Sisteme informatice pentru contabilitate si audit. Auditul de securitate al sistemelor informatice. Evaluarea impactului sistemului informatic asupra auditului în ansamblu

Audit sisteme de informare oferă date actualizate și precise despre cum funcționează IP-ul. Pe baza datelor obținute, puteți planifica activități pentru îmbunătățirea eficienței întreprinderii. Practica auditării unui sistem informațional - în comparație cu standardul, situația reală. Studiați normele, standardele, reglementările și practicile aplicabile în alte companii. Atunci când efectuează un audit, un antreprenor își face o idee despre modul în care compania sa diferă de o companie normală de succes într-un domeniu similar.

Privire de ansamblu

Tehnologia informației în lumea modernă extrem de dezvoltat. Este greu de imaginat o întreprindere care nu are sisteme informatice în funcțiune:

• global;
• local.

Datorită IP-ului, o companie poate funcționa normal și poate ține pasul cu vremurile. Astfel de metodologii sunt necesare pentru schimbul rapid și complet de informații cu mediu inconjurator, care permite companiei să se adapteze la schimbările de infrastructură și cerințele pieței. Sistemele informaționale trebuie să satisfacă o serie de cerințe care se modifică în timp (noi dezvoltări, sunt introduse standarde, sunt utilizați algoritmi actualizați). Oricum tehnologia de informație fac posibilă accesul rapid la resurse, iar această sarcină este rezolvată prin IS. În plus, sistemele moderne:

• scalabil;
• flexibil;
• de încredere;
• sigur.

Principalele obiective ale unui audit de sisteme informatice sunt de a determina daca sistemul informatic implementat respecta parametrii specificati.

Audit: tipuri

Așa-numitul audit de proces al unui sistem informațional este foarte des utilizat. Exemplu: specialiștii externi analizează sistemele implementate pentru diferențele față de standarde, inclusiv studierea procesului de producție, al cărui rezultat este - software.

Un audit poate fi efectuat pentru a determina cât de corect este utilizat sistemul informațional. Practicile companiei sunt comparate cu standardele producătorului și cu exemple binecunoscute de corporații internaționale.

Un audit al sistemului de securitate a informațiilor unei întreprinderi afectează structura organizațională. Scopul unui astfel de eveniment este găsirea punctelor slabe în personalul departamentului IT și identificarea problemelor, precum și formularea de recomandări pentru rezolvarea acestora.

În sfârșit, un audit al sistemului de securitate a informațiilor vizează controlul calității. Apoi experții invitați evaluează starea proceselor din cadrul întreprinderii, testează sistemul informațional implementat și trag câteva concluzii pe baza informațiilor primite. De obicei este utilizat modelul TMMI.

Obiectivele auditului

Un audit strategic al stării sistemelor informaționale vă permite să identificați punctele slabe ale sistemului informațional implementat și să identificați unde utilizarea tehnologiilor a fost ineficientă. La finalul unui astfel de proces, clientul va avea recomandări pentru a elimina neajunsurile.

Un audit vă permite să estimați cât de costisitor va fi să faceți modificări la structura actuală și cât va dura. Specialistii care studiaza structura informatica actuala a companiei te vor ajuta sa selectezi instrumente pentru implementarea unui program de imbunatatire, tinand cont de caracteristicile companiei. Pe baza rezultatelor, puteți oferi și o estimare precisă a resurselor necesare companiei. Intelectuala, monetara, productia va fi analizata.

Evenimente

Auditul intern al sistemelor informatice include activități precum:

• inventar IT;
• identificarea sarcinii asupra structurilor informaționale;
• evaluarea statisticilor, a datelor obținute în timpul inventarierii;
• stabilirea dacă cerințele și capacitățile de afaceri ale SI implementate îndeplinesc;
• generarea unui raport;
• elaborarea de recomandări;
• formalizarea fondului INS.

Rezultatul auditului

Un audit strategic al stării sistemelor informaționale este o procedură care: vă permite să identificați motivele lipsei de eficiență a sistemului informațional implementat; preziceți comportamentul sistemului informațional la ajustarea fluxurilor de informații (număr de utilizatori, volum de date); să ofere decizii informate care să ajute la creșterea productivității (achiziționarea de echipamente, îmbunătățirea sistemului implementat, înlocuire); da recomandari care vizeaza cresterea productivitatii departamentelor companiei si optimizarea investitiilor in tehnologie. Și, de asemenea, să dezvolte măsuri care să îmbunătățească nivelul de calitate al serviciilor de sisteme informatice.

Este important!

Nu există un astfel de IP universal care să se potrivească oricărei întreprinderi. Există două baze comune pe care puteți crea un sistem unic, adaptat cerințelor unei anumite întreprinderi:

• Oracol.

Dar amintiți-vă că aceasta este doar baza, nimic mai mult. Toate îmbunătățirile care fac o afacere eficientă trebuie programate, ținând cont de caracteristicile unei anumite întreprinderi. Probabil va trebui să introduceți funcții care lipseau anterior și să le dezactivați pe cele furnizate de ansamblul de bază. Tehnologie moderna Un audit al sistemelor informaționale bancare ajută la înțelegerea exactă ce caracteristici ar trebui să aibă sistemul informațional și ce trebuie excluse, astfel încât sistemul corporativ să fie optim, eficient, dar nu prea „greu”.

Auditul securității informațiilor

Analiza pentru identificarea amenințărilor la securitatea informațiilor este de două tipuri:

• extern;
• interior.

Prima implică o procedură unică. Este organizat de șeful companiei. Este recomandat să practicați regulat această măsură pentru a ține situația sub control. O serie de societăți pe acțiuni și organizații financiare au introdus cerința ca un audit extern al securității IT să fie obligatoriu.

Intern - acestea sunt evenimente desfășurate în mod regulat reglementate de actul de reglementare local „Regulamentul privind auditul intern”. Pentru realizarea acestuia se formează un plan anual (este întocmit de departamentul responsabil cu auditul), aprobat de directorul general, un alt manager. Audit IT - mai multe categorii de activități; auditul de securitate nu este cel mai puțin important.

Goluri

Scopul principal al unui audit al sistemelor informatice din perspectiva securității este identificarea riscurilor legate de IS asociate amenințărilor de securitate. În plus, activitățile ajută la identificarea:

• punctele slabe ale sistemului actual;
• conformitatea sistemului cu standardele de securitate a informațiilor;
• nivelul de securitate la momentul actual.

În urma unui audit de securitate, vor fi formulate recomandări pentru îmbunătățirea soluțiilor actuale și introducerea altora noi, făcând astfel sistemul informațional existent mai sigur și protejat de diverse amenințări.

Dacă se efectuează un audit intern pentru a identifica amenințările la adresa securității informațiilor, atunci se iau în considerare în plus următoarele:

• politica de securitate, posibilitatea dezvoltării unuia nou, precum și a altor documente, pentru a proteja datele și a simplifica utilizarea acestora în procesul de producție al corporației;
• formarea sarcinilor de securitate pentru angajații departamentului IT;
• analiza situațiilor care implică încălcări;
• instruirea utilizatorilor sistem corporativ, personalul de exploatare aspecte generale de securitate.

Audit intern: caracteristici

Sarcinile enumerate care sunt stabilite pentru angajați atunci când se efectuează un audit intern al sistemelor informaționale nu sunt, în esență, un audit. Teoretic, persoana care conduce evenimentul doar ca expert evaluează mecanismele prin care sistemul este securizat. Persoana implicată în sarcină devine un participant activ în proces și își pierde independența și nu mai poate evalua în mod obiectiv situația și controla.

Pe de altă parte, în practică, în timpul auditului intern, este aproape imposibil să rămânem pe margine. Faptul este că un specialist al companiei care de altfel este ocupat cu alte sarcini dintr-o zonă similară este angajat pentru a efectua lucrarea. Aceasta înseamnă că auditorul este același angajat care are competența de a rezolva sarcinile menționate anterior. Prin urmare, trebuie să facem un compromis: în detrimentul obiectivității, implicați angajatul în practică pentru a obține un rezultat decent.

Audit de securitate: etape

Acestea sunt în mare măsură similare cu pașii unui audit IT general. A evidentia:

• începerea evenimentelor;
• colectarea unei baze de analiză;
• analiză;
• tragerea de concluzii;
• raportare.

