Аудит информационных технологий

Информационные технологии аудита , или аудит информационных систем , является изучение контроля управления в рамках информационной технологии (ИТ) инфраструктуры и бизнес - приложений. Оценка полученных свидетельств определяет, обеспечивают ли информационные системы защиту активов, поддержание целостности данных и эффективность их работы для достижения целей или задач организации. Эти проверки могут проводиться вместе с аудитом финансовой отчетности , внутренним аудитом или другой формой задания по подтверждению.

ИТ-аудиты также известны как аудиты автоматизированной обработки данных ( аудиты ADP ) и компьютерные аудиты .

Раньше они назывались аудитами электронной обработки данных ( EDP audits ).

Цель [ править ]

В этом разделе не процитировать любые источники . Пожалуйста, помогите улучшить этот раздел , добавив цитаты из надежных источников . Материал, не полученный от источника, может быть оспорен и удален . ( Январь 2010 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

ИТ-аудит отличается от аудита финансовой отчетности . В то время как цель финансового аудита состоит в том, чтобы оценить, достоверно ли во всех существенных отношениях финансовая отчетность отражает финансовое положение, результаты операций и движение денежных средств организации в соответствии со стандартной практикой бухгалтерского учета., целью ИТ-аудита является оценка структуры и эффективности внутреннего контроля системы. Сюда входят, помимо прочего, протоколы эффективности и безопасности, процессы разработки, а также управление или надзор за ИТ. Установка элементов управления необходима, но недостаточна для обеспечения надлежащей безопасности. Люди, ответственные за безопасность, должны учитывать, установлены ли средства управления должным образом, являются ли они эффективными, и если да, то какие действия можно предпринять, чтобы предотвратить нарушения в будущем. На эти запросы должны отвечать независимые и беспристрастные наблюдатели. Эти наблюдатели выполняют задачу аудита информационных систем. В среде информационных систем (ИС) аудит - это проверка информационных систем, их входов, выходов и обработки. ^[1]

Основные функции ИТ-аудита - оценить системы, которые используются для защиты информации организации. В частности, аудит информационных технологий используется для оценки способности организации защищать свои информационные активы и надлежащим образом передавать информацию уполномоченным сторонам. ^[2] ИТ-аудит направлен на оценку следующего:

Будут ли компьютерные системы организации доступны для бизнеса в любое время, когда это необходимо? (известная как доступность) Будет ли информация в системах раскрыта только авторизованным пользователям? (известный как безопасность и конфиденциальность) Всегда ли информация, предоставляемая системой, будет точной, надежной и своевременной? (измеряет целостность) Таким образом, аудит надеется оценить риск для ценного актива компании (ее информации) и установить методы минимизации этих рисков.

Типы ИТ-аудита [ править ]

Различные органы создали разные таксономии, чтобы различать различные типы ИТ-аудита. Гудман и Лоулесс заявляют, что существует три конкретных систематических подхода к проведению ИТ-аудита: ^[3]

Аудит технологического инновационного процесса . В ходе этого аудита создается профиль риска для существующих и новых проектов. Аудит позволит оценить длительность и глубину опыта компании в использовании выбранных ею технологий, а также ее присутствие на соответствующих рынках, организацию каждого проекта и структуру той части отрасли, которая занимается этим проектом или продуктом, организацией. и отраслевая структура.
Инновационный сравнительный аудит . Этот аудит представляет собой анализ инновационных возможностей проверяемой компании по сравнению с ее конкурентами. Это требует изучения исследовательских и опытно-конструкторских центров компании, а также ее опыта в производстве новых продуктов.
Аудит технологической позиции : этот аудит рассматривает технологии, которые в настоящее время есть у компании и которые необходимо добавить. Технологии характеризуются как «базовые», «ключевые», «развивающиеся» или «новые».

