Számviteli és könyvvizsgálati információs rendszerek. Információs rendszerek biztonsági auditja. Az információs rendszer hatásának felmérése az ellenőrzés egészére

Könyvvizsgálat információs rendszerek naprakész és pontos adatokat szolgáltat az IS működéséről. A beérkezett adatok alapján megtervezheti a vállalkozás hatékonyságát javító tevékenységeket. Információs rendszer auditálásának gyakorlata - a szabványhoz, a valós helyzethez képest. Tanulmányozza a más cégeknél érvényes előírásokat, szabványokat, előírásokat és gyakorlatokat. Az audit lefolytatása során a vállalkozó képet kap arról, hogy cége miben különbözik egy hasonló területen működő átlagos sikeres cégtől.

Általános nézet

Az információs technológia be modern világ rendkívül jól fejlett. Nehéz elképzelni egy olyan vállalkozást, amely nem rendelkezik információs rendszerekkel:

• globális;
• helyi.

Az IP-nek köszönhető, hogy egy vállalat normálisan tud működni és lépést tud tartani a korral. Az ilyen módszerek szükségesek a gyors és teljes információcseréhez környezet, amely lehetővé teszi a vállalat számára, hogy alkalmazkodjon az infrastruktúra és a piaci követelmények változásaihoz. Az információs rendszereknek számos, idővel változó követelménynek kell megfelelniük (új fejlesztések, szabványok bevezetése, frissített algoritmusok alkalmazása). Akárhogyan is Információs technológia lehetővé teszi az erőforrásokhoz való gyors hozzáférést, és ezt a problémát az IS megoldja. Ezenkívül a modern rendszerek:

• méretezhető;
• rugalmas;
• megbízható;
• biztonságos.

Az információs rendszerek auditálásának fő feladata annak meghatározása, hogy a megvalósított IS megfelel-e a megadott paramétereknek.

Audit: típusok

Nagyon gyakran alkalmazzák egy információs rendszer úgynevezett folyamatauditját. Példa: külső szakértők elemzik a megvalósított rendszereket a szabványoktól való eltérések szempontjából, beleértve a gyártási folyamat tanulmányozását, amelynek eredménye: szoftver.

Audit végezhető annak megállapítására, hogy mennyire jól használják az információs rendszert. A vállalkozás gyakorlatát a gyártó szabványaival és a nemzetközi nagyvállalatok jól ismert példáival vetik össze.

Egy vállalkozás információbiztonsági rendszerének auditja hatással van a szervezeti felépítésre. Egy ilyen rendezvény célja az informatikai részleg személyzetének gyenge pontjainak felkutatása és a problémák azonosítása, valamint megoldási javaslatok megfogalmazása.

Végül az információbiztonsági rendszer auditja a minőségellenőrzést célozza. Ezt követően a meghívott szakértők felmérik a vállalaton belüli folyamatok állapotát, tesztelik a megvalósított információs rendszert, és a kapott információk alapján következtetéseket vonnak le. Általában a TMMI modellt használják.

Ellenőrzési feladatok

Az információs rendszerek állapotának stratégiai auditja lehetővé teszi a megvalósított információs rendszer gyengeségeinek azonosítását, és annak azonosítását, hogy a technológiák alkalmazása hol bizonyult hatástalannak. Az ilyen folyamat végén az ügyfél ajánlásokat fog kapni a hiányosságok kiküszöbölésére.

Az audit lehetővé teszi annak értékelését, hogy mennyibe kerül a jelenlegi struktúra módosítása, és mennyi ideig tart. A fejlesztési program megvalósításához szükséges eszközök kiválasztásában a vállalat sajátosságait figyelembe véve a vállalat jelenlegi információs szerkezetét tanulmányozó szakemberek segítenek. Az eredmények pontos becslést adhatnak arról is, hogy a vállalatnak mennyi erőforrásra van szüksége. Szellemi, monetáris, termelési elem lesz.

Események

Az információs rendszerek belső auditja az alábbi tevékenységeket foglalja magában:

• IT-leltár;
• az információs struktúrák terhelésének azonosítása;
• a statisztikák, a leltározás során nyert adatok értékelése;
• annak meghatározása, hogy a megvalósított IS üzleti követelményei és képességei egyeznek-e;
• jelentéskészítés;
• ajánlások kidolgozása;
• az NSI-alap formalizálása.

Az ellenőrzés eredménye

Az információs rendszerek állapotának stratégiai ellenőrzése olyan eljárás, amely: lehetővé teszi a megvalósított információs rendszer elégtelen hatékonyságának okainak azonosítását; az IS viselkedésének előrejelzése az információáramlások korrigálásakor (felhasználók száma, adatmennyiség); a termelékenység növelését segítő megbízható megoldások biztosítása (berendezések beszerzése, a megvalósított rendszer fejlesztése, csere); ajánlásokat ad a vállalat részlegeinek termelékenységének növelésére, a technológiai beruházások optimalizálására. És olyan intézkedések kidolgozására is, amelyek javítják az információs rendszerek szolgáltatásának minőségi szintjét.

Fontos!

Nincs olyan univerzális IP, amely bármelyik vállalkozásnak megfelelne. Két közös alap van, amelyek alapján egyedi rendszert hozhat létre egy adott vállalkozás követelményeihez:

• Jóslat.

De ne feledje, hogy ez csak az alap, semmi több. Minden olyan fejlesztést, amely egy vállalkozást hatékonnyá tesz, programozni kell, figyelembe véve az adott vállalkozás jellemzőit. Valószínűleg be kell vezetnie a korábban hiányzó funkciókat, és le kell tiltania az alapszerelvény által biztosítottakat. Modern technológia A banki információs rendszerek auditja segít megérteni, hogy pontosan milyen tulajdonságokkal kell rendelkeznie egy IS-nek, és mit kell kizárni ahhoz, hogy a vállalati rendszer optimális, hatékony, de ne túl „nehéz” legyen.

Információbiztonsági audit

Az információbiztonságot fenyegető veszélyek azonosítását lehetővé tevő elemzésnek két típusa van:

• külső;
• belső.

Az első egyszeri eljárást foglal magában. A cég vezetője szervezi. Javasoljuk, hogy rendszeresen gyakoroljon ilyen intézkedést a helyzet ellenőrzése érdekében. Számos JSC és pénzügyi szervezet bevezette a külső IT-biztonsági audit kötelezővé tételének követelményét.

Belső - ezek rendszeresen megrendezésre kerülő rendezvények, amelyeket a "Belső ellenőrzési szabályzat" helyi szabályozási törvény szabályoz. A végrehajtáshoz éves tervet készítenek (az ellenőrzésért felelős osztály készíti), amelyet a főigazgató, másik vezető hagy jóvá. IT audit - több tevékenységi kategória, a biztonsági audit nem utolsó fontosságú.

Gólok

Az információs rendszerek biztonsági szempontból történő auditálásának fő célja a biztonsági fenyegetésekkel kapcsolatos, IP-vel kapcsolatos kockázatok azonosítása. Ezenkívül a tevékenységek segítenek azonosítani:

• a jelenlegi rendszer gyengeségei;
• a rendszer megfelelése az információbiztonsági szabványoknak;
• jelenlegi biztonsági szint.

A biztonsági audit során ennek eredményeként javaslatok születnek a jelenlegi megoldások fejlesztésére és újak bevezetésére, ezáltal a jelenlegi IS biztonságosabbá és védettebbé tétele a különféle fenyegetésekkel szemben.

Ha belső auditot végeznek az információbiztonságot fenyegető veszélyek azonosítására, akkor a következőket is figyelembe kell venni:

• biztonsági politika, új kidolgozásának lehetősége, valamint egyéb dokumentumok, amelyek lehetővé teszik az adatok védelmét és egyszerűsítését a vállalat termelési folyamatában;
• biztonsági feladatok kialakítása az informatikai részleg dolgozói számára;
• a jogsértésekkel kapcsolatos helyzetek elemzése;
• felhasználói képzés vállalati rendszer, szerviz személyzet általános biztonsági szempontok.

Belső audit: jellemzők

A felsorolt ​​feladatok, amelyek az információs rendszerek belső auditja során a munkavállalókra hárulnak, lényegében nem auditnak minősülnek. Elméletileg a tevékenységet végző személy csak szakértőként értékeli azokat a mechanizmusokat, amelyek révén a rendszer biztonságos. A feladatban részt vevő személy a folyamat aktív résztvevőjévé válik, és elveszíti önállóságát, nem tudja többé objektíven felmérni a helyzetet és irányítani azt.

Ezzel szemben a gyakorlatban szinte lehetetlen távol maradni a belső ellenőrzéstől. Az tény, hogy a cég szakemberét vonzza a munka elvégzése, máskor más, hasonló területen végzett feladatokkal van elfoglalva. Ez azt jelenti, hogy a könyvvizsgáló ugyanaz a munkavállaló, aki a korábban említett feladatok megoldására is alkalmas. Ezért kompromisszumot kell kötnünk: az objektivitás rovására vonjuk be a munkavállalót a gyakorlatba a tisztességes eredmény érdekében.

