Читайте также: |
|
В стандарте COBIT выделены следующие этапы проведения аудита.
На этапе подписания договорной и исходно-разрешительной документации назначаются ответственные лица со стороны предприятия и аудиторской компании, устанавливаются рамки проведения аудита, указываются контролируемые элементы информационной системы, составляется и согласовывается необходимая документация. По результатам предварительного аудита всей информационной системы проводится углубленная проверка подозрительных с позиции проводимого аудита компонентов системы.
Далее следует этап сбора информации с применением стандарта COBIT, который в данном случае регламентирует состав объектов контроля исследуемой системы. Степень детализации описания объектов контроля определяется на этапе разработки исходно-разрешительной документации. При этом стараются добиться оптимального соотношения между временными, стоимостными и прочими затратами на получение исходных данных и их важностью для целей исследования. Диапазон представления исходных данных меняется от бинарных ответов типа ДА/НЕТ до развернутых отчетов. Ассоциация ISACA выдвинула ряд требований к представлению информации при проведении аудита, которые были реализованы в стандарте COBIT. Основное требование к информации - это требование полезности, то есть информация должна быть понятной, уместной (относящейся к делу) и достоверной (надежной), причем понятной для грамотного пользователя, что не исключает рассмотрения сложной информации, если она действительно необходима. Информация уместна, если она влияет на решения пользователей и помогает им оценивать прошлые, настоящие или будущие события или подтверждать и исправлять прошлые оценки. Уместность информации зависит от ее содержания, существенности и своевременности. Информация называется существенной, если ее отсутствие или неправильная оценка могут повлиять на решение пользователя. Иногда полагают, что аналогом уместности информации является полнота освещения операций за отчетный период. Информация достоверна, если она не содержит существенных ошибок или пристрастных оценок и правдиво отражает производственную деятельность. Чтобы быть достоверной, информации надлежит быть правдивой, нейтральной и достаточной для принятия решений.
При анализе учитываются только достоверные исходные данные. Требования к проведению анализа определяются на этапе сбора исходных данных. Стандарт COВ1Т рекомендует применять описанные в нем методики анализа данных, но при необходимости допускается использование разрешенных ISACA разработок других членов ассоциации. На этапе анализа возможен возврат к этапу сбора информации для получения недостающих исходных данных.
Следующий этап - выработка рекомендаций. Полученные в результате проведенного анализа рекомендации после предварительного согласования с руководством компании следует обязательно проверить на выполнимость и актуальность с учетом рисков внедрения. Стандарт COBIT советует оформлять рекомендации в виде отчета о текущем состоянии информационных систем, технического задания на внесение изменений, отчета о проведенном аудите. Результаты проведения аудита можно разделить на три условные группы: организационные, технические и методологические. Каждая из названных групп связана с улучшением организационного, технического или методологического обеспечения информационной системы.
К организационной группе относятся оценки стратегического планирования, общего управления и инвестиций в информационную систему, рекомендации, способствующие повышению конкурентоспособности компании и уменьшению затрат на обслуживание информационной системы, результаты проверки соответствия информационной системы решаемым бизнес-задачам, мероприятия по снижению стоимости эксплуатации информационной системы, управление рисками, проектами, выполняемыми в рамках информационных систем, и др. Техническая группа результатов позволяет лучше понять проблемы информационных систем и разработать пути их решения с минимальными затратами, оценить технологические решения, реализовать весь потенциал новых технологий, системно решить вопросы безопасности, осуществить профессиональный прогноз функционирования и необходимости модернизации информационных систем, повысить эффективность функционирования информационной системы, определить уровень обслуживания информационных систем. Методологические результаты дают возможность предоставить апробированные подходы к стратегическому планированию и прогнозированию, оптимизации документооборота, повышению трудовой дисциплины, обучению администраторов и пользователей информационных систем, получению своевременной и объективной информации о текущем состоянии информационной системы компании.
Контроль за выполнением рекомендаций подразумевает постоянное отслеживание аудиторской фирмой выполнения компанией рекомендаций.
Затем следует подписание отчетных актов приемки работы с графиком проведения последующих проверок, разработкой такой дополнительной документации, как долгосрочные и краткосрочные планы развития информационной системы, план восстановления информационной системы в чрезвычайных ситуациях, порядок действий при нарушении защиты, концепция политики безопасности. Постоянное проведение аудита гарантирует работоспособность системы, поэтому составление графика дальнейших проверок является одним из условий выполнения профессионального аудита. На этапе разработки дополнительной документации создаются документы, отсутствие которых (или недочеты в них) могут вызвать сбои в работе информационной системы.
Любая работающая информационная технология в модели COBIT проходит ряд стадий жизненного цикла.
Планирование и организация работы. На этой стадии определяется стратегия и тактика развития информационных технологий в интересах достижения основных целей бизнеса, а затем рассматриваются вопросы реализации: построение архитектуры системы, решение технологических и организационных задач, обеспечение финансирования и т.д. Всего на этой стадии выделяется 11 основных задач.
Приобретение и ввод в действие. Выбранные на этой стадии решения должны быть документально оформлены и спланированы. Выделяется шесть основных задач, решаемых на данной стадии.
Поставка и поддержка. Выделяется 13 основных задач данной стадии, предназначенных поддерживать эксплуатацию информационной технологии.
Мониторинг. За процессами информационной технологии необходимо наблюдать и контролировать соответствие их параметров выдвинутым требованиям. Выделяется четыре основные задачи, решаемые на данной стадии.
