Цель: ознакомиться с управлением и аудитом информационных технологий, особенности проведения внешнего аудита информационных систем.

Задачи:

1. Изучить управление и аудит информационных технологий.

2. Рассмотреть особенности проведения внешнего аудита информационных систем.

8.1 Управление и аудит информационных технологий

Управление ИТ - составная часть успеха в управлении предприятием, которая гарантирует рациональное и эффективное совершенствование всех взаимосвязанных процессов предприятия. Управление ИТ предоставляет основу, которая связывает ИТ- процессы, ИТ-ресурсы и информацию со стратегией и целями организации, что позволяет максимально эффективно использовать информацию, повышая капитализацию и получая конкурентоспособные преимущества.

ИТ-аудит - понятие в русском языке относительно новое. Как это часто бывает, любой новый термин многие специалисты понимают по-разному. ИТ-аудит у иных отождествляется и с финансовым аудитом в области ИТ, и с ИТ-консалтингом. Между тем, у этого процесса другая цель.

Процедура аудита (обследования) сферы информационных технологий в компании предполагает сбор, анализ и предоставление руководству компании информации о текущем состоянии в сфере ИТ, о рисках, связанных с «проблемными зонами» информационных подсистем, и выдачу рекомендаций по снижению этих рисков и повышению качества функционирования подсистем.

Аудит ИТ проводят для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решения, управления ИТ.

Основная цель IT аудита - это оценка рисков, связанных с использованием информационных технологий, оценка их контроля и выработка рекомендаций по принятию корректирующих мер в областях, где риски должны быть снижены.

Результатом аудита является набор выводов о том, отвечает ли потребностям бизнеса существующая в компании информационная система (ИС), вырабатываются рекомендации по оптимизации и дальнейшему развитию ИС.

В ходе аудита выполняется анализ соответствия существующей ИС бизнес-процессам компании, который подразумевает анализ оргструктуры компании, иерархии подразделений, внутреннего документооборота, учетной политики, соответствия модулей используемой ИС реальным потребностям подразделений.

Аудит ИС направлен на достижение следующих целей:

- сокращение затрат на сопровождение и развитие IT-инфраструктуры;

- сокращение затрат на выполнение автоматизируемых бизнес-операций;

- повышение эффективности работы ИС;

- повышение эффективности вложений в ИС компании.

В рамках аудита ИС выполняются следующие работы:

1. Анализ соответствия возможностей и стратегии ИС стратегии компании, бизнес-целям и бизнес-процессам.

2. Анализ существующих IT-сервисов и поддерживающих их информационных систем (программных продуктов).

Определение проблемных мест существующей IT-инфраструктуры:

- уровень соответствия информационной системы бизнес-требованиям;

- стоимость сопровождения и развития ИС;

- соответствие IT-процессов стандартам ISO 9000;

- уровень обеспечения информационной безопасности.

Выработка рекомендаций по улучшению IT-инфраструктуры:

- оценка стоимости выполнения каждой рекомендации;

- план выполнения рекомендаций;

- рекомендации по реинжинирингу IT-инфраструктуры.

Результаты аудита ИТ позволяют:

1. Оценить соответствие ИТ требованиям бизнеса.

2. Прогнозировать развитие ситуации.

3.Эффективно планировать развитие ИТ-организации.

4. Контролировать исполнение решений. В рамках аудита и экспертизы IT-инфраструктуры будут обследованы следующие показатели: производительность, полнота функциональности, безопасность, целостность IT-процессов и др.

В результате Компания получит описание выявленных несоответствий между IT-инфраструктурой и потребностями бизнеса, существующих проблем и рисков развития IT-инфраструктуры, а также рекомендации по устранению выявленных, с оценкой затрат на выполнение предложенных рекомендаций и планом работы.

Эта информация является основой для построения стратегии автоматизации и определения наиболее эффективных путей вложения в IT.

Аудит технологической инфраструктуры. Позволяет заказчику получить экспертную оценку текущего состава и уровня функционирования технологических платформ, аппаратно-программных комплексов, сетей и средств коммуникации (IT-инфраструктуры), а также получить рекомендации по повышению эффективности их использования, модернизации, снижения стоимости владения.

