Аудит информационных технологий - Википедия - Information technology audit

An аудит информационных технологий, или же аудит информационных систем, представляет собой изучение управленческого контроля в рамках Информационные технологии (ЭТО) инфраструктура. Оценка полученных доказательств определяет, защищают ли информационные системы активы, поддерживая целостность данных и эффективно работают для достижения целей или задач организации. Эти обзоры могут быть выполнены вместе с аудит финансовой отчетности, внутренняя ревизия или другая форма проведения аттестации.

ИТ-аудиты также известны как автоматизированные аудиты обработки данных (Аудит ADP) и компьютерный аудит.

Раньше их называли аудит электронной обработки данных (EDP ​​аудиты).

Цель

ИТ-аудит отличается от аудит финансовой отчетности. В то время как цель финансового аудита заключается в оценке того, достоверно ли во всех существенных отношениях финансовая отчетность представляет финансовое положение, результаты деятельности и движение денежных средств организации в соответствии с стандартная практика бухгалтерского учета, целью ИТ-аудита является оценка структуры и эффективности внутреннего контроля системы. Это включает в себя, помимо прочего, протоколы эффективности и безопасности, процессы разработки, а также управление или надзор за ИТ. Установка средств управления необходима, но недостаточна для обеспечения надлежащей безопасности. Люди, ответственные за безопасность, должны учитывать, установлены ли средства управления должным образом, являются ли они эффективными, и если да, то какие действия можно предпринять, чтобы предотвратить нарушения в будущем. На эти запросы должны отвечать независимые и беспристрастные наблюдатели. Эти наблюдатели выполняют задачу аудита информационных систем. В среде информационных систем (ИС) аудит - это проверка информационных систем, их входов, выходов и обработки.[1]

Основные функции ИТ-аудита - оценить системы, которые используются для защиты информации организации. В частности, аудит информационных технологий используется для оценки способности организации защищать свои информационные активы и надлежащим образом передавать информацию уполномоченным сторонам.[2] ИТ-аудит направлен на оценку следующего:

Будут ли компьютерные системы организации доступны для бизнеса в любое время, когда это необходимо? (известная как доступность) Будет ли информация в системах раскрыта только авторизованным пользователям? (известный как безопасность и конфиденциальность) Всегда ли информация, предоставляемая системой, будет точной, надежной и своевременной? (измеряет целостность) Таким образом, аудит надеется оценить риск для ценного актива компании (ее информации) и установить методы минимизации этих рисков.

Виды ИТ-аудита

Разные органы власти создали разные таксономии различать различные типы ИТ-аудита. Гудман и Лоулесс заявляют, что существует три конкретных систематических подхода к проведению ИТ-аудита:[3]

  • Аудит технологического инновационного процесса. В ходе этого аудита создается профиль риска для существующих и новых проектов. Аудит позволит оценить длительность и глубину опыта компании в использовании выбранных ею технологий, а также ее присутствие на соответствующих рынках, организацию каждого проекта и структуру той части отрасли, которая занимается этим проектом или продуктом, организацией. и отраслевая структура.
  • Инновационный сравнительный аудит. Данный аудит представляет собой анализ инновационных возможностей проверяемой компании по сравнению с ее конкурентами. Это требует изучения исследовательских и опытно-конструкторских центров компании, а также ее опыта в производстве новых продуктов.
  • Аудит технологической позиции: Этот аудит рассматривает технологии, которые в настоящее время есть у компании и которые необходимо добавить. Технологии характеризуются как «базовые», «ключевые», «развивающиеся» или «новые».

Другие описывают спектр ИТ-аудита с помощью пяти категорий аудитов:

  • Системы и приложения: Аудит для проверки того, что системы и приложения подходят, эффективны и адекватно контролируются, чтобы гарантировать достоверность, надежность, своевременность и безопасность ввода, обработки и вывода на всех уровнях деятельности системы. Аудиты обеспечения безопасности систем и процессов образуют подтип, фокусирующийся на бизнес-ИТ-системах, ориентированных на бизнес-процессы. Цель такого аудита - помочь финансовым аудиторам.[4]
  • Средства обработки информации: Аудит для проверки того, что средство обработки контролируется для обеспечения своевременной, точной и эффективной обработки заявок в нормальных и потенциально опасных условиях.
  • Разработка систем: Аудит для подтверждения того, что разрабатываемые системы соответствуют целям организации, и для гарантии того, что системы разработаны в соответствии с общепринятыми стандартами разработка систем.
  • Управление ИТ и архитектурой предприятия: Аудит для подтверждения того, что руководство ИТ разработало организационную структуру и процедуры для обеспечения контролируемой и эффективной среды для обработка информации.
  • Клиент / Сервер, Телекоммуникации, Интранет и Экстранет: Аудит для подтверждения того, что телекоммуникации элементы управления имеются на клиенте (компьютер, получающий услуги), сервере и на сеть подключение клиентов и серверов.