Biztonsági audit: szakaszok

Ezek sok tekintetben hasonlítanak egy általános informatikai audit lépéseihez. Kioszt:

• események kezdete;
• elemzési bázis gyűjtése;
• elemzés;
• következtetések megfogalmazása;
• jelentés.

Eljárás indítása

Az információs rendszerek biztonsági szempontból történő auditálása akkor kezdődik, amikor a cégvezető erre engedélyt ad, hiszen a főnökök jobban érdekeltek a vállalat hatékony auditálásában, mint mások. Az ellenőrzés nem lehetséges, ha a vezetőség nem támogatja az eljárást.

Az információs rendszerek auditálása általában összetett. Ez magában foglal egy könyvvizsgálót és több személyt, akik a társaság különböző részlegeit képviselik. Fontos csapatmunka minden teszt résztvevője. Az audit indításakor fontos figyelni a következő pontokra:

• a könyvvizsgáló feladatainak, jogainak dokumentált rögzítése;
• ellenőrzési terv elkészítése, jóváhagyása;
• annak dokumentálása, hogy a munkavállalók kötelesek a könyvvizsgálónak minden segítséget megadni és az általa kért összes adatot megadni.

Már az audit kezdeményezésekor fontos meghatározni azokat a határokat, amelyeken belül az információs rendszerek auditálása történik. Míg egyes IS-alrendszerek kritikusak és különös figyelmet igényelnek, mások nem eléggé fontosak, és nem is annyira fontosak, hogy kizárják őket. Bizonyára vannak olyan alrendszerek is, amelyek ellenőrzése lehetetlen lesz, hiszen minden ott tárolt információ bizalmas.

Terv és határok

A munka megkezdése előtt létrejön az ellenőrizni kívánt erőforrások listája. Lehet:

• információs;
• szoftver;
• műszaki.

Jelölje ki, hogy mely oldalakon történik az audit, mely fenyegetésekre vonatkozóan ellenőrzi a rendszert. A rendezvénynek megvannak a szervezési határai, biztonsági szempontok, amelyeket az ellenőrzésnél figyelembe kell venni. Az ellenőrzés hatókörét jelző prioritási minősítés jön létre. Az ilyen határokat, valamint az intézkedési tervet a főigazgató hagyja jóvá, de előzetesen a közgyűlés témája terjeszti elő, ahol jelen vannak a főosztályvezetők, a könyvvizsgáló és a cégvezetők.

Adatok lekérése

A biztonsági audit során az információs rendszerek auditálására vonatkozó szabványok olyanok, hogy az információgyűjtés szakasza a leghosszabb és legfáradalmasabb. Az IS rendszerint nem rendelkezik ehhez dokumentációval, és a könyvvizsgáló kénytelen számos kollégával szorosan együttműködni.

Ahhoz, hogy a levont következtetések kompetensek legyenek, a könyvvizsgálónak a lehető legtöbb adatot be kell szereznie. Az információs rendszer felépítéséről, működéséről, állapotáról az auditor a szervezeti, adminisztratív, műszaki dokumentációból, önálló kutatások és speciális szoftverek használata során tájékozódik.

A könyvvizsgáló munkájához szükséges dokumentumok:

• az IS-t kiszolgáló osztályok szervezeti felépítése;
• minden felhasználó szervezeti felépítése.

A könyvvizsgáló interjút készít az alkalmazottakkal, azonosítva:

• szolgáltató
• adattulajdonos;
• adatfelhasználó.

Ehhez tudnia kell:

• az IP-alkalmazások fő típusai;
• a felhasználók száma, típusai;
• a felhasználóknak nyújtott szolgáltatások.

Ha a társaság rendelkezik az alábbi listából származó IP-dokumentumokkal, feltétlenül át kell adni azokat a könyvvizsgálónak:

• technikai módszertanok leírása;
• a funkciók automatizálási módszereinek leírása;
• funkcionális diagramok;
• munka, projekt dokumentumok.

Az IP szerkezetének azonosítása

A helyes következtetések levonásához a könyvvizsgálónak a legteljesebb képpel kell rendelkeznie a vállalatnál alkalmazott információs rendszer jellemzőiről. Tudnia kell, hogy mik a biztonsági mechanizmusok, hogyan oszlanak meg szintek szerint a rendszerben. Ehhez tájékozódjon:

• a használt rendszer összetevőinek megléte és jellemzői;
• alkatrészfunkciók;
• grafikus;
• bemenetek;
• interakció különféle objektumokkal (külső, belső) és protokollok, csatornák ehhez;
• a rendszerre alkalmazott platformok.

A sémák hasznosak lesznek:

• szerkezeti;
• adatfolyamok.

Struktúrák:

• műszaki eszközök;
• információs támogatás;
• szerkezeti elemek.

A gyakorlatban sok dokumentum közvetlenül az ellenőrzés során készül el. Az információ elemzése csak a maximális információmennyiség összegyűjtése esetén lehetséges.

IP biztonsági audit: elemzés

A kapott adatok elemzésére többféle technika is létezik. Egy adott melletti választás az auditor személyes preferenciáin és egy adott feladat sajátosságain alapul.

A legkifinomultabb megközelítés magában foglalja a kockázatelemzést. Az információs rendszerre vonatkozó biztonsági követelmények kialakulnak. Egy adott rendszer és környezete tulajdonságain, valamint az ebben a környezetben rejlő fenyegetéseken alapulnak. Az elemzők egyetértenek abban, hogy ez a megközelítés a legtöbb munkát és a legtöbb képesítést követeli meg a könyvvizsgálótól. Hogy mennyire lesz jó az eredmény, azt az információelemzés módszertana és a kiválasztott opciók IP típusra való alkalmazhatósága határozza meg.

Egy praktikusabb lehetőség az adatbiztonsági szabványokra való hivatkozás. Ezek meghatároznak egy követelményrendszert. Ez különböző IS-ekre alkalmas, mivel a módszertant a különböző országok legnagyobb cégei alapján dolgozták ki.

A szabványokból az következik, hogy milyen biztonsági követelmények vonatkoznak a rendszer védettségi szintjére és az egyik vagy másik intézményhez való tartozására. Sok függ az IS céljától. A könyvvizsgáló fő feladata annak helyes meghatározása, hogy az adott esetben melyik biztonsági követelményrendszer releváns. Olyan módszert választanak, amellyel felmérik, hogy a rendelkezésre álló rendszerparaméterek megfelelnek-e a szabványoknak. A technológia meglehetősen egyszerű, megbízható, ezért széles körben elterjedt. Kis befektetéssel pontos következtetések vonhatók le.

Elhanyagolás elfogadhatatlan!

A gyakorlat azt mutatja, hogy sok vezető, különösen kis cégek, valamint azok, akiknek cégei már régóta működnek, és nem törekednek minden elsajátítására a legújabb technológia, meglehetősen hanyagul hivatkoznak az információs rendszerek auditjára, mivel egyszerűen nem ismerik fel ennek az intézkedésnek a jelentőségét. Általában csak az üzletet ért károk késztetik a hatóságokat arra, hogy intézkedéseket tegyenek a kockázatok ellenőrzésére, azonosítására és a vállalkozás védelmére. Mások azzal a ténnyel szembesülnek, hogy adatokat lopnak az ügyfélkörükről, mások kiszivárogtatnak a partnerek adatbázisaiból vagy információkkal egy bizonyos entitás legfontosabb előnyeiről. A fogyasztók az eset nyilvánosságra kerülése után nem bíznak a cégben, és a céget az adatvesztésnél több kár éri.

Ha fennáll az információszivárgás lehetősége, lehetetlen olyan hatékony vállalkozást felépíteni, amely rendelkezik jó lehetőségeket most és a jövőben. Bármely cég rendelkezik olyan adatokkal, amelyek értékesek harmadik felek számára, és ezeket védeni kell. Ahhoz, hogy a védelem a legmagasabb szintű legyen, ellenőrzésre van szükség az azonosításhoz gyenge oldalai. Figyelembe kell vennie a nemzetközi szabványokat, módszereket és a legújabb fejleményeket.

Az auditálás során:

• értékelje a védelem szintjét;
• az alkalmazott technológiák elemzése;
• helyes biztonsági dokumentumokat;
• szimulálja azokat a kockázati helyzeteket, amelyekben adatszivárgás lehetséges;
• megoldások megvalósítását javasolja a sebezhetőségek kezelésére.

Ezeket a tevékenységeket a következő három mód egyikében hajtják végre:

• aktív;
• szakértő;
• szabványoknak való megfelelés meghatározása.

Az ellenőrzés formái

Az aktív audit magában foglalja a rendszer értékelését, amelyet egy potenciális hacker néz. Az ő álláspontja, hogy az auditorok „kipróbálják” magukat - hálózatvédelmet tanulnak, amelyhez speciális szoftvereket és egyedi technikákat használnak. Belső ellenőrzésre is szükség van, egy feltételezett bűnöző szempontjából is, aki adatokat akar ellopni vagy megzavarni a rendszert.

Szakértői audit során ellenőrzik, hogy a megvalósított rendszer hogyan felel meg az ideálisnak. A szabványoknak való megfelelés meghatározásakor a szabványok elvont leírását veszik alapul, amellyel a meglévő objektumot összehasonlítják.

