Аудит информационных систем (IT-аудит) — это процесс получения независимой экспертной оценки о состоянии безопасности информационной системы предприятия с целью дальнейшего повышения ее эффективности.
Другими словами, во время аудита информационной системы эксперты анализируют состояние программ предприятия, приложений и т.д., а затем выдают рекомендации по укреплению их безопасности и оптимизации их работы.
Цели и задачи аудита информационных систем
Основной целью любого аудита информационных систем является повышение уровня безопасности внутри системы предприятия или организации заказчика. Делается это для минимизации рисков вмешательства сторонних лиц в деятельность компании.
В связи с этим в IT-аудите выделяют несколько унифицированных целей и задач, варьирующихся от предприятия к предприятию, так как в каждом конкретном случае заказчик сам определяет приоритетные для себя направления. К таким целям и задачам относятся:
- оценка уровня защищенности системы и информации;
- анализ внешних и внутренних угроз для безопасности системы;
- поиск и локализация слабых мест в системе безопасности;
- проверка соответствия системы безопасности предприятия действующим стандартам;
- разработка и вынесение рекомендаций по устранению выявленных проблем;
- повышение эффективности уже имеющихся средств по обеспечению безопасности информационной системы и внедрение новых разработок.
Когда аудит необходим?
Вопрос о времени проведения аудита решается каждой компанией индивидуально, так как только сам заказчик способен оценить степень его необходимости. Однако чаще всего предприятия решаются на проведение аудита в Москве и других городах при следующих условиях:
- IT-структура работает со сбоями (есть проблемы в работе сайта, тормозит база данных, в системе присутствует вирус и т.д.);
- компания меняет свою структуру (слияние компаний, появление новых подразделений и т.д.);
- смена руководства предприятия (необходима актуальная информация о текущем состоянии безопасности информационной системы);
- смена статуса бизнеса, сертификация по ISO;
- аудит необходим по условиям контракта или договорных обязательств;
- внедрение в компанию новой системы или технологии (ERP, CRM, системы документооборота и т.д.);
- есть необходимость в дополнительных мощностях и т.д.
Виды аудита IT-систем
Технический аудит компьютерных систем
Проводится инвентаризация, обследование и анализ состояния серверного и сетевого оборудования, рабочих мест, мобильных устройств, оргтехники, установленного ПО. Такой технический (компьютерный) аудит позволяет составить общую картину имеющегося оборудования и программного обеспечения, того, как это все работает, где находятся потенциальные слабые места или точки отказа, каково устройство и защита корпоративной сети и т.п.
Аудит систем безопасности
Проверяется система хранения данных и их резервного копирования, устойчивость IT-системы, сетевая политика безопасности, доступ к конфиденциальной информации, защита систем от взлома и вирусов, система обработки персональных данных и т.п.
IT-аудит работы бухгалтерии
Производится проверка соответствия систем бухгалтерского учета и внутреннего контроля законодательным нормам, правилам, требованиям государственных регулирующих органов. В некоторых случаях может оцениваться квалификация сотрудников, ведение отчетности бухгалтерского и управленческого учета.
Аудит каналов связи
Исследуется и анализируется работа корпоративной телефонии, каналов связи, почты, мессенджеров и т.п.
IT-аудит интернет-маркетинга и сайта
Собираются и изучаются данные веб-аналитики, рекламных каналов, отчеты продаж и SEO, оцениваются конверсия разных маркетинговых активностей, а также схемы интеграции web-приложений и ресурсов с внутренними системами компании, оцениваются риски ddos атак и блокировки необходимых для поддержания работы компании ресурсов.
В ходе аудита этого вида разрабатываются методики защиты интернет-ресурсов, оптимизируется нагрузка, с точки зрения бизнес-процессов строится сквозная аналитика, воронка продаж, предлагаются способы улучшения работы и пользования сайтом и т.п. Внедряются новые методы оптимизации, такие как:
- чат боты;
- автоматическое распределение чатов;
- искусственный интеллект и т.п.
Способы аудита информационных систем
Экспресс-обследование
Собираются и структурируются общие данные о текущем состоянии информационной системы. В результате заказчик получает отчет с актуальным общим описанием IT-инфраструктуры. Чаще всего в отчете присутствуют поверхностный анализ и набор минимальных рекомендаций по устранению найденных ошибок.
Целевой аудит
Исследуются только отдельные составляющие IT-инфраструктуры компании или предприятия. В результате заказчик получает отчет с описанием только этой избранной составляющей, а также предложения по ее модернизации и повышению эффективности ее работы.
Аудит бизнес-процесса
Анализ IT-инфраструктуры проводится только для определенного бизнес-процесса. Например, аудит компьютерного оборудования, ПО, IT-персонала, аудит самих IT-процессов. В результате отчет содержит информацию о текущем состоянии процесса, а также рекомендации по улучшению отдельных элементов IT-структуры, задействованные в нем, оценка их рисков.
