It аудит компании. Программы по аудиту. Полное исследование сети

Отправить заявку

Если на предприятии зародилась мысль о том, что было бы неплохо автоматизировать ту или иную часть бизнес-процессов, то первым шагом должен стать ИТ-аудит – независимый анализ соответствия IT-системы предприятия установленным стандартам и критериям.

Проведение ИТ-аудита предприятия – это неотъемлемая часть автоматизации. Именно предпроектный анализ позволяет понять, какие участки бизнеса требуют автоматизации, а усовершенствование каких не приведет к положительному результату.

Основными направлениями ИТ-аудита являются:

  • технологическая инфраструктура;
  • информационная безопасность предприятия;
  • информационные системы;
  • ИТ-подразделение.

Основные задачи ИТ-аудита

Основной задачей информационного аудита являются организация и осуществление контроля над работой технологической базы предприятия. Помимо этого, можно выделить следующие задачи:

  • помощь в подготовке
    документов;
  • предотвращение и устранение
    сбоев в системе;
  • контроль над рисками ИТ;
  • помощь в правильном
    управлении компанией.

Итоги предпроектного ИТ-анализа инфраструктуры предприятия:

  • Вы наверняка знаете, что планируете автоматизировать.
  • Вы знаете, сколько примерно времени потребует автоматизация.
  • После предпроектного обследования можно приступать к разработке Технического задания для создания системы.
  • Вы знаете, примерно в какую сумму обойдется автоматизация предприятия.
  • Самое главное – Вы точно знаете, что даст автоматизация и оправдана ли она экономически!

В случае, если на Вашем предприятии уже есть ИТ-инфраструктура, и Вы планируете ее расширять, то предпроектный IT-аудит поможет оценить адекватность использования тех или иных решений, укажет на потенциальные проблемы при внедрении новых информационных систем.

Учитывая то, что в современных условиях автоматизация бизнеса играет большую роль для его конкурентоспособности и стабильного развития, а также то, что постоянное совершенствование технологий и программных решений, на основе которых осуществляется автоматизация предприятия, значительные средства, вложения которых требует автоматизация бизнеса на стадии внедрения и эксплуатации, особое значение приобретает анализ и контроль руководством компании состояния ее IT-инфраструктуры.

Виды ИТ-аудита

Специалисты нашей компании готовы провести ИТ-аудит следующих видов:

Тип

Описание

Аудит ИТ-инфраструктуры

Выявление износа оборудования, поиск слабых мест и определение их критичности для бизнеса.

Анализ компетенции ИТ-персонала

Интервьюирование системных администраторов, описание компетенций и рисков.

Опрос удовлетворенности пользователей

Анализ жалоб и пожеланий пользователей и выявление на их основе слабых мест в коммуникациях технического персонала с пользователями.

Проверка SLA

Анализ соглашения об уровне услуг, качества его исполнения (на основе практик ITIL), его составление (при отсутствии).

Аудит информационной безопасности

Предоставление полноценного отчета согласно стандартам ISO/IEC 27001.

Отчет о возможных рисках

Составляется при внедрении риск-менеджмента на предприятии.

Обоснование затрат в ИТ

Анализ прямых и косвенных расходов на ИТ-инфраструктуру, структурирование и предоставление рекомендаций.

Как мы работаем?

Что необходимо?Выяснение целей Подбор опций для ИТ аудита

Делаем
Выполнение работ

Показываем Презентация
результатов

Исправляем?
Разработка плана мероприятий Реализация плана

Что является итогом IT-аудита?

  1. Вы получаете аудиторское заключение
    по текущему состоянию
    ИТ-инфраструктуры вашей компании.
  2. Предоставляется план для развития
    ИТ компании на 1–3 года.
  3. По предоставленному плану
    проводится детальная проработка.

Между тем, вполне очевидно, что далеко не каждый руководитель может составить объективную и адекватную оценку по данному вопросу. В связи с этим можно говорить о главной функции, исполнение которой возлагается на независимых специалистов, выполняющих IT-аудит: предоставление менеджменту компании объективного отчета о том, насколько правильно осуществлена разработка баз данных, составляющих основу информационной системы, насколько эффективно осуществлена автоматизация производственных процессов и управления компанией. Также одним из главных вопросов, ответ на который должен дать IT-аудит, является то, насколько реализованные решения в области информационных технологий соответствуют бизнесу компании и стоящим перед ней задачам. В конечном итоге ИТ-аудит инфраструктуры дает оценку эффективности инвестиций средств, вложенных в автоматизацию, возможных путей, с помощью которых эта автоматизация может быть оптимизирована.