Következtetés

A helyesen és minőségileg lefolytatott audit lehetővé teszi a következő eredmények elérését:

• minimálisra csökkentve a siker valószínűségét hacker támadás, kárt okoz belőle;
• a támadás kizárása a rendszer architektúrájának és az információáramlásnak a megváltozása alapján;
• biztosítás mint a kockázatcsökkentés eszköze;
• a kockázat minimalizálása olyan szintre, ahol teljesen figyelmen kívül hagyható.

Ma sok vezető nem elégedett a vállalkozásban kialakult automatizálási szinttel. A fizikailag és erkölcsileg elavult információs rendszerek (IS), az egyes folyamatok "patchwork" automatizálása már nem képes a vezetők számára olyan működőképes és megbízható információkat szolgáltatni, amelyek a megalapozott és időszerű vezetési döntések meghozatalához annyira szükségesek.

Az irányítási rendszer tökéletlensége a vállalkozás jövedelmezőségének csökkenéséhez, instabil pozícióhoz vezet az áruk és szolgáltatások piacán.

A vállalkozások komplex automatizálásának problémáihoz való visszatérést az okozza, hogy a vállalatvezetés érdeke a hatékony irányítási struktúra kialakítása, és ebben fontos szerepe van az információs támogatásnak. Ezért ismét napirendre került a vállalati információs rendszerek létrehozásának kérdése.

Ám a vállalkozások vezetése még sikeres megvalósítások esetén sem mindig éri el a kívánt hatást. Egy automatizálási projekt sikere nem jelent automatikusan jelentős hasznot belőle. Még ha a projekt céljai megvalósulnak is, előfordulhat, hogy nem felelnek meg a jelenlegi termelési követelményeknek. Ez nagyon gyakran előfordul.

Sikertelen automatizálási projektek, hatalmas idő- és pénzpazarlás - ez a kép a nagyvállalatoknál látható. Miért történik ez? Miért nem spórolnak sem a csúcstechnológiák, sem a termékek, sem az ismert cégek tekintélye? Miért vannak meghibásodások mind a kész csomagokban, mind az egyedi tervezésű információs rendszerekben? Miért nem tudnak a vállalkozások megszabadulni a "patchwork" automatizálástól?

Az „ahogy van” modell szerinti rendszerek létrehozásának gyakorlata azt mutatta, hogy az automatizálás a meglévő vezérlőrendszer korszerűsítése nélkül nem hozza meg a kívánt eredményt. Hiszen a szoftveralkalmazások használata a munkában nem csupán a papíralapú dokumentumok és a rutinműveletek csökkentését jelenti, hanem egyben áttérést is a dokumentumkezelés, a könyvelés és a jelentéskészítés új formáira.

Nem igazolja magát a hétköznapi előadóművészek egyes munkaköreinek "patchwork" automatizálása sem. Ennek eredményeként a vezető továbbra is kézileg elkészített adatokat kap.

Fennáll az az illúzió, hogy egy vállalkozást "kevés vérontással" lehet automatizálni, saját alkalmazottai felhasználásával, akik már fizetést kapnak.

A vállalkozás AUTOMATIZÁLÁSA valamilyen segédtermelés létrehozása, amely leegyszerűsíti a vállalatvezetés döntéshozatalát.

A gyakorlat azt mutatja, hogy az automatizálás, valamint az audit területén a külső szakemberek bevonása gazdaságilag indokolt és hatékonyabb.

A rendszert fejlesztő munkatárs a már működő programok működtetése miatt hosszú időre elválik közvetlen feladataitól, vezető szakemberek távozása miatt a projekt meghiúsulhat. Az információs rendszernek a vállalkozás általi fejlesztése évekig elhúzódhat anélkül, hogy valódi hasznot hozna a felső vezetés számára.

Figyelembe véve az információs rendszerek hatékonyságának problémáját a rendszerelemzés szempontjából, a hatékonyság értékelésének fő kritériumait azonosíthatjuk:

1. Erőforrás kiválasztása. Az információs rendszer kiválasztásakor abból kell kiindulni, hogy bármely erőforrás felhasználása csak akkor célszerű, ha annak pozitív hatása van.
2. Dinamika. Figyelembe kell venni az időtényezőt, fontos kiválasztani azokat a technológiákat, amelyeket hosszú ideig használnak.
3. Színre állított. Az információs projektet szakaszosan kell megvalósítani és értékelni, hogy minden lépés konkrét hasznot hozzon a vállalkozás számára.

Következtetés: nem a program kiválasztásával kell kezdeni, hanem a vállalkozás igényeinek és képességeinek felmérésével, a projekt előtti felméréssel és egy műszaki projekt létrehozásával. Ezek az intézkedések segítenek meghatározni, hogy az információs rendszerekbe történő beruházások hol hozhatják a legnagyobb hasznot.

Miért kell auditálni az információs rendszereket?

Az Információs Rendszer auditálása azt jelenti rendszerfolyamat objektív adatok beszerzése és értékelése az IS aktuális állapotáról, az abban előforduló akciókról, eseményekről, egy-egy kritériumnak való megfelelésük szintjének megállapítása és az eredmények vevő rendelkezésére bocsátása.

Jelenleg az ellenőrzés relevanciája drámaian megnőtt, ennek oka a szervezetek növekvő információ- és szellemifüggősége. A fehérorosz piac telített hardverrel és szoftverrel, számos szervezet számos okból (amelyek közül a legsemlegesebb a hardverek és szoftverek elavultsága) látja az információs rendszerekbe korábban befektetett pénzeszközök elégtelenségét, és keresi a megoldás módját. ez a probléma. Ebből kettő lehet: egyrészt ez az IS teljes cseréje, ami nagy beruházásokkal jár, másrészt az IS korszerűsítése. A probléma utolsó megoldása olcsóbb, de új problémákat nyit meg, például, hogy mit kell tartani a rendelkezésre álló hardverből szoftver eszközök hogyan biztosítható a kompatibilitás a régi és az új IC elemek között.

Emellett az IS sebezhetősége megnőtt az IS elemeinek összetettebbé válása, a szoftverkódsorok számának növekedése, valamint az adatátvitel és -tárolás új technológiái miatt.

A fenyegetések spektruma bővült. Ennek oka a következő okok:

• információk továbbítása nyilvános hálózatokon keresztül;
• "információs háború" versengő szervezetek;
• magas (Oroszországra és Fehéroroszországra jellemző) fluktuáció alacsony szint tisztesség.

Egyes nyugati elemző ügynökségek szerint a bizalmas információkhoz való jogosulatlan hozzáférések 95%-át a szervezet korábbi alkalmazottai kezdeményezik.

Egyre gyakrabban fordulnak elő a következő kérdések a rendszerintegrátorokhoz, tervezőszervezetekhez, berendezések beszállítóihoz az ügyfeleknek:

1. Mi a következő lépés? (A szervezet fejlesztésére vonatkozó stratégiai terv megléte, az IP helye és szerepe ezzel kapcsolatban, problémahelyzetek előrejelzése.)
2. Összhangban van az IP-nk a vállalkozás céljaival és célkitűzéseivel? Az üzlet az információs rendszer függelékévé változott?
3. Kudarcok az IS munkájában, hogyan lehet azonosítani és lokalizálni a problémákat?
4. Hogyan kezelik a biztonsági és beléptetési kérdéseket?
5. A kivitelezők elvégezték a szállítást, beszerelést, üzembe helyezést. Hogyan értékeljék a munkájukat? Vannak-e hátrányai, és ha igen, mik azok?
6. Mikor szükséges a hardver és a szoftver frissítése?
7. Miért vásárolnak folyamatosan kiegészítő berendezéseket?
8. Az OASU osztály dolgozói folyamatosan tanulnak valamit, van erre igény?
9. Milyen intézkedéseket kell tenni vészhelyzet esetén?
10. Milyen kockázatok merülnek fel, ha bizalmas információkat helyeznek el a szervezet IP-jében? Hogyan lehet minimalizálni ezeket a kockázatokat?
11. Hogyan csökkenthető az IP birtoklási költsége?
12. Hogyan lehet optimálisan felhasználni a meglévő IP-t az üzletfejlesztésben?

Ezekre és más hasonló kérdésekre nem lehet azonnal válaszolni. Csak az összes probléma egészének, a köztük fennálló kapcsolat figyelembevételével, az árnyalatok és hiányosságok figyelembevételével kaphat megbízható, ésszerű információkat. Ehhez a tanácsadó cégeknél világszerte van egy bizonyos szolgáltatás - az információs rendszer auditja.

A biztonság kedvéért...

Ahogy a színház fogassal kezdődik, úgy szinte minden szervezet a biztonsággal kezdődik. Hol elboldogulnak egy nyugdíjas katonaemberrel, aki jegyzetfüzetbe írja a látogatók nevét, hol - zseniális biztonsági rendszerekkel, amin még az egér sem csúszik át - már csak azért is, mert nincs belépőkártyája.