Другие описывают спектр ИТ-аудита с помощью пяти категорий аудитов:

Системы и приложения : аудит для подтверждения того, что системы и приложения подходят, эффективны и находятся под надлежащим контролем, чтобы гарантировать достоверность, надежность, своевременность и безопасность ввода, обработки и вывода на всех уровнях деятельности системы. Аудиты обеспечения безопасности систем и процессов образуют подтип, фокусирующийся на бизнес-ИТ-системах, ориентированных на бизнес-процессы. Цель такого аудита - помочь финансовым аудиторам. ^[4]

Средства обработки информации : аудит для проверки того, что средство обработки контролируется для обеспечения своевременной, точной и эффективной обработки приложений в нормальных и потенциально опасных условиях.
Разработка систем : аудит для подтверждения того, что разрабатываемые системы соответствуют целям организации, и для обеспечения того, чтобы системы были разработаны в соответствии с общепринятыми стандартами разработки систем .
Управление ИТ и архитектурой предприятия : аудит для подтверждения того, что руководство ИТ разработало организационную структуру и процедуры для обеспечения контролируемой и эффективной среды для обработки информации .
Клиент / сервер, телекоммуникации, интрасети и экстрасети : аудит для проверки наличия средств управления телекоммуникациями на клиенте (компьютер, получающий услуги), сервере и в сети, соединяющей клиентов и серверы.

А некоторые относят все ИТ-аудиты к одному из двух типов: аудиты « общий контроль » или «проверка приложений ».

Число ^{[ кто? ] специалистов} по ИТ-аудиту из области обеспечения информации считают, что существует три основных типа контроля, независимо от типа выполняемого аудита, особенно в сфере ИТ. Многие структуры и стандарты пытаются разбить элементы управления на разные дисциплины или области, называя их «элементы управления безопасностью», «элементы управления доступом», «элементы управления IA», чтобы определить типы задействованных элементов управления. На более фундаментальном уровне можно показать, что эти средства контроля состоят из трех типов основных средств контроля: защитный / превентивный контроль, детективный контроль и реактивный / корректирующий контроль.

В ИБ существует два типа аудиторов и аудитов: внутренний и внешний. Аудит ИБ обычно является частью внутреннего аудита бухгалтерского учета и часто выполняется внутренними аудиторами компании. Внешний аудитор проверяет результаты внутреннего аудита, а также входные данные, обработку и выходы информационных систем. Внешний аудит информационных систем в основном проводится сертифицированными аудиторами информационных систем, такими как CISA, сертифицированными ISACA, Ассоциацией аудита и контроля информационных систем, США, аудитор информационных систем (ISA), сертифицированный ICAI (Институт дипломированных бухгалтеров Индии), и другие, сертифицированные авторитетной организацией для аудита ИБ. Удалить -> ( часто является частью общего внешнего аудита, проводимого фирмой сертифицированного общественного бухгалтера (CPA). ^[1]) Аудит ИБ рассматривает все потенциальные опасности и средства контроля в информационных системах. Основное внимание уделяется таким вопросам, как операции, данные, целостность, программные приложения, безопасность, конфиденциальность, бюджеты и расходы, контроль затрат и производительность. Существуют руководящие принципы, помогающие аудиторам в их работе, например, от Ассоциации аудита и контроля информационных систем. ^[1]

Процесс ИТ-аудита [ править ]

Ниже приведены основные этапы выполнения процесса аудита информационных технологий: ^[5]

Планирование
Изучение и оценка средств контроля
Тестирование и оценка средств контроля
Составление отчетов
Следовать за

Информационная безопасность [ править ]

Аудит информационной безопасности является важной частью любого ИТ-аудита и часто считается основной целью ИТ-аудита. Широкий спектр аудита информационной безопасности включает такие темы, как центры обработки данных (физическая безопасность центров обработки данных и логическая безопасность баз данных, серверов и компонентов сетевой инфраструктуры), ^[6] сети и безопасность приложений . Как и в большинстве технических областей, эти темы постоянно развиваются; ИТ-аудиторы должны постоянно расширять свои знания и понимание систем, среды и деятельности системной компании.