Почему стоит заказать IT-аудит?

Реальную картину текущего состояния программно-цифрового и аппаратного обеспечения предприятия могут дать только независимые специалисты. Собственные сотрудники не всегда объективны при анализе ИТ, поскольку могут иметь определенную личную заинтересованность с целью:


  • скрыть недостатки в собственной работе;
  • получить выгоду при покупке программно-аппаратных компонентов у определенных поставщиков – даже если необходимость приобретения неочевидна или отсутствует.

В случае независимого аудита ИТ-инфраструктуры подобные нюансы исключены. Специалисты комплексно оценивают состояние корпоративной сети, рабочих станций и коммуникационного оборудования и дают объективное заключение с конкретными рекомендациями.

Особую актуальность анализ ИТ-инфраструктуры приобретает в связи с расширением бизнеса. Необходимо заранее предусмотреть и сформулировать требования к ее будущей производительности, а также уровню безопасности, надежности и безотказности с учетом возросших нагрузок.

Поэтому в развитых европейских странах, например, анализ ИТ предприятия считается обязательным мероприятием, поведение которого осуществляется с определенной периодичностью. В нашей же стране IT-аудит инфраструктуры заказывается главным образом в качестве предварительных работ по созданию новой или комплексной модернизации и оптимизации существующей информационной инфраструктуры компании. В данном случае это является действительно необходимым мероприятием, поскольку именно ИТ-аудит позволяет определить основные критерии и требования, которым должна соответствовать эффективная автоматизация бизнеса в каждом конкретном случае. Именно эти данные становятся основой разработки конфигурации будущей системы, дают возможность предложить и согласовать с заказчиком возможные варианты. В связи с этим оптимальным решением можно считать, если IT-аудит и автоматизация инфраструктуры предприятия будут выполняться одним исполнителем, что позволит обеспечить индивидуальный и комплексный подход к решению этой задачи.

Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. В этой связи аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решений по управлению ИТ.

Цели и задачи аудита ИТ

Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:

  • осуществляют оценку рисков ИТ;
  • содействуют предотвращению и смягчению сбоев ИС;
  • участвуют в управлении рисками ИТ;
  • помогают подготавливать нормативные документы;
  • помогают связать бизнес-риски и средства автоматизированного контроля;
  • осуществляют проведение периодических проверок;
  • содействуют ИТ-менеджерам в правильной организации управления ИТ;
  • осуществляют «взгляд со стороны».

Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности системы внутреннего контроля ИТ.

Виды услуг по аудиту ИТ на российском рынке

На Российском рынке в настоящее время можно выделить 6 видов услуг по аудиту ИТ:

  • Обследование ИТ.
  • Экспертная оценка ИТ.
  • Технический аудит ИТ.
  • Аудит ИТ бизнес-процесса.
  • Аудит критерия ИТ.
  • Комплексный аудит ИТ.

Обследование ИТ - частный случай аудита ИТ. Это обычная инвентаризация - сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.

Экспертная оценка ИТ – это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:

  • оценка ИТ-проектов или проектных решений;
  • оценка обоснованности инвестиций в ИТ;
  • оценка стоимости ИТ-составляющей компании;
  • оценка текущих ИТ-проектов;
  • оценка возможности перепрофилирования ИТ-инфраструктуры;
  • оценка организации эксплуатации ИТ;
  • оценка подготовки пользователей.

Технический аудит ИТ – это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.

Аудит ИТ бизнес-процесса – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.

При проведении аудита ИТ бизнес-процесса, как правило, выполняется:

  • определение ответственного за процесс;
  • определение пользователей и участников бизнес-процесса;
  • выявление применяемого оборудования и программ;
  • оценка действий обслуживающего персонала и пользователей;
  • анализ проектных и регламентирующих документов.

Аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.

Комплексный аудит ИТ – это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.

Стандарты ИТ-аудита

Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Из зарубежных источников можно отметить международный стандарт аудита CobiT, ISA 401, положения по международной практике аудита 1002, 1003,1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.

Основные этапы проведения аудита

В обобщенном виде ИТ-аудит проводится в два этапа:

  • этап "Планирование ИТ-аудита".
  • этап "Проведение ИТ-аудита".