Всего в стандарте COBIT выделяется 34 задачи верхнего уровня обработки информации.
Кроме традиционных свойств информации (конфиденциальности, целостности и доступности) в модели дополнительно используются еще четыре свойства -действенность, эффективность, соответствие формальным требованиям и достоверность. Эти свойства не являются независимыми, поскольку частично связаны с первыми тремя. Но их введение объясняется соображениями удобства интерпретации результатов.
В соответствии с решаемыми компанией бизнес-задачами стандарт COBIT предлагает (с учетом заданных критериев оценки и имеющихся в распоряжении ресурсов) описание основных работ по планированию и разработке информационных систем, их комплектации и внедрению, мониторингу, управлению и обслуживанию. В стандарте четыре базовые группы (домена) разбиты на 34 подгруппы, состоящие из 318 объектов контроля, каждый из которых поставляет аудитору достоверную актуальную информацию о текущем состоянии информационной системы.
Системно скоординировав все лучшее в области аудита безопасности информационных систем, стандарт предоставляет аудиторам пакет руководящих документов. Документы стандарта на современном уровне описывают концептуальную последовательность действий аудитора по сбору данных об исследуемых информационных системах и выдаче рекомендаций относительно их совершенствования. Стандарт COBIT базируется на стандартах ISA ISACF и других международных стандартах и таких нормативных документах, как технические стандарты, кодексы, критерии оценки информационных систем, профессиональные стандарты, требования к банковским услугам, системам электронной торговли, производству и т.д. Стандарт написан и проанализирован сотрудниками ведущих консалтинговых компаний, и они работают с ним наряду с другими документами. Несмотря на сравнительно малый объем, стандарт отвечает потребностям практики, сохраняя независимость от конкретных производителей, технологий и платформ. При разработке стандарта была заложена возможность его использования как для проведения аудита информационной системы компании, так и для проектирования информационной системы. В первом случае он позволяет определить степень соответствия исследуемой системы лучшим образцам, а во втором - спроектировать систему, почти идеальную по своим характеристикам.
Стандарт COBIT выгодно отличается от многочисленных аналогичных разработок. К достоинствам стандарта следует отнести его достаточность, сравнительно несложную адаптацию к специфике решаемой задачи, допустимость масштабирования и наращивания возможностей исследуемых информационных систем. Он применим к любым программно-аппаратным решениям без изменения собственной структуры и заложенных в нем принципов. Стандарт характеризуется широким диапазоном решаемых задач - от стратегического планирования до анализа работы отдельных элементов информационной системы путем перекрестного контроля критически важных объектов.
Ассоциация ISACA уделяет большое внимание регламентации различных аспектов деятельности аудитора. Разумная система регламентации в сочетании с высокой квалификацией аудиторов обеспечивает профессиональность аудита информационной безопасности. Основным регламентирующим документом является мандат аудитора. Каждый сертифицированный аудитор CICA имеет мандат на проведение аудита, в котором содержится следующая информация:
– ответственность (Responsibility) и обязанности аудитора - официальное разрешение на проведение работ с указанием целей, рамок деятельности аудитора, объекта, на котором проводится аудит, гарантии независимой проверки аудитором информационной системы, специальных требований к выполнению аудита, критически важных факторов, обеспечивающих успех проводимых работ, и отчетных материалов (показатели работы аудитора);
– полномочия (Authority) аудитора - комплекс мероприятий по оценке оговоренных рисков, право доступа к необходимым для проведения аудита сотрудникам и информации, выбор подлежащих аудиту подсистем компьютерной информационной системы;
– подотчетность (Accountability) аудитора - порядок представления отчета руководству компании, перечень доводимых до персонала основных результатов аудита, процедуры независимой оценки результатов аудита, правила информирования проверяемых о действиях аудитора. Кроме того, процедура аудита должна соответствовать стандартам и предварительному плану, а сам аудитор отвечает за качество проверки, соблюдение сроков и сметной стоимости и может быть подвергнут штрафу.
Современные методы управления информационной безопасностью позволяют решать любые корректно поставленные задачи в области информационной безопасности. Уровень безопасности любой технологии может быть сколь угодно высоким. Однако не исключено, что затраты на поддержание высокого уровня безопасности окажутся чрезвычайно большими. Выбор приемлемого уровня безопасности при допустимых затратах является обязательным условием постановки задачи обеспечения информационной безопасности. Постановка задачи нахождения компромисса между эффективностью подсистемы безопасности и ее стоимостью предполагает наличие системы показателей эффективности этой подсистемы, методики их измерения, должностных лиц, уполномоченных принимать решение о допустимости определенного уровня остаточного риска, и системы мониторинга для отслеживания текущих параметров подсистемы безопасности. Сложность этой задачи заключается в необходимости найти подобный компромисс.
Умение правильно оценить угрозы ИБ в конкретной ситуации, выбрать систему контрмер, обладающих приемлемым соотношением стоимость-эффективность, является одним из необходимых качеств аудитора.
В ISACA существуют учебные программы, помогающие овладеть необходимыми для этого навыками. В качестве примера рассмотрим интерактивную обучающую программу под названием ТАКО, доступную по адресу: http://www.isaca.org/ takо.htm.
Дата добавления: 2015-09-02; просмотров: 108 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Аудит информационной системы: рекомендации COBIT 3rd Edition | | | Пример аудита системы расчета зарплаты |