Специалисты по аудиту информационных систем в России нужны как никогда
Что такое аудит информационных систем
Аудит информационных систем в России
Доклад MIS Training Institute по вопросам аудита информационных систем
Что такое аудит информационных систем
удит
информационных систем — термин для нас сравнительно новый. Поэтому, прежде чем
обратиться к этому понятию, вспомним определения более традиционных видов аудита.
При слове «аудит» мы прежде всего представляем проверку финансовой деятельности
компаний аудитором. Различают частный аудит и аудит по закону. Частный аудит
проводится по запросу, то есть любая фирма может пригласить частного аудитора
для проверки своей финансовой деятельности. Аудит по закону — это юридически
обоснованная мера. Например, банк, выдающий кредит какой-либо фирме, может потребовать
отчета независимого аудитора о финансовом состоянии этой фирмы. Среди наиболее
распространенных видов аудита — банковский аудит, то есть комплексная проверка
или экспертиза результатов финансово-хозяйственной деятельности банков.
В последнее время функции аудита все больше выходят за рамки проверки финансовой деятельности компании. В обязанность внешних аудиторов входят новые виды экспертизы. Например, операционный аудит предполагает консультирование компании по вопросам управления, оценку эффективности маркетинга, оценку заключенных договоров с точки зрения юридических требований и т.д.
Сегодня ни одно производство, ни одна компания не обходится без информационной системы, причем объектом и результатом труда всего коллектива сотрудников фирм самого разного профиля становится информация. Любая компания ежедневно производит множество самой разнообразной информации. Для эффективного использования информации в организации должны быть внедрены корпоративные стандарты оформления документов, системы коллективной работы, системы документооборота и т.д. Ответ на вопрос, насколько грамотно спланированы все звенья этой работы, и должен дать аудит информационной системы.
Информационные системы стоят больших денег, но попытки сэкономить на грамотном проектировании информационных систем приводят к фатальным результатам.
По данным Gartner Group, средняя компания теряет 2-3% дохода в течение 10 дней после сбоя в работе ИС. На полное восстановление сбоя сети уходит 4,8 дня, после чего компания выходит на прежний уровень рентабельности. Однако 50% компаний, которые не смогли восстановить функциональность в течение этих 10 дней, никогда не выходят на прежний уровень рентабельности, а 93% компаний, игнорирующих планы быстрого восстановления и резервирования данных, в течение 5 лет прекращают свое существование.
Отсутствие стандартов построения и долгосрочных планов развития ИС грозит многим предприятиям огромными финансовыми потерями. ИС требует наличия высокопрофессиональных специалистов, но узкая специализация, в свою очередь, порождает проблемы. Большинство из них возникает именно на стыке технических и управленческих аспектов. Аудит информационных систем как раз и направлен на поиск узких мест, возможных сбоев в работе ИС, а главное — на выяснение причин возникновения этих сбоев.
Таким образом, аудит ИС — это комплексный процесс анализа данных о текущем состоянии информационной системы предприятия, о действиях и событиях, происходящих в ней, который устанавливает уровень их соответствия определенному критерию. Этот процесс завершается предоставлением отчетов, отражающих полную картину ИС руководству.
 |
|
Аудит информационных систем в России
роблематика
аудита информационных систем в последнее время все чаще является предметом обсуждения
не только специалистов по информационным технологиям, но и широкого круга управленцев,
а также клиентов крупных компаний. Особенно остро проблема оптимизации ИС стоит
в России, где многие информационные системы развивались стихийно.
Сбои информационной системы возникают в наиболее напряженные, а значит, и в наиболее ответственные моменты. В настоящее время вопросы аудита информационных систем — это уже вопросы доверия той или иной компании. От того, насколько надежно выстроена в компании информационная система, зависит ее привлекательность для потенциальных клиентов.
В России практически нет специалистов в области аудита ИС, а услуги западных компаний весьма дороги. Восполнить данный пробел на российском рынке взялась компания «Микроинформ», которая с сентября этого года начала проводить курсы в области аудита информационных систем. Для того чтобы ознакомить широкую общественность и журналистов с данной деятельностью, 10 сентября «Микроинформ» и MIS Training Institute (мировой лидер в области подготовки специалистов по IT-аудиту) провели бесплатный семинар «Аудит информационных систем: состояние, проблемы, подготовка специалистов», на котором удалось побывать автору данной статьи.
Генеральный директор «Микроинформ» Б.М.Фридман проинформировал участников о старте в России новой образовательной программы международного уровня по аудиту информационных систем от MIS Training Institute.
Компания MIS Training Institute создана в 1978 году. Основные направления ее деятельности — подготовка специалистов в области информационной безопасности и информационного аудита. По данной тематике MIS Training Institute предлагает около 90 различных курсов. Заказчиками MIS Training Institute являются ведущие мировые компании и банки: General Electric, PricewaterhouseCoopers, NASA, IBM, Walt Disney, Johnson&Johnson, Chase Manhattan Bank и многие другие. MIS Training Institute является организатором крупнейших международных конференций по проблемам информационной безопасности.
