Работаем с 44 и 223 ФЗ Тех. поддержка: 9.00-21.00
+7 (812) 248-08-57
Офис: Пн-Пт 9.00-18.00
+7 (812) 248-08-58 Перезвоните мне

Стандарты и методы проведения IT-аудита

Аудит ИТ – изучение и экспертную оценку общей IT-инфраструктуры определенной организации или отдельных ее элементов. Такая процедура позволяет выявить слабые места в системе, оценить, насколько правильно расходуется выделенный бюджет, сохраняется информация. It аудит также нужно проводить перед построением серверной инфраструктуры для её правильной организации.

Цели аудита ИТ-инфраструктуры

Если смотреть шире, такой аудит ставит перед собой следующие цели:

Аудит ит инфраструктуры
Аудит ит инфраструктуры
  • оценка эффективности расхода денег, выделенных на решение задач (анализ проводится в сфере затрат на оборудование, заработную плату специалистов, лицензии, хостинги и др.);
  • определение эффективности работы специалистов отдела и уровня подготовки сотрудников;
  • перераспределение нагрузки и определение мест, где эти системы используются нерезультативно;
  • оценка эффективности процессов и работы систем, обеспечивающих безопасность информации;
  • анализ рисков для данных, составление советов по минимизации таких рисков;
  • приведение работы инфраструктуры к определенным стандартам;
  • разработка «дорожной карты» по устранению проблем.

В основном компании заказывают ИТ-аудит, если явно видны слабые места IT-инфраструктуры – «тормозят» сайты или базы данных. Также его проводят при изменении структуры компании, например, открытии новых подразделений, во время внедрения новых информационных систем или технологий.

Результаты

IT-аудит позволяет:

  • найти слабые звенья в инфраструктуре информационной системы, которые влекут риски потери информации;
  • оценить, насколько эффективна существующая инфраструктура для конкретной компании;
  • понять, справляется ли информационный отдел со своими обязанностями.

Кроме того, по результатам аудита собираются данные о том, в каком состоянии текущая ИТ-инфраструктура и составляется отчет. В нем фиксируется все выявленные недостатки.

Существует много разновидностей аудита:

  1. Быстрый аудит (экспресс). Представляет собой поверхностную проверку, результатом которой становится отчёт с минимальным количеством рекомендаций по минимизации рисков.
  2. Аудит бизнес-процесса. Выбирается конкретный процесс и проводится его проверка. Это может быть проверка сотрудников информационного отдела или компьютерной техники. По окончании также составляется отчет.
  3. Аудит по критерию. Проверка проводится по определенным направлениям, например, определяется скорость работы инфраструктуры, ее надежность или безопасность.
  4. Комплексный аудит. Это наиболее полная проверка, в ходе которой IT-инфраструктура компании изучается со всех сторон и составляется максимально подробный отчет или даже несколько.

Перед началом проведения аудита составляют план и четко обозначают работы, которые нужно выполнить.

Стандарты проведения ИТ-аудита

Есть как общие международные стандарты, так и конкретно российский стандарт, по которому проводится аудит в сфере ИТ (он же «Аудит в условиях компьютерной обработки данных (КОД)»). В этом случае руководствуются положениями стандарта CobiT, ISA 401.

Также используются международные стандарты:

  • «IT Audit Framework 2nd Edition» (ITAF);
  • «Cobit 5 for Assurance» ;
  • «International Professional Practices Framework (IPPF) for Internal Auditing Standards»;
  • «ISAE No. 3402» и «SSAE No. 16» и др.

IT Audit Framework 2nd Edition (ITAF)

Стандарты и методы проведения ит аудита
Проведение ит аудита

ITAF разрабатывался как стандарт, который может применяться, как для проведения отдельных аудитов информационных систем, так и для выполнения аудита информационных систем в рамках финансовых и операционных аудитов.

Стандартом определяются:

  • основные термины и концепции, специфичные для специалистов в области ИТ-аудита;
  • минимальные требования к навыкам и знаниям специалистов, выполняющих аудиторские проверки информационных систем;
  • основные этапы проведения аудиторских проверок информационных систем и подготовки аудиторского отчета;
  • перечень поддерживающих стандарт руководств, рабочих программ и инструментальных средств проведения аудита информационных систем

Cobit 5 for Assurance

Стандартом определяются:

  • функции внутреннего ИТ-аудита в компаниях;
  • структурированный подход к проведению ИТ-аудита в соответствии с процессами и факторами;

Также в руководстве демонстрируются конкретные примеры использования «COBIT 5» при проведении ИТ-аудита.

В сравнении с ITAF, руководство «Cobit 5 for Assurance» обладает меньшей степенью формализации аудиторских процедур и более широким покрытием вопросов организации ИТ-процессов в соответствии с лучшими практиками.

International Professional Practices Framework (IPPF)

Стандартом определяются:

  • базовые принципы проведения внутреннего аудита;
  • набор практик проведения внутреннего аудита;
  • базовые показатели оценки эффективности процедур внутреннего аудита.

Международные стандарты ISAE No. 3402 и SSAE No. 16

Стандартом определяется:

  • внутренний контроль сервисных организаций, в части подготовки достоверной финансовой отчетности. Согласно стандарту, проверка эффективности ИТ-контролей является необходимой при проведении оценки.

После проведения аудита составляется отчёт, благодаря которому руководители компании могут получить полное представление о состоянии IT-инфраструктуры или её отдельных компонентов. Также в отчёте будут предложения по устранению уязвимостей, недостатков и комплексному улучшению всей информационной системы.

Bitraid является ит-аутсорсинговой компанией, которая предлагают квалифицированные услуги по комплексной проверке текущего состояния IT-инфраструктуры под ключ. Получить консультацию можно по телефону или через простую заявку на нашем сайте.