Обгрунтування і корисність ІТ-аудиту

Ситуація, коли пропозиція про проведення ІТ-аудиту в компанії не знаходить підтримки у начальства, знайома багатьом директорам ІТ-служб. Це пояснюється тим, що у керівництва немає чіткого розуміння, для яких цілей він потрібний і які вигоди отримає в результаті

ІТ-аудит є частиною загального технічного аудиту підприємства, що відноситься безпосередньо до контролю функціонування інформаційних технологій ІТ-аудит є частиною загального технічного аудиту підприємства, що відноситься безпосередньо до контролю функціонування інформаційних технологій. Під технічним аудитом зазвичай розуміють перевірку незалежними фахівцями застосовуваних на підприємстві технічних рішень і висновки щодо обґрунтованості даних рішень і відповідності інформаційних систем і процесів вимогам нормативних актів.

У Росії ситуація з нормативними актами в галузі ІТ-аудиту неоднозначна. Існує федеральний закон «Про аудиторську діяльність», який досить детально регламентує основні відносини в сфері фінансового аудиту, проте повністю ігнорує навіть саме поняття спеціального, в тому числі технічного, аудиту.

Можливо, через подібну невизначеність правової бази у деяких російських компаній до сих пір залишається уявлення про ІТ-аудит як про фінансовий аудит в області інформаційних технологій. ІТ-аудиторів помилково сприймають як людей, які займаються перерахунком комп'ютерів і порівнянням отриманих результатів з кількістю, що проходить по бухгалтерії. Але ІТ-аудит повинен використовуватися для інших цілей - це ефективний інструмент при наведенні порядку в сфері інформаційних технологій. Він дозволяє грамотно оцінювати можливі ризики, прогнозувати збої, оптимізувати роботу ІТ-підрозділу і вирішувати багато інших завдань.

Через відсутність в російському законодавстві чітких вказівок в області ІТ-аудиту більшість компаній спираються при його проведенні на здоровий глузд, міжнародні стандарти та «кращі практики», такі як Control Objectives for Information and related Technology (COBIT) і IT Infrastructure Library (ITIL ). ІТ-аудит в ITIL є важливою частиною процесу безперервного поліпшення якості ІТ-послуг (Continual Service Improvement), ключового процесу в управлінні ІТ. Для компаній, які планують будувати прозору ІТ-інфраструктуру, щоб, наприклад, підвищити свою цінність при виході на IPO, використання методології ITIL і проведення ІТ-аудиту є необхідною умовою.

Постійне поліпшення якості обслуговування в ITIL передбачає впровадження в організації циклічного процесу, що включає вибір об'єктів вимірювання; визначення того, що можна виміряти; збір даних; їх обробку; аналіз; надання та використання інформації та коригувальні дії. Перші шість кроків і визначають процес ІТ-аудиту.

Типовою ж помилкою при його проведенні є спроба почати з визначення складу аудиторських перевірок, тобто пропустити в представленому вище списку перший пункт, відразу перейшовши до другого. Насправді ключовим моментом при проведенні аудиту є саме вибір об'єкта аудиту.

вибираємо аудит

Аудит ІТ-інфраструктури в цілому може затягнутися на кілька місяців і після закінчення відбивати адекватно дійсність, так як стан ІТ-інфраструктури постійно змінюється. Тому більш прогресивним підходом можна вважати регулярні спеціалізовані ІТ-аудити.

Операційний ІТ-аудит полягає в огляді значень загальних параметрів функціонування ІТ-інфраструктури на різних рівнях: мережа, операційна система, системне програмне забезпечення, прикладне ПО, робочі процеси, криптографія і т.д.

Аудит розміщення ІТ-ресурсів передбачає огляд будівель, серверних приміщень, в яких розміщені ІТ-ресурси, включаючи такі аспекти, як фізична безпека (стіни, відеоспостереження, замки, охорона, процедури входу і т.п.), контроль оточення (захист від пожежі і протікання, електроживлення, кондиціонування), системи управління, ІТ-обладнання.

При аудиті розробляється ІТ-системи здійснюються контроль управління проектом (часто аудитор є єдиною людиною, знання, досвіду і сміливості якого досить, щоб вказати на те, що звіт про хід проекту нереалістичний) і специфікація, розробка, тестування, впровадження технічних і процедурних аудиторських перевірок , включаючи класичні перевірки інформаційної безпеки, що розробляється і відповідні перевірки бізнес-процесів.

