Язык/Language/Тили:

IT аудит

Сегодня для многих организаций информация и поддерживающие ее технологии представляют собой самые ценные, хотя и зачастую не до конца понятные активы. Успешные компании осознают те выгоды, которые предлагают информационные технологии (ІТ) и активно применяют их, повышая собственную ценность, эффективность и другие преимущества в конкурентной среде.

Однако сам факт внедрения и использования ІТ для целей бизнеса совсем не гарантирует получения всех ожидаемых преимуществ. Поскольку, как показывает практика, кроме выгод информационные технологии могут привнести разнообразные негативные факторы, такие как зависимость непрерывности и результативности бизнеса от использования ІТ, а также разнообразные ІТ-риски (начиная от несанкционированного доступа к конфиденциальной информации, и заканчивая финансовыми махинациями).

Углубление интеграции информационных технологий в бизнес-процессы организаций и зависимости результатов деятельности от их применения обусловливают возрастание значимости ІТ как стратегического ресурса, управление которым должно осуществляться на соответствующем уровне.

IT Audit

Аудит ИТ — это совокупность специальных аудиторских мероприятий, направленных на получение независимой оценки об актуальном состоянии информационной инфраструктуры, информационных систем и бизнес-процессов организации.

Аудит ИТ проводится на соответствие особым критериям аудита (audit criteria), — ранее определённая совокупность политик, процедур или требований, которые используются в качестве эталона.

Свидетельства аудита, полученные в ходе работ по оценке инфраструктуры, систем и процессов, сопоставляются с эталонными критериями, на основании чего делаются квалифицированные выводы и составляется аудиторское заключение.

Таким образом, аудит ИТ проводится на соответствие различным критериям, необходимость применения которых определяется собственником или отраслевыми нормами. Специалисты нашей компании проводят аудит ИТ на соответствие описанным далее критериям аудита.

В качестве эталонной группы критериев аудита могут выступать следующие требования, принятые для исполнения в организации:

  1. на соответствие требованиям финансового регулятора;
  2. на соответствие специальным внутренним и внешним требованиям;
  3. на соответствие лучшим мировым практикам и международным стандартам;
  4. на соответствие требованиям технического задания.

Типы аудита по виду требований

Аудит ИТ на соответствие требованиям регулятора банковской финансово-кредитной сферы.

В качестве эталона выступает полный комплекс специальных требований Национального банка КР, выраженных в виде действующих нормативно-правовых актов, обязательных для исполнения каждым банком и другими небанковскими финансово-кредитными организациями, лицензируемыми НБКР.

Аудит ИТ на соответствие специальным внутренним и внешним требованиям.

В качестве критерия оценки при проведении аудита зачастую выступают внутренние требования по управлению ИТ-процессами, разработанные как самостоятельно, так и на базе международных отраслевых стандартов.

Аудит ИТ / ИБ на соответствие лучшим мировым практикам и международным стандартам.

В качестве критерия оценки выступают стандарты и фреймворки международных профессиональных ассоциаций, таких как: ISACA (COBIT5), AXELOS (ITIL /ITSM) и BSI (ISO/IEC 20000). А также особые требования стандартов в области информационной безопасности, такие как: PCI DSS, NIST SP-800, OWASP, SANS/CIS и другие.

Аудит ИТ на соответствие требованиям Технического Задания (ТЗ) при внедрении или при приёмке IT-решений.

Это специализированный вид, при котором рамки аудита ограничены конкретным проектом, реализуемым в компании. В этом случае критерием оценки выступает частное техническое задание, а объектом — программное или программно-аппаратное решение. Целью становится анализ соответствий объективных свидетельств, насколько внедряемое IT-решение соответствует требованиям ТЗ.

Результаты

Результаты аудита ИТ, представленные в виде подписанного отчёта с независимым аудиторским заключением, дают текущую оценку актуального состояния ИТ-инфраструктуры, систем, а также эффективности действующих процессов управления ИТ и ИБ.

Наглядное представление выявленных несоответствий действующим требованиям и критериям аудита сопровождаются описанием собранных свидетельств и доказательствами, позволяющими их воспроизвести. В отчёт включается оценка рисков по каждому из несоответствий с выводами о вероятности наступления последствий и оценкой предполагаемого ущерба, который может возникнуть в результате самого негативного развития событий.

Применение отчёта

По сложившейся практике пользователи отчёта — линейные ИТ / ИБ руководители и топ-менеджмент организации — используют результаты аудита для принятия конкретных мер по существу, для улучшения действующих и внедрения актуальных процессов в области управления ИТ и ИБ, например:

    • оценка персонала позволяет выявить высокорисковые зоны, связанные с человеческим фактором, и провести реорганизацию процессов таким образом, чтобы минимизировать или полностью исключить риски;
    • реестр выявленных несоответствий, недостатков или уязвимостей представляет собой список ключевых зон, процессов и систем с указанием конкретных изъянов, и рекомендуемых способов их устранения;
    • пути и способы минимизации рисков, выраженные в виде рекомендаций, позволяют выявить неявные риски, включить их в действующие методики по управлению рисками и наметить план действий по снижению рисков до приемлемого уровня;
    • обоснование затрат на покупку или модернизацию оборудования и программного обеспечения зачастую проистекает из выводов и рекомендаций, изложенных в отчёте, что позволяет направить вектор бюджетного планирования в ИТ и ИБ подразделениях в сторону повышения эффективности конкретных компонентов инфраструктуры;
    • обоснование инвестиций в обучение является вероятным следствием результатов оценки персонала и подтверждённой независимой оценкой необходимостью регулярного повышения квалификации как одного из важных факторов управления процессами в области информационной безопасности;
    • управление TCO (Total Cost of Owner-ship, совокупная стоимость владения) позволяет определить рамки границ эффективности ИТ-решений с учётом объективных капитальных затрат, а также прямых и косвенных эксплуатационных расходов, возникающих в том числе из-за инцидентов информационной безопасности;
    • эффективное использование систем является прямым следствием соблюдения рекомендаций, изложенных в аудиторском заключении.

Анализ защищённости и расследование инцидентов

Целью анализа защищённости является выявление уязвимостей в информационной инфраструктуре, что позволяет спланировать дальнейшие действия по устранению недостатков, а при необходимости — принять дополнительные меры защиты и усовершенствовать процессы информационной безопасности. Таким образом, весь комплекс мероприятий — выявление, устранение и предотвращение — направлен на снижение вероятности реализации различных угроз безопасности.

Расследование инцидентов (IT Forensics)

Результаты расследования инцидента информационной безопасности позволяют установить обстоятельства, причины и условия совершения инцидента информационной безопасности. В рамках расследования определяется степень воздействия конкретных компьютерных информационных систем, а также действий или бездействий персонала, причастных к инциденту. Это даёт возможность восстановить максимально точную хронологию событий и воссоздать последовательность и системный проект действий злоумышленников.

An independent member of Baker Tilly International