Аудит ИТ-инфраструктуры

А. А. Степанова
А. И. Уринцов
О. В. Староверова




Аудит ИТ-инфраструктуры













^ИНТУИТ
  / НАЦИОНАЛЬНЫЙ ОТКРЫТЫЙ УНИВЕРСИТЕТ

С.ИНТУ ИТ

    У НАЦИОНАЛЬНЫЙ ОТКРЫТЫЙ УНИВЕРСИТЕТ


Аудит ИТ-инфраструктуры
2-е издание, исправленное

В. Староверова О.
И. Уринцов А.
А. Степанова А.



Национальный Открытый Университет “ИНТУИТ”
2016

2

Аудит ИТ-инфраструктуры/ О. В. Староверова, А. И. Уринцов, А. А. Степанова - М.: Национальный Открытый Университет “ИНТУИТ”, 2016
В курсе рассказывается о принципах аудита, как проводить экспертную оценку, характеризующую текущее здоровье ИТ-инфраструктуры компании, как найти слабые и небезопасные места и дать рекомендации по модернизации.
Курс направлен на формирование у обучающихся представления об аудите информационной инфраструктуры хозяйствующих субъектов. Изучение данной дисциплины позволит студентам сформировать знания об инструментах и технологиях аудита информационной инфраструктуры, которые могут применять в своей деятельности как внешние, так и внутренние аудиторы, знать сущность основных теорий и принципов аудита информационной инфраструктуры в организации; стратегические, тактические и оперативные процессы управления организацией и аудита информационной системы.
(c) ООО “ИНТУИТ.РУ”, 2020-2016
(c) В. Староверова О., И. Уринцов А., А. Степанова А., 2020-2016

3

                Основные понятия и концепция аудита информационных систем




ОСНОВНЫЕ ПОНЯТИЯ И КОНЦЕПЦИЯ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ

ссылка: Презентация к лекции 1 - http://old.intuit.ru/department/itmngt/itiaudit/1/audit-1.pdf

Аудит — Что такое аудит? Что под этим термином понимается? Определений как таковых много, на мой взгляд, наиболее лаконичным и верным по сути является трактовка Комитета Американской бухгалтерской ассоциации по основным концепциям учета: “Аудит — это системный процесс получения и оценки объективных данных об экономических действиях и событиях, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заинтересованным пользователям”.

Информационная инфраструктура - это прежде всего отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, протекающих в информационной системе.

Аудит информационной системы (ИС) - это системный процесс получения и оценки объективных данных о текущем состоянии информационной системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.

Стандарт аудита — нормативно-технический документ (или эталон, модель, которая является отправной точкой), устанавливающий комплекс требований и правил к объекту аудита, квалификации исполнителей, организации аудита, методическим приемам анализа документации и представлению аудиторского заключения в предметной области и т.д.

Методика аудита — совокупность теоретических и практических способов проведения аудита, разработанные аудитором на базе стандартизированных правил и норм проведения аудита в предметной области, в определенной степени, на основе личного профессионального опыта.

Информационно-коммуникационные технологии — совокупность методов, производственных процессов и программно-технических средств, интегрированных с целью сбора, обработки, хранения, распространения, отображения и использования информации в интересах ее пользователей.

Информационные системы — организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

ISACA


4

Information Systems Audit and Control Association или Ассоциация Аудита и Контроля Информационных Систем (ISACA) была основана в 1969 году для финансовых аудиторов в контроле ИТ. Ассоциация Аудита и Контроля Информационных Систем является ведущей мировой профессиональной организацией с представительствами в более чем 100 странах мира и охватывает все уровни ИТ:

  • Организации;
  • Управления;
  • Практического применения.

COBIT

Control Objectives for Information and Related Technologies или же Контрольные Объекты для Информационных и смежных Технологий. За этой аббревиатурой скрывается набор документов, в которых изложены принципы управления и аудита информационных технологий. CobiT позиционируется как открытый стандарт “де-факто”, в настоящее время переживающий свое третье издание.