Аудит управління ІТ включає в себе огляд організаційної структури, стратегії, планування робіт, ресурсів, бюджетування, контролю витрат і т.д. і, у разі необхідності, аудит взаємин із зовнішніми постачальниками ІТ-послуг (в деяких випадках аудит даних аспектів можуть проводити фінансові аудитори, залишаючи ІТ-аудиторам більш технічні аспекти).

Під аудитом ІТ-процесів розуміють огляд процесів, які відбуваються всередині ІТ-департаменту, такі як розробка додатків, тестування, впровадження, виконання операцій, обслуговування, резервне копіювання, підтримка, обробка інцидентів і т.д.

Не секрет, що більшість збоїв в роботі ІТ-інфраструктури пов'язане з неузгодженими змінами. Аудит управління змінами - це огляд планування і контролю змін в існуючих системах, мережах, додатках, процесах і т.д.

Аудит інформаційної безпеки має на увазі виконання перевірок, що відносяться до конфіденційності, цілісності та доступності систем і даних. Аудит легальності ІТ-ресурсів - це перевірка використовуваних ліцензій програмного забезпечення, захисту персональних даних, відповідності вимогам регулюючих органів.

До спеціалізованих аудитів також можна віднести аудит стійкості ІТ-інфраструктури до збоїв і катастроф і «спеціальні розслідування», що включають аудиторські перевірки, що виконуються для з'ясування ситуації, що склалася в ІТ, пов'язаної, наприклад, з поглинанням нової компанії і необхідністю злиття ІТ-інфраструктур, «розбору польотів »і т.д.

Щоб вибрати тип ІТ-аудиту або його об'єкт, оцінюють потенційні ризики функціонування ІТ-інфраструктури. Для цього можна використовувати одну з безлічі формальних процедур оцінки ризиків або ж проаналізувати загрози та можливі ситуації, які можуть призвести до збитків, і знайти вразливі місця ІТ-інфраструктури. Ризики в першу чергу залежать від поточної ситуації на підприємстві. Наприклад, для підприємства, яке планує в найближчому майбутньому істотно збільшити кількість співробітників, серйозним ризиком буде нездатність існуючої ІТ-інфраструктури витримати значне збільшення кількості оброблюваних запитів. В цьому випадку можна порекомендувати проведення операційного ІТ-аудиту.

Важливим моментом при проведенні аудиторських перевірок є використання засобів автоматизації. У разі повної відсутності в організації інструментів автоматизації збору інформації для аудиту регулярне проведення аудиторських перевірок буде досить дорогим заходом. В даний час на ринку існує безліч програмних засобів, що полегшують компаніям проведення ІТ-аудиту, таких як ACL, IDEA, IBM Tivoli Compliance Insight Manager і ін. Впровадження подібних засобів дозволяє проводити більшість аудиторських перевірок силами внутрішнього ІТ-департаменту. Також слід зазначити, що безліч програмних продуктів, не призначених безпосередньо для проведення аудиту, можуть бути використані для збору інформації в процесі аудиту.

Причини і цілі

Існує чотири основні причини для проведення ІТ-аудиту. По-перше, він корисний для того, щоб затвердити - перевірити правильність і затвердити прийняті рішення. По-друге, щоб направити - аудит дозволяє вибрати правильний напрямок для внесення будь-яких змін. По-третє, щоб виправдати - аудит дозволяє представити фактичні докази того, що потрібні які-небудь дії. І, нарешті, для того, щоб втрутитися - аудит дозволяє визначити правильні «точки втручання».

Часто метою аудиту є перевірка інформаційних систем, систем безпеки, а також процесів управління ІТ в цілому на предмет відповідності як бізнес-процесам компанії, так і міжнародним стандартам: закону Сарбейнса-Окслі, закону про звітність і безпеки медичного страхування (HIPAA), угоди Basel II, стандарту безпеки даних платіжних карток (PCI-DSS) і ін.

