- •Роль информационных технологий в развитии экономики и общества. Проблемы, перспективы, положительные и негативные аспекты информатизации
- •Общая классификация видов информационных технологий и их реализация в программно-аппаратных комплексах прикладной области деятельности
- •3. Жизненный цикл ит. Области применения и технико-экономические аспекты обоснования целесообразности применения ит и систем в деятельности объекта экономики
- •5. Роль ит в развитии экономики и общества. Глобальная, базовая и конкретные ит в организации технологического процесса переработки информации экономических объектов
- •6. Обеспечивающая и функциональная ит. Распределенная функциональная ит. Совокупная стоимость владения, технико-экономические показатели целесообразности применения
- •7. Объектно-ориентированные ит. Программно-аппаратные решения в прикладной области. Совокупная стоимость владения, технико-экономические показатели целесообразности применения
- •8. Модели процессов передачи, обработки, накопления данных в ис. Современные программно-аппаратные решения. Совокупная стоимость владения, технико-экономические показатели целесообразности применения
- •Обобщенная схема технологического процесса обработки информации
- •Сбор и регистрация информации
- •Передача информации
- •Обработка информации
- •Хранение и накопление информации
- •9. Роль и место эталонной модели взаимодействия открытых систем в ит. Программно-аппаратная реализация
- •10. Базовые сетевые ит в цифровых сетях связи. Особенности их использования
- •11. Ит поддержки принятия решений. Основная программно-аппаратная реализация в пакетах прикладных программ
- •12. Ит хранилищ и баз данных. Отличительные особенности современных субд. Облачные технологии
- •13. Модели, методы и средства реализации перспективных ит, концепция глобальной информационной инфраструктуры. Проблемы и перспективы постиндустриальной экономики и виртуализации взаимодействия
- •14. Информационные технологии защиты информации. Виды, способы защиты информации в каналах связи. Коммерческая тайна, способы защиты на основе программно-аппаратных решений
- •15. Мультимедийные ит. Программно-аппаратные средства создания мультимедиа-приложений и виртуализации взаимодействий предприятий с развитой сетевой структурой. Экономическое обоснование решений
- •16. Современные технологические решения хранения и коллективной обработки данных в условиях глобализованного информационного телекоммуникационного пространства постиндустриального общества
- •Фрактальная графика
- •Adobe Photoshop
- •CorelDraw
- •Expand Networks
- •Rad Data Communications
- •Planet Technology
- •12 Принципов
- •Всегда придерживайтесь ключевых слов
- •Уделите внимание стилю написания
- •Пишите мощные заголовки и описания
- •27. Аудит ис и ит предприятия/организации. Основные цели и задачи. Технический аудит. Аудит по. Организация и аудит процессов управления ит службой
- •Цели аудита:
- •Результаты аудита
- •29. Операционная система (ос). Классификация ос. Эволюция ос. Функции ос. Разновидности ос. Обобщенная модель иерархической ос
- •30. Ресурсы компьютерной системы. Классификация. Виды лицензий и способы оптимизации издержек предприятия на программное обеспечение и автоматизацию деятельности
- •31. Пользовательский интерфейс и его эргономика. Интерфейс ис как сценарий поведения пользователя. Роль графического дизайна в ис
- •2. Частные критерии эффективности
27. Аудит ис и ит предприятия/организации. Основные цели и задачи. Технический аудит. Аудит по. Организация и аудит процессов управления ит службой
При проведении проверки информационных систем она должна быть направлена на три основных блока: техническое обеспечение, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая их этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь. Рассмотрим конкретные составляющие этих трех блоков.
С точки зрения технического обеспечения необходимо постоянно отслеживать следующие моменты:
отказоустойчивость технической базы, под которой понимают способность технических средств функционировать практически без сбоев и остановок;
степень надежности хранения данных и возможности их восстановления, включая средства резервного копирования и дисковые массивы;
физический доступ к компьютерному оборудованию, который должен быть ограничен, так как может быть причиной несанкционированных действий;
маштабируемость компьютерных систем, которая состоит в возможности их наращивания и является залогом их более или менее длительного использования;
достаточность мощности технических средств для обработки данных в организации, так как может сложиться ситуация, когда растущий объем операций будет неадекватен техническим возможностям эксплуатируемых систем;
соответствие технической политики бизнес-задачам организации и ее экономическая эффективность.