Initierea procedurii

Un audit al sistemelor informatice din punct de vedere al securității începe atunci când șeful companiei dă voie, deoarece șefii sunt cei mai interesați de auditul eficient al întreprinderii. Un audit nu poate fi efectuat dacă conducerea nu sprijină procedura.

Auditul sistemelor informatice este de obicei cuprinzător. Acesta implică auditorul și mai multe persoane care reprezintă diferite departamente ale companiei. Important colaborare toți participanții la audit. La inițierea unui audit, este important să acordați atenție următoarelor puncte:

• înregistrarea documentară a responsabilităților și drepturilor auditorului;
• pregătirea și aprobarea planului de audit;
• documentând faptul că angajații sunt obligați să acorde auditorului toată asistența posibilă și să furnizeze toate datele solicitate de acesta.

Deja la momentul inițierii auditului, este important să se stabilească în ce limite se realizează auditul sistemelor informaționale. În timp ce unele subsisteme IS sunt critice și necesită o atenție specială, altele nu sunt și sunt suficient de neimportante încât excluderea lor să fie acceptabilă. Probabil că vor exista subsisteme care nu pot fi verificate, deoarece toate informațiile stocate acolo sunt confidențiale.

Plan și limite

Înainte de a începe lucrul, este generată o listă de resurse care ar trebui să fie verificate. Poate fi:

• informativ;
• software;
• tehnic.

Ei identifică ce site-uri sunt auditate și pentru ce amenințări este verificat sistemul. Există limite organizaționale ale evenimentului și aspecte de siguranță care trebuie luate în considerare în timpul auditului. Se generează un rating de prioritate care indică domeniul de aplicare al inspecției. Astfel de limite, precum și planul de acțiune, sunt aprobate de directorul general, dar sunt stabilite mai întâi de subiectul adunării generale de lucru, la care sunt prezenți șefii de departament, auditorul și directorii companiei.

Primirea datelor

Atunci când se efectuează un audit de securitate, standardele de auditare a sistemelor informaționale sunt de așa natură încât etapa de colectare a informațiilor se dovedește a fi cea mai lungă și mai laborioasă. De regulă, sistemul informațional nu are documentație pentru acesta, iar auditorul este obligat să lucreze îndeaproape cu numeroși colegi.

Pentru ca concluziile trase să fie competente, auditorul trebuie să obțină cât mai multe date. Auditorul învață despre cum este organizat sistemul informațional, cum funcționează și în ce stare se află din documentația organizatorică, administrativă și tehnică, în timpul cercetării independente și a utilizării software-ului specializat.

Documente necesare pentru activitatea unui auditor:

• structura organizatorică a departamentelor care deservesc SI;
• structura organizatorică a tuturor utilizatorilor.

Auditorul intervievează angajații, identificând:

• furnizorul;
• proprietarul datelor;
• utilizator de date.

Pentru a face acest lucru trebuie să știți:

• principalele tipuri de aplicații IS;
• numărul, tipurile de utilizatori;
• servicii furnizate utilizatorilor.

În cazul în care compania are documente IP din lista de mai jos, este imperativ să le furnizați auditorului:

• descrierea metodologiilor tehnice;
• descrierea metodelor de automatizare a funcțiilor;
• diagrame funcționale;
• documente de lucru, proiectare.

Identificarea structurii IP

Pentru a face concluzii corecte, auditorul trebuie să aibă cea mai completă înțelegere a caracteristicilor sistemului informațional implementat la întreprindere. Trebuie să știți care sunt mecanismele de securitate și cum sunt distribuite pe nivelurile sistemului. Pentru a face acest lucru, aflați:

• disponibilitatea și caracteristicile componentelor sistemului utilizat;
• funcții componente;
• grafic;
• intrări;
• interacțiunea cu diverse obiecte (externe, interne) și protocoale, canale pentru aceasta;
• platformele utilizate pentru sistem.

Următoarele scheme vor fi utile:

• structural;
• fluxuri de date.

Structuri:

• mijloace tehnice;
• suport informativ;
• componente structurale.

În practică, multe dintre documente sunt pregătite direct în timpul inspecției. Este posibil să se analizeze informații numai atunci când se colectează cantitatea maximă de informații.

Audit de securitate IP: analiză

Există mai multe tehnici folosite pentru a analiza datele obținute. Alegerea în favoarea unuia anume se bazează pe preferințele personale ale auditorului și pe specificul sarcinii specifice.

Cea mai complexă abordare presupune analiza riscurilor. Se formează cerințe de securitate pentru sistemul informațional. Acestea se bazează pe caracteristicile unui sistem specific și ale mediului de operare al acestuia, precum și pe amenințările inerente acestui mediu. Analiştii sunt de acord că această abordare necesită cea mai mare forţă de muncă şi calificări maxime ale auditorului. Cât de bun va fi rezultatul este determinat de metodologia de analiză a informațiilor și de aplicabilitatea opțiunilor selectate la tipul de sistem informațional.

O opțiune mai practică implică apelarea la standardele de securitate a datelor. Acestea definesc un set de cerințe. Acest lucru este potrivit pentru diferite IP-uri, deoarece metodologia a fost dezvoltată pe baza celor mai mari companii din diferite țări.

Din standarde rezultă care sunt cerințele de securitate, în funcție de nivelul de protecție a sistemului și de afilierea acestuia la o anumită instituție. Depinde mult de scopul IP-ului. Sarcina principală a auditorului este să determine corect ce set de cerințe de securitate este relevant într-un caz dat. Ei selectează o metodă prin care evaluează dacă parametrii sistemului existenți respectă standardele. Tehnologia este destul de simplă, fiabilă și, prin urmare, răspândită. Cu o investiție mică, rezultatul poate fi concluzii exacte.

Neglijarea este inacceptabilă!

Practica arată că mulți manageri, în special firme mici, precum și cei ale căror companii funcționează de mult timp și nu se străduiesc să stăpânească totul Cele mai noi tehnologii, tratează auditul sistemelor informaționale destul de neglijent, deoarece pur și simplu nu își dau seama de importanța acestei măsuri. De obicei, doar daunele aduse afacerii determină conducerea să ia măsuri pentru a verifica, identifica riscurile și protejează întreprinderea. Alții se confruntă cu faptul că le sunt furate date despre clientela lor; pentru alții apar scurgeri din bazele de date ale contractorilor sau se pierd informații despre avantajele cheie ale unei anumite entități. Consumatorii nu mai au încredere în companie de îndată ce incidentul este făcut public, iar compania suferă chiar mai multe daune decât doar pierderea de date.

Dacă există posibilitatea unei scurgeri de informații, este imposibil să construiți o afacere eficientă care să aibă oportunități bune acum și în viitor. Orice companie are date care sunt valoroase pentru terți și trebuie protejate. Pentru ca protecția să fie activată cel mai înalt nivel, este necesar un audit pentru a identifica părţile slabe. Trebuie să ia în considerare standardele internaționale, metodele și cele mai recente evoluții.

În timpul unui audit:

• evaluarea nivelului de protecție;
• analiza tehnologiilor utilizate;
• ajustarea documentelor de siguranță;
• simulează situații de risc în care este posibilă scurgerea de date;
• recomandă implementarea de soluții pentru eliminarea vulnerabilităților.

Aceste evenimente se desfășoară într-unul din trei moduri:

• activ;
• expert;
• identificarea conformității cu standardele.

Formulare de audit

Un audit activ implică evaluarea sistemului la care se uită un potențial hacker. Este punctul său de vedere pe care auditorii „încearcă” - studiază protecția rețelei, pentru care folosesc software specializat și tehnici unice. De asemenea, este necesar un audit intern, realizat tot din punctul de vedere al unui presupus infractor care dorește să fure date sau să perturbe funcționarea sistemului.

În timpul unui audit de experți, aceștia verifică cât de bine corespunde sistemul implementat cu cel ideal. La identificarea conformității cu standardele, se ia ca bază o descriere abstractă a standardelor cu care este comparat obiectul existent.

Concluzie

Un audit efectuat corect și eficient vă permite să obțineți următoarele rezultate:

• minimizând probabilitatea de succes atac de hacker, daune de la acesta;
• eliminarea atacurilor bazate pe modificări ale arhitecturii sistemului și ale fluxurilor de informații;
• asigurarea ca mijloc de reducere a riscurilor;
• minimizând riscul la un nivel în care poate fi complet ignorat.