Например, аудиторское заключение, может содержать выводы о соответствии загрузки серверов их характеристикам, подтверждающие, что серверная платформа позволяет наращивать задачи, либо работает на пределе мощности и т. п.

Аудит информационной безопасности. Аудит включает в себя формирование экспертной оценки текущего состояния системы защиты информации (СЗИ), оценку информационных рисков, рекомендации по совершенствованию СЗИ, расчет стоимости по созданию или модернизации СЗИ. Проведение аудита информационной безопасности позволяет компаниям-заказчикам снизить бизнес-риски и повысить уровень защищенности информации.

Аудит IT-подразделения. Результаты аудита позволяют провести ряд работ по увеличению эффективность деятельности IT-подразделения, оптимизировать расходы на ИТ, повысить качество услуг, предоставляемых в области ИТ, провести реорганизацию IT-подразделений в соответствии с бизнес-задачами компании и современной методологией эксплуатации IT-инфраструктуры.

На основании аудиторского заключения выдаются, в частности, детальные рекомендации по организации планирования работы ИТ-служб в соответствии с потребностями бизнеса компании.

Возможности дальнейшего сотрудничества. Результаты IT аудита позволят наметить направления дальнейшего сотрудничества между нашими компаниями и в частности определить необходимость проведения следующего ряда работ в области IT консалтинга:

Разработка IT стратегии. Разработка Концепции информационной системы, в том числе разработка экономического обоснования оптимизации/развития IT

Оптимизация/развитие информационной системы (ИС), включающая в себя:

Разработка Технического задания на доработку/создание существующих/ недостающих подсистем/модулей ИС.

1. Выбор программных систем (вендоров) для КИС.

2. Организация и управление проектом оптимизации ИС.

3. Разработка методической/сопроводительной документации.

4. Разработка/внедрение доработанных/новых подсистем/модулей ИС.

5. Подготовка и обучение персонала. Консультации персонала.

6. Мониторинг и сопровождение эксплуатации ИС.

7. Причины постановки управления и проведения аудита ИТ.

Результаты проведения аудита. Результаты аудита ИС организации можно разделить на три основных группы:

1. Организационные -- планирование, управление, документооборот функционирования ИС.

2. Технические -- сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д.

3. Методологические -- подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный аудит позволит обоснованно создать следующие документы:

- долгосрочный план развития ИС.

- политика безопасности ИС организации.

- план восстановления ИС в чрезвычайной ситуации.

После проведения ИТ-аудита с использованием принципов аудита, изложенных в CobiT, организация получит возможность:

1. Оценить степень соответствия ИТ-организации требованиям бизнеса.

2. Определить приоритеты основных ИТ-процессов.

3. Выявить критически важные элементы ИТ.Выявить и оценить факторы риска.

4. Определить степень адекватности мер, принимаемых для управления рисками.

5. Оценить степень защищенности компании от чрезвычайных происшествий и их последствий.

6. Реализовать рекомендации по обеспечению бесперебойности функционирования ИТ.

7. Создать план работ по устранению недостатков и разработать способы их устранения.

Кроме того, управление и аудит в соответствии со стандартом CobiT предоставляет организации следующие дополнительные преимущества:

1. Возможность получения результата в сравнительно короткие сроки.

2. Гарантия того, что при проведении аудита ничто не будет забыто: стандарт охватывает все уровни ИТ.

3. После проведения "первичного" аудита производится наполнение информационной базы, что делает процессы проведения последующих проверок проще, легче и, как следствие, дешевле.

4. CobiT как инструмент управления остается и внедряется в организации, автоматически переводя ее на уровень управления, сопоставимый, как минимум, со 2 уровнем модели зрелости CMM, несмотря на то, что достижение уровней зрелости не является прямой целью аудита -- это специфические задачи бизнес-консалтинга.

Технический аудит ИТ -- сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного элемента ИТ-инфраструктуры. Характерные особенности -- малый масштаб работы ("железка" с ее входами-выходами) и узкая прикладная специализация исследования, можно сказать что это "штучная" работа, для каждого конкретного случая.

