Аудит ИС и ИТ предприятия/организации. Основные цели и задачи. Технический аудит. Аудит ПО. Организация и аудит процессов управления ИТ службой

 

При проведении проверки информационных систем она должна быть направлена на три основных блока: техническое обеспечение, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая их этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь. Рассмотрим конкретные составляющие этих трех блоков.

С точки зрения технического обеспечения необходимо постоянно отслеживать следующие моменты:

отказоустойчивость технической базы, под которой понимают способность технических средств функционировать практически без сбоев и остановок;

степень надежности хранения данных и возможности их восстановления, включая средства резервного копирования и дисковые массивы;

физический доступ к компьютерному оборудованию, который должен быть ограничен, так как может быть причиной несанкционированных действий;

маштабируемость компьютерных систем, которая состоит в возможности их наращивания и является залогом их более или менее длительного использования;

достаточность мощности технических средств для обработки данных в организации, так как может сложиться ситуация, когда растущий объем операций будет неадекватен техническим возможностям эксплуатируемых систем;

соответствие технической политики бизнес-задачам организации и ее экономическая эффективность.

В части контроля за программным обеспечением регулярной проверке подлежит:

лицензионная чистота программного обеспечения, так как помимо юридических проблем, при отсутствии лицензий, сопровождение программных продуктов производителями не осуществляется, и это может привести к серьезным сбоям в их работе;

логический доступ к данным на системном и прикладном уровнях, в том числе политика информационной безопасности и ее выполнение, включающая многоуровневую систему доступа пользователей к данным, приложениям и отдельным операциям, предотвращающую несанкционированные действия и ограничивающую доступ к конфиденциальной информации;

система протоколирования всех действий пользователей в информационных системах, которая направлена на возможность оперативного контроля и проведения внутренних расследований;

надежность системного программного обеспечения и используемой СУБД ( системы управления базой данных), которые так же, как и технические средства, являются повышенным источником риска;

достаточность функциональных возможностей и удобство осуществления операций в системах автоматизации, что необходимо для достижения большей эффективности от использования современных ИТ;

наличие верификации (подтверждения одним пользователем действий другого) и последующего контроля за данными в информационных системах;

корректность алгоритмов, результатов и периодичности автоматических процедур, которые, как правило, в современных банковских системах осуществляются без участия пользователя, такие, как расчет курсовой разницы, процентов по кредитам и депозитам, открытой валютной позиции, консолидация; корректность справочных данных, используемых при различных

расчетах и операциях в информационных системах, таких, как курсы валют, процентные ставки, банковские идентификационные коды.

Направления проверки технологии организации и использования компьютерной обработки данных достаточно разнообразны:

общая структура служб Информационных Технологий (ИТ) и ее соответствие поставленным задачам;

существование и реализация плана развития информационных технологий, что является необходимым при современном темпе технологических нововведений;

регламентация действий пользователей информационных систем как часть обязательного и с точки зрения общего управления, и с точки зрения управления качеством регламентирования всех внутренних банковских процессов;

оценка системы поддержки (сопровождения) пользователей, так как при некачественном сопровождении повышается риск неправильных, ошибочных действий вследствие непонимания особенностей информационных систем;

технология разработки и внедрения отдельных приложений, которая должна ограничивать банк от использования не соответствующего требованиям пользователей и содержащих большое количество ошибок программных продуктов, а также исключать зависимость от ключевого ИТ персонала (при собственной разработке);

технологии проведения отдельных операций с точки зрения их соответствия регламентам, политики информационной безопасности, удобства и эффективности их автоматизации;

технология работы с особо критичными системами и их участками, прежде всего такими, как платежные терминалы и системы передачи данных между различными программными комплексами;

наличие системы обеспечения деятельности при возникновении чрезвычайных ситуаций, а именно плана действий, резервной вычислительной площадки и возможности быстрого восстановления данных.