История ИТ-аудита [ править ]

Концепция ИТ-аудита сформировалась в середине 1960-х годов. С тех пор ИТ-аудит претерпел множество изменений, в основном из-за технологических достижений и внедрения технологий в бизнес.

В настоящее время существует много ИТ-зависимых компаний, которые полагаются на информационные технологии для ведения своего бизнеса, например, телекоммуникационные или банковские компании. Для других видов бизнеса ИТ играют большую роль в компании, включая применение рабочего процесса вместо использования бумажной формы запроса, использование управления приложениями вместо ручного управления, которое является более надежным, или внедрение приложения ERP для облегчения организации за счет использования всего 1 приложение. В соответствии с ними важность ИТ-аудита постоянно возрастает. Одной из наиболее важных ролей ИТ-аудита является аудит критически важной системы с целью поддержки финансового аудита или поддержки конкретных объявленных нормативных требований, например SOX.

Принципы ИТ-аудита [ править ]

Следующие принципы аудита должны найти отражение: ^[7]

Своевременность: только тогда, когда процессы и программирование постоянно проверяются на предмет их потенциальной подверженности сбоям и слабостям, но также и в отношении продолжения анализа обнаруженных сильных сторон или сравнительного функционального анализа с аналогичными приложениями, обновленная структура может Продолжение следует.
Открытость исходного кода: при аудите зашифрованных программ требуется явная ссылка на то, как следует понимать работу с открытым исходным кодом. Например, программы, предлагающие приложение с открытым исходным кодом, но не рассматривающие сервер обмена мгновенными сообщениями как открытый исходный код, должны рассматриваться как критические. Аудитор должен занять свою позицию в парадигме необходимости открытого исходного кода в криптологических приложениях.
Детальность: процессы аудита должны быть ориентированы на определенный минимальный стандарт. Недавние процессы аудита программного обеспечения для шифрования часто сильно различаются по качеству, объему и эффективности, а также по опыту приема средств массовой информации, часто различаются представлениями. Из-за необходимости, с одной стороны, специальных знаний и умения читать программный код, а затем, с другой стороны, также иметь знания о процедурах шифрования, многие пользователи даже доверяют самым коротким утверждениям формального подтверждения. Индивидуальные обязательства в качестве аудитора, например, в отношении качества, масштаба и эффективности, должны, таким образом, оцениваться рефлексивно для вас самих и документироваться в рамках аудита.

Финансовый контекст: необходима дополнительная прозрачность, чтобы прояснить, было ли программное обеспечение разработано на коммерческой основе и финансировался ли аудит коммерчески (платный аудит). Имеет значение, является ли это частным хобби / общественным проектом или за ним стоит коммерческая компания.
Научное обоснование перспектив обучения: каждый аудит должен подробно описывать результаты в контексте, а также конструктивно подчеркивать прогресс и потребности в развитии. Аудитор не является родителем программы, но, по крайней мере, он или она играет роль наставника, если аудитор рассматривается как часть круга обучения PDCA ( PDCA = Plan-Do-Check-Act). Рядом с описанием обнаруженных уязвимостей должно быть также описание инновационных возможностей и развития потенциалов.
Включение литературы: читатель не должен полагаться исключительно на результаты одного обзора, но также судить в соответствии с циклом системы управления (например, PDCA, см. Выше), чтобы убедиться, что группа разработчиков или рецензент были и готовы для проведения дальнейшего анализа, а также в процессе разработки и обзора открыт для обучения и учета чужих замечаний. Список литературы должен сопровождаться в каждом случае аудита.
Включение руководств пользователя и документации: Далее следует проверить, есть ли руководства и техническая документация, и, если они расширены.
Выявление ссылок на инновации: приложения, которые позволяют отправлять сообщения как с оффлайн, так и с онлайн-контактами, поэтому рассмотрение чата и электронной почты в одном приложении - как и в случае с GoldBug - следует тестировать с высоким приоритетом (критерий присутствия чатов дополнительно в функцию электронной почты). Аудитор должен также выделить ссылки на инновации и обосновать потребности в дальнейших исследованиях и разработках.