De a biztonsági tisztek csak fizikai biztonságot nyújtanak, miközben sokat több forrást információbiztonságra kell költeni. Ennek a feladatnak a köre a szervezeten belül tárolt információk értékétől függően nagyon eltérő lehet. Valakinek csak meg kell védenie magát a "kezdő hackerektől", valakinek pedig meg kell védenie magát a versenytársak ipari kémkedésétől.

Egy meglévő vagy kialakulóban lévő információbiztonsági rendszer hatékonyságának ellenőrzéséhez a legjobb, ha kapcsolatba lép egy IS auditorral.

A szakértők gyakran hangsúlyozzák, hogy az audit csak annak ellenőrzése, hogy a rendszer megfelel-e bármilyen követelménynek - szabványoknak, előírásoknak stb. A részletesebb és alaposabb ellenőrzést szívesebben nevezik ellenőrzésnek. Ez egy összetettebb munka, amely magában foglalja az információáramlás, az üzleti folyamatok elemzését, az információvédelmi rendszerek megfelelőségének, az információk kritikusságának elemzését... Vagyis egy konkrét szervezethez kötött mélyelemzés.

Az egyszerűség kedvéért azonban ezt IP auditnak is nevezzük.

Mikor célszerű információbiztonsági audithoz folyamodni?

• Az információbiztonsági rendszer fejlesztése előtt - ismerni a jelenlegi állapotot és megérteni, mit kell tenni.

Az elmúlt években új információs technológiákat kezdenek alkalmazni az auditálásban. A számítógép a könyvvizsgáló eszközévé válik, amely lehetővé teszi számára, hogy ne csak az audit elvégzésére fordított időt és pénzt csökkentse, hanem részletesebb ellenőrzést is lehessen végezni, és minőségi könyvvizsgálói jelentést készítsen, amely ajánlásokat tartalmaz a stratégiák, irányok és eszközök javítására. a vállalkozás pénzügyi és gazdasági helyzete.

Egyrészt a vállalkozás számviteli és egyéb irányítási funkcióinak automatizálása, másrészt az audit automatizálása radikálisan megváltoztatja az audit lefolytatását egy adott létesítményben. Elkezdték megkülönböztetni a számítógépes környezeten kívüli auditot, i.e. hagyományos kézi számviteli technológiával működő létesítményben, illetve számítógépes környezetben auditálást olyan létesítményben, ahol a könyvelést számítógépekkel végzik. Maga az audit is elvégezhető számítógépek használata nélkül és azok segítségével.

A számítógépes környezetben végzett auditnak számos eltérése van a számítógépes adatfeldolgozás sajátosságaiból adódóan. Magának az ellenőrzésnek az alapelvei itt nem változnak. Céljai és célkitűzései megmaradnak, általánosan elfogadott szabványok érvényesek. A nemzetközi auditálási szabványok ugyanakkor megkövetelik a számítógépes környezetben auditot végző auditortól, hogy ismerje a számítógépek hardverét és szoftverét, valamint az adatfeldolgozó rendszereket.

A könyvvizsgálónak figyelembe kell vennie a számítógépes könyvelés szervezésének és vezetésének sajátosságait. Figyelembe kell vennie, hogy az adatok adatbázisokban vannak tárolva, a számviteli bejegyzések adatbázisa az alapja annak, hogy kérésre bármilyen számviteli nyilvántartást bármilyen sorrendben megszerezzen. A számítógépes számviteli rendszerek adatbázisa lehet decentralizált, részben vagy teljesen központosított. Többfelhasználós módban a jelentéskészítéshez használt adatintegráció másképpen valósul meg. Számítógéppel számos művelet, így a kamatszámítás, a számlazárás, a pénzügyi eredmény megállapítása is elindítható, ezért nincs erre feljogosító dokumentum. A számítási algoritmusba beágyazott, ismétlődő üzleti tranzakciókra ismételten alkalmazott hiba torzíthatja a gazdasági tevékenység eredményét. Az egyenleg például a kerekítési hiba miatt konvergálhat rubelben, és nem konvergál ezer rubelben. A számítógépes számviteli rendszerekben általában az adatok bevitelére, feldolgozására és kiadására vonatkozó eljárások ellenőrzése zajlik. Számítógépes rendszerek nyitottabbak az adatokhoz való hozzáférésre, ezért mindegyikben egyértelműen körvonalazódnak az információhoz való hozzáférés jogosítványai és jogai, valamint bevezették a jogosulatlan hozzáférés elleni védelmi és ellenőrzési rendszert.

Csak az automatizált számvitel e korántsem teljes jellemzőinek felsorolása hangsúlyozza, hogy minden könyvvizsgálat első szakaszában jelentős helyet kell kapnia a számítógépes számviteli rendszer tanulmányozásának, mivel az az ellenőrzési funkciók megvalósításában játszik nagy szerepet. Ugyanakkor tanulmányozni kell az egyes számviteli feladatok automatizáltsági szintjét, az adatfeldolgozási módszereket, az adatok elérhetőségét, azonosítani kell azokat a helyeket, ahol a legnagyobb valószínűséggel fordulnak elő hibák, és meg kell fontolni az azonosítási és kiküszöbölési eljárásokat.

A könyvvizsgálónak azonosítania kell a számítógépes számviteli rendszer ellenőrzésének hiányosságait. A hardver és a szoftver vezérlését egyaránt figyelembe kell venni. Többjátékosban hálózati rendszerek a figyelem tárgya legyen az adattovábbítás ellenőrzése, az adatokhoz való hozzáférés ellenőrzésének eszköze. A könyvvizsgálónak a számítógépes környezetben felmerülő ellenőrzési kérdésekre való ilyen nagy odafigyelése azzal magyarázható, hogy nem tudja a szervezet tevékenységének minden aspektusát ellenőrizni, ezért a feladatok egy része vállalaton belüli ellenőrzéshez rendelhető. Ehhez azonban fel kell mérni a belső kontrollrendszer eredménytelenségének kockázatát, és meg kell határozni az ellenőrzés általános kockázatát. Az auditor csak ezt követően tudja meghatározni az auditált objektumon végrehajtandó ellenőrzési eljárások készletét és mélységét.

Az audit, mint fentebb említettük, számítógép nélkül és annak használatával is elvégezhető. Az utóbbi változatban az auditeszközök auditprogramokra és ellenőrző adatokra oszlanak, amelyek bekerülnek a feldolgozó rendszerbe, hogy a kapott adatokat összehasonlítsák az előre meghatározottakkal.

Az audit programok által végzett feladatok listája meglehetősen széles. Elvégzik az iratok ellenőrzését és elemzését azok minőségére, teljességére, következetességére és helyességére vonatkozó kritériumok alapján; tesztelje a számítások végrehajtását; a különböző fájlokból származó adatok összehasonlítása az összehasonlíthatatlan adatok azonosítása érdekében; szelektív audit lefolytatása során felhasználhatók reprezentatív minta beszerzésére; nélkülözhetetlenek a csak gépi formában tárolt adatok eléréséhez, lehetővé teszik az adatok gyors rendszerezését, csoportosítását, újraformázását.

Az auditálásra szolgáló szoftvereket kétféle program képviseli: kötegprogramok és célprogramok. A csomagprogram programok halmaza Általános rendeltetésű, amely adatfeldolgozási és elemzési funkciók széles skáláját biztosítja, beleértve a jelentések elkészítését és nyomtatását. A csomagprogramok segítségével lehetőség nyílik az adatfeldolgozás szimulációs modelljének megalkotására, amely képes reagálni az auditor által megadott összes hibalehetőségre. Célprogramok meghatározott helyzetekben történő könyvvizsgálati megbízások elvégzésére tervezték. Ezeket a programokat könyvvizsgálók vagy a könyvvizsgáló céggel egyetértésben az ügyfélszervezet készíti el.

Mivel gyakran végeznek szelektív ellenőrzést, az ellenőrzési programokban statisztikai módszereket alkalmaznak. A regresszióelemzés, az idősorelemzés, a simítás funkciói bekerülnek a táblázatkezelőkbe (Excel, Lotus 1-2-3 stb.), és ez tette őket olyan népszerűvé az auditorok körében. A meglehetősen összetett számítások elvégzésekor azonban az auditorok speciális általános célú statisztikai csomagokat használnak. Különféle statisztikai módszereket valósítanak meg, lehetővé teszik a leggyakoribb DBMS-ekkel való cserét, és képesek arra grafikus ábrázolás adatok, felhasználóbarát felület. Jelenleg ezek közül a legnépszerűbb a matematika, a statisztika, a gyors, a statgrafika.

A külső és belső ellenőrzéshez széles körben alkalmazzák a pénzügyi elemző automatizálási rendszereket.

Az audit is használ szövegszerkesztők, referencia és jogi adatbázisok, elektronikus dokumentumkezelő programok, könyvelő programok és ezek egyes moduljai.

Jelenleg egyes könyvvizsgáló cégek speciális információs rendszereket fejlesztenek ki, amelyek a könyvvizsgálati tevékenység belső szabályozására irányulnak belső vállalati standardok alapján. Tekintsük lehetőségeiket a „Service-Audit” cég által kifejlesztett „Assistant Auditor” rendszer példáján.