А некоторые относят все ИТ-аудиты к одному из двух типов: "общий контрольный обзор"аудит или"проверка контроля приложений«аудит.

Число[ВОЗ? ] профессионалов ИТ-аудита из Информационное обеспечение области считают, что существует три основных типа контроль независимо от типа проводимого аудита, особенно в сфере ИТ. Многие структуры и стандарты пытаются разбить элементы управления на разные дисциплины или области, называя их «элементы управления безопасностью», «элементы управления доступом», «элементы управления IA», чтобы определить типы задействованных элементов управления. На более фундаментальном уровне можно показать, что эти средства контроля состоят из трех типов основных средств контроля: защитный / превентивный контроль, детективный контроль и реактивный / корректирующий контроль.

В ИБ существует два типа аудиторов и аудитов: внутренний и внешний. Аудит ИБ обычно является частью внутреннего аудита бухгалтерского учета и часто выполняется внутренними аудиторами компании. Внешний аудитор проверяет результаты внутреннего аудита, а также входные данные, обработку и выходы информационных систем. Внешний аудит информационных систем в основном проводится сертифицированными аудиторами информационных систем, такими как CISA, сертифицированными ISACA, Ассоциацией аудита и контроля информационных систем, США, аудитор информационных систем (ISA), сертифицированный ICAI (Институт дипломированных бухгалтеров Индии), и другие, сертифицированные авторитетной организацией для аудита ИБ. Удалить -> (часто является частью общего внешнего аудита, выполняемого сертифицированной бухгалтерской фирмой (CPA).[1]) Аудит ИБ рассматривает все потенциальные опасности и средства контроля в информационных системах. Основное внимание уделяется таким вопросам, как операции, данные, целостность, программные приложения, безопасность, конфиденциальность, бюджеты и расходы, контроль затрат и производительность. Существуют руководящие принципы, помогающие аудиторам в их работе, например, от Ассоциации аудита и контроля информационных систем.[1]

Процесс ИТ аудита

Ниже приведены основные этапы выполнения процесса аудита информационных технологий:[5]

  1. Планирование
  2. Изучение и оценка средств контроля
  3. Тестирование и оценка средств контроля
  4. Составление отчетов
  5. Следовать за

Информационная безопасность

Аудит информационной безопасности является важной частью любого ИТ-аудита и часто считается основной целью ИТ-аудита. Широкий спектр аудита информационной безопасности включает такие темы, как дата-центры (физическая безопасность центров обработки данных и логическая безопасность баз данных, серверов и компонентов сетевой инфраструктуры),[6] сети и безопасность приложений. Как и в большинстве технических областей, эти темы постоянно развиваются; ИТ-аудиторы должны постоянно расширять свои знания и понимание систем, среды и деятельности системной компании.

История ИТ-аудита

Концепция ИТ-аудита сформировалась в середине 1960-х годов. С тех пор ИТ-аудит претерпел множество изменений, в основном из-за технологических достижений и внедрения технологий в бизнес.

В настоящее время существует множество ИТ-зависимых компаний, которые полагаются на информационные технологии для ведения своего бизнеса, например Телекоммуникационная или банковская компания. Для других видов бизнеса ИТ играют большую роль в компании, включая применение рабочего процесса вместо использования бумажной формы запроса, использование управления приложениями вместо ручного управления, которое является более надежным, или внедрение приложения ERP для облегчения организации за счет использования всего 1 приложение. В соответствии с ними важность ИТ-аудита постоянно возрастает. Одна из наиболее важных ролей ИТ-аудита - это аудит критически важной системы, чтобы поддержать финансовый аудит или поддержать конкретные объявленные правила, например SOX.

Принципы ИТ-аудита

Должны найти отражение следующие принципы аудита:[7]