Astăzi, mulți manageri nu sunt mulțumiți de nivelul de automatizare care s-a dezvoltat în întreprindere. Sistemele informaționale (IS) învechite din punct de vedere fizic și moral, automatizarea „moticică” a proceselor individuale nu mai sunt capabile să ofere managementului informații prompte și fiabile atât de necesare pentru luarea deciziilor de management informate și în timp util.

Imperfecțiunea sistemului de management duce la scăderea profitabilității întreprinderii și la o poziție instabilă pe piața de bunuri și servicii.

Revenirea la problemele de automatizare complexă a întreprinderilor este cauzată de interesul managementului întreprinderii de a crea o structură de management eficientă, iar în această chestiune suportul informațional joacă un rol important. Prin urmare, problema creării sistemelor informaționale corporative a fost din nou pe ordinea de zi.

Dar chiar și cu implementări de succes, managementul întreprinderii nu obține întotdeauna efectul dorit. Succesul unui proiect de automatizare nu înseamnă automat că se vor obține beneficii semnificative din acesta. Chiar dacă obiectivele proiectului sunt atinse, este posibil ca acestea să nu îndeplinească cerințele actuale de producție. Acest lucru se întâmplă foarte des.

Proiecte de automatizare eșuate, pierderi colosale de timp și bani - această imagine poate fi observată la întreprinderile mari. De ce se întâmplă asta? De ce tehnologia înaltă, produsele sau autoritatea unor companii binecunoscute nu ne pot salva? De ce eșuează atât pachetele gata făcute, cât și sistemele de informații personalizate? De ce companiile nu se pot elibera de automatizarea patchwork?

Practica creării sistemelor folosind modelul „ca atare” a arătat că automatizarea fără modernizarea sistemului de control existent nu aduce rezultatele dorite. La urma urmei, utilizarea aplicațiilor software în muncă nu reprezintă doar o reducere a documentelor pe hârtie și a operațiunilor de rutină, ci și o tranziție la noi forme de gestionare a documentelor, contabilitate și raportare.

Nu se justifică nici automatizarea „patchwork” a locurilor de muncă individuale ale artiștilor obișnuiți. Drept urmare, managerul primește în continuare date pregătite manual.

Există iluzia că puteți automatiza o întreprindere cu „mică pierdere”, folosind proprii angajați care primesc deja un salariu.

AUTOMATIZAREA unei întreprinderi este crearea unei producții auxiliare, care simplifică luarea deciziilor de către conducerea întreprinderii.

Practica arată că în domeniul automatizării, ca și în domeniul auditului, atragerea de specialiști din exterior este justificată din punct de vedere economic și mai eficientă.

Angajatul care dezvoltă sistemul este îndepărtat pentru o lungă perioadă de timp de responsabilitățile sale directe pentru operarea programelor deja funcționale; proiectul poate eșua din cauza plecării specialiștilor de frunte. Dezvoltarea unui sistem informatic de către întreprindere însăși poate dura ani de zile, fără a aduce beneficii reale conducerii de vârf.

Având în vedere problema eficacității sistemelor informaționale din punctul de vedere al analizei sistemului, putem identifica principalele criterii de evaluare a eficacității:

1. Selectarea resurselor. Atunci când alegeți un sistem informațional, este necesar să pornim de la faptul că utilizarea oricărei resurse este recomandabilă numai atunci când dă un efect pozitiv.
2. Dinamica. Trebuie luat în considerare factorul timp; este important să alegeți acele tehnologii care vor fi utilizate pentru o perioadă lungă de timp.
3. Înscenare. Un proiect de informare ar trebui implementat și evaluat în etape, astfel încât fiecare pas să aducă beneficii specifice întreprinderii.

Concluzie: trebuie să începeți nu cu alegerea unui program, ci cu evaluarea nevoilor și capacităților întreprinderii, cu un sondaj pre-proiect și crearea unui proiect tehnic. Aceste măsuri vor ajuta la stabilirea unde investițiile în sistemele informaționale pot oferi cele mai mari beneficii.

De ce să efectuați un audit al sistemelor informaționale?

Termenul de audit al Sistemului Informațional înseamnă proces de sistem obținerea și evaluarea datelor obiective despre starea actuală a sistemului informațional, acțiunile și evenimentele care au loc în acesta, stabilirea nivelului de conformitate a acestora cu un anumit criteriu și furnizarea rezultatelor către client.

În prezent, relevanța auditului a crescut brusc, acest lucru se datorează dependenței tot mai mari a organizațiilor de informații și IP. Piața din Belarus este saturată de hardware și software; multe organizații, din mai multe motive (cel mai neutru dintre care este uzura echipamentelor și software-ului), văd inadecvarea fondurilor investite anterior în sistemele informaționale și caută modalități de rezolvare. această problemă. Pot fi două dintre ele: pe de o parte, aceasta este o înlocuire completă a SI, care presupune investiții mari de capital, pe de altă parte, modernizarea SI. Ultima opțiune pentru a rezolva această problemă este mai puțin costisitoare, dar deschide noi probleme, de exemplu, ce să păstrați de hardware-ul existent software, cum să asigurați compatibilitatea între elementele IS vechi și noi.

În plus, vulnerabilitatea sistemului informațional a crescut din cauza complexității crescute a elementelor acestui sistem informațional, a creșterii liniilor de cod software și a noilor tehnologii de transmitere și stocare a datelor.

Gama de amenințări s-a extins. Acest lucru se datorează următoarelor motive:

• transmiterea de informații prin rețele uz comun;
• "război informaţional„organizații concurente;
• fluctuație mare a personalului (tipic pentru Rusia și Belarus), cu un nivel scăzut de integritate.

Potrivit unor agenții de analiză occidentale, până la 95% dintre încercările de acces neautorizat la informații confidențiale apar din inițiativa foștilor angajați ai organizației.

Din ce în ce mai des, clienții pun următoarele întrebări integratorilor de sisteme, organizațiilor de proiectare și furnizorilor de echipamente:

1. Ce urmeaza? (Prezența unui plan strategic de dezvoltare a organizației, locul și rolul IP în acest plan, previzionarea situațiilor problematice.)
2. IP-ul nostru se aliniază cu scopurile și obiectivele de afaceri? A devenit afacerile un anexă al sistemului informațional?
3. Eșecuri în funcționarea sistemelor informaționale, cum se identifică și se localizează problemele?
4. Cum sunt abordate problemele de securitate și controlul accesului?
5. Antreprenorii au efectuat livrarea, instalarea, punerea în funcțiune. Cum să le evalueze munca? Există dezavantaje, dacă da, care sunt acestea?
6. Când este necesar să faceți upgrade hardware și software?
7. De ce sunt achiziționate echipamente suplimentare tot timpul?
8. Angajații departamentului OASU învață constant ceva, este nevoie de asta?
9. Ce masuri trebuie luate in caz de urgenta?
10. Ce riscuri apar atunci când plasați informații confidențiale în IP-ul unei organizații? Cum să minimizăm aceste riscuri?
11. Cum se reduce costul deținerii IP?
12. Cum să utilizați în mod optim IP-ul existent atunci când dezvoltați o afacere?

La aceste întrebări și la alte întrebări similare nu se poate răspunde instantaneu. Doar luând în considerare toate problemele în ansamblu, relațiile dintre ele, ținând cont de nuanțe și deficiențe, se pot obține informații de încredere, bine întemeiate. În acest scop, companiile de consultanță din întreaga lume au un anumit serviciu specific - Auditul Sistemului Informațional.

De dragul siguranței...

Așa cum un teatru începe cu un suport pentru haine, tot așa aproape orice organizație începe cu securitatea. Undeva se mulțumesc cu militarii pensionari care notează numele vizitatorilor într-un caiet, undeva se mulțumesc cu sisteme de securitate inteligente prin care nici măcar un mouse nu poate trece, fie că nu are card de acces.

Dar ofițerii de securitate oferă doar securitate fizică, deși mult mai multe resurse trebuie să cheltuiască pentru securitatea informațiilor. Sfera acestei sarcini poate varia mult în funcție de valoarea informațiilor conținute în organizație. Unii oameni trebuie doar să se protejeze de „hackeri începători”, în timp ce alții trebuie să se protejeze de spionajul industrial din partea concurenților.

