5. Проведение аудита уис и результаты его проведения
Информационный аудит ИС позволит избежать непрогнозируемого развития и изменения характеристик систем и предоставить объективную информацию о состоянии ее структуры, которая в случае необходимости может быть использована для проектирования дальнейшего развития и оптимизации характеристик работы структуры ИС. После оптимизации и развития ИС вновь переходит в фазу функционирования и эксплуатации, в процессе которых производится накопление опыта и сбор статистической информации вплоть до момента очередного планового аудита, когда собранные данные будут оценены и проанализированы. Следует отметить, что фазы жизненного цикла ИС не являются четко разграниченными и накладываются друг на друга, обеспечивая непрерывность ее эксплуатации, согласовывают многие стандарты в единый ресурс, позволяющий авторитетно, на современном уровне получить представление и управлять целями и задачами, решаемыми ИС.
В процессе информационного аудита также формируется начальная база данных по всей используемой программной и аппаратной платформе, что позволяет не только значительно сократить затраты на внедрение предложенного решения, но и в дальнейшем, снизить расходы на техническую поддержку и профилактические мероприятия.
Результатами проведения информационного аудита должны стать:
построение блок-схемы существующей структуры ИС;
оценка текущего уровня и состояния предприятия, разработка рекомендаций;
анализ и отчет по текущему парку программного и аппаратного обеспечения с оценкой соответствия выполняемым задачам и уровню морального и технического старения;
предложения по реструктуризации информационного пространства с учетом оценки механизмов сложившихся процессов на предприятии;
анализ и оценка переноса используемых приложений в реструктуризированную ИС;
оценка путей снижения стоимости владения и рисков простоя и потери информации;
рекомендации и предложения по снижению временных потерь (LAG-ов)
с учетом структуры производства;
оценка безопасности информационной системы;
план развития ИС предприятия в рамках долгосрочных перспектив.
В процессе проведения информационного аудита должны гарантироваться конфиденциальность полученной информации, а также невнесение дестабилизирующего влияния в имеющуюся инфраструктуру.
С
Аудит информационной
системы предприятия
хема
проведения информационного аудита на
предприятии (Рис.3. 7.)
Цели и стратегия
предприятия
Особенности
деятельности предприятия
Требование
руководства к работе ИС предприятия
ИС
предприятия
Оценка
информацион-ных рисков
Оценка эффективности
информационной системы
Рис. 3.7. проведение информационного аудита на предприятии
Одним из важнейших аспектов деятельности информационного аудита является определение и анализ возможных внешних и внутренних информационных рисков при разработке и внедрении новых ИТ, а также выработка рекомендаций, позволяющих снизить уровень информационного риска или минимизировать возможные потери.
Результаты информационного аудита должны обеспечить следующее:
1.Функциональная полнота ИС, где необходимым условием должна стать автоматизация в рамках системы решения задач:
планирования, бюджетирования, прогнозирования;
оперативного (управленческого) учета;
бухгалтерского учета;
статистического учета;
финансово-экономического анализа.
Проведение информационного аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы предприятия, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных потоков.
Автоматизация ИС при предложенном методологическом подходе должна обеспечить не только формирование отчетов, но и ведение учета одновременно по украинским и международным стандартам.
2. Локализация информационной системы как функциональная (учет особенностей украинского законодательства и системы расчетов), так и лингвистическая (интерфейс, система помощи и документация на русском языке).
3. Надежная защита информации. Для этого необходимы:
парольная система разграничения доступа к данным и функциям;
многоуровневая система защиты данных, включающая средства
авторизации вводимой и корректируемой информации, регистрации времени ввода и модификации данных, протокол удалений;
программно-аппаратные средства криптования данных.
4. Реализация удаленного доступа и работа в распределенных сетях, так как ИС на крупных предприятиях имеют сложную организационную структуру.
5. Наличие инструментальных средств адаптации и сопровождения системы, поскольку ИС постоянно развивается как в силу влияния внешних факторов (например, постоянных изменений в законодательстве), так и из-за изменения бизнес-функций предприятия.
6. Обмен данными между ИС и другими программными продуктами, функционирующими на предприятии.
7. Возможность консолидации информации (для пользователей ИС на разных уровнях):
предприятия - для объединения информации филиалов, дочерних компаний, предприятий, входящих в холдинг и т.п.;
отдельных задач;
временных периодов - для выполнения анализа изменения тех или иных показателей за период, предшествующий отчетному.
8. Специальные средства анализа состояния системы в процессе эксплуатации:
анализ архитектуры баз данных;
анализ алгоритмов;
анализ статистики количества обработанной информации (количество записей, документов, проводок; объем дисковой памяти);
журнал выполненных операций;
список работающих станций, внутрисистемная почта.
Аудитору требуется схемы организационной структуры пользователей и обслуживающих подразделений.
Обычно в ходе интервью аудитор задает опрашиваемым следующие
вопросы.
Кто владелец информации?
Кто является пользователем (потребителем) информации?
Кто провайдер услуг?
Назначение и принципы функционирования ИС во многом определяют существующие риски и требования безопасности, предъявляемые к системе. Поэтому на следующем этапе аудитора интересует информация о назначении и функционировании ИС. Аудитор задает опрашиваемым также вопросы.
Какие услуги и каким образом предоставляются конечным пользователям?
Какие основные виды приложений функционируют в ИС?
Количество и виды пользователей, использующих эти приложения.
Может понадобиться также следующая документация:
функциональные схемы;
описание автоматизированных функций;
описание основных технических решений;
другая проектная и рабочая документация на ИС.
Аудитору требуется более детальная информация о структуре ИС. Это позволит уяснить, каким образом осуществляется распределение механизмов безопасности по структурным элементам и уровням функционирования ИС. Типовые вопросы, которые обсуждаются в связи с этим во время интервью.
Из каких компонентов (подсистем) состоит ИС?
Функциональность отдельных компонент.
Где проходят границы системы?
Какие точки входа имеются?
Как ИС взаимодействует с другими системами?
Какие каналы связи используются для взаимодействия с другими ИС?
Какие каналы связи используются для взаимодействия между компонентами системы?
По каким протоколам осуществляется взаимодействие?
Какие программно-технические платформы используются при построении системы?
На этом этапе аудитору необходимо запастись следующей документацией:
структурная схема ИС;
схема информационных потоков;
описание структуры комплекса технических средств информационной системы;
описание структуры программного обеспечения;
описание структуры информационного обеспечения;
размещение компонентов информационной системы.
Подготовка значительной части документации на ИС обычно осуществляется уже в процессе проведения аудита. Когда все необходимые данные по ИС, включая документацию, подготовлены, можно переходить к их анализу. Примерная структура отчета по результатам аудита представлена в приложении
Таким образом, информационный аудит является оценкой надежности и эффективности существующей ИС предприятия. Аудит ИС позволит определить качество используемой информации, соответствие программных и аппаратных средств поставленным задачам, выявить «узкие места», оценить технологический уровень существующей ИС предприятия, разработать комплекс предложений по ее реструктуризации. Информационный аудит позволит получить всестороннюю объективную оценку инфраструктуры предприятия – это не только (персональные компьютеры, программное обеспечение, сетевые устройства, серверы, периферия), но и комплекс всех событий и элементов ИС (технологические процессы, учетно-аналитическая работа предприятия, человеческие ресурсы, документы и пр.).