Специалисты по аудиту информационных систем в России нужны как никогда

Александр Прохоров

Что такое аудит информационных систем

Аудит информационных систем в России

Доклад MIS Training Institute по вопросам аудита информационных систем

 

Учебный центр «Микроинформ»

Что такое аудит информационных систем

Аудит информационных систем — термин для нас сравнительно новый. Поэтому, прежде чем обратиться к этому понятию, вспомним определения более традиционных видов аудита. При слове «аудит» мы прежде всего представляем проверку финансовой деятельности компаний аудитором. Различают частный аудит и аудит по закону. Частный аудит проводится по запросу, то есть любая фирма может пригласить частного аудитора для проверки своей финансовой деятельности. Аудит по закону — это юридически обоснованная мера. Например, банк, выдающий кредит какой-либо фирме, может потребовать отчета независимого аудитора о финансовом состоянии этой фирмы. Среди наиболее распространенных видов аудита — банковский аудит, то есть комплексная проверка или экспертиза результатов финансово-хозяйственной деятельности банков.

В последнее время функции аудита все больше выходят за рамки проверки финансовой деятельности компании. В обязанность внешних аудиторов входят новые виды экспертизы. Например, операционный аудит предполагает консультирование компании по вопросам управления, оценку эффективности маркетинга, оценку заключенных договоров с точки зрения юридических требований и т.д.

Сегодня ни одно производство, ни одна компания не обходится без информационной системы, причем объектом и результатом труда всего коллектива сотрудников фирм самого разного профиля становится информация. Любая компания ежедневно производит множество самой разнообразной информации. Для эффективного использования информации в организации должны быть внедрены корпоративные стандарты оформления документов, системы коллективной работы, системы документооборота и т.д. Ответ на вопрос, насколько грамотно спланированы все звенья этой работы, и должен дать аудит информационной системы.

Информационные системы стоят больших денег, но попытки сэкономить на грамотном проектировании информационных систем приводят к фатальным результатам.

По данным Gartner Group, средняя компания теряет 2-3% дохода в течение 10 дней после сбоя в работе ИС. На полное восстановление сбоя сети уходит 4,8 дня, после чего компания выходит на прежний уровень рентабельности. Однако 50% компаний, которые не смогли восстановить функциональность в течение этих 10 дней, никогда не выходят на прежний уровень рентабельности, а 93% компаний, игнорирующих планы быстрого восстановления и резервирования данных, в течение 5 лет прекращают свое существование.

Отсутствие стандартов построения и долгосрочных планов развития ИС грозит многим предприятиям огромными финансовыми потерями. ИС требует наличия высокопрофессиональных специалистов, но узкая специализация, в свою очередь, порождает проблемы. Большинство из них возникает именно на стыке технических и управленческих аспектов. Аудит информационных систем как раз и направлен на поиск узких мест, возможных сбоев в работе ИС, а главное — на выяснение причин возникновения этих сбоев.

Таким образом, аудит ИС — это комплексный процесс анализа данных о текущем состоянии информационной системы предприятия, о действиях и событиях, происходящих в ней, который устанавливает уровень их соответствия определенному критерию. Этот процесс завершается предоставлением отчетов, отражающих полную картину ИС руководству.

В начало В начало

Аудит информационных систем в России

Проблематика аудита информационных систем в последнее время все чаще является предметом обсуждения не только специалистов по информационным технологиям, но и широкого круга управленцев, а также клиентов крупных компаний. Особенно остро проблема оптимизации ИС стоит в России, где многие информационные системы развивались стихийно.

Сбои информационной системы возникают в наиболее напряженные, а значит, и в наиболее ответственные моменты. В настоящее время вопросы аудита информационных систем — это уже вопросы доверия той или иной компании. От того, насколько надежно выстроена в компании информационная система, зависит ее привлекательность для потенциальных клиентов.

В России практически нет специалистов в области аудита ИС, а услуги западных компаний весьма дороги. Восполнить данный пробел на российском рынке взялась компания «Микроинформ», которая с сентября этого года начала проводить курсы в области аудита информационных систем. Для того чтобы ознакомить широкую общественность и журналистов с данной деятельностью, 10 сентября «Микроинформ» и MIS Training Institute (мировой лидер в области подготовки специалистов по IT-аудиту) провели бесплатный семинар «Аудит информационных систем: состояние, проблемы, подготовка специалистов», на котором удалось побывать автору данной статьи.

Генеральный директор «Микроинформ» Б.М.Фридман проинформировал участников о старте в России новой образовательной программы международного уровня по аудиту информационных систем от MIS Training Institute.

Компания MIS Training Institute создана в 1978 году. Основные направления ее деятельности — подготовка специалистов в области информационной безопасности и информационного аудита. По данной тематике MIS Training Institute предлагает около 90 различных курсов. Заказчиками MIS Training Institute являются ведущие мировые компании и банки: General Electric, PricewaterhouseCoopers, NASA, IBM, Walt Disney, Johnson&Johnson, Chase Manhattan Bank и многие другие. MIS Training Institute является организатором крупнейших международных конференций по проблемам информационной безопасности.

