Зачем проводить аудит информационных систем (стр. 1 из 3)

Поволжский Кооперативный Институт

Российского Университета Кооперации

Реферат

Тема: Зачем проводить аудит информационных систем?

Выполнила: Моисеенко Е.В.

студентка 4-го курса

группы ПИ-61

Проверила: Павлова Ю.П.

г. Энгельс

2010г.

Содержание

1. Введение………………………………………………………………………...3

2. ISACA (Ассоциация аудита и контроля информационных систем)………...6

3. Практика проведения аудита ИС……………………………………………...10

4. Заключение……………………………………………………………………..17

5. Список использованной литературы…………………………………………18

Введение

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.
В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых

- это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны - это полная замена ИС, что влечет за собой большие капиталовложения, с другой - модернизация ИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.
Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется.

Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС.
Кроме того возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.
Спектр угроз расширился. Это обусловлено следующими причинами:
1. передача информации по сетям общего пользования;
2. "информационная война" конкурирующих организаций;

3. высокая текучка кадров с низким уровнем порядочности.
По данным некоторых западных аналитических агентств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.
Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные
1.идеи;
2.знания;
3.проекты;
4.результаты внутренних обследований.
В настоящее время многие системные интеграторы декларируют поставку полного, законченного решения. К сожалению, в лучшем случае, все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры "остается за кадром" и к решению не прилагается.
Оговоримся, что в данном случае под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе.
Все чаще и чаще к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:
1. Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций).
2. Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?
3. Как оптимизировать инвестиции в ИС?
4. Что происходит внутри этого "черного ящика" - ИС организации?

Сбои в работе ИС, как выявить и локализовать проблемы?
Как решаются вопросы безопасности и контроля доступа?
Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?
Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?
Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?
Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?
Почему все время производится закупка дополнительного оборудования?
Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость?
Какие действия предпринимать в случае возникновения внештатной ситуации?
Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?
Как снизить стоимость владения ИС?
Как оптимально использовать сложившуюся ИС при развитии бизнеса?
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки можно получить достоверную, обоснованную информацию.
Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга - аудит Информационной Системы.

ISACA (Ассоциация аудита и контроля информационных систем)

Подход к проведению аудита ИС, как отдельной самостоятельной услуги, с течением времени упорядочился и стандартизировался.
Крупные и средние аудиторские компании образовали ассоциации - союзы профессионалов в области аудита ИС, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое "ноу-хау".
Однако, существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита ИС.
Ассоциация ISACA основана в 1969 году и в настоящее время объединяет около 20 тысяч членов из более чем 100 стран, в том числе и России. Ассоциация координирует деятельность более чем 12 тыс. аудиторов информационных систем.
Основная декларируемая цель ассоциации - это исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.
В помощь профессиональным аудиторам, руководителям ОИТП, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан стандарт CoBiT.

CoBiT (Контрольные Объекты Информационной Технологии)

CoBiT - Контрольные ОБъекты Информационной Технологии - открытый стандарт, первое издание, которое в 1996 году было продано в 98 странах по всему миру и облегчило работу профессиональных аудиторов в сфере информационных технологий.
Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС.

CoBiT учитывает все особенности информационных систем любого масштаба и сложности.
Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы ИС должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией (Рис. 1).

А теперь немного разъяснений по поводу того, какие ресурсы и критерии их оценки используются в стандарте CoBiT:
Трудовые ресурсы - под трудовыми ресурсами понимаются не только сотрудники организации, но также руководство организации и контрактный персонал. Рассматриваются навыки штата, понимание задач и производительность работы.
Приложения - прикладное программное обеспечение, используемое в работе организации.
Технологии - операционные системы, базы данных, системы управления и т.д.
Оборудование - все аппаратные средства ИС организации, с учетом их обслуживания.

Данные - данные в самом широком смысле - внешние и внутренние, структурированные и неструктурированные, графические, звуковые, мультимедиа и т.д.
Все эти ресурсы оцениваются CoBiT на каждом из этапов построения или аудита ИС по следующим критериям:
Эффективность - критерий, определяющий уместность и соответствие информации задачам бизнеса.
Технический уровень - критерий соответствия стандартам и инструкциям.
Безопасность - защита информации.
Целостность - точность и законченность информации.
Пригодность - доступность информации требуемым бизнес-процессам в настоящем и будущем. А также защита необходимых и сопутствующих ресурсов.
Согласованность - исполнение законов, инструкций и договоренностей, влияющих на бизнес-процесс, то есть внешние требования к бизнесу.
Надежность - соответствие информации, предоставляемой руководству организации, осуществление соответствующего управления финансированием и согласованность должностных обязанностей.
CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимает во внимание утвержденные ранее стандарты и нормативные документы:
технические стандарты;
кодексы;
критерии ИС и описание процессов;
профессиональные стандарты;
требования и рекомендации;
требования к банковским услугам, системам электронной торговли и производству.