Аудит ИТ бизнес-процесса -- аудит информационных технологий, поддерживающих определенный (выделенный или заданный) бизнес-процесс организации на соответствие заданным (или разработанным) критериям оценки. Для проведения подобного аудита необходимо определить ответственного за процесс, пользователей и участников, выявить применяемое оборудование и программы, обслуживающий персонал, проектные и регламентирующие документы. На базе собранной информации построить модель, с указанием мест взаимодействия (стыка) с другими бизнес-процессами.

Комплексный аудит ИТ. Руководство должно знать и иметь возможность оценить все, что происходило и происходит в ИТ-организации, сравнить адекватность ИТ-потребностям бизнеса. Иначе говоря, прогнозировать развитие организации и соизмерять его с текущим состоянием и перспективами развития ИТ. В результате получается сложная многомерная матрица взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств их возможностей/ограничений и многого другого должна быть представлена в виде простого и понятного образа, при этом сохранив достоверность информации. Информации об успешной реализации таких проектов в России очень мало, потому что, прежде всего, это требует объединения ресурсов различных компаний и организации единой коллективной работы.

Процедура проведения ИТ-аудита в компаниях разного масштаба может существенно отличаться. На предприятии, производственные мощности которого локализованы, достаточно просто охватить проверкой все ИТ-службы. В территориально-распределенных компаниях, помимо того, что там больше внимания уделяется техническому уровню, который обеспечивает взаимодействие филиалов, есть еще и особенность, связанная с невозможностью аудиторов побывать во всех региональных представительствах компании. Поэтому, как правило, выбираются опытные объекты, которые считаются либо наиболее типовыми для данной компании, либо имеют наибольшее количество ИТ-процессов и систем. Обычно выбирают один-два таких объекта на каждом структурном уровне компании: центральный офис, региональные филиалы и представительства в конкретных городах региона. Как правило, для проверки выбирают одно-два региональных представительства и привязанные к ним объекты более низкого уровня. Такая выборочная проверка рискованна. Во-первых, состояние дел на типовых объектах может не всегда адекватно отражать ситуацию на всех остальных объектах. Во-вторых, объекты, определенные заказчиком в качестве типовых, на деле могут таковыми не являться. Руководителю, приглашающему сторонних консультантов для проведения ИТ-аудита, необходимо четко представлять цели этой процедуры и создавать адекватные условия для их достижения».

8.2 Особенности проведения внешнего аудита информационных систем

IT-инфраструктура предприятия - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и/или моральный ущерб.

В современных условиях рынка полнота информации, ее достоверность, скорость получения и обработки данных, эффективность информационного обмена между структурными подразделениями организации, оперативность принятия решений и реализации возложенных на каждое из таких подразделений задач, становятся одними из наиболее значимых факторов успешности предприятия: его рентабельности, прибыльности, конкурентоспособности.

Функцию обеспечения вышеперечисленных задач берет на себя информационная система организации, состоящая, как правило, из компьютерного парка, системы автоматизации производства, систем безопасности (видеонаблюдение, охранно-пожарная сигнализация, СКУД и проч.), коммуникационных систем (мини-АТС, локальные и/или корпоративные сети) и т. д.

Двумя наиболее значимыми, на наш взгляд, факторами эффективности функционирования информационной системы, состоящей из перечисленных подсистем, являются:

- полезная эффективность IT-инфраструктуры организации (соответствие технических и программных средств предприятия реальным целям, задачам и потребностям бизнеса);

- информационная безопасность IT-инфраструктуры предприятия (включая устойчивость технических средств к всевозможным отказам и сбоям, а также обеспечение сохранности важной информации: пресечение ее утечки и/или уничтожения и защита от несанкционированного доступа);

Одним из способов обеспечения полезной эффективности и информационной безопасности предприятия является аудит IT-инфраструктуры организации, направленный на оптимизацию информационной системы предприятия и выявление явных и/или скрытых угроз ее нормального функционирования.

Аудит IT-инфраструктуры представляет собой системный процесс, заключающийся в получении и оценке объективных данных о текущем состоянии IT-систем организации:

- серверов и рабочих станций, задействованных в IT-инфраструктуре предприятия;

- активного сетевого оборудования;

- системного программного обеспечения;

- физической и логической структуры корпоративной локальной сети;

- периферийного оборудования;

- телекоммуникационных систем;

- систем безопасности;

- систем электроснабжения;

- каналов передачи данных;

и проч.