A "Service-Audit" cég "Auditor's Assistant" rendszere. Ez a fejlődés a „Kodeks” információkereső rendszerbe (IPS) integrált szakmai információs és referenciarendszer. Könyvvizsgáló cégeknek, magánkönyvvizsgálóknak, valamint a belső ellenőrzés és a pénzügyi-gazdasági szolgáltatások hatékonyságának javítására törekvő cégeknek és vállalkozásoknak szól. A „Kodeks” IPS-be való integráció miatt az „Asszisztens Auditor” lehetővé teszi a szükséges anyagok keresését minden lehetséges módszerrel, amelyet megvalósítanak (tematikus keresés, kontextus szerinti keresés, keresés név, dokumentum típusa és típusa szerint stb.). ).

Az "Auditor's Assistant" rendszer lehetővé teszi az ellenőrzési eljárások végrehajtásának rendszerezését, kezdve az ügyfél előzetes tanulmányozásával és az ellenőrzési jelentés elkészítésével, számos, az ellenőrzés dokumentálásához szükséges munkadokumentumot generálva, amely lehetővé teszi hatékonyan ellenőrzi a könyvvizsgálatok minőségét, valamint a könyvvizsgálót (könyvelőt, közgazdászt) referenciaanyaggal látja el a számviteli, adózási és pénzügyi elemzések széles skálájáról.

A rendszer négy feltételesen független tematikus részből áll.

Az Ellenőrzési tervek és programok rész tartalmazza a könyvvizsgálati szerződés aláírása előtt kialakítandó dokumentumformákat, a különböző típusú könyvvizsgálati szolgáltatásokra vonatkozó szerződésmintákat, az ellenőrzés tervezésének és az ellenőrzési program összeállításának szakaszában előállított nyomtatványokat és dokumentummintákat. , valamint a könyvvizsgáló cég belső standardjainak kidolgozásához használható módszertani anyagokat. Az ebben a részben található kérdőíveket nem csak könyvvizsgáló cégek használhatják. Segítségükkel a vállalkozás belső ellenőrzési szolgálatai vagy pénzügyi-gazdasági szolgálatai tesztelhetik a belső kontrollrendszert és a számviteli szervezetet.

A „A könyvvizsgáló munkaanyagai” című rész kérdőíveket tartalmaz a számvitel különböző területeiről. Úgy tervezték, hogy segítsék a könyvvizsgálati eljárások végrehajtását és a könyvelés egyes szakaszainak tesztelését a vállalaton belül. Ebben a szakaszban olyan módszertani anyagok is szerepelnek, amelyek az ellenőrzés eredményeiről szóló vélemény elkészítését és végrehajtását segítik.

A „Könyvvizsgálói tanácsadó” rovatban referenciatáblázatok találhatók a számvitelről, adózásról, a vállalkozások tevékenységének pénzügyi elemzéséről, valamint az egyes üzleti tranzakciók mutatóinak, adóösszegeknek a kiszámításához használt táblázatok formájában összeállított normák, kulcsok, indexek.

Az „Alapvető szabályozási dokumentumok” szakasz referencia jellegű, és tartalmazza a könyvvizsgálati és számviteli eljárásokat szabályozó főbb jogalkotási és szabályozó szervezeti aktusokat.

A „Revizor Asszisztens” rendszer adatbázisai kérdőívek, nyomtatványok, munkakártyák, módszerek, referenciatáblázatok formájában kialakított ellenőrzési eljárások összessége. Az adatbázisokban szereplő dokumentumok nagy része eredeti szerzők, amelyeket szakemberek készítettek nagy gyakorlati tapasztalatok könyvvizsgálat. Információs források Az IS "Auditor Assistant" folyamatosan frissül, frissítik, frissítik a könyvvizsgálatra és a számvitelre vonatkozó jogszabályi és szabályozási keret változásainak megfelelően.

Kérdések az önkontrollhoz

1. Bővítse az ellenőrzés elszigeteltségét a számítógépes számvitel környezetében.

2. Hogyan osztják fel az ellenőrzési eszközöket szoftveres auditok során?

3. Soroljon fel néhányat az auditprogramok által elvégezhető feladatok közül!

4. Milyen típusú programokat használnak az auditok lefolytatása során?

5. Adjon példát egy speciális audit automatizálási rendszerre, és adja meg jellemzőit!

Mi az az információs rendszer audit

Az információs rendszerek auditálása viszonylag új kifejezés számunkra. Ezért, mielőtt rátérnénk erre a fogalomra, emlékezzünk vissza a hagyományosabb ellenőrzési típusok definícióira. Az „audit” szóval mindenekelőtt a cégek pénzügyi tevékenységének könyvvizsgáló általi ellenőrzését jelöljük. A magánellenőrzés és a törvény általi ellenőrzés megkülönböztetése. Kérésre zártkörű könyvvizsgálatot végeznek, azaz bármely cég felkérhet magán könyvvizsgálót pénzügyi tevékenységének ellenőrzésére. A jogi ellenőrzés jogilag indokolt intézkedés. Például egy cégnek kölcsönt kibocsátó bank független könyvvizsgálói jelentést kérhet az adott cég pénzügyi helyzetéről. A legelterjedtebb ellenőrzési típusok közé tartozik a banki audit, vagyis a bankok pénzügyi-gazdasági tevékenységének eredményeinek átfogó ellenőrzése vagy vizsgálata.

Az utóbbi időben az ellenőrzés funkciói egyre inkább túlmutatnak a társaság pénzügyi tevékenységének ellenőrzésén. A külső auditorok felelőssége új típusú szaktudást foglal magában. Például az operatív audit során tanácsot adunk egy cégnek gazdálkodási kérdésekben, értékeljük a marketing hatékonyságát, értékeljük a megkötött szerződéseket a jogszabályi követelmények szempontjából stb.

Ma már egyetlen termelés, egyetlen vállalat sem nélkülözheti információs rendszert, és az információ a különböző profilú cégek teljes alkalmazotti csapatának tárgyává és eredményévé válik. Bármely cég naponta állítja elő a legkülönfélébb információkat. Az információ hatékony felhasználása érdekében a szervezetben vállalati szabványokat kell alkalmazni. papírmunka, rendszerek csapatmunka, dokumentumkezelő rendszerek stb. Arra a kérdésre, hogy mennyire kompetensen tervezik meg ennek a munkának az összes részét, az információs rendszer auditjának kell választ adnia.

Az információs rendszerek költsége nagy pénz, de az információs rendszerek hozzáértő tervezésén tett megtakarítási kísérletek végzetes eredményekhez vezetnek.

A Gartner csoport szerint egy átlagos vállalat bevételének 2-3%-át veszíti el 10 napon belül az IS meghibásodása után. 4,8 napra van szükség a hálózati kimaradás utáni teljes felépüléshez, ezt követően a vállalat visszatér a korábbi jövedelmezőségi szintjére. Azonban azon vállalatok 50%-a, amelyek nem állítják vissza a funkcionalitást ezen a 10 napon belül, soha nem térnek vissza korábbi jövedelmezőségi szintjére, és a gyors helyreállítási és adatmentési terveket figyelmen kívül hagyó cégek 93%-a 5 éven belül megszűnik.

Az építési szabványok és az IP fejlesztésére vonatkozó hosszú távú tervek hiánya sok vállalkozást hatalmas pénzügyi veszteséggel fenyeget. Az IS magasan képzett szakembereket igényel, de a szűk specializáció viszont problémákat okoz. Legtöbbjük pontosan a technikai és vezetési szempontok találkozásánál merül fel. Az információs rendszerek auditálása pontosan a szűk keresztmetszetek, az IS működésében fellépő esetleges meghibásodások felkutatására irányul, és ami a legfontosabb, ezen hibák okainak feltárására.

Így az IP audit az összetett folyamat a vállalati információs rendszer aktuális állapotára, az abban előforduló cselekvésekre és eseményekre vonatkozó adatok elemzése, amely megállapítja, hogy ezek egy bizonyos kritériumnak való megfelelés-e. Ez a folyamat csúcspontja olyan jelentések nyújtása, amelyek teljes képet adnak az IP-ről a menedzsment számára.

Információs rendszerek auditálása Oroszországban

Az információs rendszerek auditálásának problematikája az utóbbi időben nemcsak az informatikai szakemberek, hanem a vezetők és az ügyfelek széles köre is vita tárgyát képezi. nagy cégek. Az IS optimalizálás problémája különösen akut Oroszországban, ahol sok információs rendszer spontán módon fejlődött ki.

Az információs rendszer meghibásodásai a legstresszesebb, tehát a legdöntőbb pillanatokban jelentkeznek. Jelenleg az információs rendszerek auditálásának kérdései már bizalmi kérdések egy adott vállalatnál. Az információs rendszer vonzereje a potenciális ügyfelek számára attól függ, hogy az információs rendszer mennyire megbízhatóan épül fel a vállalatban.