  • Своевременность: Только когда процессы и программирование постоянно проверяются на предмет их потенциальной подверженности сбоям и слабостям, а также в отношении продолжения анализа обнаруженных сильных сторон или путем сравнительного функционального анализа с аналогичными приложениями, обновленная структура может быть продолжена. .
  • Открытость источника: При аудите зашифрованных программ требуется явная ссылка на то, как следует понимать работу с открытым исходным кодом. Например. программы, предлагающие приложение с открытым исходным кодом, но не рассматривающие сервер обмена мгновенными сообщениями как открытый исходный код, должны рассматриваться как критические. Аудитор должен занять свою позицию в парадигме необходимости открытого исходного кода в криптологических приложениях.
  • Разработанность: Процессы аудита должны быть ориентированы на определенный минимальный стандарт. Недавние процессы аудита программного обеспечения для шифрования часто сильно различаются по качеству, объему и эффективности, а также по опыту приема средств массовой информации, часто различаются представлениями. Из-за необходимости, с одной стороны, специальных знаний и умения читать программный код, а затем, с другой стороны, также иметь знания о процедурах шифрования, многие пользователи даже доверяют самым коротким утверждениям формального подтверждения. Индивидуальная приверженность как аудитор, например Таким образом, качество, масштаб и эффективность должны оцениваться рефлексивно для вас самих и документироваться в рамках аудита.
Рисунок 01 Восемь принципов Crypto-IT-Audit.png
  • Финансовый контекст: Необходима дополнительная прозрачность, чтобы прояснить, было ли программное обеспечение разработано коммерчески и финансировался ли аудит коммерчески (платный аудит). Имеет значение, является ли это частным хобби / общественным проектом или за ним стоит коммерческая компания.
  • Научное обоснование перспектив обучения: Каждый аудит должен подробно описывать результаты в контексте, а также конструктивно выделять прогресс и потребности в развитии. Аудитор не является родителем программы, но, по крайней мере, он или она играет роль наставника, если аудитор рассматривается как часть круга обучения PDCA (PDCA = Планирование-Выполнение-Проверка-Действие). Рядом с описанием обнаруженных уязвимостей должно быть также описание инновационных возможностей и развития потенциала.
  • Литература-включение: Читатель не должен полагаться исключительно на результаты одной проверки, но также должен судить в соответствии с циклом системы управления (например, PDCA, см. Выше), чтобы убедиться, что группа разработчиков или рецензент были и готовы выполнять дальнейшие анализа, а также в процессе разработки и обзора открыт для изучения и учета замечаний других. Список литературы должен сопровождаться в каждом случае аудита.
  • Включение руководств пользователя и документации: Далее следует проверить, есть ли инструкции и техническая документация, и если они расширены.
  • Определите ссылки на инновации: Приложения, которые позволяют отправлять сообщения оффлайн и онлайн-контактам, поэтому рассмотрение чата и электронной почты в одном приложении - как и в случае с GoldBug - следует тестировать с высоким приоритетом (критерий чатов присутствия в дополнение к электронной почте функция). Аудитор должен также выделить ссылки на инновации и обосновать потребности в дальнейших исследованиях и разработках.

Этот список принципов аудита для криптоприложений описывает - помимо методов технического анализа - в частности, основные ценности, которые следует принимать во внимание

Возникающие проблемы

Существуют также новые аудиты, вводимые различными стандартными советами, которые необходимо проводить в зависимости от проверяемой организации, что повлияет на ИТ и гарантирует, что ИТ-отделы выполняют определенные функции и средства контроля надлежащим образом, чтобы считаться соответствующими. Примеры таких аудитов: SSAE 16, ISAE 3402, и ISO27001: 2013.

Аудит присутствия в Интернете

Расширение корпоративного ИТ-присутствия за пределы корпоративного межсетевого экрана (например, принятие социальные медиа со стороны предприятия наряду с распространением облачных инструментов, таких как системы управления социальными сетями ) повысил важность включения аудит веб-присутствия в аудит ИТ / ИБ. Цели этих аудитов включают обеспечение того, чтобы компания предпринимала необходимые шаги для:

  • обуздать использование неавторизованных инструментов (например, «теневой ИТ»)
  • минимизировать ущерб репутации
  • соблюдать нормативные требования
  • предотвратить утечку информации
  • снизить риск третьих лиц
  • минимизировать корпоративный риск[8][9]

Использование ведомственных или разработаны пользовательские инструментов была спорной темой в прошлом. Однако с повсеместной доступностью инструментов анализа данных, панелей мониторинга и статистических пакетов пользователям больше не нужно стоять в очереди, ожидая, пока ИТ-ресурсы выполнят, казалось бы, бесконечные запросы на отчеты. Задача ИТ-отдела - работать с бизнес-группами, чтобы максимально упростить авторизованный доступ и отчетность. Чтобы использовать простой пример, пользователям не нужно проводить собственное сопоставление данных, чтобы чистые реляционные таблицы были связаны значимым образом. ИТ-отделу необходимо сделать доступными для пользователей ненормализованные файлы типа хранилища данных, чтобы упростить их анализ. Например, некоторые организации периодически обновляют склад и создают простые в использовании «плоские» таблицы, которые можно легко загрузить с помощью такого пакета, как Tableau, и использовать для создания информационных панелей.