Учебный Центр «Микроинформ» (Сертифицированный Партнер и представитель в России MIS Training Institute) впервые проводит в России комплексную программу международного уровня по подготовке специалистов аудита информационных систем.

Данные программы являются развитием сотрудничества этих компаний, начатого летом минувшего года. Проведенные в течение 2001-2002 годов в «Микроинформ» сертификационные программы MIS Training Institute для специалистов по информационной безопасности вызвали большой интерес у ведущих российских и иностранных компаний.

В качестве пилотной была выбрана программа IT Audit School («Школа аудита информационных систем»), которая закладывает основу профессиональной квалификации аудитора международного уровня. Курс проводился в Москве 9-13 сентября и собрал много желающих, несмотря на достаточно высокие цены (день обучения — 500 долл.) Курс является базовым для аудиторов информационных систем, а также предназначен для финансовых аудиторов, сотрудников служб внутреннего контроля и аудита, внешних аудиторов.

В ходе этой интенсивной пятидневной программы рассматривались следующие вопросы:

  • идентификация бизнес-рисков, связанных с информационными системами (ИС), и их минимизация;
  • вопросы, касающиеся инфраструктуры ИС, включая аппаратные средства и операционные системы, процесс трансляции и анализ рисков;
  • среда контроля ИС (информационная безопасность, организация и управление ИС, сопровождение и поддержка систем);
  • необходимые знания о базах данных, распределенных системах, сетях, Интернете и электронной коммерции.
В начало В начало

Доклад MIS Training Institute по вопросам аудита информационных систем

На семинаре выступил Фрэд Рот — ведущий инструктор MIS Training Institute по тематике аудита информационных систем. В своем докладе г-н Рот привел краткий обзор состояния данной проблемы в мире, остановился на основных направлениях работ в этой области, уделил особое внимание вопросам подготовки специалистов по аудиту информационных систем в России.

Со ссылкой на опрос Infoworld IT Security Survey г-н Рот привел данные (рис. 1), свидетельствующие о том, что развитие ИС в мире в существенной мере тормозится именно опасениями в связи с недостаточной безопасностью информационных технологий. Цифры показывают, что более всего респонденты обеспокоены недостаточной безопасностью, связанной с Web-сервисами, с передачей информации по беспроводным каналам и с электронной коммерцией (B2B и B2C). Безопасность систем класса Entrprise Applications (здесь речь идет прежде всего о продуктах таких компаний, как SAP, People Soft, BAAN) вызывает беспокойство только 7% опрошенных, причем следует подчеркнуть, что наличие подобных систем существенно упрощает проведение ИС-аудита. Говоря о соотношении опасений и реальных случаев возникновения проблем в ИС по причине их недостаточной безопасности, Фрэд Рот привел соответствующие данные (рис. 2). Информационные системы большинства компаний сталкиваются с внедрением вирусов.

В докладе г-на Рота были также приведены данные о тех мероприятиях, которые планируются компаниями, принявшими участие в опросе Infoworld IT Security Survey, по увеличению безопасности ИС (рис. 3). Более половины компаний связывают меры по усилению безопасности своих ИС с внедрением виртуальных частных сетей, а 37% опрошенных собираются прибегнуть к консалтингу и обучению своих специалистов. Последние цифры свидетельствуют о потенциально высокой актуальности аудита ИС, так как постоянное проведение аудита гарантирует стабильность функционирования информационных систем.

В докладе были изложены основные понятия аудита ИС и принципы его проведения. Докладчик остановился на вопросах структуры аудита ИС (рис. 4). Вопросы финансового аудита и аудита ИС смыкаются в области решения проблем оптимизации работы приложений ИС. Помимо вопросов безопасности проведение аудита ИС поможет решить ряд важных задач: определить соответствие существующей ИС целям и задачам бизнеса, вычислить оптимальность инвестиций в ИС, снизить расходы на обслуживание.

Процесс аудита информационных систем можно представить в виде своеобразных весов (рис. 5), где на одной чаше рассматриваются системы безопасности доступа, на другой — контроль бизнес-процессов, а в качестве опоры служит техническая инфраструктура, которая, в свою очередь, основана на принятых методах авторизации, конфигурации системы, а также на политиках и процедурах, принятых в компании.

Основные направления контроля при аудите ИС включают изучение корпоративных стандартов, анализ рабочих процессов компании, анализ схемы сети и сетевого трафика в различных сегментах сети, анализ бизнес-процессов и целый круг других вопросов (рис. 6).

После проведения аудита ИС заказчик получает информацию об источниках и величине потерь организации. Аудит позволяет определить эффективность корпоративных стандартов, найти пути их улучшения, оценить величину затрат на внедрение и поддержание более эффективных корпоративных стандартов и выявить эффективность их применения. Эта информация позволяет определить причины и источники возникновения сбоев и наладить процессы поддержки так, чтобы возникающие сбои были легко устраняемы. По результатам аудита ИС могут быть разработаны и корпоративные стандарты, внедрение которых значительно повышает надежность функционирования информационных систем.

КомпьютерПресс 11'2002


Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует