Определение и задачи аудита
Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.
В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых — это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны — это полная замена ИС, что влечет за собой большие капиталовложения, с другой — модернизация ИС. Последний вариант решения этой проблемы — менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.[2]
Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС.
Кроме того возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.
Спектр угроз расширился. Это обусловлено следующими причинами:
· передача информации по сетям общего пользования;
· «информационная война» конкурирующих организаций;
· высокая текучка кадров с низким уровнем порядочности.
По данным некоторых западных аналитических агенств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.
Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные из которых:
· идеи;
· знания;
· проекты;
· результаты внутренних обследований.
В настоящее время многие системные интеграторы декларируют поставку полного, законченного решения. К сожалению, в лучшем случае, все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры «остается за кадром» и к решению не прилагается.
Под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе.
Все чаще и чаще к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:
· Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций).
· Соответствует ли наша ИС целям и задачам бизнеса?
· Не превратился ли бизнес в придаток информационной системы?
· Как оптимизировать инвестиции в ИС?
· Что происходит внутри этого «черного ящика» — ИС организации?
· Сбои в работе ИС, как выявить и локализовать проблемы?
· Как решаются вопросы безопасности и контроля доступа?
· Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие?
· Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации?
· Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит?
· Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это?
· Почему все время производится закупка дополнительного оборудования?
· Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость?
· Какие действия предпринимать в случае возникновения внештатной ситуации?
· Какие возникают риски при размещении конфиденциальной информации в ИС организации? Как минимизировать эти риски?
· Как снизить стоимость владения ИС?
· Как оптимально использовать сложившуюся ИС при развитии бизнеса?
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Только рассматривая все проблемы в целом, взаимосвязи между ними, учитывая нюансы и недостатки можно получить достоверную, обоснованную информацию.
Для этого в консалтинговых компаниях во всем мире существует определенная специфическая услуга — аудит Информационной Системы предприятия.[3]