Pentru a asigura eficacitatea unui sistem de securitate a informațiilor existent sau nou creat, cel mai bine este să contactați un auditor IS.

Experții subliniază adesea că un audit este doar o verificare a unui sistem pentru respectarea oricăror cerințe - standarde, reglementări etc. Ei preferă să apeleze la o verificare mai detaliată și mai aprofundată un sondaj. Aceasta este o muncă mai complexă, care include analiza fluxurilor de informații, procesele de afaceri, analiza adecvării sistemelor de securitate a informațiilor, criticitatea informațiilor... Adică, aceasta este o analiză profundă cu referire la o anumită organizație.

Cu toate acestea, pentru simplitate, vom numi acest lucru un audit IP.

Când este indicat să apelezi la un audit al sistemului de securitate a informațiilor?

• Înainte de a începe să dezvoltați un sistem de securitate a informațiilor - să cunoașteți starea actuală și să înțelegeți ce trebuie să faceți.

În ultimii ani, noile tehnologii informaționale au început să fie utilizate în activitățile de audit. Calculatorul devine instrumentul auditorului, permițându-i nu numai să reducă timpul și banii pentru efectuarea unui audit, ci și să efectueze un audit mai detaliat și să întocmească un raport de audit de înaltă calitate, cu recomandări privind strategia, direcțiile și mijloacele de îmbunătățire a auditului. pozitia financiara si economica a intreprinderii.

Automatizarea contabilității și a altor funcții de management ale unei întreprinderi, pe de o parte, și automatizarea auditului, pe de altă parte, schimbă fundamental desfășurarea unui audit la o anumită unitate. Au început să facă distincția între auditarea în afara mediului informatic, adică. la o unitate cu tehnologie tradițională de contabilitate manuală și audit într-un mediu informatic - la o unitate în care contabilitatea se realizează folosind computere. Auditul în sine poate fi efectuat și fără utilizarea computerelor și cu ajutorul acestora.

Efectuarea unui audit într-un mediu informatic are o serie de diferențe care decurg din caracteristicile prelucrării datelor computerizate. Principiile de bază ale auditului în sine nu se schimbă aici. Scopurile și obiectivele sale sunt păstrate și se aplică standardele general acceptate. În același timp, standardele internaționale de audit necesită ca un auditor care efectuează un audit într-un mediu informatic să aibă o înțelegere a hardware-ului și software-ului computerului, precum și a sistemelor de procesare a datelor.

Auditorul trebuie să țină cont de specificul organizării și menținerii înregistrărilor informatice. Acesta trebuie să țină cont de faptul că datele sunt stocate în baze de date, că baza de date a înregistrărilor contabile stă la baza obținerii la cerere a oricărui registru contabil și în orice succesiune. Baza de date din sistemele informatice de contabilitate poate fi descentralizată, centralizată parțial sau complet. În modul multi-utilizator, integrarea datelor pentru raportare este implementată diferit. O serie de operațiuni, precum calcularea dobânzii, închiderea conturilor, determinarea rezultatelor financiare, pot fi inițiate de un computer și, prin urmare, nu există documente care să le autorizeze. O eroare încorporată în algoritmul de calcul și aplicată în mod repetat tranzacțiilor comerciale repetate poate distorsiona rezultatul activităților de afaceri. Un sold, de exemplu, poate fi de acord în ruble, dar nu în mii de ruble din cauza unei erori de rotunjire. Sistemele de contabilitate informatică, de regulă, includ controlul asupra procedurilor de introducere, procesare și ieșire a datelor. Sisteme informatice sunt mai deschise accesului la date, prin urmare, în fiecare dintre ele puterile și drepturile de acces la informații sunt clar delimitate și a fost introdus un sistem de protecție și control împotriva accesului neautorizat.

Doar enumerarea acestor caracteristici, departe de a fi complete, ale contabilității automatizate, subliniază faptul că, în prima etapă a oricărui audit, un loc semnificativ ar trebui să fie acordat studiului sistemului informatic de contabilitate, deoarece acesta joacă un rol major în implementarea funcțiilor de control. . În acest caz, ar trebui să studiați nivelul de automatizare al fiecăreia dintre sarcinile contabile, metodele de prelucrare a datelor, disponibilitatea datelor, identificarea unde este cel mai probabil să apară erorile și să luați în considerare proceduri pentru identificarea și eliminarea acestora.

Auditorul trebuie să identifice punctele slabe în controlul sistemului informatic de contabilitate. Ar trebui luate în considerare atât controalele hardware, cât și cele software. În multiplayer sisteme de rețea obiectul atenției ar trebui să fie controlul transmiterii datelor, mijloace de control al accesului la date. Atenția sporită a auditorului pentru problemele de control într-un mediu informatic se explică prin faptul că nu este capabil să controleze toate aspectele activităților organizației și, prin urmare, unele dintre sarcini pot fi atribuite controlului intern. Cu toate acestea, pentru a face acest lucru, este necesar să se evalueze riscul de ineficiență a sistemului de control intern și să se determine riscul general de audit. Numai după aceasta auditorul poate stabili setul și profunzimea procedurilor de audit care trebuie efectuate asupra obiectului auditat.

Auditul, așa cum sa menționat mai sus, poate fi efectuat fără un computer și folosindu-l. Instrumentele de audit din ultima versiune sunt împărțite în programe de audit și date de verificare, care sunt introduse în sistemul de procesare pentru a compara datele primite cu cele prestabilite.

Lista sarcinilor efectuate de programele de audit este destul de largă. Ei revizuiesc și analizează înregistrările pe baza unor criterii de calitate, completitudine, coerență și corectitudine; testarea executiei calculelor; compara datele din diferite fișiere pentru a identifica datele incompatibile; atunci când se efectuează un audit prin eșantion, acestea pot fi utilizate pentru a obține un eșantion reprezentativ; sunt indispensabile ca modalitate de a accesa datele care sunt stocate numai sub formă de mașină; vă permit să organizați, grupați și reformatați rapid datele.

Software-ul pentru efectuarea auditurilor este reprezentat de două tipuri de programe: programe pachete și programe țintite. Programele batch sunt un set de programe scop general, oferind o gamă largă de funcții de procesare și analiză a datelor, inclusiv pregătirea și tipărirea rapoartelor. Folosind programele pachet, este posibil să se creeze un model de simulare a procesării datelor care poate răspunde la toate opțiunile de eroare oferite de auditor. Programe țintă sunt întocmite pentru a efectua misiuni de audit în situații specifice. Aceste programe sunt pregătite de auditori sau de organizația client, de comun acord cu firma de audit.

Deoarece auditurile eșantionului sunt efectuate destul de des, metodele statistice sunt implementate în programele de audit. Sunt introduse funcții de analiză de regresie, analiză a seriilor temporale, netezire procesoare de masă(Excel, Lotus 1-2-3, etc.) și acesta este ceea ce le-a făcut atât de populare în rândul auditorilor. Cu toate acestea, atunci când efectuează calcule destul de complexe, auditorii folosesc pachete statistice de uz general specializate. Ele implementează un set de metode statistice diferite, vă permit să faceți schimb cu cele mai comune SGBD și au capacitatea reprezentare grafică date, interfață ușor de utilizat. În prezent, cele mai populare dintre ele sunt Matematică, Statistică, Rapidă, Statistică.

Sistemele de automatizare a analizei financiare sunt utilizate pe scară largă pentru auditurile externe și interne.

Auditurile folosesc, de asemenea editori de text, baze de date de referință și juridice, programe electronice de gestionare a documentelor, programe de contabilitate și modulele lor individuale.

În prezent, unele firme de audit dezvoltă sisteme informatice speciale axate pe reglementarea internă a activităților de audit folosind standarde interne. Să luăm în considerare capacitățile lor folosind exemplul sistemului „Asistent al auditorului” dezvoltat de compania „Service-Audit”.

