Цели и этапы ИТ-аудита (Д. Матеев, "Финансовая газета", N 35, август 2007 г.)

Цели и этапы ИТ-аудита

В любой крупной компании аудит ассоциируется прежде всего с составлением различных отчетов и воспринимается как нежелательная, но вынужденная необходимость, в то время как ИТ-аудит понимается руководителями пока по-разному. Когда двадцать лет назад в США зарождался этот вид аудита, он являлся производной финансового аудита. Сегодня ИТ-аудит преследует самостоятельные цели. Если компания вкладывает значительные средства в информационную систему, ИТ-аудит становится необходимым - помимо технологического аудита зачастую требуется аудит информационной безопасности, а в некоторых случаях - аудит ИТ-подразделения. Например, компания планирует создать или модернизировать уже имеющуюся сеть передачи информации, объединяющую структурные подразделения, которую можно использовать для телефонной связи, передачи данных, создания доступа цехов и офисов к Интернету. Перед CIO компании встает ряд задач, в том числе важнейшая - как максимально эффективно потратить выделенные средства на создание/модернизацию ИТ-инфраструктуры.

Сегодня все большее количество компаний по мере роста внутренней организационной зрелости подходят к вопросам развития ИТ-инфраструктуры системно. Сначала оценивают имеющиеся ресурсы и их функциональность, выявляют "узкие места" в ИТ-системах, потом определяют, как имеющиеся ресурсы эффективно интегрировать в новую ИТ-инфраструктуру. Затем, уже по полученным данным, разрабатывается проект реконструкции или модернизации, при этом минимизируются существующие риски и сохраняется то рациональное и полезное, что уже есть. Первая стадия такого системного подхода как раз и составляет основу технологического аудита ИТ-систем.

Приведем еще пример, иллюстрирующий одну из целей ИТ-аудита. При проверках, как это принято в затратных подразделениях, часто возникают вопросы о соответствии производительности и мощности имеющихся серверов решаемым задачам. Руководитель ИТ-подразделения должен не только сформулировать для проверяющих органов аргументацию по соответствию загрузки серверов их характеристикам, но и иметь аудиторское заключение, подтверждающее, например, что серверная платформа позволяет наращивать задачи либо работает на пределе мощности и т.д. При таком подходе создаются реальные предпосылки для проведения аудита технологической платформы информационной системы.

В целом по характеру "потребления" ИТ-аудитов можно выделить три типа клиентов. Первый тип - клиенты, для которых ИT-инфраструктура является одним из основных средств бизнеса, например сервис-провайдеры или финансовые структуры. Если у такого клиента остановятся ИТ-процессы, у него остановится и весь бизнес. Второй тип - клиенты, эффективность бизнеса которых в значительной мере зависит от ИT-инфраструктуры, например промышленные предприятия, страховые компании, предприятия транспортной отрасли. К третьему типу можно отнести компании, у которых ИТ-инфраструктура выполняет лишь вспомогательную функцию и на основной бизнес существенного влияния не оказывает. Очевидно, что востребованность в ИТ-аудите у первых двух групп клиентов гораздо выше. На его основании выдаются детальные рекомендации, которые помогают ИТ-руководителям планировать дальнейшую работу.

Организация аудита ИТ-систем - это в первую очередь задача руководителей ИТ-подразделения. Исполнительный и финансовый директора ориентированы на стратегическое и оперативное руководство компанией, стремясь при этом эффективно управлять затратами. ИТ-аудиторы помогают обосновать и доказать необходимость тех или иных мероприятий в тех случаях, когда анализ собственных специалистов недостаточен для принятия обоснованных решений и требуется независимый взгляд со стороны. Это помогает разработать в дальнейшем технико-экономическое обоснование, определить, что позволит снизить риски и может принести прямую выгоду.

Прежде чем обследовать ИТ-инфраструктуру, необходимо собрать все исходные данные, сформулировать цели аудита и требования к системе и ее компонентам. На этом этапе разрабатывается техническое задание на аудит, согласуются методы и план проведения, ведутся организационные мероприятия по подготовке его проведения. На этапе обследования проводятся тестовые испытания функционирования ИТ-инфраструктуры в соответствии с методикой аудита, разработанной и согласованной на предыдущем этапе.

