Определение и задачи аудита

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых — это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны — это полная замена ИС, что влечет за собой большие капиталовложения, с другой — модернизация ИС. Последний вариант решения этой проблемы — менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.[2]

Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС.

Кроме того возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.

Спектр угроз расширился. Это обусловлено следующими причинами:

· передача информации по сетям общего пользования;

· «информационная война» конкурирующих организаций;

· высокая текучка кадров с низким уровнем порядочности.

 

По данным некоторых западных аналитических агенств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.

Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные из которых:

· идеи;

· знания;

· проекты;

· результаты внутренних обследований.

В настоящее время многие системные интеграторы декларируют поставку полного, законченного решения. К сожалению, в лучшем случае, все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры «остается за кадром» и к решению не прилагается.

Под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе.

Все чаще и чаще к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:

 

· Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций).

· Соответствует ли наша ИС целям и задачам бизнеса?

· Не превратился ли бизнес в придаток информационной системы?

· Как оптимизировать инвестиции в ИС?

· Что происходит внутри этого «черного ящика» — ИС организации?

· Сбои в работе ИС, как выявить и локализовать проблемы?

· Как решаются вопросы безопасности и контроля доступа?

· Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?

· Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?

· Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?

· Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?

· Почему все время производится закупка дополнительного оборудования?

· Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость?

· Какие действия предпринимать в случае возникновения внештатной ситуации?

· Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?

· Как снизить стоимость владения ИС?

· Как оптимально использовать сложившуюся ИС при развитии бизнеса?

 

На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки можно получить достоверную, обоснованную информацию.

Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга — аудит Информационной Системы предприятия.[3]