Все эти факторы в современном банке имеют огромное значение и соответственно трансформируются в задачи внутреннего и внешнего контроля и аудита, которые все больше переориентируются на компьютерные системы и технологии. С другой стороны, это соотносится с потребностью в аудите, обращенном не столько на проверку достоверности отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности организаций, на глубинный анализ и прогнозирование финансового состояния, управление рисками, в том числе и информационных систем, что в конечном счете еще более укрепляет описанные выше тенденции.

 

Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. В этой связи аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решений по управлению ИТ.

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:

· осуществляют оценку рисков ИТ;

· содействуют предотвращению и смягчению сбоев ИС;

· участвуют в управлении рисками ИТ;

· помогают подготавливать нормативные документы;

· помогают связать бизнес-риски и средства автоматизированного контроля;

· осуществляют проведение периодических проверок;

· содействуют ИТ-менеджерам в правильной организации управления ИТ;

· осуществляют «взгляд со стороны».

Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности системы внутреннего контроля ИТ.

На Российском рынке в настоящее время можно выделить 6 видов услуг по аудиту ИТ:

· Обследование ИТ.

· Экспертная оценка ИТ.

· Технический аудит ИТ.

· Аудит ИТ бизнес-процесса.

· Аудит критерия ИТ.

· Комплексный аудит ИТ.

Обследование ИТ - частный случай аудита ИТ. Это обычная инвентаризация — сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.

Экспертная оценка ИТ – это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:

· оценка ИТ-проектов или проектных решений;

· оценка обоснованности инвестиций в ИТ;

· оценка стоимости ИТ-составляющей компании;

· оценка текущих ИТ-проектов;

· оценка возможности перепрофилирования ИТ-инфраструктуры;

· оценка организации эксплуатации ИТ;

· оценка подготовки пользователей.

Технический аудит ИТ – это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.

Аудит ИТ бизнес-процесса – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.

При проведении аудита ИТ бизнес-процесса, как правило, выполняется:

· определение ответственного за процесс;

· определение пользователей и участников бизнес-процесса;

· выявление применяемого оборудования и программ;

· оценка действий обслуживающего персонала и пользователей;

· анализ проектных и регламентирующих документов.

Аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.

Комплексный аудит ИТ – это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.

Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Из зарубежных источников можно отметить международный стандарт аудита CobiT, ISA 401, положения по международной практике аудита 1002, 1003, 1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.

В обобщенном виде ИТ-аудит проводится в два этапа:

· этап " Планирование ИТ-аудита".

· этап " Проведение ИТ-аудита".

На этапе " Планирования ИТ-аудита":

· Анализируются:

o структура бизнес-процессов;

o платформы и структура информационных систем, поддерживающих бизнес-процессы;

o структура ролей и распределения ответственности, включая аутсорсинг;

o бизнес-риски и бизнес-стратегия.

· Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.

· Идентифицируются ИТ-риски.

· Оценивается общий уровень контроля рассматриваемых бизнес-процессов.

· На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.

На этапе " Проведения ИТ-аудита" выполняются следующие виды работ:

· Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);

· Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;

· Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);

· Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.

 

Технический аудит направлен на снижение потерь компаний, вызванных системными сбоями. Сбои ИС могут стать причиной ощутимых потерь компаний. Учитывая, что в информационных системах, в которых не налажены надлежащие процессы контроля и предупреждения возможных причин сбоев — а таково положение у большинства современных компаний — сбои возникают в наиболее ответственные, а значит и наиболее напряженные моменты. Потери могут выливаться в огромные суммы. Сокращения таких потерь можно достичь путем комплексного исследования технического состояния всех компонентов ИС.

Аудит технического состояния ИС прежде всего предназначен для компаний, которым требуется оценить текущее состояние ИС с целью реконструкции и модернизации или подготовиться к расширению ИС и внедрению новых технологий. Проведение аудита технического состояния позволяет:

• устранить системные сбои в ИС;

• повысить эффективности работы предприятия;

• получить перечень " узких мест" в работе ИС;

• произвести модернизацию и реконструкцию ИС на основании полученных рекомендаций;

• организовать и наладить поддержку ИС;

• разработать корпоративные стандарты поддержки ИС.