На этапе "Планирования ИТ-аудита":

  • Анализируются:
    • структура бизнес-процессов;
    • платформы и структура информационных систем, поддерживающих бизнес-процессы;
    • структура ролей и распределения ответственности, включая аутсорсинг;
    • бизнес-риски и бизнес-стратегия.
  • Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.
  • Идентифицируются ИТ-риски.
  • Оценивается общий уровень контроля рассматриваемых бизнес-процессов.
  • На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.

На этапе "Проведения ИТ-аудита" выполняются следующие виды работ:

  • Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);
  • Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;
  • Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);
  • Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.

Результаты проведения ИТ-аудита

Результаты ИТ-аудита компании классифицируются на три группы:

  • Организационные – планирование, управление, документооборот функционирования ИС.
  • Технические – сбои, неисправности, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т.д
  • Методологические – подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.

Проведенный ИТ-аудит позволит обоснованно создать следующие документы:

  • Основные документы:
  • Отчет о результатах ИТ-аудита компании.
  • Отчет о результатах аудита информационной безопасности компании.
  • Дополнительные документы (документы, которые могут быть разработаны по согласованию сторон в дополнение к основным):
  • Долгосрочный план развития ИТ/ИС;
  • Краткосрочный план развития ИТ/ИС;
  • Отчет о текущем состоянии ИТ/ИС.
  • Техническое задание на изменение ИТ/ИС
  • Методология работы и настройки (доводки) ИТ/ИС компании.
  • Концепция построения политики безопасности ИТ/ИС компании.
  • Политика безопасности ИТ/ИС компании.
  • План восстановления ИТ/ИС в чрезвычайной ситуации.
  • Порядок действий в случае нарушения защиты информации.
  • План-график проведения последующих ИТ-аудитов.

Результатные документы могут иметь сокращенную и полную редакции. Документ в сокращенной редакции – это документ, содержащий основные итоги и рекомедации по тематике ИТ-аудита и предназначенный для топ-менеджеров компании. Документ в полной редакции – это документ с подробным изложением материала, предназначенный для менеджеров среднего звена и ИТ-спецалистов.

Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.

Когда (в каких случаях) эта услуга востребована?

  1. Приобретение бизнеса, либо объединение предприятий (формальное, или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
  2. Перед проведением модернизации ИТ-инфраструктуры предприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
  3. Когда рост бизнеса опережает развитие ИТ . В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
  4. Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита - это самый оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению

Какие преимущества эта услуга дает заказчику?

  1. Упрощение модернизации ИТ-инфраструктуры за счет получения наиболее полной и актуальной информации об имеющихся ИТ-ресурсах.
  2. Получение оценки затрат по модернизации ИТ-инфраструктуры. Знание отражаемых в отчетной документации степени необходимости и прогнозируемых объемов работ, позволяет заказчику принимать обоснованное решение.
  3. Повышение эффективности использования имеющихся ИТ-ресурсов, после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием информационных технологий.
  4. Повышение управляемости ИТ предприятия. Руководство получает необходимую управленческую информацию, необходимую для принятия решений, прогнозирования развития ситуации, управления ИТ. Возрастает эффективность работы ИТ-службы предприятия, сокращается время простоев и количество нештатных ситуаций.
  5. Получение практических рекомендаций по используемым технологиям, оборудованию и его настройкам. Все рекомендации связаны с конкретными проблемами, обнаруженными при проведении аудита, поэтому реализация каждой рекомендации приносит исключительно пользу для компании.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
  2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
  3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение комплексного аудита включает три основных этапа:

  • Сбор данных

Постановка задачи и уточнение границ работ

На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:

  • Уточняются цели и задачи аудита
  • Формируется рабочая группа
  • Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор данных

На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.

Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:

  • Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;
  • Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;
  • Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;
  • Приложения — прикладное программное обеспечение, используемое в работе предприятия;
  • Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;
  • Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.

По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.

Анализ данных и подготовка отчета

На этом этапе выполняются следующие работы:

  • проверка и анализ собранных данных
  • подготовка эксплуатационной документации
  • выработка рекомендаций
  • подготовка отчета об аудите

Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.

На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры

Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.

Этап завершается передачей заказчику разработанных документов.

Результат

Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.

Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.

Добрый день!

Я хотел бы осветить вопрос соблюдения требований к управлению ИТ отдела в рамках внешнего финансового аудита компании. Цель статьи заключается не в описании сопутствующих законов, а в их конкретном влиянии на управление ИТ отдела.