Этот список принципов аудита для криптографических приложений описывает - помимо методов технического анализа - особенно основные ценности, которые следует принимать во внимание.

Возникающие проблемы [ править ]

Существуют также новые аудиты, вводимые различными стандартными советами, которые необходимо проводить в зависимости от проверяемой организации, что повлияет на ИТ и гарантирует, что ИТ-отделы выполняют определенные функции и средства контроля надлежащим образом, чтобы считаться соответствующими. Примерами таких аудитов являются SSAE 16 , ISAE 3402 и ISO27001: 2013 .

Аудит присутствия в Интернете [ править ]

Расширение корпоративного ИТ-присутствия за пределы корпоративного брандмауэра (например, внедрение социальных сетей на предприятии наряду с распространением облачных инструментов, таких как системы управления социальными сетями ) повысило важность включения аудита веб-присутствия в ИТ / ИБ. аудит. Цели этих аудитов включают обеспечение того, чтобы компания предпринимала необходимые шаги для:

обуздать использование неавторизованных инструментов (например, «теневой ИТ»)
минимизировать ущерб репутации
соблюдать нормативные требования
предотвратить утечку информации
снизить риск третьих лиц
минимизировать риск корпоративного управления ^[8]^[9]

Использование ведомственных или разработаны пользовательские инструментов была спорной темой в прошлом. Однако с повсеместной доступностью инструментов анализа данных, информационных панелей и статистических пакетов пользователям больше не нужно стоять в очереди, ожидая, пока ИТ-ресурсы выполнят, казалось бы, бесконечные запросы на отчеты. Задача ИТ-отдела - работать с бизнес-группами, чтобы максимально упростить авторизованный доступ и отчетность. Чтобы использовать простой пример, пользователям не нужно проводить собственное сопоставление данных, чтобы чистые реляционные таблицы были связаны значимым образом. ИТ-отделам необходимо сделать доступными для пользователей ненормализованные файлы типа хранилища данных, чтобы упростить их анализ. Например, некоторые организации периодически обновляют склад и создают простые в использовании «квартиры».таблицы, которые можно легко загрузить с помощью пакета, такого как Tableau, и использовать для создания информационных панелей.

Аудит корпоративных коммуникаций [ править ]

Рост сетей VOIP и таких проблем, как BYOD, и растущие возможности современных систем корпоративной телефонии приводят к повышенному риску неправильной конфигурации критически важной инфраструктуры телефонной связи, оставляя предприятие открытым для возможности мошенничества при обмене данными или снижения стабильности системы. Банки, финансовые учреждения и контакт-центры обычно устанавливают политики, которые должны применяться во всех своих коммуникационных системах. Задача проверки соответствия систем связи политике возлагается на специализированных телекоммуникационных аудиторов. Эти аудиты гарантируют, что коммуникационные системы компании:

придерживаться заявленной политики
соблюдайте правила, направленные на минимизацию риска взлома или фрикинга
соблюдать нормативные требования
предотвратить или минимизировать мошенничество с платой за проезд
снизить риск третьих лиц
минимизировать риск корпоративного управления ^[10]^[11]

