Аудит информационных систем предоставляет актуальные и точные данные о том, как работает ИС. На основе полученных данных можно планировать мероприятия по повышению эффективности работы компании. Практика аудита информационной системы — сравнение со стандартом, реальная ситуация. Изучите правила, стандарты, положения и практики, применяемые в других фирмах. Проводя аудит, предприниматель получает представление о том, чем его компания отличается от обычной успешной компании в аналогичной сфере.
Общее представление
Информационные технологии в современном мире очень развиты. Сложно представить компанию, не имеющую на вооружении информационных систем:
- глобальный;
- местный.
Именно благодаря интеллектуальной собственности компания может нормально функционировать и идти в ногу со временем. Такие методологии необходимы для быстрого и полного обмена информацией с окружающей средой, что позволяет компании адаптироваться к изменениям в инфраструктуре и требованиям рынка. Информационные системы должны отвечать ряду требований, которые со временем меняются (вводятся новые разработки, стандарты, используются обновленные алгоритмы). В любом случае информационные технологии позволяют ускорить доступ к ресурсам, и эта проблема решается за счет ИС. Кроме того, современные системы:
- масштабируемый;
- гибкий;
- заслуживающий доверия;
- безопасно.
Основными задачами аудита информационных систем является выявление соответствия внедряемой ИС заданным параметрам.
Аудит: виды
Очень часто используется так называемый процессный аудит информационной системы. Пример: внешние эксперты анализируют внедренные системы в поисках отличий от стандартов, в том числе изучают производственный процесс, результатом которого является программное обеспечение.
Можно провести аудит, чтобы определить, насколько хорошо используется информационная система. Практика компании сравнивается со стандартами производителей и хорошо известными примерами международных корпораций.
Аудит системы информационной безопасности компании влияет на организационную структуру. Целью такого мероприятия является выявление слабых мест в работе сотрудников ИТ-отдела и выявление проблем, а также выработка рекомендаций по их решению.
Наконец, аудит системы информационной безопасности направлен на контроль качества. Затем приглашенные эксперты оценивают состояние процессов внутри компании, тестируют внедренную информационную систему и делают выводы на основе полученной информации. Обычно используется модель TMMI.
Задачи аудита
Стратегический аудит состояния информационных систем позволяет выявить слабые места во внедренной ИС и выявить места, где использование технологий было неэффективным. В конце такого процесса у клиента будут рекомендации по устранению недостатков.
Аудит позволяет оценить, сколько будет стоить внесение изменений в текущую структуру и сколько времени это займет. Специалисты, изучающие текущую информационную структуру компании, помогут подобрать инструменты для реализации программы улучшений с учетом особенностей компании. Результаты также могут дать точную оценку того, сколько ресурсов необходимо компании. Будет проанализировано интеллектуальное, денежное производство.
Мероприятия
Внутренний аудит информационных систем включает в себя такие мероприятия, как:
- иТ-инвентарь;
- выявление нагрузки в информационных структурах;
- оценка статистики, данных, полученных в ходе инвентаризации;
- определить, соответствуют ли бизнес-требованиям и возможностям развернутой ИС;
- формирование отчетов;
- разработка рекомендаций;
- оформление фонда INE.
Результат аудита
Стратегический аудит состояния информационных систем – это процедура, которая: позволяет выявить причины недостаточной эффективности внедренной информационной системы; прогнозировать поведение ИС, корректируя информационные потоки (количество пользователей, объем данных); предоставлять надежные решения, помогающие повысить производительность (приобретение оборудования, усовершенствование внедренной системы, замена); дать рекомендации, направленные на повышение производительности подразделений компании, оптимизацию инвестиций в технологии. А также разработать мероприятия, повышающие уровень качества обслуживания информационных систем.
Это важно!
Не существует такого универсального IP, который подойдет любой компании. Есть два общих основания, на которых можно построить систему, уникальную для требований конкретной компании:
- 1 С.
- Оракул.
Но помните, что это только основы, не более того. Все улучшения, делающие бизнес эффективным, должны быть запрограммированы с учетом особенностей конкретной компании. Вероятно, вам придется ввести функции, которые ранее отсутствовали, и отключить те, что были в базовой сборке. Современные технологии аудита банковских информационных систем помогают понять, какими именно функциями должна обладать ИС, а что следует исключить, чтобы корпоративная система была оптимальной, эффективной, но не слишком «тяжелой».
Аудит информационной безопасности
Анализ, позволяющий выявить угрозы информационной безопасности, бывает двух видов:
- внешний;
- внутри.
Первый предполагает одноразовую процедуру. Его организует руководитель компании. Рекомендуется регулярно практиковать такую меру, чтобы держать ситуацию под контролем. Различные АО и финансовые организации ввели требование об обязательном проведении внешнего аудита ИТ-безопасности.