В части контроля за программным обеспечением регулярной проверке подлежит:
лицензионная чистота программного обеспечения, так как помимо юридических проблем, при отсутствии лицензий, сопровождение программных продуктов производителями не осуществляется, и это может привести к серьезным сбоям в их работе;
логический доступ к данным на системном и прикладном уровнях, в том числе политика информационной безопасности и ее выполнение, включающая многоуровневую систему доступа пользователей к данным, приложениям и отдельным операциям, предотвращающую несанкционированные действия и ограничивающую доступ к конфиденциальной информации;
система протоколирования всех действий пользователей в информационных системах, которая направлена на возможность оперативного контроля и проведения внутренних расследований;
надежность системного программного обеспечения и используемой СУБД (системы управления базой данных), которые так же, как и технические средства, являются повышенным источником риска;
достаточность функциональных возможностей и удобство осуществления операций в системах автоматизации, что необходимо для достижения большей эффективности от использования современных ИТ;
наличие верификации (подтверждения одним пользователем действий другого) и последующего контроля за данными в информационных системах;
корректность алгоритмов, результатов и периодичности автоматических процедур, которые, как правило, в современных банковских системах осуществляются без участия пользователя, такие, как расчет курсовой разницы, процентов по кредитам и депозитам, открытой валютной позиции, консолидация;корректность справочных данных, используемых при различных
расчетах и операциях в информационных системах, таких, как курсы валют, процентные ставки, банковские идентификационные коды.
Направления проверки технологии организации и использования компьютерной обработки данных достаточно разнообразны:
общая структура служб Информационных Технологий (ИТ) и ее соответствие поставленным задачам;
существование и реализация плана развития информационных технологий, что является необходимым при современном темпе технологических нововведений;
регламентация действий пользователей информационных систем как часть обязательного и с точки зрения общего управления, и с точки зрения управления качеством регламентирования всех внутренних банковских процессов;
оценка системы поддержки (сопровождения) пользователей, так как при некачественном сопровождении повышается риск неправильных, ошибочных действий вследствие непонимания особенностей информационных систем;
технология разработки и внедрения отдельных приложений, которая должна ограничивать банк от использования не соответствующего требованиям пользователей и содержащих большое количество ошибок программных продуктов, а также исключать зависимость от ключевого ИТ персонала (при собственной разработке);
технологии проведения отдельных операций с точки зрения их соответствия регламентам, политики информационной безопасности, удобства и эффективности их автоматизации;
технология работы с особо критичными системами и их участками, прежде всего такими, как платежные терминалы и системы передачи данных между различными программными комплексами;
наличие системы обеспечения деятельности при возникновении чрезвычайных ситуаций, а именно плана действий, резервной вычислительной площадки и возможности быстрого восстановления данных.
Все эти факторы в современном банке имеют огромное значение и соответственно трансформируются в задачи внутреннего и внешнего контроля и аудита, которые все больше переориентируются на компьютерные системы и технологии. С другой стороны, это соотносится с потребностью в аудите, обращенном не столько на проверку достоверности отчетности и соответствия учетных процедур, сколько на предотвращение негативных явлений в деятельности организаций, на глубинный анализ и прогнозирование финансового состояния, управление рисками, в том числе и информационных систем, что в конечном счете еще более укрепляет описанные выше тенденции.
Информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, что требует дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита. В этой связи аудит информационных технологий проводят в компаниях для того, чтобы оперативно получать систематизированную и достоверную информацию для оценки ИТ, принятия решений по управлению ИТ.
Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы:
осуществляют оценку рисков ИТ;
содействуют предотвращению и смягчению сбоев ИС;
участвуют в управлении рисками ИТ;
помогают подготавливать нормативные документы;
помогают связать бизнес-риски и средства автоматизированного контроля;
осуществляют проведение периодических проверок;
содействуют ИТ-менеджерам в правильной организации управления ИТ;
осуществляют «взгляд со стороны».
Внешние аудиторы акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы – на обеспечении эффективности системы внутреннего контроля ИТ.
На Российском рынке в настоящее время можно выделить 6 видов услуг по аудиту ИТ:
Обследование ИТ.
Экспертная оценка ИТ.
Технический аудит ИТ.
Аудит ИТ бизнес-процесса.
Аудит критерия ИТ.
Комплексный аудит ИТ.
Обследование ИТ - частный случай аудита ИТ. Это обычная инвентаризация — сбор информации, которая будет использоваться для проведения последующих работ, например, проектных работ по внедрению новой информационной системы, когда требуется грамотно собрать достоверную информацию о текущем состоянии ИТ. При обследовании ИТ анализ и оценка, как правило, не производится.