Аудит технического состояния затрагивает проведение таких мероприятий, как учет существующих на предприятии аппаратных средств, программного обеспечения, периферийных устройств и анализ построения структурированной кабельной системы (СКС), сетей передачи данных, функционирования ИТ-службы предприятия, технических параметров эффективности работы ИС, надежности ИС, безопасности ИС.

По результатам аудита клиенту предоставляется отчетность по следующим направлениям:

• состояние кабельной системы;

• реализация резервного копирования;

• наличие избыточного трафика в сети, наличие ошибок в трафике,

• список пользователей, с целью предоставления рекомендаций по внедрению политики безопасности;

• наличие незащищенных дисковых ресурсов;

• безопасность информационной системы для выявления существования потенциальных угроз несанкционированного доступа к ИС;

• инвентаризация программных и аппаратных средств;

• загруженность каналов связи для определения и локализации критических участков инфраструктуры сети;

• перечень запущенных служб.

 

Аудит программного обеспечения (ПО) предприятия представляет собой ревизию установленных программ. Аудит позволяет определить эффективность использования ПО, а также дать рекомендации по вопросам закупки, поддержки, развития и управлению жизненным циклом ПО. Одной из главных задач, решаемых этой услугой, является определение лицензионной чистоты ПО, установленного на компьютерах компании.

Руководство не располагает точной информацией о лицензионной чистоте установленного в организации программного обеспечения. Необходимо не только выявить установленное ПО, но и дать рекомендации по закупке лицензий либо замене на другие продукты.

На компьютерах компании установлено большое количество неучтенного программного обеспечения («зоопарк»). Продукты разных производителей конфликтуют друг с другом, часто возникают ошибки, сотрудники вынуждены постоянно обращаться к системным администраторам за технической поддержкой.

Программное обеспечение, используемое в компании, редко либо никогда не обновляется, в связи с чем содержит мужество уязвимостей. Это ПО является прямой угрозой безопасности корпоративной сети. Необходимо выявить устаревшие версии ПО и дать рекомендации по его обновлению или замене.

Решаемые задачи:

· Определение лицензионной чистоты используемого ПО. Инвентаризация ПО позволяет выявлять вероятные риски и оценивать их последствия.

· Определение соответствия возможностей ПО и потребностей бизнеса. Аудит позволяет понять, насколько эффективно используется ПО, и какие есть возможности для увеличения этой эффективности.

· Определение целесообразности дальнейшего использования ПО, его развития или же замены на новый продукт.

· Стандартизация используемого ПО. Сотрудники компании получают набор программ, необходимый и достаточный для их эффективной работы.

· Оптимизация расходов на программное обеспечение.

· Повышение безопасности корпоративной сети за счет отказа от практики использования непроверенного и небезопасного ПО.

Преимущества для хаказчика:

1. Сознательное или случайное нарушение лицензионных соглашений может привести к наложению на организацию крупных штрафов. Инвентаризация программного обеспечения позволяет выявлять вероятные риски и оценивать их последствия.

2. Имея точные данные о закупленном ПО, можно точнее планировать дальнейшие затраты и извлечь максимальную выгоду из лицензионных соглашений, воспользовавшись программами корпоративного лицензирования.

3. Имея на руках информацию об использовании той или иной программы, можно принять управленческое решение: следует ли в дальнейшем продолжать закупки данного продукта или лучше избавиться от него по истечении срока лицензионного договора.

4. Инвентаризация программного обеспечения необходима как составной этап процесса стандартизации рабочего места. Проведение аудита ПО позволяет составить четкую стратегию использования ПО на рабочих станциях, что значительно уменьшит расходы на техническую поддержку и увеличит эффективное рабочее время сотрудников.

5. Инвентаризация позволяет определить, какие установленные программные продукты требуют замены версий или установки обновлений.

6. Учет программного обеспечения как актива компании повышает её рыночную стоимость, что влечет рост её инвестиционной привлекательности.