Oroszországban gyakorlatilag nincsenek szakemberek az IP-audit területén, és a nyugati cégek szolgáltatásai nagyon drágák. Töltse ki ezt a hiányt orosz piac A Microinform cég vette át az irányítást, amely ez év szeptemberétől kezdte meg az információs rendszerek auditálása témakörében tanfolyamok lebonyolítását. Annak érdekében, hogy a nagyközönséget és az újságírókat megismertessék ezzel a tevékenységgel, szeptember 10-én a Microinform és a MIS Training Institute (világelső az IT-audit szakemberek képzésében) ingyenes szemináriumot tartott "Információs rendszerek auditálása: állapot, problémák, szakemberképzés ", ahol a cikk szerzőjének sikerült meglátogatnia.

vezérigazgató A Microinform B.M. Fridman egy új indulásáról tájékoztatta a résztvevőket oktatási program nemzetközi szinten az információs rendszerek auditálásában a MIS Training Institute-tól.

A MIS Training Institute 1978-ban alakult. Tevékenységének fő irányai az információbiztonsági és információaudit szakterületi szakemberek képzése. A MIS Training Institute mintegy 90 különböző tanfolyamot kínál ebben a témában. Az MIS Training Institute ügyfelei a világ vezető vállalatai és bankjai: General Electric, PricewaterhouseCoopers, NASA, IBM, Walt Disney, Johnson&Johnson, Chase Manhattan Bank és még sokan mások. A MIS Training Institute a legnagyobb szervezője nemzetközi konferenciákon információbiztonsági kérdésekről.

Képzési Központ A "Microinform" (minősített partner és képviselő Oroszországban az MIS Training Institute) először végez Oroszországban átfogó nemzetközi szintű programot az információs rendszerek auditálási szakembereinek képzésére.

Ezek a programok e cégek közötti együttműködés fejlesztését jelentik, amely tavaly nyáron kezdődött. A Microinformnál 2001-2002 között lebonyolított MIS Training Institute információbiztonsági szakértői minősítési programjai nagy érdeklődést váltottak ki vezető orosz és külföldi cégek körében.

Pilótaprogramként az IT Audit School-t (Information Systems Audit School) választották, amely megalapozza a nemzetközi szintű auditor szakmai képesítését. A tanfolyamot Moszkvában szeptember 9-13-án tartották, és a meglehetősen magas árak ellenére is sok érdeklődőt vonzott (egy nap képzés - 500 USD) A tanfolyam alapvető információs rendszerek auditorainak, valamint pénzügyi auditoroknak, alkalmazottak belső ellenőrzési és audit szolgáltatások, külső könyvvizsgálók .

Ez az intenzív ötnapos program a következő kérdésekre kereste a választ:

• az információs rendszerekkel (IS) kapcsolatos üzleti kockázatok azonosítása és minimalizálása;
• az IP infrastruktúrával kapcsolatos kérdések, beleértve a hardvert és az operációs rendszereket, a fordítási folyamatot és a kockázatelemzést;
• IP vezérlő környezet ( Információ biztonság, információs rendszerek szervezése és kezelése, rendszerek karbantartása és támogatása);
• az adatbázisokról, elosztott rendszerekről, hálózatokról, az internetről és az e-kereskedelemről szükséges ismereteket.

Az MIS Training Institute jelentése az információs rendszerek auditálásáról

Fred Roth, az MIS Információs Rendszerek Auditálási Képzési Intézetének vezető oktatója beszélt a szemináriumon. Jelentésében Mr. Roth idézett rövid áttekintés ennek a problémának a helyzete a világban, az e területen végzett fő munkaterületeken, különös figyelmet fordított az oroszországi információs rendszerek auditálásában dolgozó szakemberek képzésére.

Az Infoworld IT Security Survey-re hivatkozva Roth úr olyan adatokat idézett (1. ábra), amelyek arra utalnak, hogy az IP fejlődését a világon éppen az információs technológiák biztonságának hiányával kapcsolatos aggodalmak gátolják jelentősen. A számok azt mutatják, hogy a válaszadók leginkább a webszolgáltatásokhoz, a vezeték nélküli kommunikációhoz és az e-kereskedelemhez (B2B és B2C) kapcsolódó biztonság hiánya miatt aggódnak. Az Entrprise Applications osztályba tartozó rendszerek biztonsága (itt elsősorban olyan cégek termékeiről van szó, mint az SAP, People Soft, BAAN) a válaszadók mindössze 7%-át foglalkoztatja, és hangsúlyozni kell, hogy a jelenlét hasonló rendszerek nagyban leegyszerűsíti az IS auditot. Fred Roth a félelmek és a biztonság hiányából adódó problémák valós eseteinek arányáról szólva a vonatkozó adatokat idézte (2. ábra). A legtöbb vállalat információs rendszere szembesül a vírusok megjelenésével.

Roth úr jelentése az Infoworld IT Security Surveyben részt vevő cégek által az IP biztonság növelése érdekében tervezett tevékenységekről is közölt adatokat (3. ábra). A cégek több mint fele kapcsolja össze az IP biztonságának javítását célzó intézkedéseket a virtuális magánhálózatok bevezetésével, a válaszadók 37%-a pedig szakértői tanácsadást és képzést fog igénybe venni. A legfrissebb adatok az IP audit potenciálisan magas relevanciáját jelzik, hiszen a folyamatos audit garantálja az információs rendszerek működésének stabilitását.

A jelentés felvázolta az IP audit alapfogalmait és megvalósításának elveit. Az előadó kitért az IP audit felépítésének kérdéseire (4. ábra). A pénzügyi ellenőrzés és az IS audit kérdései az IS alkalmazások munkájának optimalizálásával kapcsolatos problémák megoldása terén kapcsolódnak egymáshoz. Az IS audit a biztonsági kérdések mellett számos fontos feladat megoldásában segít: megállapítja, hogy a meglévő IS megfelel-e a vállalkozás céljainak és célkitűzéseinek, kiszámítható az IS-be való optimális befektetés, és csökkenthető a karbantartási költségek.

Az információs rendszerek auditálásának folyamata egyfajta súlypontként ábrázolható (5. ábra), ahol az egyik tálban a hozzáférés-biztonsági rendszerek, a másikon az üzleti folyamatok vezérlése szerepel, a technikai infrastruktúra pedig támaszként szolgál, ami viszont , elfogadott engedélyezési módszereken, rendszerkonfiguráción, valamint vállalati szabályzatokon és eljárásokon alapul.

Az IP auditálás során az ellenőrzés fő területei közé tartozik a vállalati szabványok tanulmányozása, a vállalati munkafolyamatok elemzése, a hálózati elrendezés és a hálózati forgalom elemzése a különböző hálózati szegmensekben, az üzleti folyamatok elemzése és egy sor egyéb kérdés (6. ábra). ).

Az IP audit után az ügyfél tájékoztatást kap a szervezet veszteségeinek forrásairól és nagyságrendjéről. Az audit lehetővé teszi a vállalati szabványok hatékonyságának meghatározását, megoldások megtalálását azok javítására, a hatékonyabb vállalati standardok bevezetésének és fenntartásának költségeinek értékelését, valamint alkalmazásuk hatékonyságának azonosítását. Ezek az információk lehetővé teszik a meghibásodások okainak és forrásainak meghatározását, valamint a támogatási folyamatok beállítását, hogy a felmerülő hibákat könnyen megoldják. Az IS audit eredményei alapján olyan vállalati szabványok is kidolgozhatók, amelyek megvalósítása jelentősen növeli az információs rendszerek megbízhatóságát.

ComputerPress 11 "2002

Miért kell auditálni az információs rendszereket?