Экспертная оценка ИТ – это оценка адекватности финансирования проектных решений и/или инвестиций в закупку оборудования и ИТ-услуг. При этом возможны следующие виды оценок:
оценка ИТ-проектов или проектных решений;
оценка обоснованности инвестиций в ИТ;
оценка стоимости ИТ-составляющей компании;
оценка текущих ИТ-проектов;
оценка возможности перепрофилирования ИТ-инфраструктуры;
оценка организации эксплуатации ИТ;
оценка подготовки пользователей.
Технический аудит ИТ – это сбор, анализ информации и выдача рекомендаций по улучшению работы отдельного технического элемента ИТ-инфраструктуры. Для этого вида аудита характерны малый масштаб работы и узкая техническая специализация исследования.
Аудит ИТ бизнес-процесса – это аудит информационных технологий и систем, критичных для выполнения конкретного бизнес-процесса компании с заданными критериями качества и эффективности. Одним из важнейших результатов этого вида аудита является формализованная модель исследуемого бизнес-процесса.
При проведении аудита ИТ бизнес-процесса, как правило, выполняется:
определение ответственного за процесс;
определение пользователей и участников бизнес-процесса;
выявление применяемого оборудования и программ;
оценка действий обслуживающего персонала и пользователей;
анализ проектных и регламентирующих документов.
Аудит критерия ИТ – это сбор, анализ информации и выдача рекомендаций по какому-то выбранному критерию ИТ, например, безопасность, производительность, надежность, доступность и т.д. При проведении аудита по определенному критерию оценки принято исследовать не только отдельный элемент ИТ-инфраструктуры, но и всю совокупность программных, аппаратных средств, процессов их сопровождения и обслуживания во всей проверяемой компании.
Комплексный аудит ИТ – это аудит, при котором осуществляется определение и анализ взаимосвязей бизнес-процессов, их требований, информационных и смежных технологий, совокупности программно-аппаратных средств с целью сравнения адекватности ИТ потребностям бизнеса компании.
Вопросу аудита и внутреннего контроля за информационными системами посвящены несколько зарубежных стандартов аудита и специальный российский стандарт «Аудит в условиях компьютерной обработки данных (КОД)». Из зарубежных источников можно отметить международный стандарт аудита CobiT, ISA 401, положения по международной практике аудита 1002, 1003,1004, 1008, 1009. В них отражены вопросы практики аудита в среде компьютерных информационных систем, оценки рисков и надежности системы внутреннего контроля в условиях КОД, техника проведения аудита с учетом использования современных информационных технологий.
В обобщенном виде ИТ-аудит проводится в два этапа:
этап "Планирование ИТ-аудита".
этап "Проведение ИТ-аудита".
На этапе "Планирования ИТ-аудита":
Анализируются:
структура бизнес-процессов;
платформы и структура информационных систем, поддерживающих бизнес-процессы;
структура ролей и распределения ответственности, включая аутсорсинг;
бизнес-риски и бизнес-стратегия.
Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.
Идентифицируются ИТ-риски.
Оценивается общий уровень контроля рассматриваемых бизнес-процессов.
На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.
На этапе "Проведения ИТ-аудита" выполняются следующие виды работ:
Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);
Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;
Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);
Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.
Технический аудит направлен на снижение потерь компаний, вызванных системными сбоями. Сбои ИС могут стать причиной ощутимых потерь компаний. Учитывая, что в информационных системах, в которых не налажены надлежащие процессы контроля и предупреждения возможных причин сбоев — а таково положение у большинства современных компаний — сбои возникают в наиболее ответственные, а значит и наиболее напряженные моменты. Потери могут выливаться в огромные суммы. Сокращения таких потерь можно достичь путем комплексного исследования технического состояния всех компонентов ИС.
Аудит технического состояния ИС прежде всего предназначен для компаний, которым требуется оценить текущее состояние ИС с целью реконструкции и модернизации или подготовиться к расширению ИС и внедрению новых технологий. Проведение аудита технического состояния позволяет:
• устранить системные сбои в ИС;
• повысить эффективности работы предприятия;
• получить перечень "узких мест" в работе ИС;
• произвести модернизацию и реконструкцию ИС на основании полученных рекомендаций;
• организовать и наладить поддержку ИС;
• разработать корпоративные стандарты поддержки ИС.
