CC BY
35
РАЗРАБОТКА ИНСТРУМЕНТАРИЯ АУДИТА ИНФОРМАЦИОННЫХ СИСТЕМ
А.Ю. Харитонов, студент
Д.Н. Филимонов, студент
Р.Е. Полевач, студент
М.В. Черняев, студент
Сибирский федеральный университет
(Россия, г. Красноярск)
Аннотация. В данной работе рассматривается практика разработки инструментария аудита информационных систем. Говорится о понятии "аудит информационных систем", который позволяет предотвращать негативные явления в деятельности информационной системы, анализировать и прогнозировать состояние данной системы, а также управлять рисками в ИС. Дается оценка проведению аудита ИС и анализируются его преимущества, причины. В связи с возросшей популярностью проведения аудита ИС, изучение данной проблемы представляет научный и практический интерес. В данной работе поднимаются важные проблемы, такие как: практика разработки инструментария аудита информационных систем, проведение этого аудита. В статье ставится задача теоретического рассмотрения всех аспектов создания инструментария для проведения аудита ИС.
Ключевые слова: информационные системы, аудит, анализ, оптимизация, управление.
В настоящее время все большее количество ИТ-компаний использует аудит информационных систем. Это напрямую показывает, что все стремятся к совершенствованию своих производственных процессов, чем вызывают увеличение популярности своего продукта, прибыли, получаемой от него. Но для начала разберём понятие "аудит".
Аудит информационной системы (далее ИС) - системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.
Обращение к инструментарию аудита информационных технологий позволяет: получить свежие и конкретные сведения о работе ИС (обнаружить причины недостаточной эффективности внедрённой ИС); проверить соответствие ИС ряду требований, меняющихся со временем; сравнить эффективность работы с другими лидирующими компаниями в этой сфере; спрогнозировать поведение ИС при корректировке ин-
формационных потоков (числа пользователей, объема данных); предоставить обоснованные решения, помогающие повысить продуктивность (приобретение оборудования, совершенствование внедренной системы, замена); дать рекомендации, направленные на повышение продуктивности отделов компании, оптимизацию вложений в технологии, а также разработать мероприятия, улучшающие качественный уровень сервиса ИС [1].
Этапы проведения аудита ИС:
1. Постановка задач аудита ИС;
2. Первое обследование ИС и полное подробное описание программного и аппаратного обеспечения компании;
3. Оценка состояния в ИТ-сфере, выявление проблем и возможных рисков;
4. Исследование технологии обработки и защиты данных;
5. Оценка угроз и уязвимостей в ИС;
6. Разработка конкретных предложений и рекомендаций по улучшению компонентов ИС;
7. Подготовка и предоставление подробного отчета по выполненной работе с данной ИС.
Применение информационных систем в ходе аудита позволяет выполнить следующие основные процедуры:
1. Проверка операций и остатков по счетам в компьютерной базе данных;
2. Проведение аналитических процедур с целью выявления отклонений в компьютерной базе данных;
3. Тестирование базы данных объектов аудита;
4. Тестирование информационного, математического, программного и технического обеспечения объекта аудита.
Преимущества ИС с аудитом:
1. Независимая оценка актуального состояния информационных систем;
2. Экономия расходов на информационные системы способом нахождения неиспользуемых или скрытых ИТ-ресурсов;
3. Выявление узких мест информационных систем, влияющих на стабильность работы;
4. Оценка мероприятий по модернизации информационных систем, включая оценку бюджета;
5. Уменьшение значения недополученной прибыли за счёт минимизации простоев всех информационных систем заказчика.
В настоящее время актуальность аудита резко возросла. Это связано с увеличением зависимости организаций от информации и ИС. Рынок полон аппаратно-программным обеспечением, многие организации в связи с разными причинами (наиболее нейтральная из которых - устаревание оборудования и программного обеспечения) видят неправильность своих вложений в информационные системы и стараются найти пути решения данной проблемы. Решения может быть два: первое - полная замена ИС, что повлечет за собой большое вложение капитала, второе -модернизация ИС. Последний вариант решения этой проблемы - менее затратный, но открывающий новые проблемы, например, что оставить из имеющихся
аппаратно-программных средств, как сделать так, чтобы новые и старые ИС были совместимы.
Наиболее важная причина проведения аудита заключается в том, что при модернизации, а также внедрении новых технологий, их потенциал полностью реализовать себя не сможет. А аудит ИС позволяет добиться максимальной отдачи от средств, вложенных в создание и обслуживание ИС. Для обеспечения наибольшей эффективности работы аудитора необходимо ее сочетание с применением новейших технических средств, программного обеспечения и использование компьютерной обработки данных для осуществления контроля деятельности предприятия.
Кроме того, возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий хранения и передачи данных.
Спектр угроз расширился. Это обусловлено следующими причинами:
1. Передача информации по сетям общего пользования;
2. "Информационная война" конкурирующих организаций;
3. Высокая текучка кадров с низким уровнем порядочности.