Вероятно, многие из вас уже сталкивались с этими требованиями в виде либо каждодневной рутины, либо авралов в конце календарного года (больше склоняюсь ко-второму), но лично я, кроме упоминаний таких понятий как SOX, HIPAA, SAS 70 (заменен на SSAE 16) и ITGC, не встречал сколько-нибудь исчерпывающего описания этого вопроса.

Не так давно, в рамках своей работы я подготовил презентацию для новых сотрудников, которая дает минимальное представление об этом виде деятельности нашей фирмы. Собственно говоря, сама презентация и сподвигла меня на написание данной статьи. Здесь я хочу заметить, что мой опыт работы на территории стран СНГ весьма ограничен – я больше работаю с международными компаниями.

Если вас интересует данный вопрос, добро пожаловать.

Вступление

Проведу краткий экскурс в историю возникновения этих требований: вследствие финансовых махинаций в нескольких крупных компаниях в начале 2000-ых, президентом США был утвержден закон SOX, касающийся прямой ответственности высшего звена менеджеров за достоверность финансовой отчетности. Поскольку финансовая отчетность в наше время ведется не в амбарных книгах, а в специализированных информационных системах, возникла необходимость удостовериться в том, что на хранящиеся в этих системах финансовые данные можно положиться.

У каждого из вас может возникнуть вопрос, каким образом это касается компании, где вы работаете? В случае если компания котируется на фондовом рынке в США, либо является дочерней для одной из таких компаний, необходимо создать внутренний механизм контроля за работой ИТ отдела. Разумеется, что необходимо создание подобного механизма и в других отделах, но здесь я повторюсь, что целью данной статьи является ИТ отдел.

Итак, каким образом создается такой механизм контроля? Как правило, компания обращается к консалтинговой фирме, которая выступает представителем этой компании в переговорах с аудиторской фирмой, причем в роли консультанта может выступить и другая аудиторская фирма. Консалтинговая компания использует свои наработки, подгоняя их в той или иной степени под каждую конкретную компанию.

Что же это за наработки? По сути, это обычная таблица в Excel, содержащая риски и контроли, скомпонованные по темам, которые я опишу в дальнейшем. Откуда взялись эти риски и контроли? В зависимости от степени самоотверженности сотрудников консалтинговых фирм, начиная с тщательного изучения различных стандартов (COBIT, ITIL, COSO), их последующего анализа и построения своей собственной «библиотеки» рисков и контролей, и заканчивая простым плагиатом, как правило, бывшими сотрудниками крупных фирм, отправившимися в свободное плавание.

Процесс аудита ИТ отдела можно разделить на два отрезка времени. Первый, как правило, протекает поздней весной либо в начале лета, он включает в себя описание ИТ процессов и контролей (заполнение матриц) и требует предоставить минимум один документированный пример для каждого ключевого контроля. По своему опыту могу заявить, что этот этап чрезвычайно важен для самого ИТ отдела – при отсутствии тщательной проверки описанных ИТ процессов и контролей, возможные неточности могут дорого обойтись в будущем. Вторая часть аудита выпадает на осень, и включает в себя тестирование всех ключевых контролей посредством сбора документации по этим контролям.

Здесь требуется небольшое объяснение разницы между обычным и ключевым контролем: обычный контроль вносится в матрицу в виде описания, ключевой же, помимо описания, необходимо протестировать. Как узнать, где необходимо предоставить документацию по контролю, а где можно ограничиться всего лишь упоминанием? Никак. Это обговаривается между посредником и аудитором, на основании размера компании, результатов первой части аудита и т.д. Вместе с тем, по большинству из приведенных ниже контролей, необходимо предоставить документацию.

Перед началом описания процесса аудита я хотел бы упомянуть тему приказов и процедур – необходимо задокументировать все ключевые рабочие процессы ИТ отдела. Эти документы должны быть утверждены руководством компании, периодически пересматриваться и обновляться в случае существенных изменений в процессах либо технологиях.
И еще одно замечание: по возможности предоставляйте списки в формате Excel – этим вы облегчите жизнь и аудиторам, и себе (повторные требования с просьбами предоставить то же самое, но в другом виде могут заставить вас понервничать).

Перейдем к описанию контролей. Таблица рисков и контролей подразделяется на три части:
1. Логический и физический доступ
2. Эксплуатация информационных систем
3. Управление изменениями в информационных системах
Четвертая часть, «Разработка информационных систем», как правило, проверяется в рамках управления изменениями, поскольку фокусируется на документировании изменений.

Логический и физический доступ

Первый раздел - Логический и физический доступ ко всем информационным системам, на которых фокусируется аудит.