В состав стандарта входят шесть книг, ориентированных на разные аудитории:

  1. Резюме для руководителя. Описание стандарта CobiT, ориентированное на топ-менеджеров организации для принятия ими решения о применимости стандарта в конкретной организации. С переводом этой книги на русский язык Вы можете ознакомиться: http://www.isaca.ru
  2. Описание структуры. Книга содержит развернутое описание структуры стандарта, высокоуровневых целей контроля и пояснения к ним, необходимые для эффективной навигации и результативной работы со стандартом.
  3. Объекты контроля. В книгу включены детальные описания объектов контроля, содержащие расшифровку каждого из объектов.
  4. Принципы управления. Книга отвечает на вопросы как управлять ИТ, как правильно поставить достижимую цель, как ее достичь и как проконтролировать полноту ее достижения. Предназначена для руководителей ИТ-служб.
  5. Принципы аудита. Правила проведения ИТ-аудита. Описание того, у кого можно получить необходимую информацию, как ее проверить, какие вопросы задавать? Книга предназначена для внутренних и внешних аудиторов ИТ, а также консультантов в сфере ИТ.
  6. Набор инструментов внедрения стандарта — практические советы по ежедневному использованию стандарта в управлении и аудите ИТ. Книга предназначена для внутренних и внешних аудиторов ИТ, консультантов в сфере ИТ.


5

Модель процессов, выстраиваемая на базе CobiT, предпочтительней других подходов, в основе которых не лежат бизнес-процессы организации (методики и стандарты аудита производителей программно-аппаратных средств), по нескольким причинам:


  1. По определению: процесс — это действие, направленное на достижение результата, при оптимальном использовании ресурсов, и которое может корректироваться при его выполнении. При выполнении процесса все задействованные ресурсы структурируются и выстраиваются таким образом, чтобы максимально эффективно выполнять этот процесс.
  2. Во-вторых, процессы в подавляющем большинстве организаций, а особенно их цели не так часто изменяются, по сравнению с организационными объектами (организационно-штатная структура: сотрудники, отделы, департаменты и т.д.).
  3. В-третьих, развертывание информационной системы или внедрение информационных технологий не может быть ограничено спецификой одного отдела или департамента, а затрагивает руководителей, пользователей из других подразделений и ИТ-специалистов.


ОСНОВА COBIT. РАЗДЕЛЕНИЕ COBIT НА УПРАВЛЕНИЕ И АУДИТ

В основу стандарта CobiT положено следующее утверждение: для предоставления информации, необходимой организации для достижения ее целей, ресурсы ИТ должны управляться набором естественно сгруппированных процессов.


6

Для этого CobiT выделяет 34 высокоуровневые цели контроля, по одной на каждый ИТ- процесс, которые сгруппированы в 4 домена: Планирование и Организация; Проектирование и Внедрение; Эксплуатация и Сопровождение; Мониторинг. Предлагаемая структура объединяет все аспекты информации и технологий, поддерживающих ее. Применяя 34 высокоуровневые цели контроля, руководитель может быть уверен, что ему будет предоставлена адекватная система контроля над ИТ-средой, которая учитывает задействованные ресурсы ИТ, дающая возможность оценить ИТ по предлагаемым CobiT семи критериям оценки информации.



БИЗНЕС ПРОЦЕССЫ

ИТ РЕСУРСЫ

Информационные
Критерии


           - Эффективность
           ■ Продуктивность
           - Конфиденциальность
           - Целостность
           - Пригодность
           - Согласованность
           - Надежность

Люди
Приложения Технологии Оборудования
Данные

Ресурсы ИТ в CobiT описаны пятью составляющими:


  1. Данные — объекты в широком смысле (то есть внутренние и внешние), структурированные и неструктурированные, а также графика, звук и т.д.
  2. Приложения — совокупность автоматизированных и выполняемых вручную

7