Внутренние – это мероприятия, которые проводятся регулярно и регламентируются локальным нормативным актом «Положение о внутреннем аудите». Для реализации формируется годовой план (его составляет отдел, ответственный за ревизию), утверждаемый генеральным директором, другим руководителем. ИТ-аудит: различные категории деятельности, аудит безопасности не является последним по важности.
Основной задачей аудита информационных систем с точки зрения безопасности является выявление рисков, связанных с интеллектуальной собственностью, связанных с угрозами безопасности. Кроме того, мероприятия помогают определить:
- недостатки существующей системы;
- соответствие системы стандартам информационной безопасности;
- текущий уровень безопасности.
В результате в ходе аудита безопасности будут даны рекомендации по улучшению текущих решений и внедрению новых, что позволит сделать текущую ИС более безопасной и защищенной от различных угроз.
В случае проведения внутреннего аудита с целью выявления угроз информационной безопасности дополнительно учитываются:
- политика безопасности, возможность разработки новой, а также другие документы, позволяющие защитить данные и упростить их использование в производственном процессе корпорации;
- обучение задачам безопасности для сотрудников ИТ-отдела;
- анализ ситуаций, связанных с нарушениями;
- обучение пользователей корпоративной системы, обслуживающего персонала общим аспектам безопасности.
Внутренний аудит: особенности
Перечисленные задачи, которые ставятся перед работниками при проведении внутреннего аудита информационных систем, аудитом по сути не являются. Теоретически лицо, осуществляющее деятельность, только в качестве эксперта оценивает механизмы, с помощью которых система защищена. Человек, вовлеченный в задачу, становится активным участником процесса и теряет самостоятельность, он уже не может объективно оценивать ситуацию и контролировать ее.
С другой стороны, на практике практически невозможно остаться в стороне от внутреннего аудита. Дело в том, что для выполнения работы привлекается специалист из компании, в остальное время занятый другими задачами в аналогичной сфере. Это означает, что аудитор – это тот самый сотрудник, который обладает компетенцией для решения указанных выше задач. Поэтому приходится идти на компромисс: в ущерб объективности вовлекать работника в практику для получения достойного результата.
Аудит безопасности: этапы
Во многом они аналогичны этапам общего ИТ-аудита. Назначить:
- начало событий;
- сбор базы для анализа;
- анализ;
- формирование выводов;
- отчеты
Инициирование процедуры
Аудит информационных систем в вопросах безопасности начинается тогда, когда руководитель компании дает на него добро, так как именно начальство больше всего заинтересовано в эффективном аудите компании. Аудит невозможен, если руководство не поддерживает процедуру.
Аудит информационных систем обычно сложен. В нем участвует аудитор и несколько человек, представляющих разные отделы компании. Важна совместная работа всех участников проверки. Приступая к аудиту, важно обратить внимание на следующие моменты:
- документальное закрепление обязанностей, прав аудитора;
- подготовка, утверждение плана аудита;
- документальное оформление того факта, что работники обязаны оказывать аудитору посильную помощь и предоставлять все запрошенные им данные.
Уже в момент начала аудита важно установить пределы, в которых осуществляется аудит информационных систем. В то время как некоторые подсистемы ИС являются критически важными и требуют особого внимания, другие не являются таковыми и являются достаточно незначительными, чтобы их можно было исключить. Наверняка есть и такие подсистемы, проверка которых будет невозможна, так как вся хранимая там информация является конфиденциальной.
План и границы
Перед началом работы формируется список ресурсов, которые предполагается проверить. Возможно:
- познавательный;
- программное обеспечение;
- технический.
Назначьте, на каких сайтах проводится аудит, на наличие каких угроз проверяется система. Существуют организационные ограничения мероприятия, аспекты безопасности, которые необходимо учитывать при проверке. Формируется приоритетный рейтинг с указанием объема проверки. Указанные лимиты, а также план мероприятий утверждаются генеральным директором, но предварительно выносятся на рассмотрение на общее рабочее собрание, на котором присутствуют начальники отделов, аудитор и руководители компании.
Получение данных
При проведении аудита безопасности стандарты аудита информационных систем таковы, что этап сбора информации оказывается самым длительным и трудоемким. Документации на это у ИС, как правило, нет, и аудитор вынужден тесно сотрудничать с многочисленными коллегами.
Чтобы сделанные выводы были компетентными, аудитор должен получить как можно больше данных. Аудитор узнает, как устроена информационная система, как она работает и в каком состоянии находится из организационно-распорядительной и технической документации, в ходе самостоятельных исследований и использования специализированного программного обеспечения.
Документы, необходимые в работе аудитора:
- организационная структура подразделений, обслуживающих ИС;
- организационная структура всех пользователей.