1. Администраторы систем – здесь требуется предоставить список администраторов в каждой системе, включая сеть компании (Administrators, Domain, Enterprise и Scheme Admins) и базы данных. Список должен быть либо экспортирован из системы, либо предоставлен в виде скриншотов, причем первое предпочтительнее.
Для каждого сотрудника с правами администратора системы должен существовать приказ по утверждению. Также необходимо знать каждую сервисную учетную запись с аналогичными правами.

2. Права доступа сотрудников – проводится тестирование нескольких подпунктов:
a. Сотрудники, начавшие работу в тестируемом году – требуется предоставить список таких сотрудников, проще всего из бухгалтерской программы (исходя из факта, что нет сотрудника, который не получает зарплату).
b. Сотрудники, закончившие работу в тестируемом году – аналогично, список таких сотрудников.
c. Сотрудники, сменившие должность – список сотрудников.
d. Дополнительно следует предоставить полные списки пользователей во всех системах, включая сеть компании и базы данных
По запросу аудиторов (полный список либо выборка), следует предоставить заполненные и заверенные бланки найма и увольнения сотрудников.
Будет проведена перекрестная проверка данных: есть ли сотрудники, получившие права доступа к каким-либо системам без соответствующего разрешения, есть ли уволенные/уволившиеся сотрудники с открытыми правами доступа, есть ли неиспользуемые открытые учетные записи (вход в систему больше 90-180 дней назад).
Так же проверяется выполнение ежегодной процедуры ревизии прав пользователей – необходимо предоставить заверенный список пользователей и их прав в каждой системе. Кстати, с помощью этой проверки можно обнаружить не закрытые вовремя учетные записи уволенных/уволившихся сотрудников.

3. Права удаленного доступа – необходимо предоставить список всех сотрудников имеющих право на удалённый доступ. Так же может проверяться выполнение процедуры ревизии списка сотрудников в рамках ежегодной процедуры ревизии прав пользователей. В случае если в AD существует отдельная группа с данными правами – готовьтесь к дополнительной перекрестной проверке.

4. Права для локальной установки программ – желательно, чтобы ни один сотрудник не был локальным администратором на своем компьютере.

5. Внешние подключения – желательно заблокировать CD-ROM, USB-порты, LAN-розетки и Wi-Fi-точки. Плюс использовать систему слежения и оповещения за подключениями.

6. Политика паролей – необходимо предоставить скриншот экрана настроек пароля для всех систем, а также AD. Минимальные требования к паролю:
a. длина минимум 8 символов
b. использование различных символов
c. смена пароля максимум через 90 дней, минимум через день
d. сохранение истории паролей минимум 5 поколений, либо год
e. отсутствие возможности восстановить пароль
f. блокирование учетной записи максимум после 5 неправильных попыток
g. разблокирование учетной записи администратором сети (желательно не использовать автоматический сброс блокировки)
Также будет проведена проверка даты последней смены пароля в AD у всех учетных записей.

7. Межсетевой экран – скриншот версии FW, списка администраторов FW, списка рассылки предупреждений. Также могут потребовать заверенную периодическую проверку правил в FW. В особо тяжелых случаях просмотрят лог или потребуют документ, удостоверяющий (!), что такая проверка выполняется.

8. Антивирус – скриншот версии AV, списка рассылки предупреждений, экрана настроек обновлений сервера AV и клиентов.

9. Безопасность ноутбуков – довольно редко (пока еще) требуют предоставить список сотрудников с ноутбуками. Шифруются ли жесткие диски, если да, то каким образом.

10. Управление чрезвычайными происшествиями – каждая компания должна вести список таких происшествий (попытки взлома сети и т.д.). Желательно передавать ежеквартальные отчеты вышестоящему руководству.

Эксплуатация информационных систем

Ну что же, с безопасностью информационных систем вроде разобрались. Перейдем непосредственно к их эксплуатации.

1. Резервное копирование данных – одна из основных проверок в этом разделе.
Следует предоставить скриншот версии программы бэкапа, списка рассылки статуса выполнения заданий, а также экрана настроек бэкапа. Поскольку, как правило, каждая финансовая система устанавливается на свой виртуальный сервер, да и требования к бэкапу могут быть разными (полный, дифференциальный, инкрементальный), потребуется соответствующее количество скриншотов. Непрерывность процесса резервного копирования проверяется просмотром логов, поэтому необходимо хранить логи бэкапа за три предыдущих месяца, а еще лучше - за весь тестируемый год. Здесь ищутся проблемы с бэкапом систем, длящиеся больше 2-3 дней. В таких случаях следует сохранять отчеты вышестоящему руководству, хотя бы в виде сообщений по электронной почте.