Аудит технического состояния затрагивает проведение таких мероприятий, как учет существующих на предприятии аппаратных средств, программного обеспечения, периферийных устройств и анализ построения структурированной кабельной системы (СКС), сетей передачи данных, функционирования ИТ-службы предприятия, технических параметров эффективности работы ИС, надежности ИС, безопасности ИС.
По результатам аудита клиенту предоставляется отчетность по следующим направлениям:
• состояние кабельной системы;
• реализация резервного копирования;
• наличие избыточного трафика в сети, наличие ошибок в трафике,
• список пользователей, с целью предоставления рекомендаций по внедрению политики безопасности;
• наличие незащищенных дисковых ресурсов;
• безопасность информационной системы для выявления существования потенциальных угроз несанкционированного доступа к ИС;
• инвентаризация программных и аппаратных средств;
• загруженность каналов связи для определения и локализации критических участков инфраструктуры сети;
• перечень запущенных служб.
Аудит программного обеспечения (ПО) предприятия представляет собой ревизию установленных программ. Аудит позволяет определить эффективность использования ПО, а также дать рекомендации по вопросам закупки, поддержки, развития и управлению жизненным циклом ПО. Одной из главных задач, решаемых этой услугой, является определение лицензионной чистоты ПО, установленного на компьютерах компании.
Руководство не располагает точной информацией о лицензионной чистоте установленного в организации программного обеспечения. Необходимо не только выявить установленное ПО, но и дать рекомендации по закупке лицензий либо замене на другие продукты.
На компьютерах компании установлено большое количество неучтенного программного обеспечения («зоопарк»). Продукты разных производителей конфликтуют друг с другом, часто возникают ошибки, сотрудники вынуждены постоянно обращаться к системным администраторам за технической поддержкой.
Программное обеспечение, используемое в компании, редко либо никогда не обновляется, в связи с чем содержит мужество уязвимостей. Это ПО является прямой угрозой безопасности корпоративной сети. Необходимо выявить устаревшие версии ПО и дать рекомендации по его обновлению или замене.
Решаемые задачи:
Определение лицензионной чистоты используемого ПО. Инвентаризация ПО позволяет выявлять вероятные риски и оценивать их последствия.
Определение соответствия возможностей ПО и потребностей бизнеса. Аудит позволяет понять, насколько эффективно используется ПО, и какие есть возможности для увеличения этой эффективности.
Определение целесообразности дальнейшего использования ПО, его развития или же замены на новый продукт.
Стандартизация используемого ПО. Сотрудники компании получают набор программ, необходимый и достаточный для их эффективной работы.
Оптимизация расходов на программное обеспечение.
Повышение безопасности корпоративной сети за счет отказа от практики использования непроверенного и небезопасного ПО.
Преимущества для хаказчика:
Сознательное или случайное нарушение лицензионных соглашений может привести к наложению на организацию крупных штрафов. Инвентаризация программного обеспечения позволяет выявлять вероятные риски и оценивать их последствия.
Имея точные данные о закупленном ПО, можно точнее планировать дальнейшие затраты и извлечь максимальную выгоду из лицензионных соглашений, воспользовавшись программами корпоративного лицензирования.
Имея на руках информацию об использовании той или иной программы, можно принять управленческое решение: следует ли в дальнейшем продолжать закупки данного продукта или лучше избавиться от него по истечении срока лицензионного договора.
Инвентаризация программного обеспечения необходима как составной этап процесса стандартизации рабочего места. Проведение аудита ПО позволяет составить четкую стратегию использования ПО на рабочих станциях, что значительно уменьшит расходы на техническую поддержку и увеличит эффективное рабочее время сотрудников.
Инвентаризация позволяет определить, какие установленные программные продукты требуют замены версий или установки обновлений.
Учет программного обеспечения как актива компании повышает её рыночную стоимость, что влечет рост её инвестиционной привлекательности.
Заказчик получает конкретные рекомендации по управлению жизненным циклом программного обеспечения в организации, с учетом технических характеристик и архитектурных особенностей ПО.
Аудит процессов управления службой ИТ состоит из следующих специализированных аудитов:
процесса управления инцидентами;
процесса управления проблемами;
процесса управления конфигурациями;
процесса управления изменениями;
процесса управления релизами;
процесса управления уровнем сервиса;
процесса управления доступностью;
процесса управления мощностями;
процесса управления финансами ИТ;
процесса управления непрерывностью сервиса ИТ;
процесса управления информационной безопасностью.