы. Ставятся задачи, связанные с определением рисков информационной безопасности, опасных для конкретной компании. Риск фактически является интегральной оценкой эффективности существующих способов защиты, способных к противостоянию информационным атакам.

Обычно пользуются двумя основными группами методов, связанных с расчетом рисков безопасности. С помощью первой группы определяются с уровнем риска, оценивая степень соответствия между определенным набором требований, соответствующих информационной безопасности. Источники таких требований могут быть представлены:

  • нормативно-правовыми документами предприятия, касающимися вопросов, связанных с информационной безопасностью (от политики безопасности до регламентов, от приказов до распоряжений);
  • требованиями, содержащимися в действующем российском законодательстве – от руководящих документов ФСТЭК (Гостехкомиссии) до СТР-К, от требований ФСБ РФ до ГОСТов;
  • рекомендациями международных стандартов;
  • рекомендациями, разработанными компаниями, производящими ПО.

В основе второй группы методов, связанных с оценкой рисков безопасности, находятся меры, обусловленные определением вероятности реализуемых атак и уровнями их ущерба. Вычисления значения риска осуществляется отдельно для всех атак. Для определения значений ущерба привлекают собственника информационного ресурса, а для вычисления вероятности атаки – группу экспертов, занимающихся процедурой аудита. К вероятности в данной ситуации относятся, как к мере достижения нарушителями своих задач и нанесении ущерба компании посредством проведения атак.

Сбор информации аудита

Существует прямая зависимость между качеством аудита информации, полнотой и точностью информации, получаемой при сборе исходных данных. Аудит информационных систем бывает различным, но обязательно требует полноты собираемой информации, которая должна быть представлена: организационно-распорядительной документацией, касающейся вопросов, связанных с информационной безопасностью, сведениями, касающимися программно-аппаратного обеспечения ИС, информацией, связанной со средствами защиты, установленными в ИС. Для предоставления исходных данных пользуются следующими методами:

  • Интервьюированием сотрудников заказчика, имеющих необходимую информацию. Проведение интервью необходимо как для технических специалистов, так и с представителей руководства компании. Согласование перечня вопросов, запланированных к обсуждению, согласовывают заранее.
  • Работой с опросными листами по определенным тематикам, которые сотрудниками заказчика заполняются самостоятельно. Если в представленных материалах нет полных ответов на поставленные вопросы, предпринимается дополнительное интервьюирование.
  • Анализом организационно-технической документации заказчика.
  • Пользованием специализированного ПО, соответствующего получению необходимой информации, связанной с составом и настройками программно-аппаратного обеспечения, существующего на предприятии. Системами анализа защищенности пользуются для проведения инвентаризации сетевых ресурсов, выявления в них уязвимостей.

Альтернативная классификация видов аудита

Кроме классов, существующих для разделения компьютерных информационных систем в аудите, пользуются еще несколькими составляющими, соответствующими международной классификации. Речь идет об экспертной проверке состояния защищенности, связанного с информацией и информационными системами, соответствующей личному опыту экспертов, занимающихся ею. Помимо этого, проводят аттестацию, связанную с системами и мерами безопасности, чтобы убедиться в соответствии международным стандартам.

Также руководствуются государственными правовыми документами, принятыми для регламентации данной деятельности. Для анализа защищенности зачастую пользуются техническими средствами, предназначенными для выявления потенциальных уязвимостей, связанных с программно-аппаратным комплексом управления. Иногда пользуются так называемым комплексным аудитом, состоящим из всех вышеперечисленных видов, который способствует получению наиболее объективных результатов.

Оценка результатов аудита и рекомендации по устранению проблем

При возникновении вероятности в утечке информации становится невозможным построение эффективного бизнеса, обладающего хорошими возможностями в перспективе. Любая компания обладает хорошими данными, представляющими ценность и нуждающимися в сбережении. Для обеспечения высочайшего уровня защиты необходимо позаботиться об аудите информации – это тщательная проверка вероятных рисков. Он должен проводиться с учетом международных стандартов, методик, новейших разработок. Аудит проводится для следующих целей: от оценки уровня защиты до анализа применяемых технологий, от корректировки документов, связанных с безопасностью, до моделирования рисковых ситуаций, провоцирующих утечку данных.

По результатам работ заказчика снабжают рекомендациями, способствующим полноценному устранению уязвимостей. Благодаря корректному и качественно проведенному аудиту возможно получение следующих итогов: от минимизации вероятности, связанной с успешными хакерскими атаками, ущербом от них, до исключения атак, основанных на измененной архитектуре системы в сочетании с информационными потоками; от страхования в качестве средства, способствующего уменьшению рисков, до минимизации риска до не учитываемого уровня.

