Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Риски информационных технологий




 

Исторически под термином «риск информационных технологий», или «ИТ риск», подразумевалась вероятность возникновения негативных событий из-за реализации специфичных угроз информационной безопасности - вирусов, хакерских атак, хищений информации, умышленного уничтожения оборудования. Однако в последнее время трактовка данного термина значительно расширилась и учитывает не только риски информационной безопасности, но и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

Указанные риски возникают как на этапе создания информационных систем, так и в процессе их эксплуатации. При проектировании, документировании, разработке и внедрении информационных систем это происходит вследствие:

• выбора неоптимального решения по автоматизации;

• ошибок при проектировании;

• нарушения расчетных сроков и бюджета проекта;

• несоответствия между инфраструктурой и решениями по автоматизации;

·         технических и организационных ошибок при инсталляции систем.

На стадии эксплуатации информационных систем существенными факторами риска недостижения целей являются:

-  неэффективное взаимодействие между бизнесом и IT при определении оптимального уровня поддержки;

-  неиспользование всего потенциала технологий;

-  невозможность обеспечить наиболее приемлемый уровень сопровождения и развития систем;

-  неоптимальные процедуры технического обслуживания и решения нештатных ситуаций;

-  ошибки в расчетах нагрузки на элементы инфраструктуры и обслуживающий персонал. 

Чтобы избежать подобных угроз, на предприятии необходимо создать комплексную систему, интегрирующую риск-менеджмент, внутренний контроль и внутренний аудит как на уровне основной деятельности, так и на уровне поддерживающих ее информационных технологий, то есть информационную систему. Степень зрелости данной структуры определяется ее способностью обеспечить на должном уровне результативное, рациональное и безопасное использование информационных технологий для целей основной деятельности. Чем выше уровень зрелости, тем меньше уровень ИТ-рисков и тем больше эффективность использования информационных технологий. При формирования информационной системы следует опираться на уже существующие и общепризнанные критерии (стандарты). За более чем 30-летнюю историю развития науки об IT-управлении ведущими международными институтами (ISACA, OGC, ISO) выработан набор детализированных требований в виде сборников лучших практик (например, ITIL) и открытых стандартов (CobiT, ISO 20000 и др.)


Контрольные объекты информационной технологии

ISACA

 

Подход к предоставлению аудита информационной системы как отдельной самостоятельной услуги с течением времени упорядочился и стандартизировался. Крупные и средние консалтинго-аудиторские компании образовали ассоциации - союзы профессионалов в области аудита информационных систем, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ. Как правило, это закрытые стандарты, тщательно охраняемое «ноу-хау». Однако существует ассоциация ISACA, занимающаяся открытой стандартизацией аудита информационных систем (http://www.isaca.org/). Ассоциация основана в 1969 году и в настоящее время объединяет около 20 тыс. членов более чем из 100 стран, в том числе и России, где создано ее отделение. Ассоциация координирует деятельность свыше 12 тыс. аудиторов информационных систем.

Основная декларируемая цель ассоциации - исследование, разработка, публикация и продвижение стандартизованного набора документов по управлению информационной технологией для ежедневного использования администраторами и аудиторами информационных систем.

CoBiT

 

В помощь профессиональным аудиторам, руководителям отделов информационно-технической поддержки, администраторам и заинтересованным пользователям ассоциацией ISACA и привлеченными специалистами из ведущих мировых консалтинговых компаний был разработан открытый стандарт CoBiT, первое издание которого в 1996 году было продано в 98 странах и облегчило работу профессиональных аудиторов в сфере информационных технологий. Стандарт связывает информационные технологии и действия аудиторов, объединяет и согласовывает многие другие стандарты в единый ресурс, позволяющий получить адекватное представление о целях и задачах информационной системы, учитывая все особенности информационных систем любого масштаба и сложности.

Основополагающее правило, положенное в основу CoBiT, следующее: ресурсы информационной системы должны управляться набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией. CoBiT базируется на стандартах аудита ISA и ISACF, но включает и другие международные стандарты, в том числе принимая во внимание все утвержденные ранее стандарты и нормативные документы: технические стандарты, кодексы, профессиональные стандарты, требования и рекомендации, требования к банковским услугам, системам электронной торговли и производству.

Стандарт CoBiT может применяться как для аудита информационной системы организации, так и на этапе ее проектирования. Если в первом случае проверяется соответствие текущего состояния информационной системы передовой практике аналогичных организаций и предприятий, то во втором использование стандарта позволяет спроектировать информационную систему, стремящуюся к идеальному соотношению «цена / качество».

Четыре базовые группы (домены) содержат в себе 34 подгруппы, которые в свою очередь состоят из 302 объектов контроля. Объекты контроля предоставляют аудитору всю достоверную и актуальную информацию о текущем состоянии информационной системы.  

Отличительными чертами CoBiT являются большая зона охвата (все задачи, от стратегического планирования и основополагающих документов до анализа работы отдельных элементов информационной системы), наличие перекрестного аудита (перекрывающиеся зоны проверки критически важных элементов), адаптируемость, наращиваемость стандарта.

В области стандартизации аудита информационных систем существуют многочисленные западные, а также российские разработки, однако CoBiT отличает прежде всего возможность относительно легкой адаптации к особенностям российских информационных систем и то обстоятельство, что стандарт легко масштабируется и наращивается. CoBiT позволяет использовать любые разработки производителей аппаратно-программного обеспечения и анализировать полученные данные.

На этапе подготовки и подписания исходно-разрешительной документации определяются границы проведения аудита. Они могут быть обусловлены критическими точками информационной системы (элементами, в которых наиболее часто возникают проблемные ситуации), либо принимается решение о проведении полного аудита с последующей углубленной проверкой выявленных проблем. В это же время создается команда проведения аудита, определяются ответственные лица со стороны заказчика, создается и согласовывается необходимая документация.

Далее проводится сбор информации о текущем состоянии информационной системы в соответствии со стандартом CoBiT, объекты контроля которого получают информацию обо всех нюансах функционирования информационной системы, как в двоичной форме (Да / Нет), так и в форме развернутых отчетов. Детальность информации определяется на этапе разработки исходно-разрешительной документации. Существует определенный оптимум между затратами (временными, стоимостными и т.д.) на получение информации и ее актуальностью.

Анализ - наиболее ответственная часть аудита. Использование при анализе недостоверных, устаревших данных недопустимо, поэтому необходимо уточнение данных, углубленный сбор информации. Требования к проведению анализа определяются на этапе сбора информации. Методики анализа информации имеются в стандарте CoBiT, но если их не хватает, не возбраняется использовать разрешенные ISACA разработки других компаний.

Результаты проведенного анализа становятся базой для выработки рекомендаций, которые после предварительного согласования с заказчиком должны быть проверены на выполнимость и актуальность с учетом рисков внедрения.

Контроль выполнения рекомендаций - немаловажный этап, требующий непрерывного отслеживания представителями консалтинговой компании хода выполнения рекомендаций.

На этапе разработки дополнительной документации создаются документы, отсутствие которых, например документов, содержащих углубленное рассмотрение вопросов обеспечения безопасности информационной системы, может вызвать сбои в ее работе.

Постоянное проведение аудита гарантирует стабильность функционирования информационной системы, поэтому создание плана-графика последующих проверок является одним из результатов профессионального аудита.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...