Аудитор опрашивает сотрудников, выявляя:
- поставщик
- владелец данных;
- пользователь данных
Для этого нужно знать:
- основные типы IP-приложений;
- количество, типы пользователей;
- услуги, предоставляемые пользователям.
Если у компании есть документы на ИП из списка ниже, необходимо обязательно предоставить их аудитору:
- описание технических методологий;
- описание методов автоматизации функций;
- функциональные схемы;
- работы, проектная документация.
Выявление структуры ИС
Для правильных выводов аудитор должен иметь максимально полное представление о характеристиках информационной системы, внедренной в компании. Нужно знать, что такое механизмы безопасности, как они распределяются в системе по уровням. Для этого узнайте:
- наличие и характеристики используемых компонентов системы;
- функции компонентов;
- графика;
- билеты;
- взаимодействие с различными объектами (внешними, внутренними) и протоколами, каналами для этого;
- платформы, применяемые в системе.
Схемы будут полезны:
- структурный;
- потоки данных
- технические средства;
- О;
- информационная поддержка;
- структурные компоненты.
На практике многие документы готовятся непосредственно во время аудита. Анализировать информацию можно только тогда, когда собрано максимальное количество информации.
Аудит безопасности ИС: анализ
Существует несколько методов анализа полученных данных. Выбор в пользу того или иного основывается на личных предпочтениях аудитора и деталях конкретной задачи.
Самый сложный подход включает анализ рисков. Сформированы требования безопасности к информационной системе. Они основаны на характеристиках конкретной системы и ее среды, а также на угрозах, присущих этой среде. Аналитики сходятся во мнении, что такой подход требует наибольшей работы и высочайшей квалификации аудитора. Качество результата определяется методикой анализа информации и применимостью выбранных вариантов к типу ИП.
Более практичный вариант предполагает обращение к стандартам безопасности данных. Они определяют набор требований. Это подходит для различных СИ, так как методика разработана на базе крупнейших компаний разных стран.
Из стандартов понятно, каковы требования безопасности в зависимости от уровня защиты системы и ее принадлежности к тому или иному учреждению. Многое зависит от назначения СИ. Основная задача аудитора — правильно определить, какой набор требований безопасности актуален в том или ином случае. Выбирается метод, с помощью которого оценивается соответствие имеющихся параметров системы стандартам. Технология достаточно проста, надежна и поэтому широко распространена. При небольших вложениях в результате можно получить точные выводы.
Пренебрегать недопустимо!
Практика показывает, что многие руководители, особенно малого бизнеса, а также те, чьи компании работают давно и не стремятся освоить все новейшие технологии, относятся к аудиту информационных систем достаточно халатно, так как просто не знают, как реализовать важность этой меры. Обычно только ущерб бизнесу заставляет власти принимать меры по проверке, выявлению рисков и защите компании. Другие сталкиваются с тем, что данные их клиентов украдены, у третьих происходят взломы баз данных контрагента или теряется информация о ключевых преимуществах определенного субъекта.Потребители перестают доверять компании, как только дело становится достоянием общественности, и компания несет больший ущерб, чем просто потеря данных.
Если есть вероятность утечки информации, невозможно построить эффективный бизнес, имеющий хорошие возможности сейчас и в будущем. Любая компания имеет данные, которые представляют ценность для третьих лиц и должны быть защищены. Чтобы защита была на высшем уровне, необходим аудит для выявления слабых мест. Он должен учитывать международные стандарты, методы и последние разработки.
- оценить уровень защиты;
- анализ применяемых технологий;
- правильные охранные документы;
- моделировать рисковые ситуации, при которых возможна утечка данных;
- рекомендовать внедрение решений для устранения уязвимостей.
Эти действия осуществляются одним из трех способов:
- активный;
- эксперт;
- определить соответствие стандартам.
Формы аудита
Активный аудит состоит из оценки системы, которую исследует потенциальный хакер. Именно их точку зрения аудиторы «доказывают» на себе: они изучают защиту сети, для чего используют специализированное программное обеспечение и уникальные методики. Также требуется внутренний аудит, в том числе с точки зрения предполагаемого преступника, который хочет украсть данные или нарушить работу системы.
Во время экспертного аудита проверяют, насколько внедренная система соответствует идеалу. При выявлении соответствия стандартам за основу берется абстрактное описание стандартов, с которым сравнивается существующий объект.
Заключение
Правильно и качественно проведенный аудит позволяет получить следующие результаты:
- минимизация вероятности успешной хакерской атаки, ущерба от нее;
- исключение атаки на основе изменения архитектуры системы и информационных потоков;
- страхование как средство снижения риска;
- минимизировать риск до уровня, при котором им можно полностью пренебречь.