2. Проверка восстановления данных – необходимо предоставить логи восстановления данных с кассет. Опытный аудитор не ограничится несколькими документами с файлового сервера, поэтому желательно выполнять восстановления баз данных и финансовых систем.

3. Кассеты для резервного копирования – политика круговорота и перезаписи кассет должна отвечать следующим правилам:
a. ежедневные кассеты должны храниться минимум две недели
b. недельные кассеты – минимум месяц
c. месячные кассеты – минимум год
d. годичные кассеты – минимум семь лет
Кассеты необходимо хранить в огнеупорном сейфе, как минимум не в серверной комнате, а лучше в другом здании. Соответственно, необходимо иметь список всех сотрудников с доступом к сейфу.

4. Доступ в серверную комнату – следует предоставить заверенный список сотрудников с доступом в серверную комнату. Необходимо вести журнал посещений, а сделать это посредством установки специализированной системы контроля доступа. На мой взгляд, достаточно обычной системы доступа по личным удостоверениям (ID tag). Я бы посоветовал периодически просматривать журнал посещений – в некоторых случаях, вам может открыться интересная картина.

5. Контроль окружающей среды в серверной комнате – наличие датчиков дыма, огня, затопления, независимая система кондиционирования (от близлежащих помещений), наличие UPS и генератора, список сотрудников, получающих уведомления в экстренных случаях.

6. Резервный ДЦ – расстояние от головного офиса, способ передачи данных, наличие плана BCM/DRP (ИТ отделу следует обратить внимание на вторую часть плана), осуществление ежегодных (как минимум) учений по плану.

7. Пакетная обработка данных – здесь подразумевается автоматическая обработка данных (как правило, выполняющаяся в ночное время), не требующая вмешательства операторов. Необходим список всех сотрудников с правами изменения настроек, список рассылки статуса выполнения обработки данных. Также могут потребовать предоставить лог и исследовать его на предмет ошибок, как в случае с бэкапами.

8. Интерфейсы – в принципе взаимосвязано с предыдущим пунктом, но все же упомяну этот контроль. Желательно иметь схему интерфейсов всех финансовых систем (не только между ними, а к ним и от них).

9. Решение проблем инфраструктуры – здесь подразумевается внутренний колл-центр для регистрации и последующего решения всех возникающих в компании проблем, в той или иной степени связанных с информационными системами и инфраструктурой (упал сервер, отключили электричество, не работает мышь, две кнопки «Пуск» и т.д.). Управление чрезвычайными происшествиями из предыдущего раздела может осуществляться в рамках этого контроля.

Управление изменениями в информационных системах

Два раздела позади, остался один, требующий пристального внимания, поскольку для успешного прохождения аудита, как правило, необходимы изменения в самих рабочих процессах. Итак, управление изменениями в информационных системах.
Начну с нескольких замечаний. Первое – необходимо иметь задокументированные и утвержденные процедуры разработки. Второе – очень и очень желательно иметь специализированную систему для управления разработкой, в которой будет задокументировано каждое изменение. Третье – при условии ведения разработки в аутсорсинге, либо использования коробочных версии продуктов, аудит будет несколько отличаться.

1. Рабочие среды – очень просто: для каждой финансовой системы предоставить скриншоты как минимум трех рабочих сред – разработки, тестирования и боевой. Для вышеупомянутых случаев, достаточно двух последних скриншотов (да-да, даже для коробочной версии должна быть среда тестирования).

2. Доступ к рабочим средам – списки учетных записей для каждой среды, список имен разработчиков и тестировщиков. Выполняется уже известная нам перекрестная проверка, смысл которой заключается в следующем: разработчикам и тестировщикам запрещен доступ в боевую среду, обычным пользователям запрещен доступ ко всему, кроме боевой среды. Если версия коробочная, достаточно списков к тестируемой и боевой средам. Это весьма проблематично сделать в компаниях малых и средних размеров, поэтому аудиторы идут на некоторые компромиссы.

3. Процесс переноса изменений – в идеале, сотрудник, отвечающий за перенос изменений из тестируемой среды в боевую, не имеет отношения ни к разработке, ни к бизнес-процессам. Опять-таки, в этом случае аудиторы тоже могут пойти на компромисс.