Sistemul „Asistent Auditor” al companiei „Service-Audit”. Această dezvoltare este un sistem profesional de informare și referință integrat în sistemul de recuperare a informațiilor (IRS) „Cod”. Este destinat firmelor de audit, auditorilor privați, precum și firmelor și întreprinderilor care doresc să îmbunătățească eficiența serviciilor de audit intern și a serviciilor financiare și economice. Datorită integrării în sistemul informațional Codex, Asistentul Auditorului vă permite să căutați materialele necesare folosind toate metodele posibile care sunt implementate în acesta (căutare tematică, căutare contextuală, căutare după nume, tip și tip de document etc.).

Sistemul „Asistent Auditor” vă permite să sistematizați implementarea procedurilor de audit, pornind de la examinarea prealabilă a clientului și terminând cu execuția raportului de audit, să generați o serie de documente de lucru necesare documentării auditului, ceea ce permite o calitate eficientă. controlul auditurilor, precum și furnizarea auditorului (contabil, economist) cu materiale de referință pe o gamă largă de probleme de contabilitate, fiscalitate și analiză financiară.

Sistemul constă din patru secțiuni tematice independente condiționat.

Secțiunea „Planuri și programe de audit” conține formulare de documente care ar trebui generate înainte de semnarea unui acord de audit, exemple de contracte pentru diferite tipuri de servicii de audit, formulare și mostre de documente generate în etapa de planificare a unui audit și întocmire a unui audit. programului, precum și materiale metodologice care pot fi utilizate pentru elaborarea standardelor interne pentru o firmă de audit. Chestionarele incluse în această secțiune pot fi utilizate nu numai de firmele de audit. Folosind acestea, serviciile de audit intern sau serviciile financiare și economice ale unei întreprinderi pot testa sistemul de control intern și organizarea contabilă.

Secțiunea „Documentele de lucru ale auditorului” conține chestionare pe diverse domenii ale contabilității. Acestea sunt concepute pentru a ajuta la efectuarea procedurilor de audit și la testarea secțiunilor individuale ale contabilității într-o întreprindere. Această secțiune include și materiale metodologice concepute pentru a ajuta la pregătirea și emiterea unui raport bazat pe rezultatele auditului.

Secțiunea „Consultant auditor” conține tabele de referință pe probleme de contabilitate, fiscalitate, analiză financiară a activităților întreprinderilor, precum și standarde, rate, indici întocmiți sub formă de tabele, utilizați pentru calcularea indicatorilor tranzacțiilor individuale de afaceri, precum și impozite. sume.

Secțiunea „Principalele documente de reglementare” este doar pentru referință și include principalele acte legislative și de reglementare departamentale care reglementează activitățile de audit și procedurile contabile.

Bazele de date ale sistemului „Asistent al auditorului” sunt un set de proceduri de audit, concepute sub formă de chestionare, formulare, fișe de lucru, metode și tabele de referință. Majoritatea documentelor incluse în bazele de date sunt dezvoltări originale ale autorului, create de specialiști cu ample experienta practica audit. Resurse informaționale IS „Asistentul auditorului” este în mod constant completat, actualizat, actualizat în conformitate cu modificările din cadrul legislativ și de reglementare pentru audit și contabilitate.

Întrebări pentru autocontrol

1. Dezvăluie specificul efectuării unui audit într-un mediu contabil bazat pe computer.

2. Cum sunt împărțite instrumentele de audit atunci când se efectuează audituri folosind software?

3. Enumerați câteva dintre sarcinile care pot fi efectuate de programele de audit.

4. Ce tipuri de programe sunt folosite la efectuarea auditurilor?

5. Dați un exemplu de sistem de automatizare de audit specializat și descrieți-l.

Ce este auditul sistemelor informatice

Auditul sistemelor informatice este un termen relativ nou pentru noi. Prin urmare, înainte de a trece la acest concept, să ne amintim definițiile tipurilor mai tradiționale de audit. Când folosim cuvântul „audit”, în primul rând ne imaginăm un audit al activităților financiare ale companiilor de către un auditor. Se face o distincție între auditul privat și auditul statutar. Auditul privat se efectuează la cerere, adică orice companie poate invita un auditor privat să-și auditeze activitățile financiare. Un audit prin lege este o măsură valabilă din punct de vedere juridic. De exemplu, o bancă care acordă un împrumut unei firme poate solicita un raport de la un auditor independent cu privire la situația financiară a acelei firme. Printre cele mai comune tipuri de audit se numără un audit bancar, adică o verificare sau o examinare cuprinzătoare a rezultatelor activităților financiare și economice ale băncilor.

Recent, funcțiile de audit au mers din ce în ce mai mult dincolo de verificarea activităților financiare ale unei companii. Responsabilitățile auditorilor externi includ noi tipuri de examinare. De exemplu, un audit operațional presupune consultarea unei companii pe probleme de management, evaluarea eficacității marketingului, evaluarea contractelor încheiate din punct de vedere al cerințelor legale etc.

Astăzi, nici o singură producție, nici o singură companie nu se poate lipsi de un sistem informațional, iar informația devine obiectul și rezultatul muncii întregii echipe de angajați ai companiilor de diverse profiluri. Fiecare companie produce o mare varietate de informații în fiecare zi. Pentru a utiliza eficient informațiile, standardele corporative trebuie implementate în organizație documente, sisteme lucru in echipa, sisteme de management al documentelor etc. Răspunsul la întrebarea cu cât de competent sunt planificate toate legăturile acestei lucrări ar trebui dat printr-un audit al sistemului informațional.

Costul sistemelor informatice multi bani, dar încercările de a economisi bani la proiectarea competentă a sistemelor informaționale duc la rezultate fatale.

Potrivit Gartner Group, o companie medie pierde 2-3% din venituri în 10 zile de la o defecțiune a IS. Este nevoie de 4,8 zile pentru a restabili complet o defecțiune a rețelei, după care compania revine la nivelul anterior de profitabilitate. Cu toate acestea, 50% dintre companiile care nu reușesc să restabilească funcționalitatea în acele 10 zile nu revin niciodată la nivelul lor anterior de profitabilitate, iar 93% dintre companiile care ignoră planurile de recuperare rapidă a datelor și de backup ies din activitate în 5 ani.

Lipsa standardelor de construcție și a planurilor pe termen lung pentru dezvoltarea PI amenință multe întreprinderi cu pierderi financiare uriașe. IP necesită specialiști cu înaltă calificare, dar specializarea restrânsă, la rândul său, creează probleme. Cele mai multe dintre ele apar tocmai la intersecția aspectelor tehnice și manageriale. Un audit al sistemelor informaționale vizează tocmai identificarea blocajelor, posibilelor defecțiuni în funcționarea sistemelor informaționale și, cel mai important, identificarea cauzelor acestor defecțiuni.

Astfel, auditul IP este proces complex analiza datelor despre starea actuală a sistemului informațional al întreprinderii, despre acțiunile și evenimentele care au loc în acesta, care stabilește nivelul de conformitate a acestora cu un anumit criteriu. Acest proces culminează cu furnizarea de rapoarte care oferă managementului o imagine completă a IP.

Auditul sistemelor informatice din Rusia

Recent, problemele auditării sistemelor informaționale au devenit din ce în ce mai mult subiect de discuție nu doar de către specialiștii în tehnologia informației, ci și de o gamă largă de manageri, precum și de clienți. companii mari. Problema optimizării IS este deosebit de acută în Rusia, unde multe sisteme informatice s-au dezvoltat spontan.

Eșecurile sistemului informațional apar în cele mai stresante și, prin urmare, în cele mai cruciale momente. În prezent, problemele de auditare a sistemelor informaționale sunt deja probleme de încredere a unei anumite companii. Atractivitatea sa pentru clienții potențiali depinde de cât de fiabil este construit sistemul informațional al companiei.

În Rusia practic nu există specialiști în domeniul auditului IP, iar serviciile companiilor occidentale sunt foarte scumpe. Umple acest gol cu piata ruseasca Compania Microinform a preluat, iar în luna septembrie a acestui an a început să desfășoare cursuri în domeniul auditului sistemelor informaționale. Pentru familiarizarea publicului larg și a jurnaliștilor cu această activitate, în data de 10 septembrie, Microinform și MIS Training Institute (liderul mondial în formarea specialiștilor în audit informatic) au susținut un seminar gratuit „Auditul sistemelor informaționale: starea, problemele, pregătirea specialiștilor. ”, la care autorul acestui articol a reușit să o viziteze.

