Разработка инструментария аудита информационных систем

В настоящее время все большее количество ИТ-компаний использует аудит информационных систем. Это напрямую показывает, что все стремятся к совершенствованию своих производственных процессов, чем вызывают увеличение популярности своего продукта, прибыли, получаемой от него. Но для начала разберём понятие "аудит".

Аудит информационной системы (далее ИС) - системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

Обращение к инструментарию аудита информационных технологий позволяет: получить свежие и конкретные сведения о работе ИС (обнаружить причины недостаточной эффективности внедрённой ИС); проверить соответствие ИС ряду требований, меняющихся со временем; сравнить эффективность работы с другими лидирующими компаниями в этой сфере; спрогнозировать поведение ИС при корректировке ин- формационных потоков (числа пользователей, объема данных); предоставить обоснованные решения, помогающие повысить продуктивность (приобретение оборудования, совершенствование внедренной системы, замена); дать рекомендации, направленные на повышение продуктивности отделов компании, оптимизацию вложений в технологии, а также разработать мероприятия, улучшающие качественный уровень сервиса ИС [1].

Этапы проведения аудита ИС:

• 1.    Постановка задач аудита ИС;

• 2.    Первое обследование ИС и полное подробное описание программного и аппаратного обеспечения компании;

• 3.    Оценка состояния в ИТ-сфере, выявление проблем и возможных рисков;

• 4.    Исследование технологии обработки и защиты данных;

• 5.    Оценка угроз и уязвимостей в ИС;

• 6.    Разработка конкретных предложений и рекомендаций по улучшению компонентов ИС;

• 7.    Подготовка и предоставление подробного отчета по выполненной работе с данной ИС.

Применение информационных систем в ходе аудита позволяет выполнить следующие основные процедуры:

• 1.    Проверка операций и остатков по счетам в компьютерной базе данных;

• 2.    Проведение аналитических процедур с целью выявления отклонений в компьютерной базе данных;

• 3.    Тестирование базы данных объектов аудита;

• 4.    Тестирование информационного, математического, программного и технического обеспечения объекта аудита.

Преимущества ИС с аудитом:

• 1.    Независимая оценка актуального состояния информационных систем;

• 2.    Экономия расходов на информационные системы способом нахождения неиспользуемых или скрытых ИТ-ресурсов;

• 3.    Выявление узких мест информационных систем, влияющих на стабильность работы;

• 4.    Оценка мероприятий по модернизации информационных систем, включая оценку бюджета;

• 5.    Уменьшение значения недополученной прибыли за счёт минимизации простоев всех информационных систем заказчика.

В настоящее время актуальность аудита резко возросла. Это связано с увеличением зависимости организаций от информации и ИС. Рынок полон аппаратно-программным обеспечением, многие организации в связи с разными причинами (наиболее нейтральная из которых - устаревание оборудования и программного обеспечения) видят неправильность своих вложений в информационные системы и стараются найти пути решения данной проблемы. Решения может быть два: первое - полная замена ИС, что повлечет за собой большое вложение капитала, второе -модернизация ИС. Последний вариант решения этой проблемы - менее затратный, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как сделать так, чтобы новые и старые ИС были совместимы.

Наиболее важная причина проведения аудита заключается в том, что при модернизации, а также внедрении новых технологий, их потенциал полностью реализовать себя не сможет. А аудит ИС позволяет добиться максимальной отдачи от средств, вложенных в создание и обслуживание ИС. Для обеспечения наибольшей эффективности работы аудитора необходимо ее сочетание с применением новейших технических средств, программного обеспечения и использование компьютерной обработки данных для осуществления контроля деятельности предприятия.

Кроме того, возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий хранения и передачи данных.

Спектр угроз расширился. Это обусловлено следующими причинами:

• 1.    Передача информации по сетям общего пользования;

• 2.    "Информационная война" конкурирующих организаций;

• 3.    Высокая текучка кадров с низким уровнем порядочности.

В связи с большими объемами бухгалтерских и управленческих данных при проведении аудита будет не просто обойтись без использования новейших компьютерных систем. В ходе выбора автоматизированной информационной системы аудита необходимо достичь такого соотношения, чтобы затраты на внедрение технологий и получением максимальной выгоды были оптимальными.

В мире накоплен колоссальный опыт. Он обобщен известной организаций ISACA (Information Systems and Control Associations, и сформирован в виде соответствующих нормативов и методик под общим названием COBIT (Control Objectives for Information and related Technologies).

Сам же аудит заключается в: изучении текущего состояния и планов развития информационных технологий на конкретном предприятии; сравнении результатов с тем, как должны работать информационные системы в идеальном (оптимальном) состоянии (то есть с соответствующими стандартами в данной области); выработке рекомендаций для данного предприятия — что необходимо сделать, чтобы максимально приблизиться к указанным стандартам [2].

Практика проведения аудита ИС:

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита, которые определяются с помощью критических точек ИС, в которых чаще всего происходят проблемные ситуации; на основе результатов предварительного аудита всей ИС проводится углубленный аудит обнаруженных проблем.

В это же время собирается команда проведения данного аудита, назначаются ответственные лица со стороны заказчика, создается и согласовывается необходимая документация.

После этого проводится сбор информации о текущем состоянии ИС с помощью CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной, так и в развернутой форме. Детальность информации определяется на этапе разработки исходноразрешительной документации.

Проведение анализа – одна из самых ответственных частей проведения аудита ИС. Использование не актуальных, устаревших данных не допустимо, для этого и нужен углубленный сбор информации, уточнение данных. Требования к проведению анализа создаются на этапе сбора информации. Разные методики, по которым можно осуществлять анализ информации, описаны в стандарте CoBiT, но если их недостаточно, то также можно использовать разрешенные ISACA разработки других компаний.

Базой для выработки рекомендаций являются результаты проведенного анализа. Эти рекомендации после согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.

Контроль выполнения рекомендаций – этап, без которого нельзя обойтись, требует отслеживания представителями консалтинговой компании хода выполнения данных рекомендаций.

Регулярное проведения аудита ИС гарантирует стабильность функционирования ИС, поэтому создание план-графика предстоящих проверок является из результатов профессионального аудита [3].

Результаты аудита ИС организации можно разделить на три группы:

• 1.    Организационные – планирование, управление, документооборот функционирования ИС.

• 2.    Технические – сбои, ошибки, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т. д.

• 3.    Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Аудит ИС позволит создать следующие документы:

• 1.    долгосрочный план развития

• 2.    политика безопасности ИС организации

• 3.    методология работы и доводки ИС организации

• 4.    план восстановления ИС в чрезвычайной ситуации

Аудит ИС можно назвать обязательной процедурой для каждой ИТ-компании, ведь именно он является безусловным помощником для руководителя в сфере анализа работы ИС, т.к. помогает выявить ее слабые стороны и предложить конкретные способы решения по оптимизации ее работы [4].