Аудит корпоративных коммуникаций также называют речевым аудитом ^[12], но этот термин все больше устаревает, поскольку инфраструктура связи все больше становится ориентированной на данные и зависимой от данных. Термин «аудит телефонии» ^[13] также устарел, потому что современная инфраструктура связи, особенно при работе с клиентами, является омниканальной, когда взаимодействие происходит по нескольким каналам, а не только по телефону. ^[14] Одной из ключевых проблем, с которыми сталкивается корпоративный аудит коммуникаций, является отсутствие отраслевых или утвержденных правительством стандартов. ИТ-аудиты строятся на основе соблюдения стандартов и политик, опубликованных такими организациями, как NIST и PCI., но отсутствие таких стандартов для аудитов корпоративных коммуникаций означает, что эти аудиты должны основываться на внутренних стандартах и политиках организации, а не на отраслевых стандартах. В результате аудиты корпоративных коммуникаций по-прежнему проводятся вручную с проверками на случайной выборке. Инструменты автоматизации аудита политик для корпоративных коммуникаций стали доступны только недавно. ^[15]

См. Также [ править ]

Электронная обработка данных

Компьютерная криминалистика [ править ]

Компьютерная криминалистика
Анализ данных

Операции [ править ]

Служба поддержки и аудит отчетов об инцидентах
Аудит управления изменениями
Аварийное восстановление и аудит непрерывности бизнеса
ISAE 3402

Разное [ править ]

Гарантия XBRL

Нарушения и незаконные действия [ править ]

Стандарт AICPA: SAS 99 Рассмотрение мошенничества при аудите финансовой отчетности
Примеры компьютерного мошенничества

Ссылки [ править ]

^ a b c Райнер, Р. Келли и Кейси Г. Цегельски. Введение в информационные системы. 3-е изд. Хобокен, Нью-Джерси: Wiley;, 2011. Печать.
^ Ганц, Стивен Д. (2014). Основы ИТ-аудита: цели, процессы, практическая информация . 2014: Syngress, отпечаток Elsevier.CS1 maint: location ( ссылка )
^ Ричард А. Гудман; Майкл В. Лоулесс (1994). Технология и стратегия: концептуальные модели и диагностика . Oxford University Press, США. ISBN 978-0-19-507949-4. Проверено 9 мая 2010 года .
^ К. Джулиш и др., Конструктивное соответствие - Преодоление пропасти между аудиторами и ИТ-архитекторами . Компьютеры и безопасность, Elsevier. Том 30, выпуск 6-7, сентябрь-октябрь. 2011 г.
^ Дэвис, Роберт Э. (2005). ИТ-аудит: адаптивный процесс . Миссия Viejo: Pleier Corporation. ISBN 978-0974302997. Архивировано из оригинала на 2013-05-21 . Проверено 2 ноября 2010 .
^ «Продвинутая система, сеть и аудит периметра» .
^ Ссылки на другие основные принципы аудита, в: Адамс, Дэвид / Майер, Анн-Катрин (2016): исследование BIG SEVEN, сравнение криптографических мессенджеров с открытым исходным кодом, или: Комплексный обзор конфиденциальности и аудит GoldBug, шифрование электронной почты -Client & Secure Instant Messenger, описания, тесты и аналитические обзоры 20 функций приложения GoldBug на основе основных полей и методов оценки 8 основных международных руководств по аудиту для расследований ИТ-безопасности, включая 38 рисунков и 87 таблиц. URL: https://sf.net/projects/goldbug/files/bigseven-crypto-audit.pdf - английский / немецкий язык, версия 1.1, 305 страниц, июнь 2016 г. (ISBN: DNB 110368003X - 2016B14779)
^ Юргенс, Майкл. «Риски социальных сетей создают расширенную роль для внутреннего аудита» . Wall Street Journal . Дата обращения 10 августа 2015 .
^ «Программа аудита / подтверждения социальных сетей» . ISACA . ISACA . Дата обращения 10 августа 2015 .
^ Lingo, Стив. «Коммуникационный аудит: первый шаг на пути к унифицированным коммуникациям» . Блог XO . Дата обращения 17 января 2016 .
^ "Служба аудита телефонной системы" . 1-е услуги связи . 1-е услуги связи.
^ «Голосовой аудит» . www.securelogix.com . Проверено 20 января 2016 .
^ «Рекомендации по проектированию и аудиту IP-телефонии» (PDF) . www.eurotelecom.ro . Архивировано из оригинального (PDF) 27 марта 2014 года.
^ «Что такое омниканальность? - Определение с сайта WhatIs.com» . SearchCIO . Проверено 20 января 2016 .
^ «Утверждение» . SmarterHi Communications . Проверено 21 января 2016 .

