ИТ Аудит

ИТ аудит можно определить как любой аудит, который включает в себя изучение и оценку автоматизированных систем обработки информации, связанных с ними процессов и способов взаимодействия между такими системами.  Простыми словами это весь комплекс ИТ инфраструктуры компании от картриджа до сложным узлов сети. Планирование ИТ-аудита включает в себя два основных шага. Первым шагом является сбор информации и планирование на втором этапе - анализ существующей структуры и механизмов внутреннего контроля.

Все больше и больше организаций понимают важность процедур аудита и прибегают к методам оценки рисков привлекая для этого специалистов. В рамках подхода, основанного на оценке риска, ИТ-аудиторы используют данные мировых практик и стандартов в сочетании с информацией полученной от сотрудников компании или владельцев бизнеса. Результаты оценки ИТ риска может помочь провести анализ затрат и эффективность контроля бизнеса в целом.

На шаге «Сбор информации» ИТ-аудитор должен собрать данные по следующим направлениям:

  • Общая информация от бизнеса
  • Результаты аудита за предыдущий год
  • Финансовая информация касающаяся ИТ
  • Нормативные положения

На основании собственного опыта, аудитор должен определить существующие недочеты, которые могут быть существенными или значительными в сочетании с другими ошибками организации информационной безопасности и контроля. Например, заказчик уделяет много внимание актуальным обновлениями безопасности программного обеспечения и серверного оборудования, не обращая внимание на контроль флэш-накопителей, которые могут быть украдены проще и быстрее, чем сервера с данными из стоек.

На шаге «Анализа существующей структуры» ИТ-аудитору необходимо оценить другие пять групп данных:

  • Методы контрольная
  • Регламенты контроля
  • Способы обнаружения обнаружения риска
  • Регламенты действий в результате обнаружения риска

После того, как аудитор ИТ получит необходимую информацию, он приступает к планированию и выбору целевых областей для детального аудита.

Цели ИТ Аудита

Основные цели ИТ-аудита концентрируются на выработке стратегий и механизмов контроля способствующих минимизации делового и репутационного риска. Эти цели аудита включают обеспечение соблюдения правовых и нормативных требований, а также конфиденциальность, целостность и доступность информационных систем и данных.

Стратегия ИТ Аудита

Существуют два направления. В первую очередь - необходимо определить чему должна соответствовать разрабатываемая стратегия общим стандартам действующим внутри организации или предметной области. Второе - способ получения подлинных данных, позволяющих однозначно описывать результаты аудита в отчете.

В чем же разница между соответствием внутренних стандартов или предметной области? Оценка соответствия включает данные позволяющие проверить соблюдение организацией своих же процедур контроля. Например, у организации есть регламент контроля, который гласит, что все изменения любой части системы должны проходить через функцию "Управление изменениями". В качестве объекта аудита возьмем текущую конфигурацию маршрутизатора, а также копию конфигурационного файла 1-й версии для того же устройства. Необходимо запустить файл, чтобы посмотреть  что было изменено, а затем сравнить информацию с данными в журнале изменений. В большинстве случаев, системные администраторы не фиксирует проделанные изменения вообще ни где.

Предположим, что для проведения тестов системы резервного копирования у организации есть процедура, касающаяся резервных копий, которые должны содержать копии данных за 3 года. ИТ-аудитор проведет инвентаризацию копий и выяснит соблюдение регламента.

Второе направление касается «Достоверность полученных данных», для которого необходим:

  • Анализ организационной структуры ИТ
  • Анализ политик и процедур ИТ
  • Анализ стандартов ИТ
  • Изучение документации по ИТ
  • Беседы с соответствующим персоналом
  • Наблюдение за процессами и эффективностью сотрудников

Фактом достоверности данных, может быть наблюдение за тем, что в действительности делает человек и соответствует ли это регламенту.

ит аудит

Состав отчета ИТ Аудита

Итак, что же будет содержать отчет? Ниже примерный список разделов, который должен быть включен в аудиторскую документацию:

  • Планирование и подготовка объема и задач аудита
  • Описание и пошаговые руководства по областям аудита
  • Программа аудита
  • Выполненные аудиторские проверки и аудиторские факты
  • Результаты аудита, выводы и рекомендации

Компания ИТ-Систем  проводит ИТ Аудит программного обеспечения, компьютерной техники и разрабатывает рекомендации по соответствию правовым требованиям и требованиями информационной безопасности.