Така перевірка необхідна компаніям, щоб оцінити правильність розвитку ІТ на підставі міжнародного досвіду і затвердити прийняті рішення, документально їх підтвердити і, можливо, отримати міжнародний сертифікат. Вона дозволяє направити діяльність ІТ-підрозділу на досягнення нового рівня розвитку ІТ відповідно до міжнародних стандартів. Перевірка відповідності може допомогти виявити неочевидні невідповідності в ІТ прийнятим стандартам і тим самим виправдати необхідність внесення змін, а також визначити, які процеси або системи функціонують неефективно і є вузькими місцями для роботи ІТ в цілому.

Аудит як інструмент

Цінність ІТ-аудитів полягає в тому, що, крім високорівневою незалежної експертизи рішень і вироблення пропозицій щодо оптимізації, вони можуть служити інструментом планування розвитку підприємства. Для тих, кому потрібна кваліфікована експертна оцінка стану інформаційних технологій, кому необхідно оптимізувати витрати і виробити стратегію розвитку, ІТ-аудит може стати незамінним і ефективним підмогою, відповідаючи на цілий ряд питань.

Наприклад, якщо прийнято рішення про необхідність впровадження інформаційної системи, постає питання про наявність стратегічного плану розвитку організації, місце і роль інформаційної системи в цьому плані, прогнозуванні проблемних ситуацій, в рішенні якого може допомогти ІТ-аудит.

На етапі функціонування інформаційних систем цікавить інша інформація: чи відповідають застосовуються інформаційні системи і технології цілям і задачам бізнесу, не перетворився чи бізнес в придаток інформаційної системи, як оптимізувати інвестиції в ІТ. При виникненні збоїв у роботі ІТ потрібно знати, як виявити і локалізувати проблеми. Необхідно розуміти, як вирішуються питання безпеки і контролю доступу в організації.

Результати ІТ-аудиту дозволяють оцінити роботу підрядних організацій, виявити наявні недоліки. ІТ-аудит може дати відповідь на питання, коли слід проводити модернізацію обладнання та програмного забезпечення, яким чином обґрунтувати її необхідність, як встановити єдину систему управління і моніторингу інформаційної системи і які вигоди вона надасть.

Отримані в процесі аудиту дані дозволяють оцінити ризики при розміщенні конфіденційної інформації в інформаційній системі організації і зрозуміти, як ці ризики мінімізувати.

В результаті аудиту можна знайти відповідь на питання, що робити в разі виникнення нештатної ситуації, як знизити вартість володіння інформаційної системи, як оптимально використовувати наявну інформаційну систему при розвитку бізнесу.

ІТ-аудит допоможе керівнику ІТ-служби обґрунтувати керівництву, чому проводиться закупівля додаткового обладнання і оцінити необхідність інвестицій в навчання співробітників ІТ-служби.

Кому це потрібно?

За кордоном потенційним замовником ІТ-аудиту зазвичай є керівництво компанії: саме воно найбільш зацікавлене в його проведенні, так як правильне функціонування ІТ-інфраструктури має колосальний вплив на загальний розвиток бізнесу. У російській практиці найчастіше ініціатива по проведенню ІТ-аудиту виходить від керівника ІТ-департаменту, який зацікавлений в його проведенні, так як позитивні результати безпосередньо впливають на оцінку його діяльності перед керівництвом, а негативні можуть послужити обгрунтуванням для додаткових інвестицій в ІТ.

Наостанок наведемо ряд аргументів, які допоможуть керівнику ІТ-департаменту обґрунтувати перед керівництвом компанії необхідність проведення ІТ-аудиту. ІТ-аудит дозволяє оцінити відповідність інформаційних систем вимогам бізнесу і побудувати довгострокову стратегію розвитку інформаційних технологій. Найчастіше приводом для проведення ІТ-аудиту є необхідність виявити потенційні ризики і вузькі місця в ІТ-інфраструктурі. Тільки ІТ-аудит може підтвердити відповідність систем і бізнес-процесів міжнародним стандартам, що є необхідним для публічних компаній. Потім в результаті ІТ-аудиту може бути отримана оцінка собівартості ІТ-послуг, на підставі якої нескладно зробити висновок про доцільність використання зовнішніх підрядників.

Павло Бєлкін - головний архітектор компанії CompuTel, [email protected]

Кому це потрібно?