Аудит корпоративных коммуникаций

Рост сетей VOIP и таких проблем, как BYOD, и растущие возможности современных систем корпоративной телефонии приводят к повышенному риску неправильной конфигурации критически важной инфраструктуры телефонной связи, оставляя предприятие открытым для возможности мошенничества при обмене данными или снижения стабильности системы. Банки, финансовые учреждения и контакт-центры обычно устанавливают политики, которые должны применяться во всех своих коммуникационных системах. Задача проверки соответствия систем связи политике возлагается на специализированных телекоммуникационных аудиторов. Эти аудиты гарантируют, что коммуникационные системы компании:

  • придерживаться заявленной политики
  • соблюдайте правила, направленные на минимизацию риска взлома или фрикинга
  • соблюдать нормативные требования
  • предотвращение или минимизация мошенничества с платой
  • снизить риск третьих лиц
  • минимизировать корпоративный риск[10][11]

Аудит корпоративных коммуникаций также называется голосовым аудитом,[12] но этот термин все чаще устаревает, поскольку инфраструктура связи все больше становится ориентированной на данные и зависимой от данных. Термин «аудит телефонии»[13] также устарел, потому что современная инфраструктура связи, особенно при работе с клиентами, является омниканальной, когда взаимодействие происходит по нескольким каналам, а не только по телефону.[14]Одной из ключевых проблем, с которыми сталкиваются корпоративные коммуникационные аудиты, является отсутствие отраслевых или утвержденных правительством стандартов. ИТ-аудиты строятся на основе соблюдения стандартов и политик, опубликованных такими организациями, как NIST и PCI, но отсутствие таких стандартов для аудитов корпоративных коммуникаций означает, что эти аудиты должны основываться на внутренних стандартах и ​​политиках организации, а не на отраслевых стандартах. В результате аудиты корпоративных коммуникаций по-прежнему проводятся вручную с проверками на случайной выборке. Инструменты автоматизации аудита политик для корпоративных коммуникаций стали доступны только недавно.[15]

Смотрите также

Компьютерная криминалистика

Операции

Разное

Нарушения и противоправные действия

Рекомендации

  1. ^ а б c Райнер, Р. Келли и Кейси Г. Цегельски. Введение в информационные системы. 3-е изд. Хобокен, штат Нью-Джерси: Wiley;, 2011. Печать.
  2. ^ Ганц, Стивен Д. (2014). Основы ИТ-аудита: цели, процессы и практическая информация. 2014: Syngress, отпечаток Elsevier.CS1 maint: location (связь)
  3. ^ Ричард А. Гудман; Майкл В. Лоулесс (1994). Технология и стратегия: концептуальные модели и диагностика. Oxford University Press, США. ISBN  978-0-19-507949-4. Получено 9 мая, 2010.
  4. ^ K. Julisch et al., Соблюдение нормативных требований - Преодоление пропасти между аудиторами и ИТ-архитекторами. Компьютеры и безопасность, Elsevier. Том 30, выпуск 6-7, сентябрь-октябрь. 2011 г.
  5. ^ Дэвис, Роберт Э. (2005). ИТ-аудит: адаптивный процесс. Миссия Viejo: Pleier Corporation. ISBN  978-0974302997. Архивировано из оригинал на 2013-05-21. Получено 2010-11-02.
  6. ^ «Расширенный аудит систем, сети и периметра».
  7. ^ Ссылки на другие основные принципы аудита в: Adams, David / Maier, Ann-Kathrin (2016): BIG SEVEN Study, сравнение криптографических мессенджеров с открытым исходным кодом - или: Комплексный обзор конфиденциальности и аудит GoldBug, шифрование электронной почты. Client & Secure Instant Messenger, описания, тесты и аналитические обзоры 20 функций приложения GoldBug на основе основных полей и методов оценки 8 основных международных руководств по аудиту для расследований ИТ-безопасности, включая 38 рисунков и 87 таблиц. URL: https://sf.net/projects/goldbug/files/bigseven-crypto-audit.pdf - Английский / немецкий язык, версия 1.1, 305 страниц, июнь 2016 г. (ISBN: DNB 110368003X - 2016B14779)
  8. ^ Юргенс, Майкл. «Риски, связанные с социальными сетями, расширяют роль внутреннего аудита». Wall Street Journal. Получено 10 августа 2015.
  9. ^ «Программа аудита / подтверждения социальных сетей». ISACA. ISACA. Получено 10 августа 2015.
  10. ^ Lingo, Стив. «Аудит коммуникаций: первый шаг на пути к унифицированным коммуникациям». Блог XO. Получено 17 января 2016.
  11. ^ «Служба аудита телефонной сети». 1-е услуги связи. 1-е услуги связи.
  12. ^ «Голосовой аудит». www.securelogix.com. Получено 2016-01-20.
  13. ^ «Рекомендации по проектированию и аудиту IP-телефонии» (PDF). www.eurotelecom.ro. Архивировано из оригинал (PDF) 2014-03-27.
  14. ^ «Что такое омниканальность? - Определение с сайта WhatIs.com». SearchCIO. Получено 2016-01-20.
  15. ^ "Утверждение". SmarterHi Communications. Получено 2016-01-21.

внешняя ссылка