Как правило, при аудите IT-инфраструктуры применяются следующие методы исследования:

- проведение инвентаризации компонентов IT-инфраструктуры;

- анкетирование сотрудников организации, проводящееся по опросным листам;

- анализ программного обеспечения, файлов и системных событий серверов и рабочих станций, входящих в IT-инфраструктуру организации;

- проверка сетевой безопасности серверов и рабочих станций с целью исключения возможного несанкционированных проникновений через сеть Интернет и/или по другим каналам связи;

- мониторинг состояния активного сетевого оборудования;

- диагностика системы электроснабжения, кабельных сетей и пассивных компонентов IT-инфраструктуры предприятия;

Целью создания любой компьютерной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Информация является конечным «продуктом потребления» и выступает в виде центральной компоненты системы.

Именно поэтому одним из ключевых вопросов при проведении аудита IT-инфраструктуры организации является оценка этой инфраструктуры с точки зрения информационной безопасности. Эта проблема может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

Безопасность (защищенность) информации, в данном случае, - это такое состояние всех компонентов компьютерной (информационной) системы, при котором обеспечивается защита информации от всех возможных угроз на требуемом уровне. При этом, под системой защиты информации понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в компьютерной системе в соответствии с принятой политикой безопасности.

С позиции обеспечения безопасности информации, IT-инфраструктуру организации целесообразно рассматривать в виде единства трех компонентов, оказывающих взаимное влияние друг на друга:

- информация;

- технические и программные средства;

- обслуживающий персонал и пользователи.

Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Все множество потенциальных угроз безопасности информации в компьютерных системах может быть разделено на два класса:

- преднамеренные угрозы

- непреднамеренные (случайные) угрозы

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными. Реализация угроз этого класса приводит к наибольшим потерям информации. При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию. К непреднамеренным (случайным) угрозам, в частности, относятся:

- стихийные бедствия и/или аварии;

- сбои и отказы оборудования;

- ошибки пользователей и/или обслуживающего персонала.

Ошибочные операции или действия могут вызываться отказами аппаратных и программных средств, а также ошибками пользователей и обслуживающего персонала. Некоторые ошибочные действия могут привести к нарушениям целостности, доступности и конфиденциальности информации. Ошибочная запись в оперативную память и на внешнее запоминающее устройство, нарушение разграничения памяти при мультипрограммных режимах работы ЭВМ, ошибочная выдача информации в канал связи, короткие замыкания и обрыв проводников - вот далеко не полный перечень ошибочных действий, которые представляют реальную угрозу безопасности информации в информационной системе организации.

Для блокирования (парирования) случайных угроз безопасности информации в компьютерных системах должен быть решен комплекс задач:

- дублирование информации;

- повышение надежности системы;

- создание отказоустойчивых систем;

- минимизация ущерба от аварий и стихийных бедствий;

- блокировка ошибочных операций;

- оптимизация взаимодействия человека и компьютерной системы.

Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. В зависимости от ценности информации, особенностей построения и режимов функционирования компьютерной системы могут использоваться различные методы дублирования, которые классифицируются по различным признакам. По степени пространственной удаленности носителей основной и дублирующей информации методы дублирования могут быть разделены на методы:

- сосредоточенного дублирования;

- рассредоточенного дублирования.

Для определенности целесообразно считать методами сосредоточенного дублирования такие методы, для которых носители с основной и дублирующей информацией находятся в одном помещении. Все другие методы относятся к рассредоточенным. Рассредоточенное копирование достаточно распространенный и достаточно эффективный способ обеспечения сохранности информации в компьютерных сетях; кроме того, рассредоточенное копирование является практически единственным способом обеспечения целостности и доступности информации при стихийных бедствиях и крупных авариях.

Для блокировки ошибочных действий используются технические и аппаратно-программные средства. К таким средствам относятся блокировочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записи на внешние (портативные) источники информации. Аппаратно-программные средства используются для блокирования выдачи информации в неразрешенные каналы связи, запрета выполнения операций, доступных только в определенных режимах, при помощи специализированных ключей защиты позволяют блокировать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти, запись в определенные области внешних запоминающих устройств и другие операции.