Аудит по критерию
Собираются и анализируются сведения об IT-инфраструктуре только одного избранного критерия. Например, аудит IT на состояние безопасности, надежности, производительности и т.д. В отчете будет представлена оценка соответствия работы IT-системы выбранному критерию. Если по итогу оценки будет выявлено несоответствие системы, то будет проведен анализ причины этого несоответствия и даны рекомендации по устранению проблем.
Комплексный IT-аудит
Работа IT-инфраструктуры оценивается полно и всесторонне, нюансы изучаются максимально подробно. В результате выдается аналитический отчет о состоянии IT-инфраструктуры на данный момент, о ее соответствии потребностям компании и бизнеса в целом, также в отчете будет содержаться информация с рекомендациями к стратегическому развитию компании.
Этапы проведения аудита информационных систем
Каждая компания имеет свой регламент проведения аудита, который отвечает поставленным ею задачам и имеющимся возможностями. Несмотря на то, что этапы IT-аудита могут варьироваться от предприятия к предприятию, можно выделить несколько основных, которых придерживается большинство организаций:
Определение объектов аудита
На этом этапе производится инвентаризация объектов организации, подлежащих предстоящей проверке в ходе IT-аудита. Такими объектами могут быть серверы, телефония, оборудование и т.д.
Анализ внешних каналов связи с корпоративной сетью
Производится проверка внешних точек доступа к информационной структуре организации-заказчика аудита, а также проводится анализ уровня безопасности и эффективности их работы.
Проверка способов хранения конфиденциальной информации
Во время этого этапа проверяются все файлы, содержащие ценную информацию и персональные данные. Проверку проходит не только информационная безопасность хранения и архивирования данных, но и быстрота и качество их восстановления в чрезвычайной ситуации.
Проверка производительности серверного оборудования
Производится проверка эффективности использования ресурсов организации, необходимых для осуществления IT-процессов. Если по итогу проверки ресурсов недостаточно, то это может отразиться на общей производительности системы. Если же ресурсов оказалось в избытке, то это может привести к лишним финансовым расходам организации. Даются рекомендации по оптимизации.
Оценка безопасности и восстановления данных
На данном этапе производится анализ степени безопасности оборудования, оцениваются риски потенциальных сбоев, способы их предотвращения, возможности восстановления данных и необходимое для этого количество времени.
Проверка учетных записей
Этап предполагает проверку всех учетных записей пользователей с правами администратора.
Проверка программного обеспечения
Проводится проверка наличия необходимого количества лицензий на программы, которыми владеет предприятие, и отсутствия нарушений их использования. В случае обнаружения недостаточного количества лицензий оценивается стоимость их приобретения.
Проверка системы мониторинга
Экспертами проводится полная проверка работы системы мониторинга предприятия, оценивается необходимость изменения ее настроек, проверяются критические узлы.
Проверка работы IT-отдела
На данном этапе проверке подвергаются должностные инструкции работы сотрудников IT-отдела, уровень их компетенции, распределение обязанностей, план действий в экстренных ситуациях, и т.д.
Результаты аудита информационных систем
В результате проведения аудита заказчик получает отчет, включающий в себя полную информацию о состоянии IT-инфраструктуры организации или какой-либо ее составляющей. В отчет также входят рекомендации аудиторов по улучшению ряда показателей системы и минимизации рисков возникновения ошибок и снижения эффективности работы информационной системы компании.
Международные стандарты аудита информационных систем
Аудит информационных систем имеет упорядоченный и стандартизированный процесс, заданный союзами профессионалов в сфере проведения IT-аудита. В большинстве случаев эти стандарты являются закрытыми от общего доступа, а также тщательно охраняются соответствующими ассоциациями и специалистами-аудиторами. Однако существуют стандарты без подобных ограничений.
ISACA (Ассоциация аудита и контроля информационных систем)
ISACA занимается открытой стандартизацией аудита информационных систем.
Ассоциация ISACA поставила себе целью исследование, разработку, публикацию и продвижение стандартизированного набора документов по управлению IT-технологиями для удобства их использования администраторами и аудиторами.
Для облегчения работы членов ISACA был разработан международный стандарт CoBiT.
CoBiT (Контрольные Объекты Информационной Технологии)
CoBiT является открытым для свободного пользования международным стандартом, объединяющим различные мировые стандары в области аудита информационных систем в единый ресурс. Стандарт позволяет получить представление о современном уровне развития информационных систем, а также управлять целями и задачами, решаемыми этими системами. CoBiT содержит информацию об особенностях информационных систем любого размера и сложности.
Ресурсы, использующиеся в стандарте CoBiT
Существует несколько типов ресурсов, на которые ориентируется CoBiT для осуществления наиболее результативной работы в ходе аудита. Рассмотрим каждый из них отдельно:
- Трудовые ресурсы: сюда входят сотрудники организации, руководство, контрактный персонал и т.д., также рассматриваются навыки сотрудников, понимание ими задач и производительность их работы.