Sergey Guzik, JetInfo

Az audit meghatározása és céljai

Az információs rendszer auditálása alatt olyan szisztematikus folyamatot értünk, amelynek során objektív adatokat szereznek és értékelnek az IS aktuális állapotáról, az abban végbemenő akciókról és eseményekről, megállapítják egy bizonyos kritériumnak való megfelelés szintjét, és az eredményeket eljuttatják az ügyfélhez.
Jelenleg az ellenőrzés relevanciája drámaian megnőtt, ennek oka a szervezetek növekvő információ- és szellemifüggősége. A piac telített hardverekkel és szoftverekkel, sok szervezet számos okból (amelyek közül a legsemlegesebb a hardverek és szoftverek elavultsága) látja az információs rendszerekbe korábban befektetett források elégtelenségét, és keresi a megoldást. probléma. Ebből kettő lehet: egyrészt ez az IS teljes cseréje, ami nagy beruházásokkal jár, másrészt az IS korszerűsítése. A probléma utolsó megoldása olcsóbb, de új problémákat vet fel, például, hogy mit hagyjunk el a rendelkezésre álló hardverből és szoftverből, hogyan biztosítsuk a régi és új IC-elemek kompatibilitását.
Az audit lefolytatásának lényegesebb oka, hogy a modernizáció és az új technológiák bevezetésekor nem aknázzák ki a bennük rejlő lehetőségeket. Az IP-audit lehetővé teszi, hogy maximalizálja a beruházás megtérülését az IP létrehozásában és karbantartásában.
Ezen túlmenően az IS sebezhetősége megnőtt az IS elemeinek összetettségének növekedése, a szoftverkódsorok számának növekedése, valamint az adatátviteli és -tárolási új technológiák miatt.
A fenyegetések spektruma bővült. Ennek oka a következő okok:
információk továbbítása nyilvános hálózatokon keresztül;
versengő szervezetek „információs háborúja”;
nagy fluktuáció alacsony szintű tisztesség mellett.
Egyes nyugati elemző ügynökségek szerint a jogosulatlan hozzáférések akár 95%-a megkísérli bizalmas információ a szervezet korábbi dolgozóinak kezdeményezésére történik.
Az audit elvégzése lehetővé teszi az IS működésének jelenlegi biztonságának felmérését, a kockázatok felmérését, a szervezet üzleti folyamataira gyakorolt ​​hatásuk előrejelzését és kezelését, helyesen és ésszerűen megközelíti a szervezet információs eszközei biztonságának biztosítását, amelyek közül a főbbek:
ötletek;
tudás;
projektek;
belső felmérések eredményei.
Jelenleg sok rendszerintegrátor nyilatkozik egy teljes, komplett megoldás szállításáról. Sajnos a legjobb esetben minden a hardver és szoftver tervezésén és szállításán múlik. Az információs infrastruktúra kiépítése "a színfalak mögött marad", és nem szerepel a megoldásban.
Tegyünk egy fenntartást, hogy ebben az esetben az információs infrastruktúra alatt egy jól működő rendszert értünk, amely ellátja az információs rendszerben előforduló összes folyamat karbantartási, ellenőrzési, elszámolási, elemzési, dokumentálási funkcióit.
Egyre gyakrabban merülnek fel a rendszerintegrátorok, tervező szervezetek, berendezés-beszállítók a következő tartalmú kérdések:
Mi a következő lépés? (A szervezet fejlesztésére vonatkozó stratégiai terv megléte, az IS helye, szerepe ezzel kapcsolatban, problémahelyzetek előrejelzése).
Összhangban van az IP-nk a vállalkozás céljaival és célkitűzéseivel? Az üzlet az információs rendszer függelékévé változott?
Hogyan lehet optimalizálni az IP-beruházást?
Mi történik ebben a „fekete dobozban” – a szervezet IS-ében?
Kudarcok az IS munkájában, hogyan lehet azonosítani és lokalizálni a problémákat?
Hogyan kezelik a biztonsági és beléptetési kérdéseket?
A kivitelezők elvégezték a szállítást, beszerelést, üzembe helyezést. Hogyan értékeljék a munkájukat? Vannak-e hátrányai, és ha igen, mik azok?
Mikor szükséges a hardver és a szoftver frissítése? Mivel indokolható a modernizáció szükségessége?
Hogyan kell telepíteni egységes rendszer IP menedzsment és monitoring? Milyen előnyökkel jár majd?
A szervezet vezetője, az OITP osztályvezetője a lehető legrövidebb időn belül megbízható információkat kapjon az IP aktuális állapotáról. Lehetséges?
Miért vásárolnak folyamatosan kiegészítő berendezéseket?
Az OECD osztály dolgozói folyamatosan tanulnak valamit, van erre igény?
Milyen intézkedéseket kell tenni vészhelyzet esetén?
Milyen kockázatok merülnek fel, ha bizalmas információkat helyeznek el a szervezet IP-jében? Hogyan lehet minimalizálni ezeket a kockázatokat?
Hogyan csökkenthető az IP birtoklási költsége?
Hogyan lehet optimálisan felhasználni a meglévő IP-t az üzletfejlesztésben?
Ezekre és más hasonló kérdésekre nem lehet azonnal válaszolni. Csak az összes probléma egészének, a köztük fennálló kapcsolat figyelembevételével, az árnyalatok és hiányosságok figyelembevételével kaphat megbízható, ésszerű információkat.
Ehhez a tanácsadó cégeknél világszerte van egy bizonyos szolgáltatás - az információs rendszer auditja.

ISACA (Information Systems Audit and Control Association)

Az IP-audit önálló független szolgáltatásként történő lefolytatásának megközelítése az idők során ésszerűsödött és szabványosodott.
A nagy és közepes méretű könyvvizsgáló cégek szövetségeket hoztak létre - az IP-ellenőrzés területén dolgozó szakemberek szakszervezetei, amelyek az informatika területén könyvvizsgálati standardok létrehozásával és karbantartásával foglalkoznak. Általában ezek zárt szabványok, gondosan őrzött "know-how".
Van azonban egy ISACA egyesület, amely az IP audit nyílt szabványosításával foglalkozik.
Az ISACA Egyesület 1969-ben alakult, és jelenleg mintegy 20 ezer tagot tömörít több mint 100 országból, köztük Oroszországból. Az Egyesület több mint 12 ezer informatikai rendszervizsgáló tevékenységét koordinálja.
Az egyesület fő deklarált célja az információs rendszerek adminisztrátorai és könyvvizsgálói által napi használatra szolgáló szabványosított informatikai menedzsment dokumentumkészlet kutatása, fejlesztése, publikálása és népszerűsítése.
A professzionális auditorok, OIE vezetők, adminisztrátorok és érdeklődő felhasználók támogatására a CoBiT szabványt az ISACA fejlesztette ki, és a világ vezető tanácsadó cégeiből vonzotta a szakértőket.

CoBiT (információs technológiai vezérlőobjektumok)

CoBiT - Information Technology Control Objects - nyílt szabvány, az első kiadás, amelyet 1996-ban a világ 98 országában értékesítettek, és megkönnyítette a professzionális auditorok munkáját az információs technológia területén.
A szabvány összekapcsolja az információs technológiát és az auditorok tevékenységét, számos más szabványt egyesít és harmonizál egyetlen erőforrásba, amely lehetővé teszi az IS által megoldott célok és célkitűzések hiteles, modern szintű ötletszerzését és kezelését. A CoBiT bármilyen léptékű és bonyolultságú információs rendszerek összes jellemzőjét figyelembe veszi.
A CoBiT alapszabálya a következő: az IS erőforrásokat természetesen csoportosított folyamatok halmazával kell kezelni, hogy a szervezet megkapja a szükséges és megbízható információkat (1. ábra).

És most néhány pontosítás arról, hogy milyen erőforrásokat és értékelési kritériumokat használ a CoBiT szabvány:
Emberi erőforrások - a munkaerő-erőforrások nem csak a szervezet alkalmazottait, hanem a szervezet irányítását és a szerződéses személyzetet is jelentik. Figyelembe veszik a személyzet készségeit, a feladat megértését és a munkavégzést.
Alkalmazások - a szervezet munkájában használt alkalmazási szoftverek.
Technológia - Operációs rendszer, adatbázisok, vezérlőrendszerek stb.
Berendezések - a szervezet összes hardvere IS, figyelembe véve azok karbantartását.
Adatok - adatok a legtágabb értelemben - külső és belső, strukturált és strukturálatlan, grafikus, hangos, multimédiás stb.
Mindezeket az erőforrásokat a CoBiT értékeli az IS felépítésének vagy auditálásának minden egyes szakaszában a következő kritériumok szerint:
A hatékonyság egy olyan kritérium, amely meghatározza az információ relevanciáját és az üzleti céloknak való megfelelését.
Műszaki szint - a szabványoknak és előírásoknak való megfelelés kritériuma.
Biztonság – információvédelem.
Az integritás az információ pontossága és teljessége.
Elérhetőség - az információk elérhetősége a szükséges üzleti folyamatokhoz a jelenben és a jövőben. Valamint a szükséges és kapcsolódó erőforrások védelme.
Következetesség - az üzleti folyamatot érintő törvények, utasítások és megállapodások végrehajtása, vagyis a vállalkozásra vonatkozó külső követelmények.
Megbízhatóság - a szervezet vezetésének tájékoztatása, a megfelelő pénzügyi gazdálkodás megvalósítása és a munkaköri kötelezettségek következetessége.
A CoBiT az ISA és ISACF auditálási standardokon alapul, de más nemzetközi szabványokat is magában foglal, beleértve a korábban jóváhagyott szabványok és előírások figyelembevételét:
műszaki szabványok;
kódok;
IP kritériumok és folyamatok leírása;
szakmai szabványok;
követelmények és ajánlások;
banki szolgáltatások, e-kereskedelmi rendszerek és gyártás követelményei.
A szabványt vezető tanácsadó cégek illetékes részlegeinek munkatársai dolgozták ki és elemezték, és munkájuk során saját fejlesztéseikkel együtt alkalmazzák.
A CoBiT szabvány alkalmazása mind a szervezet IS-ének auditálásához, mind az IS kezdeti tervezéséhez lehetséges. A direkt és inverz problémák szokásos változata.
Ha az első esetben az IS jelenlegi állapotának a hasonló szervezetek és vállalkozások legjobb gyakorlatának való megfeleléséről van szó, akkor a másik esetben kezdetben korrekt projektről van szó, és ennek eredményeként a tervezés befejezése után egy IS az ideálisra törekszik.
A jövőben megfontoljuk az IS auditálását, ami azt jelenti, hogy bármely szakaszban megoldható az inverz probléma - az IS tervezése.
Kis mérete ellenére a fejlesztők igyekeztek a szabványt pragmatikussá tenni és megfelelni az üzlet igényeinek, miközben megőrizték függetlenségüket az egyes gyártóktól, technológiáktól és platformoktól.
A CoBiT alap blokkdiagramja az alapcsoportok sorrendjét, összetételét és kapcsolatát mutatja. Az üzleti folyamatok (a diagram felső részében) bemutatják az IP-erőforrásokra vonatkozó követelményeiket, amelyeket a CoBiT értékelési kritériumai alapján elemeznek az audit felépítésének és lefolytatásának minden szakaszában.
Négy alapcsoport (domain) harmincnégy alcsoportot tartalmaz, amelyek viszont háromszázkét vezérlőobjektumból állnak. Az ellenőrzés tárgyai minden megbízható és naprakész információt biztosítanak a könyvvizsgálónak az IP aktuális állapotáról.
A CoBiT megkülönböztető jellemzői:
1. Nagy lefedettségi terület (minden feladat a stratégiai tervezéstől és az alapító dokumentumoktól a teljesítményelemzésig egyedi elemek IS).
2. Keresztaudit (átfedő területek a kritikus elemek ellenőrzéséhez).
3. Alkalmazható, méretezhető szabvány.
Tekintsük a CoBiT előnyeit számos nyugati és Orosz fejlemények. Mindenekelőtt ez az elégségessége - a hazai IS jellemzőihez való viszonylag könnyű alkalmazkodás lehetősége mellett. És persze az, hogy a szabvány könnyen méretezhető és bővíthető. A CoBiT lehetővé teszi a hardver- és szoftvergyártók bármely fejlesztésének felhasználását és a kapott adatok elemzését anélkül, hogy megváltoztatná az általános megközelítéseket és a saját struktúráját.