Важным условием функционирования IT-инфраструктуры организации является ее надежность и отказоустойчивость. Под надежностью понимается свойство системы выполнять возложенные на нее задачи в определенных условиях эксплуатации. Если при наступлении отказа компьютерная система способна выполнять заданные функции, сохраняя значения основных характеристик в пределах, установленных технической документацией, то она находится в работоспособном состоянии. Для решения этой задачи необходимо обеспечить высокую надежность функционирования алгоритмов, программ и технических (аппаратных) средств. Кроме того, необходимо предусмотреть систему бесперебойного электроснабжения, состоящую из одного или нескольких источников бесперебойного питания (ИБП), а на отдельных объектах и дизель-генераторной установки (ДГУ).

Отказоустойчивость - это свойство компьютерной системы сохранять работоспособность при отказах отдельных устройств, блоков, схем. Известны три основных подхода к созданию отказоустойчивых систем:

- простое резервирование;

- помехоустойчивое кодирование информации;

- создание адаптивных систем.

Одним из наиболее простых и действенных путей создания отказоустойчивых систем является простое резервирование. Простое резервирование основано на использовании дополнительных устройств, блоков, узлов, схем в качестве резервных. При отказе основного элемента осуществляется переход на использование резервного. Резервирование осуществляется на различных уровнях: на уровне устройств, средств передачи информации, блоков, узлов и т. д. Резервирование отличается также и глубиной. Для целей резервирования могут использоваться один резервный элемент и более.

Помехоустойчивое кодирование основано на использовании информационной избыточности. Рабочая информация в информационной системе дополняется определенным объемом специальной контрольной информации. Наличие этой контрольной информации (контрольных двоичных разрядов) позволяет путем выполнения определенных действий над рабочей и контрольной информацией определять ошибки и даже исправлять их. Так как ошибки являются следствием отказов средств IT-инфраструктуры предприятия, то, используя исправляющие коды, можно парировать часть отказов. Исправляющие возможности кодов для конкретного метода помехоустойчивого кодирования зависят от степени избыточности. Чем больше используется контрольной информации, тем шире возможности кода по обнаружению и исправлению ошибок.

Также существенную угрозу безопасности информации в компьютерной системе представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Несанкционированная модификация структур может осуществляться на любом жизненном цикле IT-инфраструктуры предприятия. Проведение аудита IT-инфраструктуры предприятия позволяет выявить потенциальные возможности несанкционированной модификации компонентов системы и, соответственно, предотвратить ее осуществление.

Резюме по теме

Подводя итог вышесказанному, необходимо отметить, что комплексный аудит IT-инфраструктуры предприятия, анализ всех ее систем и подсистем, эффективности их взаимодействия и использования - задача достаточно трудоемкая, требующая достаточных финансовых и производственных затрат, но, несмотря на это, необходимая. В условиях стремительного развития бизнеса, IT-инфраструктура предприятия представляет собой сложный и разветвленный организм. Построение грамотной структуры управления организацией в значительной степени зависит от возможности IT-подразделения организовать управление предприятием с помощью информационных технологий. Внедрение системы управления предприятием, закупка нового оборудования, инсталляция новых программных продуктов чаще всего проходят без видения целостной картины развития IT-инфраструктуры организации. Это вызывает проблемы полноценного функционирования программных продуктов, проведения дополнительных работ или закупок, что приводит к срывам сроков внедрения проектов, усложняет развитие бизнеса, требует дополнительных инвестиций. IT-аудит - это комплексный анализ информационной структуры, который позволяет решить возникшие сложности, определить качество IT-инфраструктуры предприятия и привести ее возможности в соответствие с целями и задачами бизнеса.

Вопросы для повторения

1. Этапы проведения ИТ-аудита.

2. Что анализируется на этапе «Планирования ИТ-аудита»?

3. Опишите жизненный цикл четырех доменов COBIT

4. Понятие модели зрелости COBIT

5. Что представляет собой аудит ИТ- инфраструктуры?

Тема 10. Международные стандарты аудита информационных систем (COBIT)

Цель: ознакомиться со стандартом CobiT, выявить причины применения стандарта CobiT для управления и аудита ИТ.

Задачи:

1. Изучить международные стандарты аудита информационных систем CobiT.

2. Рассмотреть причины применения стандарта CobiT для управления и аудита ИТ.

10.1 Международные стандарты аудита информационных систем (CobiT)