4. Изменения – необходимо предоставить список всех изменений в финансовых системах, внедренных в тестируемом году. Не было таких? Значит скриншот папки с установленной системой, с файлами, упорядоченными по дате изменений. Ну, а если были, то будет вам выборка с просьбой предоставить следующую документацию:
a. Запрос на изменения от пользователя – специальные бланки, либо письмо по электронной почте.
b. Техническое задание для изменения – в зависимости от типа изменения (добавить поле в бланке либо разработать модуль с нуля) будет требоваться документация - от обычного письма с описанием изменения до полноценного многостраничного документа, заверенного подписями всевозможных начальников и руководителей.
c. Тестирование изменения – тест-кейсы с чек-листами и разрешение пользователя, что данное изменение удовлетворяет его запросу.
d. Разрешение на перенос изменения в боевую среду – за подписью руководителя, ответственного за разработку в данном направлении.

5. Управление критическими изменениями – по большому счету не отличается от предыдущего пункта. Единственное отличие – критические изменения обычно происходят без документации, поэтому важно получить все документы ретроактивно, и сохранить на будущее.

Вот вы и закончили сбор всей необходимой документации, что же делать дальше? Аудитор запросит у вас собранные документы и проведет их анализ. По некоторым контролям будут запрошены дополнительные документы, поскольку аудитору необходимо сохранять независимость от внутренних проверок (вдруг у вас есть только 10 запросов на открытие учетных записей для новых сотрудников, хотя самих сотрудников больше 50-ти; или вы стерли со скриншота группы администраторов домена учетную запись генерального директора). А дальше таблица рисков и контролей будет заполнена результатами тестов и представлена на обсуждение руководителю ИТ отдела и финансовому директору компании (поскольку он несет ответственность за финансовую отчетность).

Заключение

Работа аудитора заключается в том, чтобы находить дефекты и недостатки в процессах и контролях. Даже если все работает идеально, аудитор может зацепиться за незначительную мелочь и раскрутить ее до серьезного недостатка. Небольшое отступление: недостатки делятся на три категории – недостаток (дефект), серьезный недостаток и существенный недостаток, причем последний вносится в годовую финансовую отчетность и может повлиять на стоимость компании. Опытный руководитель ИТ отдела может использовать этот нюанс в целях запроса на выделение дополнительного бюджета под нужды отдела. Факт отсутствия огнеупорного сейфа или системы контроля доступа в серверную комнату второй год подряд, поднимается до уровня комитета по аудиту, состоящего из членов совета директоров, что при правильном подходе позволяет получить необходимый бюджет для устранения недостатка.

На мой взгляд, это описание в достаточной мере дает представление о процессе внешнего аудита ИТ отдела, но я думаю, что главный вопрос заключается в следующем: можно ли самостоятельно подготовиться к внешнему аудиту ИТ отдела, не прибегая к помощи посредников? На основании своего опыта, я заявляю, что можно, хотя это и требует приложить определенные усилия, но в конечном итоге позволит ежегодно сэкономить приличную сумму. Вместе с тем, если вы готовитесь к аудиту впервые и не уверены в своих силах и знаниях, я все же порекомендовал бы нанять хорошую консалтинговую фирму. Правда, желательно выделить одного сотрудника для помощи в подготовке к аудиту, чтобы в дальнейшем он взял на себя эту обязанность.

Надеюсь, представленная информация будет полезна как непосредственно принимающим участие в аудите, так и более широкой публике.
С радостью отвечу на все возникшие вопросы.

Известно, что зачастую внедренные на предприятии информационные технологии с самого начала остаются или становятся со временем "тайной за семью печатями" и для руководителей компании, и для сотрудников, и особенно для сторонних, но отнюдь не менее заинтересованных лиц - клиентов, инвесторов, партнеров. Конечно же, это не прибавляет доверия к компании, не гарантирует безопасности ее бизнеса, не способствует привлечению клиентов и инвесторов. ИТ-аудит - один из механизмов, позволяющих "пролить свет" на истинное положение дел в компании, оптимизировать работу информационных систем и, следовательно, бизнес в целом.

Основная цель IT аудита -- это оценка рисков, связанных с использованием информационных технологий, оценка их контроля и выработка рекомендаций по принятию корректирующих мер в областях, где риски должны быть снижены.

Мы предлагаем провести в Вашей компании IT аудит, который может состоять из следующих работ:

Для определения состава работ IT аудита, сроков проведения и стоимости работ рекомендуется провести IT-диагностику. Диагностика проводится в течение 3-5ти рабочих дней. В ходе диагностики собирается информация, необходимая для выявления ключевых проблем в области IT. На основании этой информации разрабатываются детальные предложения о проведении IT аудита в компании.