CEO„Microinform” B.M. Friedman a informat participanții despre începerea unui nou program educațional nivel internațional în auditul sistemelor informaționale de la MIS Training Institute.

Institutul de Formare MIS a fost fondat în 1978. Principalele direcții ale activității sale sunt formarea specialiștilor în domeniul securității informațiilor și auditului informațional. Institutul de Formare MIS oferă aproximativ 90 de cursuri diferite pe această temă. Clienții MIS Training Institute sunt companii și bănci de top din lume: General Electric, PricewaterhouseCoopers, NASA, IBM, Walt Disney, Johnson & Johnson, Chase Manhattan Bank și multe altele. MIS Training Institute este organizatorul celui mai mare conferințe internaționale pe probleme de securitate a informațiilor.

Centrul educațional Microinform (partener certificat și reprezentant în Rusia al MIS Training Institute) desfășoară pentru prima dată în Rusia un program internațional cuprinzător pentru formarea specialiștilor în auditul sistemelor informatice.

Aceste programe reprezintă o dezvoltare a cooperării dintre aceste companii, care a început vara trecută. Programele de certificare MIS Training Institute pentru specialiști în securitatea informațiilor desfășurate la Microinform în perioada 2001-2002 au trezit un mare interes în rândul companiilor de top din Rusia și străinătate.

Programul IT Audit School a fost ales ca program pilot, care pune bazele calificărilor profesionale ale unui auditor de nivel internațional. Cursul a avut loc la Moscova în perioada 9-13 septembrie și a atras mulți oameni, în ciuda prețurilor destul de mari (o zi de formare - 500 USD).Cursul este de bază pentru auditorii sistemelor informatice și este destinat și auditorilor financiari, angajaților a serviciilor de control intern și audit, auditori externi .

Acest program intensiv de cinci zile a abordat următoarele probleme:

• identificarea riscurilor de afaceri asociate sistemelor informatice (IS) si minimizarea acestora;
• probleme legate de infrastructura IS, inclusiv hardware și sisteme de operare, procesul de traducere și analiza riscurilor;
• Mediu de control IP ( Securitatea informațiilor, organizarea si managementul sistemelor informatice, intretinerea si suportul sistemelor);
• Cunoștințe necesare baze de date, sisteme distribuite, rețele, Internet și comerț electronic.

Raportul MIS Training Institute privind auditarea sistemelor informatice

Fred Roth, un instructor de frunte la Institutul de Formare MIS privind auditarea sistemelor informatice, a vorbit la seminar. În raportul său, dl Roth a citat scurtă recenzie starea acestei probleme în lume, s-a concentrat pe principalele domenii de activitate în acest domeniu și a acordat o atenție deosebită problemelor de formare a specialiștilor în auditarea sistemelor informaționale din Rusia.

Cu referire la Sondajul Infoworld de securitate IT, domnul Roth a furnizat date (Fig. 1) care indică faptul că dezvoltarea IP în lume este îngreunată semnificativ de preocupările legate de securitatea insuficientă a tehnologiilor informaționale. Cifrele arată că respondenții sunt cel mai preocupați de lipsa de securitate asociată cu serviciile Web, transmiterea de informații fără fir și comerțul electronic (B2B și B2C). Securitatea sistemelor de clasă Entrprise Applications (aici vorbim în primul rând despre produse de la companii precum SAP, People Soft, BAAN) preocupă doar 7% dintre respondenți și trebuie subliniat faptul că prezența sisteme similare simplifică semnificativ efectuarea unui audit IP. Vorbind despre corelația dintre temeri și cazuri reale de probleme apărute în sistemele informaționale din cauza securității insuficiente a acestora, Fred Roth a furnizat datele relevante (Fig. 2). Sistemele informatice ale majorității companiilor se confruntă cu introducerea virușilor.

Raportul domnului Roth a furnizat și date despre activitățile planificate de companiile care au participat la Infoworld IT Security Survey pentru a crește securitatea IP (Fig. 3). Mai mult de jumătate dintre companii asociază măsuri de consolidare a securității IP-ului lor cu implementarea rețelelor private virtuale, iar 37% dintre respondenți urmează să recurgă la consultanța și formarea specialiștilor lor. Cele mai recente cifre indică relevanța potențială mare a auditului IS, deoarece auditul constant garantează stabilitatea funcționării sistemelor informaționale.

Raportul a subliniat conceptele de bază ale auditului IP și principiile implementării acestuia. Vorbitorul s-a concentrat pe problemele structurii de audit SI (Fig. 4). Problemele auditului financiar și auditului SI converg în zona rezolvării problemelor de optimizare a funcționării aplicațiilor SI. Pe lângă problemele de securitate, efectuarea unui audit IS va ajuta la rezolvarea unui număr de probleme importante: determinarea conformității SI existent cu scopurile și obiectivele de afaceri, calcularea investiției optime în SI și reducerea costurilor de întreținere.

Procesul de auditare a sistemelor informatice poate fi reprezentat sub forma unui fel de scară (Fig. 5), unde sistemele de securitate a accesului sunt luate în considerare pe de o parte, controlul proceselor de afaceri pe de altă parte, iar infrastructura tehnică servește drept suport, care , la rândul său, se bazează pe metodele de autorizare acceptate, configurația sistemului, precum și politicile și procedurile companiei.

Principalele domenii de control în timpul unui audit IS includ studiul standardelor corporative, analiza proceselor de lucru ale companiei, analiza diagramei de rețea și a traficului de rețea în diferite segmente de rețea, analiza proceselor de afaceri și o serie întreagă de alte aspecte (Fig. 6).

După un audit IS, clientul primește informații despre sursele și amploarea pierderilor organizației. Un audit vă permite să determinați eficacitatea standardelor corporative, să găsiți modalități de a le îmbunătăți, să estimați costul implementării și menținerii unor standarde corporative mai eficiente și să identificați eficacitatea aplicării acestora. Aceste informații vă permit să determinați cauzele și sursele defecțiunilor și să configurați procese de suport, astfel încât defecțiunile care apar să fie ușor de rezolvat. Pe baza rezultatelor unui audit IS se pot elabora standarde corporative, a căror implementare crește semnificativ fiabilitatea funcționării sistemelor informaționale.

ComputerPress 11"2002

De ce să efectuați un audit al sistemelor informaționale?

