4. АУДИТ ИНФОРМАЦИОННОЙ СИСТЕМЫ

 

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию.

В настоящее время актуальность аудита резко возросла, это обусловлено следующими причинами:

• увеличение зависимости организаций от информации и ИС; 
• при модернизации и внедрении новых технологий их потенциал полностью не реализуется;
• возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных;
• расширился спектр угроз ИС;
• aудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС.

 

Подход к проведению  аудита ИС, как отдельной самостоятельной услуги, с течением времени упорядочился и стандартизировался. Крупные и средние  аудиторские компании образовали ассоциации — союзы профессионалов в области аудита ИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ.

Ассоциация ISACA, занимающаяся открытой стандартизацией аудита ИС, основана в 1969 году и в настоящее время объединяет около 20 тысяч членов из более чем 100 стран, в том числе и России. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем.

Основная декларируемая цель ассоциации — это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем. В помощь профессиональным аудиторам и администраторам ассоциацией ISACA был разработан стандарт CoBiT (рис.9).

CoBiT — Контрольные ОБъекты Информационной Технологии — открытый стандарт, первое издание вышло в 1996 году. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС. CoBiT учитывает все особенности информационных систем любого масштаба и сложности. Применение стандарта CoBiT возможно как для проведения аудита ИС организации, так и для изначального проектирования ИС.

 

 

Рис. 9. Структура стандарта CoBIT

 

Бизнес-процессы (в верхней части схемы) предъявляют свои требования к ресурсам ИС, которые анализируются с использованием критериев оценки CoBiT на всех этапах построения и проведения  аудита.

Четыре базовые группы содержат в себе тридцать четыре подгруппы, которые, в свою очередь, состоят из трехсот двух объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии ИС.

Преимущества CoBiT  это его достаточность, масштабируемость и наращиваемость. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные, не изменяя общие подходы и собственную структуру.

Результаты проведения аудита ИС организации можно разделить на три основных группы:

• организационные — планирование, управление, документооборот функционирования ИС;
• технические — сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.дю;
• методологические — подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

 

Проведенный аудит позволит обоснованно создать следующие документы:

• Долгосрочный план развития ИС.
• Политика безопасности ИС организации.
• Методология работы и доводки ИС организации.
• План восстановления ИС в чрезвычайной ситуации.