| ua | ru | en |
:: О нас | Продукты | Услуги | Публикации | Аналитика | Контакты | Вход для клиентов
:: Аудит безопасности ІТ | Разработки ІТ |


Аудит информационных систем

Аудит Информационных Систем (аудит ИС) - это системный процесс, в соответствии со стандартами и процедурами аудита, получение и оценки объективных данных относительно текущего состояния информационной системы, рассмотрение событий системы, чтобы выяснить их точность и соответствие определенным критериям, предоставление результата аудита заказчику.

Достаточно ли аудита, который осуществляется известными аудиторскими компаниями, такими как PricewaterhouseCoopers, Ernst & Young, Deloitte & Touche или другие? Эти компании выполняют комплексный аудит, но сосредоточиваются на бухгалтерском аудите. Аудит информационных технологий осуществляется относительно формально, а специалисты, которые привлекаются в эти работы в большинстве иностранные (Россия) и не владеют знаниями законодательной и нормативной базы Украины.

Длительное время аудит ИС рассматривался как отдельная самостоятельная услуга. Крупные и средние аудиторские компании образовали ассоциации - союзы профессионалов в области аудита ИС, которые занимаются созданием и контролем за стандартами аудиторской деятельности в сфере информационных технологий. Как правило, это закрыты стандарты, "ноу-хау".

Такой подход не отвечает одному из главных правил аудита: результаты аудита должны быть объективными, беспристрастными и такими, что могут быть подтверждены и воспроизведены любым аудитом, в том числе внешним, который будет использовать такую же схему аудита.

В отличие от закрытых (корпоративных) стандартов аудита, существуют открытые стандарты аудита ИС, которыми занимается ассоциация ISACA (Ассоциация аудита и контроля информационных систем).

Ассоциация ISACA основана в 1969 году и в настоящее время объединяет свыше 35 тысяч членов из более чем 100 стран, в том числе и специалистов Украины. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем.

Основная цель ассоциации - это исследование, разработка, публикация и распространение знаний и опыта в отраслях аудита в управлении информационных системам, стандартизированного набора документов в управлении информационных технологиях и их использование администраторами и аудиторами информационных систем.

На помощь профессиональным аудиторам, руководителям, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT (Контрольные Объекты Информационных Технологий).

CoBiT - открытый стандарт, первое издание которого в 1996 году облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает много других стандартов и критериев в единственный ресурс, что позволяет авторитетно, на современном уровне получить представление и управлять целями и задачами ИС. CoBiT учитывает практически все особенности информационных систем любого масштаба и сложности.


CoBiT базируется на стандартах аудита ISAСА и включает и другие международные стандарты, в том числе принимает во внимание утвержденные раньше стандарты и нормативные документы:


  • технические стандарты;

  • кодексы;

  • критерии ИС и описание процессов;

  • профессиональные стандарты;

  • требования и рекомендации;

  • требования к банковским услугам, систем электронной торговли и производства.


    Основные функции аудита ИС:


  • анализ бизнес-процессов, технологий и структуры ИС, присущей им рисков;

  • соответствие политики управления рисками учреждения имеющимся рискам;

  • действенность системы мониторинга рисков и системы контроля рисков;

  • независимое оценивание рисков, объективная, беспристрастная проверка результатов самооценки рисков, осуществленных бизнес-подразделами;

  • идентификация потенциальных проблем и рисков;

  • объективный аудит проблемных ситуаций и полноты мероприятий их решения;

  • анализ отчетов мониторинга и контроля с намерением улучшения существующей работы/практики управления рисками;

  • анализ и предоставление руководству организации полного профиля рисков, выводов относительно стратегии управления рисками, процедур и методов.


    Аудит, основанный на рисках, учитывает имеющиеся и потенциальные риски. Одна из групп наиболее существенных рисков группируется под термином "операционный риск", что определяется как: "риск потерь/убытков, что являются результатом неадекватных или неудачных внутренних процессов, роботы/действий людей и систем, или результатом внешних событий". К рискам, которые рассматриваются аудитом, в частности относятся:

  • Операционный риск (риски безопасности; риски проектирования, реализации и обслуживание систем; риски конечного пользователя и тому подобное);

  • Законодательный риск (сомнительное или неоднозначное применение законов и правил; предоставление клиенту неадекватной информации; ошибки/отказы в защите конфиденциальности клиента; подчиненность иностранной юрисдикции);


    Риск репутации (существенные дефекты системы; существенные нарушения безопасности; проблемы с неправильным использованием такой же или подобной системы или продуктов другими);

  • Стратегический риск;

  • Системный риск


    Другие.

    независимая оценка рисков аудиторами должна охватывать:

  • Оценку практики организации относительно идентификации и оценку рисков; ответственности за риск, согласно с его профилем;

  • Эффективность всего процесса управления рисками, а также элементов управления риском;

  • Системы мониторинга, отчетность, включая данные об операционных расходах и других индикаторах потенциального операционного риска;

  • Процесс контроля, обзор и проверку безопасности, что гарантируют целостность процесса управления риском и отчетность контроля;

  • Эффективность усилий относительно минимизации последствий в случаях наступления событий рисков, выявления причин неэффективности.


    Деятельность аудиторов, членов ISACA, регламентируется также Кодексом Профессиональной Этики ISACA.


    Дополнительно аудит ИС позволяет решить такие вопросы:

  • Установление процедуры принятия решения о необходимости организации в ИС (наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций);

  • Отвечает ли ИС целям и задачам бизнеса? Как оптимизировать инвестиции в ИС?

  • Что происходит внутри этого "черного ящика" - ИС организации?

  • Сбои в роботе ИС, как выявить и локализовать проблемы, уменьшить убытки?

  • Как развязываются вопросы информационной безопасности? Достаточные мероприятия ли безопасности?

  • Как оценить работу подрядочных организаций в отрасли ИС? Есть ли недостатки?

  • Необходимо ли провести модернизацию оборудования и программного обеспечения?

  • Почему все время осуществляется закупка дополнительного оборудования и/или программного обеспечения?

  • Сотрудники информационных технологий постоянно чему-нибудь учатся, есть ли в этом необходимость, на что именно следует обратить внимание?

  • Что делать в случае возникновения внештатной ситуации? Какие возможны убытки?

  • Какие возникают риски относительно конфиденциальной информации в ИС организации? Как их минимизировать?

  • Как оптимально использовать ИС для развития бизнеса?


    Отмеченные вопросы должны рассматриваться во взаимосвязи с рисками.


    На текущий момент группа компаний имеет в своем штате 8 членов ISACA, из которых 4 сотрудника имеют более чем 10-летний стаж работы в отрасли информационной безопасности банковских систем. Мы сотрудничаем в профессиональной аудиторской деятельности с членами ISACA с других организаций Украины. Гуппа компаний предлагает свои услуги всем организациям, заинтересованным в квалифицированном проведении аудита их информационных систем и/или подготовке (повышению квалификации) их собственных специалистов из внутреннего аудита.

  • Назад


    :: О нас | Продукты | Услуги | Публикации | Аналитика | Контакты |
    :: Аудит безопасности ІТ | Разработки ІТ |
    ©2002-2014 "AMB" group.
    Rambler's Top100