При тестировании специалисты компании "Микротест" используют автоматизированную систему для сбора начальных данных, сетевое тестовое оборудование и программное обеспечение для сбора статистики, генерации тестовых трансакций и потоков данных, генераторы и анализаторы трафика для исследования производительности и активности систем и приложений. В ходе тестирования выявляются тенденции развития нагрузок, существующие и прогнозируемые "узкие места" и степень их влияния на функционирование оборудования и ИТ-инфраструктуры в целом. На заключительном этапе на основании исходных данных и тестовых испытаний проводятся комплексный анализ собранной информации и формализация результатов аудита. В состав отчетного документа входит отчет об основных проблемах и "узких местах" с указанием степени влияния на показатели функционирования ИТ. Кроме того, результатом является экспертное заключение о степени соответствия ИТ-инфраструктуры требованиям заказчика и современным стандартам. На основании этих данных формируется набор рекомендаций по решению технологических проблем, включая соответствующие технико-коммерческие предложения на модернизацию. Чтобы результаты проведения аудита не потеряли актуальность при первом существенном изменении в ИТ-инфраструктуре, заказчику предоставляется методика адаптации аудиторского отчета под изменения ИТ.

Компания "Микротест" предлагает клиентам такие услуги, как аудит информационной безопасности и высокоуровневую услугу, стоящую на стыке аудита и консалтинга - аудит и оптимизация ИТ-подразделения. Под аудитом информационной безопасности понимаются экспертная оценка текущего состояния системы защиты информации, оценка информационных рисков по специальным методикам и критериям на основе российских и международных стандартов и выработка рекомендаций по совершенствованию системы защиты информации. Периодическое проведение таких аудитов необходимо в условиях повышенных требований к конфиденциальности и целостности информационных ресурсов, активного развития ИТ-систем, а также там, где бизнес существенно зависит от информационных технологий. Аудит информационной безопасности востребован на рынке, так как в результате заказчик получает максимальную отдачу от инвестиций, вкладываемых в систему защиты информации, повышается уровень информационной безопасности и минимизируются бизнес-риски, связанные с использованием ИТ. Кроме того, у клиента на руках остается документ, содержащий детализированную оценку затрат по созданию или модернизации системы безопасности, примерные объемы работ проекта.

Как было сказано, аудит и оптимизация ИТ-подразделения - сложная, высокоуровневая консалтинговая услуга, которая подразумевает анализ ИТ-процессов компании-заказчика на соответствие бизнес-задачам, разработку модели предоставления сервисов и проведение мероприятий по оптимизации деятельности ИТ-подразделения в соответствии с современной методологией эксплуатации ИТ и требованиями бизнеса. Вся деятельность ИТ-подразделения классифицируется, выделяются ИТ-сегменты, которые могут быть переданы на аутсорсинг внешним исполнителям, разрабатываются процессно-организационная структура и модель предоставления услуг, обеспечивающие соответствие решаемых задач интересам бизнеса. Такой аудит способствует повышению прозрачности и гибкости управления ИТ-инфраструктурой, а также инвестиционной привлекательности компании в целом.

В своей работе специалисты "Микротест" руководствуются требованиями нормативно-правовой и законодательной базы Российской Федерации в области обеспечения информационной безопасности. В качестве основы для проведения аудита используются зарубежные стандарты. Для обеспечения информационной безопасности применяется комплексный подход, основанный на методике оценки рисков и угроз. Он позволяет учитывать все возможные угрозы информационным ресурсам и поддерживать ИТ-инфраструктуру от случайных или преднамеренных воздействий естественного или искусственного характера.

Приведем конкретный пример. Корпоративная сеть одного из уральских заводов создавалась в целях обеспечения работы сетевых прикладных автоматизированных систем, и именно эффективность их работы явилась основным параметром оценки работы сети. По этой причине центральной задачей технологического аудита корпоративной сети передачи данных, поставленной перед компанией "Микротест", стала задача проверки соответствия работы сети требованиям эффективной работы прикладных систем. Проведенный компанией аудит стал особенно значим для бизнеса заказчика тем, что учитывались такие параметры эффективности сети, как возможность расширения спектра приложений, работающих в корпоративной сети, увеличение нагрузки существующих приложений и автоматизированных систем без проведения модернизации аппаратной базы КСПД и возможность внедрения принципиально новых (например, мультимедийных) приложений на базе имеющейся программно-аппаратной базы корпоративной сети.

Д. Матеев,

компания "Микротест"

"Финансовая газета", N 35, август 2007 г.