IP audit gyakorlat

ábrán látható. A 2. ábrán látható folyamatábra – bár nem részletezve – tükrözi az IP audit lefolytatásának kulcsfontosságú pontjait. Tekintsük őket részletesebben.
Az első engedélyezési dokumentáció elkészítésének és aláírásának szakaszában meghatározzák az ellenőrzés határait:
Az audit határait az IS kritikus pontjai (az IS elemei) határozzák meg, amelyekben a leggyakrabban adódnak problémahelyzetek.
A teljes IS előzetes auditjának eredményei alapján (első közelítésben) a feltárt problémák mélyreható ellenőrzésére kerül sor.
Ezzel egyidejűleg létrejön az audit csoport, a felelős személyek meghatározása a Megrendelő részéről. A szükséges dokumentációt elkészítik és összehangolják.
Ezután a CoBiT szabvány segítségével információkat gyűjtenek az IS aktuális állapotáról, amelynek vezérlőobjektumai információt kapnak az IS működésének minden árnyalatáról. bináris forma(Igen/Nem), valamint a részletes jelentések formája. Az információk részletezése az eredeti engedélyezési dokumentáció fejlesztési szakaszában kerül meghatározásra. Van egy bizonyos optimum az információszerzés költségei (idő, költség stb.) és annak fontossága és relevanciája között.
Az elemzés elvégzése az IP audit legkritikusabb része. Megbízhatatlan, elavult adatok felhasználása az elemzésben elfogadhatatlan, ezért szükséges az adatok pontosítása, mélyreható információgyűjtés.
Az elemzésre vonatkozó követelményeket az információgyűjtés szakaszában határozzák meg. A CoBiT szabványban léteznek információelemzési módszerek, de ha ezek nem elegendőek, akkor nem tilos más cégek ISACA által engedélyezett fejlesztéseit felhasználni.
Az elemzés eredményei az ajánlások kidolgozásának alapját képezik, amelyek kivitelezhetőségét és relevanciáját a Megrendelővel történt előzetes egyeztetést követően a megvalósítás kockázatainak figyelembevételével ellenőrizni kell.
Az ajánlások végrehajtásának nyomon követése fontos szakasz, amely megköveteli az ajánlások végrehajtásának folyamatos nyomon követését a tanácsadó cég képviselőitől.
A kiegészítő dokumentáció kidolgozásának szakaszában olyan dokumentumok létrehozására irányuló munka folyik, amelyek hiánya vagy hiányosságai az IS működésében meghibásodásokat okozhatnak. Például az IP-biztonsági kérdések külön, mélyreható átgondolása.
A folyamatos auditálás garantálja az IS stabilitását, ezért a későbbi ellenőrzések ütemezése a szakmai ellenőrzés egyik eredménye.

Ellenőrzési eredmények

Egy szervezet IP auditjának eredményei három fő csoportra oszthatók:
1. Az IS működésének szervezése - tervezése, irányítása, dokumentumkezelése.
2. Műszaki - meghibásodások, üzemzavarok, IS elemek működésének optimalizálása, folyamatos karbantartás, infrastruktúra kialakítása stb.
3. Módszertani - problémahelyzetek megoldásának megközelítései, irányítás és ellenőrzés, általános rendezés és strukturálás.
Az audit lehetővé teszi a következő dokumentumok ésszerű létrehozását:
Az IP fejlesztésének hosszú távú terve.
A szervezet IP biztonsági szabályzata.
A munkamódszertan és a szervezet információs rendszerének finomítása.
IP helyreállítási terv vészhelyzetben.

Információ benyújtási követelmények

Az ISACA kidolgozta és elfogadott könyvvizsgálati jelentési követelményeket. A CoBiT szabvány alkalmazása biztosítja ezeknek a követelményeknek a teljesülését.
A fő követelmény az információ hasznossága. Ahhoz, hogy az információ hasznos legyen, rendelkeznie kell bizonyos jellemzőkkel, többek között:
1. Világosság. Az információnak érthetőnek kell lennie a bizonyos szintű tudással rendelkező felhasználó számára, ami azonban nem jelenti az összetett információk szükség szerinti kizárását.
Relevancia. Az információ akkor releváns vagy releváns, ha befolyásolja a felhasználók döntéseit, és segít nekik értékelni múltbeli, jelenbeli, jövőbeli eseményeket vagy megerősíteni és helyesbíteni a múltbeli értékeléseket.
Az információ relevanciáját annak tartalma és lényegessége befolyásolja. Az információ akkor lényeges, ha hiánya vagy téves megítélése befolyásolhatja a felhasználó döntését. A relevancia másik jellemzője a tájékoztatás időszerűsége, ami azt jelenti, hogy minden lényeges információ időben, késedelem nélkül bekerül a jelentésbe, és a jelentést időben meg is adják.
A hazai gyakorlatban a relevancia elvének bizonyos analógja lehet az elszámolási időszakra vonatkozó tranzakciók tükrözésének hiánytalanságának követelménye, bár az összes információ tükrözésének követelménye nem azonos a lényeges információk tükrözésének követelményével.
Megbízhatóság, megbízhatóság. Az információ akkor megbízható, ha nem tartalmaz lényeges hibákat vagy elfogult becsléseket, és a valóságnak megfelelően tükrözi a gazdasági tevékenységet. Ahhoz, hogy az információ megbízható legyen, az alábbi jellemzőknek kell megfelelnie:
- igazmondás;
- semlegesség - az információ nem tartalmazhat egyoldalú értékeléseket, vagyis nem szabad szelektíven információt adni egy bizonyos eredmény elérése érdekében;
- óvatosság - készen áll a potenciális veszteségek figyelembevételére, nem a potenciális nyereségre, és ennek eredményeként - tartalékképzés. Ez a megközelítés helyénvaló a bizonytalanság állapotában, és nem jelent rejtett tartalékok létrehozását vagy információtorzítást;
- az információ elegendősége - olyan jellemzőt foglal magában, mint az információ teljességének követelménye, mind lényegessége, mind az elkészítésének költsége szempontjából.

Szükség Háztartási bolt ebben a szolgáltatásban

Az IP audit szükségességének felmérése során a következő pontokra kell összpontosítani (lásd 1. táblázat):
a megoldandó feladatok összetettsége - az IS által megoldott feladatok mennyiségi és minőségi állandó növekedése;
az IS elágazása - bonyolultság a karbantartásban, a területi elosztásban;
üzleti kilátások - új irányok, piacok, munkakörülmények;
a szervezet vezetése - a vezetők azon képessége és vágya, hogy stratégiailag gondolkodjanak, hogy a legjobb gyakorlatokon alapuló szabványos megközelítés által megnyíljanak a kilátások.
Kit érdekel az audit elvégzése? Mindenekelőtt kereskedelmi vagy költségvetési szervezetekről és vállalkozásokról van szó, amelyek indokolják az IP-be történő befektetést, a rendszerintegrátorokat, az IT-cégeket, hogy felmérjék az IP hatását a fő üzleti folyamatra és bővítsék a kínált szolgáltatások körét.
Pénzügyi könyvvizsgálatot végző cégek számára - IP audit, plusz szolgáltatás, amely képes növelni a cég minősítését a piacon.
Az építési munkák fővállalkozói érdeklődni fognak az alvállalkozók informatikai területen végzett munkájának értékelése iránt.
Valamint a CoBiT szabvány szerinti IP audit lefolytatása érdekelni fog minden olyan vállalkozást és szervezetet, amely rendelkezik IP-vel, vagy tervezi annak létrehozását, és szeretne választ kapni a cikk bevezetőjében feltett kérdésekre.

1. táblázat Az ellenőrzés eredményei.