Учебный Центр «Микроинформ» (Сертифицированный Партнер и представитель в России MIS Training Institute) впервые проводит в России комплексную программу международного уровня по подготовке специалистов аудита информационных систем.
Данные программы являются развитием сотрудничества этих компаний, начатого летом минувшего года. Проведенные в течение 2001-2002 годов в «Микроинформ» сертификационные программы MIS Training Institute для специалистов по информационной безопасности вызвали большой интерес у ведущих российских и иностранных компаний.
В качестве пилотной была выбрана программа IT Audit School («Школа аудита информационных систем»), которая закладывает основу профессиональной квалификации аудитора международного уровня. Курс проводился в Москве 9-13 сентября и собрал много желающих, несмотря на достаточно высокие цены (день обучения — 500 долл.) Курс является базовым для аудиторов информационных систем, а также предназначен для финансовых аудиторов, сотрудников служб внутреннего контроля и аудита, внешних аудиторов.
В ходе этой интенсивной пятидневной программы рассматривались следующие вопросы:
- идентификация бизнес-рисков, связанных с информационными системами (ИС), и их минимизация;
- вопросы, касающиеся инфраструктуры ИС, включая аппаратные средства и операционные системы, процесс трансляции и анализ рисков;
- среда контроля ИС (информационная безопасность, организация и управление ИС, сопровождение и поддержка систем);
- необходимые знания о базах данных, распределенных системах, сетях, Интернете и электронной коммерции.
|
|
Доклад MIS Training Institute по вопросам аудита информационных систем
а
семинаре выступил Фрэд Рот — ведущий инструктор MIS Training Institute по тематике
аудита информационных систем. В своем докладе г-н Рот привел краткий обзор состояния
данной проблемы в мире, остановился на основных направлениях работ в этой области,
уделил особое внимание вопросам подготовки специалистов по аудиту информационных
систем в России.
Со ссылкой на опрос Infoworld IT Security Survey г-н Рот привел данные (рис.
1), свидетельствующие о том, что развитие ИС в мире в существенной мере
тормозится именно опасениями в связи с недостаточной безопасностью информационных
технологий. Цифры показывают, что более всего респонденты обеспокоены недостаточной
безопасностью, связанной с Web-сервисами, с передачей информации по беспроводным
каналам и с электронной коммерцией (B2B и B2C). Безопасность систем класса Entrprise
Applications (здесь речь идет прежде всего о продуктах таких компаний, как SAP,
People Soft, BAAN) вызывает беспокойство только 7% опрошенных, причем следует
подчеркнуть, что наличие подобных систем существенно упрощает проведение ИС-аудита.
Говоря о соотношении опасений и реальных случаев возникновения проблем в ИС
по причине их недостаточной безопасности, Фрэд Рот привел соответствующие данные
(рис. 2). Информационные системы большинства компаний сталкиваются
с внедрением вирусов. 
В докладе г-на Рота были также приведены данные о тех мероприятиях, которые планируются компаниями, принявшими участие в опросе Infoworld IT Security Survey, по увеличению безопасности ИС (рис. 3). Более половины компаний связывают меры по усилению безопасности своих ИС с внедрением виртуальных частных сетей, а 37% опрошенных собираются прибегнуть к консалтингу и обучению своих специалистов. Последние цифры свидетельствуют о потенциально высокой актуальности аудита ИС, так как постоянное проведение аудита гарантирует стабильность функционирования информационных систем.
В докладе были изложены основные понятия аудита ИС и принципы его проведения. Докладчик остановился на вопросах структуры аудита ИС (рис. 4). Вопросы финансового аудита и аудита ИС смыкаются в области решения проблем оптимизации работы приложений ИС. Помимо вопросов безопасности проведение аудита ИС поможет решить ряд важных задач: определить соответствие существующей ИС целям и задачам бизнеса, вычислить оптимальность инвестиций в ИС, снизить расходы на обслуживание.
Процесс аудита информационных систем можно представить в виде своеобразных весов (рис. 5), где на одной чаше рассматриваются системы безопасности доступа, на другой — контроль бизнес-процессов, а в качестве опоры служит техническая инфраструктура, которая, в свою очередь, основана на принятых методах авторизации, конфигурации системы, а также на политиках и процедурах, принятых в компании.
Основные направления контроля при аудите ИС включают изучение корпоративных стандартов, анализ рабочих процессов компании, анализ схемы сети и сетевого трафика в различных сегментах сети, анализ бизнес-процессов и целый круг других вопросов (рис. 6).
После проведения аудита ИС заказчик получает информацию об источниках и величине потерь организации. Аудит позволяет определить эффективность корпоративных стандартов, найти пути их улучшения, оценить величину затрат на внедрение и поддержание более эффективных корпоративных стандартов и выявить эффективность их применения. Эта информация позволяет определить причины и источники возникновения сбоев и наладить процессы поддержки так, чтобы возникающие сбои были легко устраняемы. По результатам аудита ИС могут быть разработаны и корпоративные стандарты, внедрение которых значительно повышает надежность функционирования информационных систем.
КомпьютерПресс 11'2002