Другие стандарты и руководства, которые могут быть использованы при проведении ит-аудита

Иногда пользование автоматизированными информационными системами в аудите может соответствовать международным стандартам, не относящимся к непосредственным стандартам аудита, хотя удобным для оценок, связанных со зрелостью и эффективностью процессов управления. Речь идет о:

  • ISO 20000 – международном стандарте, обусловленном управлением и обслуживанием IT сервисов.
  • ITIL — библиотеке, обладающей лучшими способами, связанными с организацией работы в компаниях, специализирующихся на предоставлении аналогичных услуг.
  • PCI DSS – стандарте безопасности, имеющем отношение к платёжным картам.

Внутренний аудит: особенности

Главной целью аудита компьютерных информационных систем, связанного с аспектами безопасности, является определение вероятных рисков, возникающих из-за угроз безопасности. Мероприятия способствуют выявлению слабых мест действующих систем, соответствия стандартам, связанным с международной безопасностью, текущего уровня защищенности. Внутренний аудит способствует формулированию рекомендаций, необходимых для улучшения текущих решений и внедрения новых, что предоставляет возможность для повышения безопасности действующей ИС и защищенности от потенциальных угроз.

При проведении внутреннего аудита определяются с угрозами информационной безопасности, дополнительно рассматривая политику безопасности в сочетании с возможностью разработки новой. Аудиторы работают с иными документами, предназначенными для защиты данных и упрощения их применения в процессе производства. Специалисты занимаются формированием задач, разбором ситуаций, приводящих к нарушениям, обучением пользователей, обучают обслуживающий персонал общим аспектам, обеспечивающим безопасность управления.

Специалист, занимающийся внутренним аудитом, дает оценку механизмов, способствующих обеспечению безопасности системы. Лицо, занимающееся данной задачей, превращается в активного участника процесса, теряя независимость, что является помехой для объективной оценки ситуации и ее контроля. Задача аудита решается сотрудниками, обладающими определенной компетенцией, чтобы справиться с упомянутыми ранее заданиями и добиться получения достойного итога.

Как проводится аудит ИС

Проведение аудита ИС осуществляется после разработки и согласования с руководством предприятия, в соответствии с анализом условий действующей ИС. Аудитор занимается:

  • Проведением инвентаризации, связанной с аппаратным и программным обеспечением.
  • Сбором информации, связанной с текущим состоянием информационной системы.
  • Анализом содержимого бизнес-процессов и их взаимосвязью с ИС.
  • Сбором сведений, связанных с администрированием и сопровождением ИС.
  • Оценкой достоинств и недостатков ИС, возможностей для масштабирования и потенциальных рисков.
  • Подготовкой отчета о проделанных работах плюс рекомендациями, необходимыми для повышения производительности ИС.

По результатам аудита заказчик обеспечивается формализованными описаниями состояния ИС, перечнем обнаруженных проблем, рекомендациями, необходимыми для устранения проблем и повышения эффективности функционирующей ИС.

Что представляет собой аудит в общем определении?

Аудитом информационных систем называют мероприятия, связанные с исследованиями и анализом ИС на предприятиях, способствующие получению оценки ее эффективности. Проведение аудита в Москве и других городах необходимо в следующих ситуациях:

  • При устаревшем оборудовании или ПО;
  • При планируемом переходе на другое ПО с другими требованиями;
  • При наличии проблем интеграции между существующим оборудованием, сервисами и приложениями;
  • Если действующая ИС не удовлетворяет запросам растущего бизнеса;
  • Для оценки качества модернизации IT-инфраструктуры.

Аудит необходим для выяснения следующих вопросов:

  • Каков уровень поддержки выбранной бизнес-стратегии?
  • Как оптимально воспользоваться аппаратными и программными ресурсами?
  • Каково количество ресурсов, потребляемое действующей ИС?
  • Как добиться уменьшения затрат, связанных с владением и модернизацией ИС?
  • Как добиться ускорения информационных процессов на предприятии?
  • Какова защита ИС, связанная с киберугрозами и другими внешними факторами?
  • Из-за каких ошибок и «узких» мест в ИС возникают помехи для развития бизнеса?

Благодаря своевременно проведенному аудиту информационных систем можно более рационально воспользоваться потенциалом ИС, с уменьшением расходов, связанных с ее содержанием, с меньшими техническими проблемами в перспективе, со снижением рисков финансовых потерь. Благодаря аудиту ускоряются бизнес-процессы, повышается конкурентоспособность компании.