Стандарты и методы проведения IT-аудита
Аудит ИТ – изучение и экспертную оценку общей IT-инфраструктуры определенной организации или отдельных ее элементов. Такая процедура позволяет выявить слабые места в системе, оценить, насколько правильно расходуется выделенный бюджет, сохраняется информация. It аудит также нужно проводить перед построением серверной инфраструктуры для её правильной организации.
Цели аудита ИТ-инфраструктуры
Если смотреть шире, такой аудит ставит перед собой следующие цели:
- оценка эффективности расхода денег, выделенных на решение задач (анализ проводится в сфере затрат на оборудование, заработную плату специалистов, лицензии, хостинги и др.);
- определение эффективности работы специалистов отдела и уровня подготовки сотрудников;
- перераспределение нагрузки и определение мест, где эти системы используются нерезультативно;
- оценка эффективности процессов и работы систем, обеспечивающих безопасность информации;
- анализ рисков для данных, составление советов по минимизации таких рисков;
- приведение работы инфраструктуры к определенным стандартам;
- разработка «дорожной карты» по устранению проблем.
В основном компании заказывают ИТ-аудит, если явно видны слабые места IT-инфраструктуры – «тормозят» сайты или базы данных. Также его проводят при изменении структуры компании, например, открытии новых подразделений, во время внедрения новых информационных систем или технологий.
Результаты
IT-аудит позволяет:
- найти слабые звенья в инфраструктуре информационной системы, которые влекут риски потери информации;
- оценить, насколько эффективна существующая инфраструктура для конкретной компании;
- понять, справляется ли информационный отдел со своими обязанностями.
Кроме того, по результатам аудита собираются данные о том, в каком состоянии текущая ИТ-инфраструктура и составляется отчет. В нем фиксируется все выявленные недостатки.
Существует много разновидностей аудита:
- Быстрый аудит (экспресс). Представляет собой поверхностную проверку, результатом которой становится отчёт с минимальным количеством рекомендаций по минимизации рисков.
- Аудит бизнес-процесса. Выбирается конкретный процесс и проводится его проверка. Это может быть проверка сотрудников информационного отдела или компьютерной техники. По окончании также составляется отчет.
- Аудит по критерию. Проверка проводится по определенным направлениям, например, определяется скорость работы инфраструктуры, ее надежность или безопасность.
- Комплексный аудит. Это наиболее полная проверка, в ходе которой IT-инфраструктура компании изучается со всех сторон и составляется максимально подробный отчет или даже несколько.
Перед началом проведения аудита составляют план и четко обозначают работы, которые нужно выполнить.
Стандарты проведения ИТ-аудита
Есть как общие международные стандарты, так и конкретно российский стандарт, по которому проводится аудит в сфере ИТ (он же «Аудит в условиях компьютерной обработки данных (КОД)»). В этом случае руководствуются положениями стандарта CobiT, ISA 401.
Также используются международные стандарты:
- «IT Audit Framework 2nd Edition» (ITAF);
- «Cobit 5 for Assurance» ;
- «International Professional Practices Framework (IPPF) for Internal Auditing Standards»;
- «ISAE No. 3402» и «SSAE No. 16» и др.
IT Audit Framework 2nd Edition (ITAF)
ITAF разрабатывался как стандарт, который может применяться, как для проведения отдельных аудитов информационных систем, так и для выполнения аудита информационных систем в рамках финансовых и операционных аудитов.
Стандартом определяются:
- основные термины и концепции, специфичные для специалистов в области ИТ-аудита;
- минимальные требования к навыкам и знаниям специалистов, выполняющих аудиторские проверки информационных систем;
- основные этапы проведения аудиторских проверок информационных систем и подготовки аудиторского отчета;
- перечень поддерживающих стандарт руководств, рабочих программ и инструментальных средств проведения аудита информационных систем
Cobit 5 for Assurance
Стандартом определяются:
- функции внутреннего ИТ-аудита в компаниях;
- структурированный подход к проведению ИТ-аудита в соответствии с процессами и факторами;
Также в руководстве демонстрируются конкретные примеры использования «COBIT 5» при проведении ИТ-аудита.
В сравнении с ITAF, руководство «Cobit 5 for Assurance» обладает меньшей степенью формализации аудиторских процедур и более широким покрытием вопросов организации ИТ-процессов в соответствии с лучшими практиками.
International Professional Practices Framework (IPPF)
Стандартом определяются:
- базовые принципы проведения внутреннего аудита;
- набор практик проведения внутреннего аудита;
- базовые показатели оценки эффективности процедур внутреннего аудита.
Международные стандарты ISAE No. 3402 и SSAE No. 16
Стандартом определяется:
- внутренний контроль сервисных организаций, в части подготовки достоверной финансовой отчетности. Согласно стандарту, проверка эффективности ИТ-контролей является необходимой при проведении оценки.
После проведения аудита составляется отчёт, благодаря которому руководители компании могут получить полное представление о состоянии IT-инфраструктуры или её отдельных компонентов. Также в отчёте будут предложения по устранению уязвимостей, недостатков и комплексному улучшению всей информационной системы.
Bitraid является ит-аутсорсинговой компанией, которая предлагают квалифицированные услуги по комплексной проверке текущего состояния IT-инфраструктуры под ключ. Получить консультацию можно по телефону или через простую заявку на нашем сайте.