Основные этапы аудита информационных систем предприятия
Работы по аудиту ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя следующее:
· инициирование процедуры аудита;
· сбор информации аудита;
· анализ данных аудита;
· выработка рекомендаций;
· подготовка аудиторского отчета;
· инициирование процедуры аудита.
Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании является необходимым условием для проведения аудита.
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора, оказываются задействованными представители большинства структурных подразделений компании. Действия всех участников этого процесса должны быть скоординированы. Поэтому на этапе инициирования процедуры аудита должны быть решены следующие организационные вопросы:
Ø права и обязанности аудитора должны быть четко определены и документально закреплены в его должностных инструкциях, а также в положении о внутреннем (внешнем) аудите;
Ø аудитором должен быть подготовлен и согласован с руководством план проведения аудита;
Ø в положении о внутреннем аудите должно быть закреплено, в частности, что сотрудники компании обязаны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.[18]
Инициирование процедуры аудита
На этапе инициирования процедуры аудита должны быть определены границы проведения обследования. Одни информационные подсистемы компании не являются достаточно критичными и их можно исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для аудита из-за соображений конфиденциальности.
Границы проведения обследования определяются в следующих терминах:
· Список обследуемых физических, программных и информационных ресурсов;
· Площадки (помещения), попадающие в границы обследования;
· Основные виды угроз безопасности, рассматриваемые при проведении аудита;
Организационные (законодательные, административные и процедурные), физические, программно-технические и прочие аспекты обеспечения безопасности, которые необходимо учесть в ходе проведения обследования, и их приоритеты (в каком объеме они должны быть учтены).
План и границы проведения аудита обсуждается на рабочем собрании, в котором участвуют аудиторы, руководство компании и руководители структурных подразделений.[13]
Сбор информации аудита
Этап сбора информации аудита, является наиболее сложным и длительным. Это связано с отсутствием необходимой документации на информационную систему и с необходимостью плотного взаимодействия аудитора со многими должностными лицами организации.
Компетентные выводы относительно положения дел в компании могут быть сделаны аудитором только при условии наличия всех необходимых исходных данных для анализа. Получение информации об организации, функционировании и текущем состоянии ИС осуществляется аудитором в ходе специально организованных интервью с ответственными лицами компании, путем изучения технической и организационно-распорядительной документации, а также исследования ИС с использованием специализированного программного инструментария. Остановимся на том, какая информация необходима аудитору для анализа.
Первый пункт аудиторского обследования начинается с получения информации об организационной структуре пользователей ИС и обслуживающих подразделений. В связи с этим аудитору требуется следующая документация:
· Схема организационной структуры пользователей;
· Схема организационной структуры обслуживающих подразделений.
На следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым примерно следующие вопросы:
· Какие услуги и каким образом предоставляются конечным пользователям?
· Какие основные виды приложений, функционирует в ИС?
· Количество и виды пользователей, использующих эти приложения?
Ему понадобиться также следующая документация, конечно, если таковая вообще имеется в наличие (что, вообще говоря, случается нечасто):
· Функциональные схемы;
· Описание автоматизированных функций;
· Описание основных технических решений;
· Другая проектная и рабочая документация на информационную систему.
Далее, аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью, включают в себя:
· Из каких компонентов (подсистем) состоит ИС?
· Функциональность отдельных компонент?
· Где проходят границы системы?
· Какие точки входа имеются?
· Как ИС взаимодействует с другими системами?
· Какие каналы связи используются для взаимодействия с другими ИС?
· Какие каналы связи используются для взаимодействия между компонентами системы?
· По каким протоколам осуществляется взаимодействие?
· Какие программно-технические платформы используются при построении системы?
На этом этапе аудитору необходимо запастись следующей документацией:
· Структурная схема ИС;
· Схема информационных потоков;
· Описание структуры комплекса технических средств информационной системы;
· Описание структуры программного обеспечения;
· Описание структуры информационного обеспечения;
· Размещение компонентов информационной системы.
Подготовка значительной части документации на ИС, обычно, осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу.
Анализ данных аудита
Используемые аудиторами методы анализа данных определяются выбранными подходами к проведению аудита, которые могут существенно различаться.
Первый подход, самый сложный, базируется на анализе рисков. Опираясь на методы анализа рисков, аудитор определяет для обследуемой ИС индивидуальный набор требований, в наибольшей степени учитывающий особенности данной ИС, среды ее функционирования. Данный подход является наиболее трудоемким и требует наивысшей квалификации аудитора. На качество результатов аудита, в этом случае, сильно влияет используемая методология анализа и управления рисками и ее применимость к данному типу ИС.
Второй подход, самый практичный, опирается на использование стандартов. Стандарты определяют базовый набор требований для широкого класса ИС, который формируется в результате обобщения мировой практики. Стандарты могут определять разные наборы требований, в зависимости от уровня защищенности ИС, который требуется обеспечить, ее принадлежности (коммерческая организация, либо государственное учреждение), а также назначения (финансы, промышленности, связь и т.п.). От аудитора в данном случае требуется правильно определить набор требований стандарта, соответствие которым требуется обеспечить для данной ИС. Необходима также методика, позволяющая оценить это соответствие. Из-за своей простоты (стандартный набор требований для проведения аудита уже заранее определен стандартом) и надежности (стандарт - есть стандарт и его требования никто не попытается оспорить), описанный подход наиболее распространен на практике (особенно при проведении внешнего аудита). Он позволяет при минимальных затратах ресурсов делать обоснованные выводы о состоянии ИС.
Третий подход, наиболее эффективный, предполагает комбинирование первых двух. Базовый набор требований, предъявляемых к ИС, определяется стандартом. Дополнительные требования, в максимальной степени учитывающие особенности функционирования данной ИС, формируются на основе анализа рисков. Этот подход является намного проще первого, т.к. большая часть требований уже определена стандартом, и, в то же время, он лишен недостатка второго подхода, заключающего в том, что требования стандарта могут не учитывать специфики обследуемой ИС.