- Приложения: например, прикладное программное обеспечение, использующееся в работе компании.
- Технологии: к ним относятся операционные системы, базы данных, системы управления компании и т.д.
- Оборудование: в этот ресурс входят все аппаратные средства информационной системы компании и особенности их обслуживания.
- Данные: это все данные, которыми может потенциально владеть организация. Например, внешние и внутренние, структурированные и неструктурированные, графические, звуковые данные и т.д.
Критерии оценки использования ресурсов на каждом этапе построения аудита в стандарте CoBiT
CoBiT анализирует и оценивает использование ресурсов организации не только в целом, но и в отдельности на каждом этапе аудита, что позволяет повысить его эффективность и минимизировать риски ошибок. Ресурсы оцениваются по нескольким критериям:
- Эффективность: определяется уместность и соответствие информационной системы задачам, поставленным организацией.
- Технический уровень: проверяется соответствие аппаратного обеспечения общепринятым стандартам и инструкциям.
- Безопасность: определяется степень защиты имеющейся в распоряжении у организации информации.
- Целостность: производится оценка актуальности и целостности информации, принадлежащей организации.
- Пригодность: оценивается степень доступности информации для бизнес-процессов предприятия в настоящее время и в будущем, а также степень защиты необходимых для этого ресурсов.
- Согласованность: проверяется соответствие законам, инструкциям, договоренностям, то есть внешним требованиям к ведению бизнеса.
- Надежность: проверяется соответствие информации целям предприятия, осуществление управления финансированием организацией и согласованность должностных обязанностей ее персонала.
Какие стандарты объединяет в себе CoBiT
CoBiT основывается на стандартах аудита ISA (международные стандарты аудита) и ISACA (Ассоциация аудита и контроля информационных систем), а также включает в себя другие международные стандарты IT-аудита. Стандарт принимает во внимание утвержденные стандарты и нормативные документы, относящиеся к:
- техническим стандартам;
- кодексам;
- критериям информационных систем и описанию процессов;
- профессиональным стандартам;
- требованиям и рекомендациям;
- требованиям к банковским услугам, системам электронной торговли и производству.
Структура CoBiT
Сам стандарт состоит из шести книг, созданных и предназначенных для пользователей с различными должностями и функциями. Стандарт включает в себя:
- Резюме для руководителя. В книге содержится описание стандарта, ориентированное на руководящие кадры организаций. Книга помогает составить представление о CoBiT и принять решение о том, подходит ли этот стандарт для проведения аудита на конкретном предприятии.
- Описание структуры. В книге содержится развернутое описание структуры стандарта, целей контроля и детальные пояснения к ним, что необходимо для успешной навигации в документе и результативной работы с ним.
- Объекты контроля. Книга детально описывает и расшифровывает объекты контроля CoBiT.
- Принципы управления. В книге дается информация о правилах управления информационной системой предприятия, постановке достижимой цели, методах и контроля полноты ее достижения. Предназначается для руководителей IT-служб.
- Принципы аудита. В книге описываются правила проведения IT-аудита. Книга предназначена для внешних и внутренних аудитов информационных систем, а также для консультантов в сфере IT.
- Набор инструментов внедрения стандарта. Книга содержит практические советы по использованию стандарта в управленческой деятельности и во время проведения аудита информационных систем.
Что отличает CoBiT от других стандартов IT-аудита
— CoBiT обладает большой зоной охвата, то есть стандарт охватывает широкий список задач начиная от стратегического планирования дальнейших действий предприятия и заканчивая анализом работы отдельных элементов информационной системы в данной компании.
— CoBiT предоставляет возможность перекрестного аудита, то есть стандарт имеет перекрывающиеся зоны проверки критически важных элементов информационной системы, что позволяет избежать эффекта “замыливания” глаза и повысить эффективность проверки.
— CoBiT является адаптивным и наращиваемым стандартом, то есть стандарт постоянно пополняется актуальной информацией.
Преимущества стандарта CoBiT
В чем заключаются преимущества стандарта CoBiT перед другими отечественными и зарубежными разработками в сфере разработки стандартов аудита информационных систем? Можно выделить следующие основные преимущества:
- Самодостаточность: аудит, проведенный в соответствии с CoBiT, часто не нуждается в дополнительной проверке по другим существующим стандартам;
- Стандарт относительно легко адаптируется к особенностям российских информационных систем;
- CoBiT обладает возможностью легкого масштабирования и наращивания;
- Стандарт позволяет использовать любые разработки производителей аппаратно-программного обеспечения;
- С помощью стандарта CoBiT можно проводить анализ полученных во время аудита данных, не изменяя при этом общие подходы и собственную структуру предприятия.