Sergey Guzik, JetInfo

Definirea si obiectivele auditului

Termenul de audit al unui Sistem Informațional se referă la un proces sistematic de obținere și evaluare a datelor obiective despre starea actuală a sistemului informațional, acțiunile și evenimentele care au loc în acesta, stabilirea gradului de conformitate a acestora cu un anumit criteriu și furnizarea rezultatelor către client.
În prezent, relevanța auditului a crescut brusc, acest lucru se datorează dependenței tot mai mari a organizațiilor de informații și IP. Piața este saturată de hardware și software; multe organizații, din mai multe motive (dintre care cel mai neutru este uzura echipamentelor și software-ului), văd inadecvarea fondurilor investite anterior în sistemele informaționale și caută modalități de a rezolva acest lucru. problemă. Pot fi două dintre ele: pe de o parte, aceasta este o înlocuire completă a SI, care presupune investiții mari de capital, pe de altă parte, modernizarea SI. Ultima opțiune pentru rezolvarea acestei probleme este mai puțin costisitoare, dar deschide noi probleme, de exemplu, ce să păstrați de la hardware-ul și software-ul existent, cum să asigurați compatibilitatea elementelor IC vechi și noi.
Un motiv mai important pentru efectuarea unui audit este acela că la modernizarea și introducerea noilor tehnologii, potențialul lor nu este realizat. Auditul IP vă permite să obțineți o rentabilitate maximă a fondurilor investite în crearea și întreținerea IP.
În plus, vulnerabilitatea sistemului informațional a crescut din cauza complexității crescute a elementelor acestui sistem informațional, a creșterii liniilor de cod software și a noilor tehnologii de transmitere și stocare a datelor.
Gama de amenințări s-a extins. Acest lucru se datorează următoarelor motive:
transmitere de informații prin rețele publice;
„războiul informațional” al organizațiilor concurente;
Turnover mare de personal cu niveluri scăzute de integritate.
Potrivit unor agenții de analiză occidentale, până la 95% din încercările de acces neautorizat la informații confidențiale are loc la inițiativa foștilor angajați ai organizației.
Efectuarea unui audit vă va permite să evaluați securitatea actuală a funcționării sistemului informațional, să evaluați riscurile, să anticipați și să gestionați impactul acestora asupra proceselor de afaceri ale organizației și să abordați corect și rezonabil problema asigurării securității activelor informaționale ale organizației, dintre care principalele sunt:
idei;
cunoştinţe;
proiecte;
rezultatele examinărilor interne.
În prezent, mulți integratori de sisteme declară livrarea unei soluții complete și complete. Din păcate, în cel mai bun caz, totul se rezumă la proiectarea și livrarea de hardware și software. Construcția infrastructurii informaționale „rămâne în culise” și nu este inclusă în soluție.
Să ne rezervăm că, în acest caz, infrastructura informațională este înțeleasă ca un sistem funcțional, care îndeplinește funcțiile de întreținere, control, contabilitate, analiză și documentare a tuturor proceselor care au loc în sistemul informațional.
Din ce în ce mai des, integratorilor de sisteme, organizațiilor de proiectare și furnizorilor de echipamente li se pun următoarele întrebări:
Ce urmeaza? (Prezența unui plan strategic de dezvoltare a organizației, locul și rolul PI în acest plan, previzionarea situațiilor problematice).
IP-ul nostru se aliniază cu scopurile și obiectivele de afaceri? A devenit afacerile un anexă al sistemului informațional?
Cum să optimizați investițiile în IP?
Ce se întâmplă în interiorul acestei „cutie neagră” - IP-ul organizației?
Eșecuri în funcționarea sistemelor informaționale, cum se identifică și se localizează problemele?
Cum sunt abordate problemele de securitate și controlul accesului?
Antreprenorii au efectuat livrarea, instalarea, punerea în funcțiune. Cum să le evalueze munca? Există dezavantaje, dacă da, care sunt acestea?
Când este necesar să faceți upgrade hardware și software? Cum să justificăm nevoia de modernizare?
Cum să instalați sistem unificat Managementul și monitorizarea IS? Ce beneficii va oferi?
Șeful organizației, șeful departamentului de echipamente medicale și tehnice trebuie să poată primi informații fiabile despre starea actuală a sistemului informațional în cel mai scurt timp posibil. Este posibil?
De ce sunt achiziționate echipamente suplimentare tot timpul?
Personalul NICU învață în mod constant ceva, este nevoie de asta?
Ce masuri trebuie luate in caz de urgenta?
Ce riscuri apar atunci când plasați informații confidențiale în IP-ul unei organizații? Cum să minimizăm aceste riscuri?
Cum se reduce costul deținerii IP?
Cum să utilizați în mod optim IP-ul existent atunci când dezvoltați o afacere?
La aceste întrebări și la alte întrebări similare nu se poate răspunde instantaneu. Doar luând în considerare toate problemele în ansamblu, relațiile dintre ele, ținând cont de nuanțe și deficiențe, se pot obține informații fiabile, bine întemeiate.
În acest scop, companiile de consultanță din întreaga lume au un anumit serviciu specific - Auditul Sistemului Informațional.

ISACA (Asociația de Audit și Control al Sistemelor Informaționale)

Abordarea pentru efectuarea unui audit IP, ca serviciu independent separat, a fost simplificată și standardizată de-a lungul timpului.
Firmele de audit mari și mijlocii au format asociații - uniuni ale profesioniștilor din domeniul auditului IP, care sunt angajate în crearea și menținerea standardelor de audit în domeniul IT. De regulă, acestea sunt standarde închise, know-how atent protejat.
Cu toate acestea, există o asociație numită ISACA care este dedicată standardizării deschise a auditului IP.
Asociația ISACA a fost fondată în 1969 și reunește în prezent aproximativ 20 de mii de membri din peste 100 de țări, inclusiv Rusia. Asociația coordonează activitățile a peste 12 mii de auditori de sisteme informatice.
Scopul principal declarat al asociației este cercetarea, dezvoltarea, publicarea și promovarea unui set standardizat de documente privind managementul tehnologiei informației pentru uz zilnic de către administratorii și auditorii sistemelor informaționale.
Pentru a ajuta auditorii profesioniști, managerii PICU, administratorii și utilizatorii interesați, asociația ISACA și specialiști atrași de la cele mai importante companii de consultanță din lume au dezvoltat standardul CoBiT.

CoBiT (Obiecte de control ale tehnologiei informației)

CoBiT - Information Technology Test Objects este un standard deschis, prima ediție, care a fost vândut în 98 de țări din întreaga lume în 1996 și a ușurat munca auditorilor profesioniști în tehnologia informației.
Standardul conectează tehnologiile informaționale și acțiunile auditorilor, combină și armonizează multe alte standarde într-o singură resursă care vă permite să obțineți în mod autoritar, la nivel modern, înțelegerea și gestionarea scopurilor și obiectivelor rezolvate de IS. CoBiT ia în considerare toate caracteristicile sistemelor informatice de orice scară și complexitate.
Regula fundamentală care stă la baza CoBiT este că resursele IS trebuie gestionate printr-un set de procese grupate în mod natural pentru a oferi organizației informațiile necesare și de încredere (Figura 1).

Și acum o mică clarificare despre ce resurse și criterii pentru evaluarea lor sunt utilizate în standardul CoBiT:
Resursele de muncă - resursele de muncă înseamnă nu numai angajații organizației, ci și conducerea organizației și personalul contractual. Abilitățile personalului, înțelegerea sarcinilor și performanța postului sunt revizuite.
Aplicațiile sunt aplicații software utilizate în activitatea unei organizații.
Tehnologii - OS, baze de date, sisteme de control etc.
Echipamente - tot hardware-ul IS-ului organizației, ținând cont de întreținerea acestora.
Date - date în sensul cel mai larg - externe și interne, structurate și nestructurate, grafice, audio, multimedia etc.
Toate aceste resurse sunt evaluate de CoBiT la fiecare etapă de construcție sau audit IS, conform următoarelor criterii:
Eficiența este un criteriu care determină relevanța și conformitatea informațiilor cu obiectivele de afaceri.
Nivelul tehnic este un criteriu de conformitate cu standardele și instrucțiunile.
Securitate - protecția informațiilor.
Integritate - acuratețea și completitudinea informațiilor.
Adecvare - disponibilitatea informațiilor la procesele de afaceri necesare în prezent și viitor. Precum și protecția resurselor necesare și aferente.
Consecvența este implementarea legilor, instrucțiunilor și acordurilor care afectează procesul de afaceri, adică cerințe externe pentru afacere.
Fiabilitate - consecvența informațiilor furnizate conducerii organizației, implementarea unui management adecvat al finanțării și consecvența responsabilităților postului.
CoBiT se bazează pe standardele de audit ISA și ISACF, dar include și alte standarde internaționale, inclusiv luând în considerare standardele și reglementările aprobate anterior:
standardele tehnice;
coduri;
Criteriile IP și descrierile proceselor;
standarde profesionale;
cerințe și recomandări;
cerințe pentru servicii bancare, sisteme de comerț electronic și producție.
Standardul a fost dezvoltat și analizat de către angajații departamentelor relevante ale companiilor de consultanță de top și este utilizat în activitatea lor împreună cu propriile dezvoltări.
Utilizarea standardului CoBiT este posibilă atât pentru efectuarea unui audit al IP-ului unei organizații, cât și pentru proiectarea inițială a unui IP. Versiunea obișnuită a problemelor directe și inverse.
Dacă în primul caz este vorba de conformitatea stării actuale a SI cu cele mai bune practici ale organizațiilor și întreprinderilor similare, atunci în celălalt este un proiect inițial corect și, drept consecință, la finalizarea proiectului, un SI. străduindu-se spre ideal.
Pe viitor, vom avea în vedere un audit IS, ceea ce presupune că în orice etapă este posibilă rezolvarea problemei inverse - proiectarea unui IS.
În ciuda dimensiunilor sale mici, dezvoltatorii au încercat să se asigure că standardul este pragmatic și receptiv la nevoile afacerii, păstrând în același timp independența față de producători, tehnologii și platforme specifice.
Schema bloc de bază a CoBiT arată secvența, compoziția și relațiile grupurilor de bază. Procesele de afaceri (în partea de sus a diagramei) își plasează cerințele pe resursele SI, care sunt analizate folosind criteriile de evaluare CoBiT în toate etapele de construcție și audit.
Patru grupuri de bază (domenii) conțin treizeci și patru de subgrupuri, care, la rândul lor, constau din trei sute două obiecte de control. Obiectele de control oferă auditorului toate informațiile fiabile și relevante despre starea actuală a PI.
Caracteristici distinctive ale CoBiT:
1. Arie mare de acoperire (toate sarcinile de la planificarea strategică și documentele fundamentale până la analiza performanței elemente individuale ESTE).
2. Audit încrucișat (zone suprapuse de inspecție a elementelor critice).
3. Standard adaptabil, scalabil.
Să luăm în considerare avantajele CoBiT față de numeroasele occidentale și evoluții rusești. În primul rând, aceasta este suficiența sa - împreună cu posibilitatea de adaptare relativ ușoară la particularitățile IP intern. Și, desigur, faptul că standardul este ușor de scalat și extins. CoBiT vă permite să utilizați orice dezvoltări de la producătorii de hardware și software și să analizați datele obținute fără a modifica abordările generale și structura proprie.

