Принципы аудита состояния информационной инфраструктуры

Основные понятия и концепция аудита информационной инфраструктуры

Презентация к лекции

В настоящее время информационные технологии являются одним из основных инструментов обеспечения адаптивности и конкурентоспособности современных хозяйствующих субъектов. По мере изменения требований внешнего окружения этих субъектов меняются требования, предъявляемые к программным продуктам и ИТ-сервисам, что приводит к добавлению в их информационную инфраструктуру все новых и новых программно-аппаратных платформ. При этом все возрастающая их сложность и разнородность оказывают влияние на управляемость всей информационной инфраструктуры, стабильность и эффективность ее работы.

Под информационной инфраструктурой в данном контексте следует понимать отлаженную систему (подсистему), выполняющую функции обслуживания, документирования, учета, контроля и анализа всех процессов, происходящих с информационными потоками хозяйствующего субъекта. Иными словами, "инфраструктура – это технология и устройства (например, аппаратное обеспечение, операционные системы, системы управления базами данных, сетевое оборудование, мультимедиа, а также та среда, в которой все это находится и поддерживается), которые обеспечивают работу приложений".

В свою очередь, под информационной технологией понимают "систему правил, определяющих способы сбора, накопления, регистрации, передачи, обработки, хранения, по- иска, модификации, анализа, защиты, выдачи необходимой информации всем заинтересованным подразделениям или отдельным пользователям"

Сам подход к проведению аудита информационных инфраструктур с течением времени упорядочился и стандартизировался. Крупные аудиторские компании образовали ассоциации профессионалов в указанной предметной области, которые занимаются созданием и сопровождением стандартов аудиторской деятельности в сфере ИТ.

Однако это, как правило, закрытые для общественности стандарты. Поэтому для удовлетворения все нарастающей потребности в координации действий аудиторов и централизации хранения знаний управления информационными системами в 1967 году не- большая группа профессионалов основала Ассоциацию аудита и контроля информационных систем (Information Systems Audit and Control Association – ISACA).

Сегодня ISACA является признанным мировым лидером в области управления, контроля и аудита информационных технологий и информационной безопасности, а также управления информационными рисками. В настоящее время членами ISACA являются более 86000 профессионалов, работающих более чем в 160 государствах, которые являются специалистами в самых различных областях знаний, связанных с управлением, аудитом и эксплуатацией ИТ. Основная декларируемая цель Ассоциации – исследование, разработка, публикация и продвижение стандартизированного набора документов по управлению информационными технологиями для ежедневного использования администраторами и аудиторами ИТ.

Этический кодекс аудитора информационных систем

Наряду со стандартами ISACA разработала Этический кодекс аудитора информационных систем (Code of Professional Ethics), который обязателен к соблюдению всеми аудиторами, практикующими в рассматриваемой предметной области.

Основные принципы Кодекса гласят:

1. Содействовать приведению информационных систем в соответствие с принятыми стандартами и руководствами;
2. Осуществлять свою деятельность в соответствии со стандартами в области аудита информационных систем, принятыми ISACA;
3. Действовать в интересах работодателей, акционеров, клиентов и общества в старательной, лояльной и честной манере;
4. Сознательно не принимать участия в незаконной либо недобросовестной деятельности;
5. Сохранять конфиденциальность информации, полученной при выполнении своих должностных обязанностей;
6. Не использовать конфиденциальную информацию для получения личной выгоды и не передавать ее третьим лицам без разрешения ее владельца;
7. Выполнять свои должностные обязанности, оставаясь независимым и объективным;
8. Избегать деятельности, которая ставит под угрозу независимость аудитора;
9. Поддерживать на должном уровне свою компетентность в областях знаний, связанных с проведением аудита информационных систем, принимать участие в профессиональных мероприятиях;
10. Проявлять добросовестность при получении и документировании фотографических материалов, на которых базируются выводы и рекомендации аудитора;
11. Информировать все заинтересованные стороны о результатах проведения аудита;
12. Способствовать повышению осведомленности руководства организаций, клиентов и общества в вопросах, связанных с проведением аудита информационных систем;
13. Соответствовать высоким этическим стандартам в профессиональной и личной деятельности;
14. Совершенствовать свои личные качества.

Указанные требования призваны обеспечить высокое качество оказания аудиторских услуг, профессионализм самих аудиторов, а также разрешать сложные этические ситуации, возникающие в процессе аудита информационных технологий.

Стандарты аудита и управления, разработанные Ассоциацией, вобрали в себя опыт профессионалов всего мира. Исследования, проводимые в рамках Ассоциации, соответствуют все возрастающим требованиям ее членов и потребностям реальной действительности. В настоящее время, наряду с исследовательской и регламентационной работой, Ассоциация присваивает высококвалифицированным специалистам международные сертификаты, признаваемые во всем мире:

• сертифицированный аудитор информационных систем (Certified Information Systems Auditor – CISA);
• сертифицированный менеджер информационной безопасности (Certified Information Security Manager – CISM);
• сертифицированный специалист в области корпоративного управления ИТ (Certified in the Governance of Enterprise IT – CGEIT).

За три десятилетия своего существования ISACA разработала и постоянно обновляет такие общепризнанные в мире международные стандарты, как "Контрольные объекты для информационных и смежных технологий" (Control Objectives for Information and Related Technology – Cobit) и "Управление инвестициями в ИТ" (Val IT). Структура и содержание указанных стандартов позволяют обеспечить методологической поддержкой все уровни руководства системы управления любым хозяйствующим субъектом.