Аудит информационных систем и бизнес-процессов — это реализация экспертной оценки состояния всей информационной инфраструктуры организации и отдельных ее составляющих.
Введение
Под термином «аудит информационных систем» следует понимать процедуру сбора и оценки объективной информации о текущем положении дел в конкретной информационной системе, операциях и событиях, выполняемых в ней, об уровне их соответствия определенным критериям.
Сегодня актуальность проблемы аудита значительно возросла, и это сопряжено с возрастанием зависимости компаний от информации и информационных систем. Рынок Российской Федерации в достаточной мере представлен аппаратным и программным обеспечением. Но многие компании по ряду причин, из которых следует выделить моральное устаревание оборудования и программных продуктов, ощущают неэффективность ранее приобретенных информационных систем и пытаются найти способы решения данной проблемы.
Известны следующие пути еерешения:
- осуществление полной замены информационной системы, которое может привести к значительным новым капиталовложениям;
- модернизация имеющейся информационной системы.
Второй вариант решения данной проблемы является не таким дорогостоящим, но он может открыть новые проблемы. К примеру, нужно будет решить, что останется из уже имеющихся аппаратных и программных средств, как может быть обеспечена совместимость старых и новых компонентов информационной системы.
Аудит информационных систем и бизнес-процессов
Главной причиной осуществления аудита является тот факт, что при выполнении модернизации и внедрении новых технологий их потенциальные возможности не могут быть полностью реализованы. Аудит информационной системы может позволить достичь наибольшей отдачи от средств, которые будут инвестированы в формирование и обслуживание информационной системы.
Также следует отметить, что повысился уровень уязвимости информационных систем по причине увеличения сложности компонентов информационных систем, а также увеличения количества строк кода программного обеспечения, новых технологий трансляции и сохранения информационных данных.
Кроме того, существенно расширился спектр вероятных угроз. Это вызвано следующими набором причин:
- информация может передаваться по сетям общего пользования,
- наличие «информационной войны» между конкурирующими организациями,
- наличие высокой текучки кадров, обладающих низким уровнем порядочности.
По информации от определенных западных аналитиков до 95% попыток несанкционированного доступа к секретной информации осуществляется по инициативе бывших сотрудников компании.
Выполнение аудита может позволить дать оценку текущей безопасности работы информационной системы, определить риски, прогнозировать и управлять их воздействием на бизнес-процессы компании. А также корректно и обоснованно осуществить подход к вопросам обеспечения безопасности информационных данных компании, главными из которых являются следующие:
- информация об имеющихся идеях,
- информация об имеющихся знаниях,
- информация по реализуемым проектам,
- информация о результатах внутренних обследований.
Сегодня большинство системных интеграторов на Российском рынке телекоммуникаций предлагают установить полное, законченное решение. К сожалению, в большинстве случаев, это может сводиться к проектированию и поставкам оборудования и программного обеспечения. Формирование информационной инфраструктуры почти не затрагивается и к решению не прилагается. Необходимо подчеркнуть, что в нашем случае под информационной инфраструктурой следует понимать отлаженную систему, выполняющую функции обслуживания, контроля, учета, анализа, документирования всех процессов, которые происходят в информационной системе.
Лишь при рассмотрении всех проблем в целом, взаимосвязей между ними, при учете всех нюансов и недостатков можно получить достоверную, обоснованную информацию. Для этого в консалтинговых компаниях создана определенная специальная услуга, которая называется «аудит информационной системы».
Подход к осуществлению аудита информационных систем, как отдельно оказываемой услуги, со временем был упорядочен и стандартизован. Крупные и средние аудиторские организации создали ассоциации, являющиеся союзами профессионалов в сфере аудита информационных систем, которые осуществляют создание и сопровождение стандартов аудиторской работы в области информационных технологий. Обычно, они являются закрытым стандартами, представляющими собой тщательно охраняемое «ноу-хау».
Тем не менее есть ассоциация ISACA, которая занимается открытой стандартизацией аудита информационных систем. Ассоциация ISACA была основана еще в 1969-ом году и в настоящее время имеет в своем составе примерно двадцать тысяч членов из более чем ста государств, включая и Россию. Ассоциация выполняет координацию деятельности более чем двенадцати тысяч аудиторов информационных систем.
Главной декларируемой целью ассоциации является исследование, разработка, публикация и продвижение стандартизованной совокупности документации по управлению информационными технологиями для ежедневного применения администраторами и аудиторами информационных систем.
Для помощи профессиональным аудиторам, руководителям, администраторам и заинтересованным пользователям, ассоциация ISACA с помощью привлеченных специалистов из ведущих мировых консалтинговых компаний разработала стандарт CoBiT, то есть, контрольные объекты информационных технологий. CoBiT является открытым стандартом, первое издание которого вышло в 1996-ом году. Его приобрели различные организации в девяноста восьми странах по всему миру, что позволило облегчить работу профессиональных аудиторов в области информационных технологий.