Результатом аудита является набор выводов о том, отвечает ли потребностям бизнеса существующая в компании информационная система (ИС), вырабатываются рекомендации по оптимизации и дальнейшему развитию ИС.

В ходе аудита выполняется анализ соответствия существующей ИС бизнес-процессам компании, который подразумевает анализ оргструктуры компании, иерархии подразделений, внутреннего документооборота, учетной политики, соответствия модулей используемой ИС реальным потребностям подразделений.

Аудит ИС направлен на достижение следующих целей:

  • Сокращение затрат на сопровождение и развитие IT-инфраструктуры
  • Сокращение затрат на выполнение автоматизируемых бизнес-операций
  • Повышение эффективности работы ИС
  • Повышение эффективности вложений в ИС компании

В рамках аудита ИС выполняются следующие работы:

  • Анализ соотсветсвия возможностей и стратегии ИС стратегии компании, бизнес-целям и бизнес-процессам
  • Анализ существующих IT-сервисов и поддерживающих их информационных систем (программных продуктов)
  • Определение проблемных мест существующей IT-инфраструктуры:
    • уровень соответствия информационной системы бизнес-требованиям
    • стоимость сопровождения и развития ИС
    • соответствие IT-процессов стандартам ISO 9000
    • уровень обеспечения информационной безопасности
  • Выработка рекомендаций по улучшению IT-инфраструктуры:
    • оценка стоимости выполнения каждой рекомендации;
    • план выполнения рекомендаций.
    • рекомендации по реинжинирингу IT-инфраструктуры.

В рамках аудита и экспертизы IT-инфраструктуры будут обследованы следующие показатели: производительность, полнота функциональности, безопасность, целостность IT-процессов и др.

В результате Компания получит описание выявленных несоответствий между IT-инфраструктурой и потребностями бизнеса, существующих проблем и рисков развития IT-инфраструктуры, а также рекомендации по устранению выявленных, с оценкой затрат на выполнение предложенных рекомендаций и планом работы.

Эта информация является основой для построения стратегии автоматизации и определения наиболее эффективных путей вложения в IT.

Позволяет заказчику получить экспертную оценку текущего состава и уровня функционирования технологических платформ, аппаратно-программных комплексов, сетей и средств коммуникации (IT-инфраструктуры), а также получить рекомендации по повышению эффективности их использования, модернизации, снижения стоимости владения.

Например, аудиторское заключение, может содержать выводы о соответствии загрузки серверов их характеристикам, подтверждающие, что серверная платформа позволяет наращивать задачи, либо работает на пределе мощности и т. п.

Аудит включает в себя формирование экспертной оценки текущего состояния системы защиты информации (СЗИ), оценку информационных рисков, рекомендации по совершенствованию СЗИ, расчет стоимости по созданию или модернизации СЗИ. Проведение аудита информационной безопасности позволяет компаниям-заказчикам снизить бизнес-риски и повысить уровень защищенности информации.

Результаты аудита позволяют провести ряд работ по увеличению эффективность деятельности IT-подразделения, оптимизировать расходы на ИТ, повысить качество услуг, предоставляемых в области ИТ, провести реорганизацию IT-подразделений в соответствии с бизнес-задачами компании и современной методологией эксплуатации IT-инфраструктуры.

На основании аудиторского заключения выдаются, в частности, детальные рекомендации по организации планирования работы ИТ-служб в соответствии с потребностями бизнеса компании.

Возможности дальнейшего сотрудничества

Результаты IT аудита позволят наметить направления дальнейшего сотрудничества между нашими компаниями и в частности определить необходимость проведения следующего ряда работ в области IT консалтинга:

  • Разработка IT стратегии
  • Разработка Концепции информационной системы, в том числе разработка экономического обоснования оптимизации/развития IT
  • Оптимизация/развитие информационной системы (ИС), включающая в себя:
    • Разработка Технического задания на доработку/создание существующих/ недостающих подсистем/модулей ИС
    • Выбор программных систем (вендоров) для КИС
    • Организация и управление проектом оптимизации ИС
    • Разработка методической/сопроводительной документации
    • Разработка/внедрение доработанных/новых подсистем/модулей ИС
    • Подготовка и обучение персонала. Консультации персонала
  • Мониторинг и сопровождение эксплуатации ИС