Practica de audit IP

Arată în Fig. 2 diagrama de flux reflectă, deși nu în detaliu, punctele cheie ale unui audit IS. Să le aruncăm o privire mai atentă.
În etapa de pregătire și semnare a documentației inițiale de autorizare, se determină limitele auditului:
Limitele auditului sunt determinate de punctele critice ale SI (elementele SI), în care apar cel mai adesea situații problematice.
Pe baza rezultatelor unui audit preliminar al întregului SI (la o primă aproximare), se efectuează un audit aprofundat al problemelor identificate.
În același timp, este creată o echipă de audit și sunt identificate persoane responsabile din partea Clientului. Documentația necesară este creată și convenită.
În continuare, sunt colectate informații despre starea actuală a SI folosind standardul CoBiT, ale cărui obiecte de control primesc informații despre toate nuanțele funcționării SI ca în formă binară(Da/Nu) și forma rapoartelor detaliate. Detaliul informațiilor se stabilește în etapa de elaborare a documentației inițiale de autorizare. Există un anumit optim între costurile (timp, cost, etc.) de obținere a informațiilor și importanța și relevanța acesteia.
Efectuarea analizei este partea cea mai critică a efectuării unui audit IP. Utilizarea datelor nesigure, învechite în analiză este inacceptabilă, de aceea este necesară clarificarea datelor și colectarea aprofundată a informațiilor.
Cerințele pentru analiză sunt determinate în etapa de colectare a informațiilor. Metode de analiză a informațiilor există în standardul CoBiT, dar dacă acestea lipsesc, nu este interzisă utilizarea dezvoltărilor autorizate de ISACA de la alte companii.
Rezultatele analizei stau la baza elaborarii recomandarilor, care, dupa acordul prealabil cu Clientul, trebuie verificate pentru fezabilitatea si relevanta tinand cont de riscurile de implementare.
Monitorizarea implementării recomandărilor este o etapă importantă care necesită monitorizarea continuă de către reprezentanții companiei de consultanță a progresului implementării recomandărilor.
În etapa de elaborare a documentației suplimentare, se desfășoară lucrări care vizează crearea de documente, a căror absență sau neajunsuri pot cauza defecțiuni în funcționarea sistemului informațional. De exemplu, o analiză separată aprofundată a problemelor de securitate IP.
Auditul constant garanteaza stabilitatea functionarii SI, prin urmare crearea unui program pentru auditurile ulterioare este unul dintre rezultatele unui audit profesional.

Rezultatele auditului

Rezultatele auditului IP al unei organizații pot fi împărțite în trei grupuri principale:
1. Organizațional - planificarea, managementul, fluxul de documente al funcționării SI.
2. Tehnic - defecțiuni, defecțiuni, optimizarea funcționării elementelor IS, întreținere continuă, crearea infrastructurii etc.
3. Metodologice - abordări ale soluționării situațiilor problematice, management și control, ordine generală și structurare.
Auditul vă va permite să creați în mod rezonabil următoarele documente:
Plan de dezvoltare IP pe termen lung.
Politica de securitate IP a organizației.
Metodologia de lucru și de reglare fină a SI al organizației.
Plan de recuperare IP în caz de urgență.

Cerințe pentru transmiterea informațiilor

Asociația ISACA a dezvoltat și adoptat cerințe pentru prezentarea informațiilor în timpul unui audit. Aplicarea standardului CoBiT garantează conformitatea cu aceste cerințe.
Cerința principală este utilitatea informațiilor. Pentru ca informațiile să fie utile, acestea trebuie să aibă anumite caracteristici, printre care:
1. Claritate. Informațiile ar trebui să fie înțelese de un utilizator care are un anumit nivel de cunoștințe, ceea ce nu înseamnă, totuși, că informațiile complexe ar trebui excluse dacă sunt necesare.
Relevanţă. Informațiile sunt relevante sau relevante dacă influențează deciziile utilizatorilor și îi ajută să evalueze evenimentele trecute, prezente, viitoare sau să confirme și să corecteze evaluările trecute.
Relevanța informațiilor este afectată de conținutul și materialitatea acesteia. Informațiile sunt semnificative dacă absența sau evaluarea incorectă ar putea influența decizia utilizatorului. O altă caracteristică a relevanței este actualitatea informațiilor, ceea ce înseamnă că toate informațiile relevante sunt incluse în raport în timp util și fără întârziere și că raportul este furnizat la timp.
Un anumit analog al principiului oportunității în practica națională poate fi cerința pentru reflectarea completă a tranzacțiilor pentru perioada contabilă, deși cerința pentru reflectarea tuturor informațiilor nu este identică cu cerința pentru reflectarea informațiilor esențiale.
Credibilitate, fiabilitate. Informația este de încredere dacă nu conține erori semnificative sau evaluări părtinitoare și reflectă cu adevărat activitățile de afaceri. Pentru a fi de încredere, informațiile trebuie să îndeplinească următoarele caracteristici:
- veridicitate;
- neutralitate - informațiile nu trebuie să conțină evaluări unilaterale, adică informațiile nu trebuie furnizate selectiv pentru a obține un anumit rezultat;
- prudență - disponibilitatea de a lua în considerare pierderile potențiale mai degrabă decât profiturile potențiale și, ca urmare, crearea de rezerve. Această abordare este adecvată într-o stare de incertitudine și nu înseamnă crearea de rezerve ascunse sau denaturarea informațiilor;
- suficiența informațiilor - include o astfel de caracteristică precum cerința de exhaustivitate a informațiilor, atât în ​​ceea ce privește semnificația acesteia, cât și costurile de pregătire.

Nevoie piata internaîn acest serviciu

Atunci când se evaluează necesitatea unui audit IS, este necesar să se concentreze asupra următoarelor puncte (a se vedea tabelul 1):
complexitatea problemelor în curs de rezolvare - o creștere constantă, atât cantitativă, cât și calitativă, a problemelor rezolvate de IS;
ramificații SI - dificultate în deservire, distribuție teritorială;
perspective de afaceri - noi direcții, piețe, condiții de muncă;
managementul unei organizații - capacitatea și dorința managerilor de a gândi strategic, de a vedea perspectivele deschise printr-o abordare standardizată, bazată pe bune practici.
Cine este interesat să efectueze un audit? În primul rând, este vorba de organizații comerciale sau bugetare și întreprinderi care să justifice investițiile în IS, integratori de sisteme, companii IT pentru a evalua impactul SI asupra procesului principal de afaceri și extinde gama de servicii oferite.
Pentru companiile care efectuează audit financiar - audit IP, serviciu suplimentar, care poate îmbunătăți ratingul companiei pe piață.
Antreprenorii generali vor fi interesați de oportunitatea de a evalua munca subcontractanților IT.
Și, de asemenea, efectuarea unui audit IP conform standardului CoBiT va fi de interes pentru orice întreprinderi și organizații care au sau intenționează să creeze IP și care sunt interesate să primească răspunsuri la întrebările prezentate în introducerea acestui articol.

Tabelul 1. Rezultatele auditului.