В связи с большими объемами бухгалтерских и управленческих данных при проведении аудита будет не просто обойтись без использования новейших компьютерных систем. В ходе выбора автоматизированной информационной системы аудита необходимо достичь такого соотношения, чтобы затраты на внедрение технологий и получением максимальной выгоды были оптимальными.
В мире накоплен колоссальный опыт. Он обобщен известной организаций ISACA (Information Systems and Control Associations, www.isaca.org) и сформирован в виде соответствующих нормативов и методик под общим названием COBIT (Control Objectives for Information and related Technologies).
Сам же аудит заключается в: изучении текущего состояния и планов развития информационных технологий на
конкретном предприятии; сравнении результатов с тем, как должны работать информационные системы в идеальном (оптимальном) состоянии (то есть с соответствующими стандартами в данной области); выработке рекомендаций для данного предприятия — что необходимо сделать, чтобы максимально приблизиться к указанным стандартам [2].
Практика проведения аудита ИС:
На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита, которые определяются с помощью критических точек ИС, в которых чаще всего происходят проблемные ситуации; на основе результатов предварительного аудита всей ИС проводится углубленный аудит обнаруженных проблем.
В это же время собирается команда проведения данного аудита, назначаются ответственные лица со стороны заказчика, создается и согласовывается необходимая документация.
После этого проводится сбор информации о текущем состоянии ИС с помощью CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования ИС как в двоичной, так и в развернутой форме. Детальность информации определяется на этапе разработки исходно-разрешительной документации.
Проведение анализа - одна из самых ответственных частей проведения аудита ИС. Использование не актуальных, устаревших данных не допустимо, для этого и нужен углубленный сбор информации, уточнение данных. Требования к проведению анализа создаются на этапе сбора информации. Разные методики, по которым можно осуществлять анализ информации, описаны в стандарте CoBiT, но если их недостаточно, то также можно использовать разрешенные ISACA разработки других компаний.
Базой для выработки рекомендаций являются результаты проведенного анализа. Эти рекомендации после согласования с Заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.
Контроль выполнения рекомендаций - этап, без которого нельзя обойтись, требует отслеживания представителями консалтинговой компании хода выполнения данных рекомендаций.
Регулярное проведения аудита ИС гарантирует стабильность функционирования ИС, поэтому создание план-графика предстоящих проверок является из результатов профессионального аудита [3].
Результаты аудита ИС организации можно разделить на три группы:
1. Организационные - планирование, управление, документооборот функционирования ИС.
2. Технические - сбои, ошибки, оптимизация работы элементов ИС, непрерывное обслуживание, создание инфраструктуры и т. д.
3. Методологические - подходы к решению проблемных ситуаций, управлению и контролю, общая упорядоченность и структуризация.
Аудит ИС позволит создать следующие документы:
1. долгосрочный план развития
2. политика безопасности ИС организации
3. методология работы и доводки ИС организации
4. план восстановления ИС в чрезвычайной ситуации
Аудит ИС можно назвать обязательной процедурой для каждой ИТ-компании, ведь именно он является безусловным помощником для руководителя в сфере анализа работы ИС, т.к. помогает выявить ее слабые стороны и предложить конкретные способы решения по оптимизации ее работы [4].
Библиографический список
1. Evdokimov I.V., Domantsevich V.S., Konyhov V.A. The use of online applications for project management for planning in IT-management // Современные информационные технологии. 2017. № 25 (25). С. 44-47.
2. Евдокимов И.В., Коваленко М.А., Мелех Д.А. Управление разработкой и внедрением учётной информационной системы // Научное обозрение. Экономические науки. 2017. № 4. С. 34-39.
3. Евдокимов И.В. Адаптация стандартов программных средств к проектам в области информационных технологий // Труды Братского государственного университета. Серия: Экономика и управление. 2010. Т. 2. С. 97-101.
4. Евдокимов И.В. Проблема и показатели качества программного обеспечения // Труды Братского государственного университета. Серия: Экономика и управление. -2009. - Т. 1. - С. 121-124.
DEVELOPMENT OF INSTRUMENTATION OF AUDIT OF INFORMATION
SYSTEMS
A.Yu. Kharitonov, student D.N. Filimonov, student R.E. Polevach, student M.V. Chernyaev, student Siberian federal university (Russia, Krasnoyarsk)
Abstract. This work discusses the practice of developing tools for auditing information systems. The concept of audit of information systems, which allow to prevent negative event in the activity of the information system, to analyse and predict the state of the system, as well as to manage the risks in the IS. An assessment of the conduct of the audit and analysed the benefits and reasons for conducting this process. Due to the increased popularity of IS audit, the study of this problem is scientific and practical interest. This paper raises important issues, such as the practice of developing information systems audit tools and further conducting this audit. The article sets the task of theoretical consideration of all aspects of creating tools for IP audit.
Keywords: information systems, audit, analysis, optimization, management.