7. Заказчик получает конкретные рекомендации по управлению жизненным циклом программного обеспечения в организации, с учетом технических характеристик и архитектурных особенностей ПО.

 

Аудит процессов управления службой ИТ состоит из следующих специализированных аудитов:

· процесса управления инцидентами;

· процесса управления проблемами;

· процесса управления конфигурациями;

· процесса управления изменениями;

· процесса управления релизами;

· процесса управления уровнем сервиса;

· процесса управления доступностью;

· процесса управления мощностями;

· процесса управления финансами ИТ;

· процесса управления непрерывностью сервиса ИТ;

· процесса управления информационной безопасностью.

Цели аудита:

процесса управления инцидентами:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления устранением сбоев, отказов программно-технических средств и других инцидентов в ИТ-инфраструктуре организации.

2. Оценить экономность расходования людских и материальных ресурсов на управление инцидентами в ИТ-инфраструктуре организации, определить пути повышения экономии таких ресурсов.

3. Определить уровень зрелости действующего процесса управления инцидентами (на основе CMM SEI).

4. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления инцидентами в ИТ-инфраструктуре организации.

процесса управления проблемами:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления проблемами (управления выявлением корневых причин возникновения сбоев, отказов программно-технических средств, других подобных инцидентов, а также других ошибок в ИТ-инфраструктуре организации, установлением путей устранения таких корневых причин).

2. Определить уровень зрелости действующего процесса управления проблемами (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления проблемами в ИТ-инфраструктуре организации.

процесса управления конфигурациями:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления конфигурациями.

2. Определить уровень зрелости действующего процесса управления конфигурациями (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления конфигурациями ИТ-инфраструктуры организации.

процесса управления изменениями:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления изменениями в ИТ-инфраструктуре организации.

2. Определить уровень зрелости действующего процесса управления изменениями (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления изменениями в ИТ-инфраструктуре организации.

процесса управления релизами:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления релизами в ИТ-инфраструктуре организации.

2. Определить уровень зрелости действующего процесса управления релизами (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления релизами в ИТ-инфраструктуре организации.

процесса управления изменениями:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления изменениями в ИТ-инфраструктуре организации.

2. Определить уровень зрелости действующего процесса управления изменениями (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления изменениями в ИТ-инфраструктуре организации.

процесса управления уровнем сервиса:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления уровнем сервиса

2. Определить уровень зрелости действующего процесса управления уровнем сервиса (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления уровнем сервиса.

процесса управления доступностью:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления доступностью сервисов.

2. Определить уровень зрелости действующего процесса управления доступностью (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления доступностью.

процесса управления мощностями:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления мощностями (производительностью, емкостью) ИТ-инфраструктуры организации.

2. Определить уровень зрелости действующего процесса управления мощностями (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления мощностями.

процесса управления финансами ИТ:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления финансами ИТ.

2. Определить уровень зрелости действующего процесса управления финансами ИТ (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления финансами ИТ.

процесса управления непрерывностью сервиса ИТ:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления непрерывностью сервиса ИТ.

2. Определить уровень зрелости действующего процесса управления непрерывностью сервиса ИТ (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления непрерывностью сервиса ИТ.

процесса управления информационной безопасностью:

1. Оценить соответствие передовому мировому опыту (ITIL) действующего процесса управления информационной безопасностью в ИТ-инфраструктуре организации.

2. Определить уровень зрелости действующего процесса управления информационной безопасностью (на основе CMM SEI).

3. Выработать предложения по структуре проекта и предварительные рекомендации по совершенствованию процесса управления информационной безопасностью в ИТ-инфраструктуре организации.

Продолжительность аудита, в зависимости от размеров организации, до 10 рабочих дней.

Результаты аудита

1. Общая модель действующего процесса управления.

2. Оценка степени соответствия передовому мировому опыту действующего процесса управления.

3. Предварительные рекомендации по совершенствованию и предложения по структуре проекта совершенствования (реорганизации) процесса управления.