Внешние ссылки [ править ]

Карьера аудитора информационных систем , Авинаш Кадам (Сетевой журнал)
Федеральный экзаменационный совет финансовых учреждений (FFIEC)
Потребность в технологии CAAT
Открытая архитектура безопасности - элементы управления и шаблоны для защиты ИТ-систем
Американский институт сертифицированных бухгалтеров (AICPA)
Библиотека ИТ-услуг (ITIL)

[Rainer,_R._Kelly_2011-1] Райнер, Р. Келли и Кейси Г. Цегельски. Введение в информационные системы. 3-е изд. Хобокен, Нью-Джерси: Wiley;, 2011. Печать.

[2] Ганц, Стивен Д. (2014). Основы ИТ-аудита: цели, процессы, практическая информация . 2014: Syngress, отпечаток Elsevier.CS1 maint: location ( ссылка )

[GoodmanGoodman1994-3] Ричард А. Гудман; Майкл В. Лоулесс (1994). Технология и стратегия: концептуальные модели и диагностика . Oxford University Press, США. ISBN 978-0-19-507949-4. Проверено 9 мая 2010 года .

[4] К. Джулиш и др., Конструктивное соответствие - Преодоление пропасти между аудиторами и ИТ-архитекторами . Компьютеры и безопасность, Elsevier. Том 30, выпуск 6-7, сентябрь-октябрь. 2011 г.

[5] Дэвис, Роберт Э. (2005). ИТ-аудит: адаптивный процесс . Миссия Viejo: Pleier Corporation. ISBN 978-0974302997. Архивировано из оригинала на 2013-05-21 . Проверено 2 ноября 2010 .

[6] «Продвинутая система, сеть и аудит периметра» .

[7] Ссылки на другие основные принципы аудита, в: Адамс, Дэвид / Майер, Анн-Катрин (2016): исследование BIG SEVEN, сравнение криптографических мессенджеров с открытым исходным кодом, или: Комплексный обзор конфиденциальности и аудит GoldBug, шифрование электронной почты -Client & Secure Instant Messenger, описания, тесты и аналитические обзоры 20 функций приложения GoldBug на основе основных полей и методов оценки 8 основных международных руководств по аудиту для расследований ИТ-безопасности, включая 38 рисунков и 87 таблиц. URL: https://sf.net/projects/goldbug/files/bigseven-crypto-audit.pdf - английский / немецкий язык, версия 1.1, 305 страниц, июнь 2016 г. (ISBN: DNB 110368003X - 2016B14779)

[8] Юргенс, Майкл. «Риски социальных сетей создают расширенную роль для внутреннего аудита» . Wall Street Journal . Дата обращения 10 августа 2015 .

[9] «Программа аудита / подтверждения социальных сетей» . ISACA . ISACA . Дата обращения 10 августа 2015 .

[10] Lingo, Стив. «Коммуникационный аудит: первый шаг на пути к унифицированным коммуникациям» . Блог XO . Дата обращения 17 января 2016 .

[11] "Служба аудита телефонной системы" . 1-е услуги связи . 1-е услуги связи.

[12] «Голосовой аудит» . www.securelogix.com . Проверено 20 января 2016 .

[13] «Рекомендации по проектированию и аудиту IP-телефонии» (PDF) . www.eurotelecom.ro . Архивировано из оригинального (PDF) 27 марта 2014 года.

[14] «Что такое омниканальность? - Определение с сайта WhatIs.com» . SearchCIO . Проверено 20 января 2016 .

[15] «Утверждение» . SmarterHi Communications . Проверено 21 января 2016 .

[1]