 

Классификация программного обеспечения (ПО). Базовый уровень ПО. Системный уровень ПО. Драйверы. Служебный уровень ПО. Утилиты. Прикладной уровень ПО. Виды лицензий и способы оптимизации издержек предприятия на программное обеспечение и автоматизацию деятельности

 

Классы программных продуктов:

- системное ПО – совокупность программ и программных комплексов для обеспечения работы компьютеров и сетей;

- пакеты прикладных программ – служат для обработки информации (самый многочисленный класс);

- инструментарий технологии программирования – обеспечивают проектирование, программирование, отладку и тестирование программ.

 

Системное ПО включает:

1. Базовое ПО – минимальный набор программных средств, обеспечивающих работу компьютера:

- ОС – предназначена для управления выполнением пользовательских и других программ, планирования и управления вычислительными ресурсами компьютера. Делятся на:

o одно- и многозадачные;

o одно- и многопользовательские;

o непереносимые и переносимые на другие типы компьютеров;

o несетевые и сетевые;

Основные типы ОС:

o MS DOS, появилась в 1981 г. в связи с изобретением дисковой памяти и содержит принципиально новые решения организации памяти (аналоги других фирм – DR DOS, PC DOS). Настолько удачна, что послужила прообразом следующего поколения ОС и входит в их состав;

o Windows 3.х, 95, 98 и т.д. (Windows ХР);

o OS/2 – разработана IBM на основе систем, ранее использовавшихся в больших ЭВМ. Высоконадежная ОС, поддерживающая мультипроцессорную обработку данных (до 16 процессоров);

o Unix (корпорация Bell Laboratori) – применяется в суперкомпьютерах и сетях профессиональных компьютеров, поддерживает распределенную обработку данных в сетях.

- операционные оболочки – специализированные программы, предназначенные для облегчения общения пользователя с командами ОС, работающих в текстовом режиме (для MS DOS – Norton Commander, Norton Navigator, Windows 3.1, … до 95);

- сетевые ОС – обеспечивают обработку, обмен и хранение информации в сети. Сейчас включаются в основные ОС;

2. Сервисное ПО (утилиты) – программы, служащие для выполнения вспомогательных операций обработки данных и обслуживания компьютера:

- программы диагностики компьютера;

- антивирусные программы;

- программы обслуживания дисков;

- программы архивации данных и т.д.

 

Пакеты прикладных программ

1. Проблемно-ориентированные ППП:

- ППП автоматизированного банковского учета;

- ППП управления персоналом (кадровый учет);

- ППП управления материальными запасами и т.п..

2. ППП автоматизированного проектирования – поддерживают работу конструкторов и технологов, связанную с разработкой чертежей, схем, диаграмм и т.п.

3. ППП общего назначения:

- настольные СУБД;

- серверы баз данных;

- генераторы отчетов (выборка по запросам данных из базы, формирование конечного документа;

- текстовые процессоры;

- табличные процессоры;

- средства презентационной графики;

- интегрированные пакеты (СУБД, текстовый и графический редакторы, табличный процессор, органайзер, программы создания презентаций, …). Особенность – универсальный интерфейс, легкость обмена данными между документами, интегрированные документы, общий сервис).

4. Методо-ориентированные ППП – обеспечивают решение разноплановых задач общими для них математическими методами.

5. Офисные ППП – обеспечивают организационное управление деятельностью офиса:

- органайзеры (планировщики);

- программы-переводчики;

- средства проверки орфографии;

- программы распознавания текста;

- коммуникационные ППП – средства создания вэб-страниц, обмена по электронной почте.

6. Настольные издательские системы.

7. Программные средства мультимедиа – для обработки аудио- и видеоинформации.

8. Системы искусственного интеллекта работают с базами знаний, имеют интеллектуальный интерфейс с пользователем и с помощью программ формирования логических выводов позволяют формировать новые знания.

 

⇐ Предыдущая10111213141516171819Следующая ⇒

Поделиться: