Зачем проводить аудит информационных систем
Поволжский Кооперативный ИнститутРоссийского Университета Кооперации Реферат Тема: Зачем проводить аудит информационных систем? Выполнила: Моисеенко Е.В.студентка 4-го курса группы ПИ-61 Проверила: Павлова Ю.П. г. Энгельс2010г.Содержание1. Введение………………………………………………………………………...32. ISACA (Ассоциация аудита и контроля информационных систем)………...6 3. Практика проведения аудита ИС……………………………………………...10 4. Заключение……………………………………………………………………..17 5. Список использованной литературы…………………………………………18Введение Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию и предоставляющий результаты заказчику.В настоящее время актуальность аудита резко возросла, это связано с увеличением зависимости организаций от информации и ИС. Рынок насыщен аппаратно-программным обеспечением, многие организации в силу ряда причин (наиболее нейтральная из которых - это моральное старение оборудования и программного обеспечения) видят неадекватность ранее вложенных средств в информационные системы и ищут пути решения этой проблемы. Их может быть два: с одной стороны - это полная замена ИС, что влечет за собой большие капиталовложения, с другой - модернизация ИС. Последний вариант решения этой проблемы - менее дорогостоящий, но открывающий новые проблемы, например, что оставить из имеющихся аппаратно-программных средств, как обеспечить совместимость старых и новых элементов ИС.Более существенная причина проведения аудита состоит в том, что при модернизации и внедрении новых технологий их потенциал полностью не реализуется. Аудит ИС позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание ИС.Кроме того возросла уязвимость ИС за счет повышения сложности элементов этой ИС, увеличения строк кода программного обеспечения, новых технологий передачи и хранения данных.Спектр угроз расширился. Это обусловлено следующими причинами:1. передача информации по сетям общего пользования;2. "информационная война" конкурирующих организаций;3. высокая текучка кадров с низким уровнем порядочности.По данным некоторых западных аналитических агентств до 95% попыток несанкционированного доступа к конфиденциальной информации происходит по инициативе бывших сотрудников организации.Проведение аудита позволит оценить текущую безопасность функционирования ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных активов организации, основные 1.идеи;2.знания;3.проекты;4.результаты внутренних обследований.В настоящее время многие системные интеграторы декларируют поставку полного, законченного решения. К сожалению, в лучшем случае, все сводится к проектированию и поставке оборудования и программного обеспечения. Построение информационной инфраструктуры "остается за кадром" и к решению не прилагается. Оговоримся, что в данном случае под информационной инфраструктурой понимается отлаженная система, выполняющая функции обслуживания, контроля, учета, анализа, документирования всех процессов, происходящих в информационной системе.Все чаще и чаще к системным интеграторам, проектным организациям, поставщикам оборудования возникают вопросы следующего содержания:1. Что дальше? (Наличие стратегического плана развития организации, место и роль ИС в этом плане, прогнозирование проблемных ситуаций).2. Соответствует ли наша ИС целям и задачам бизнеса? Не превратился ли бизнес в придаток информационной системы?3. Как оптимизировать инвестиции в ИС?4. Что происходит внутри этого "черного ящика" - ИС организации? Сбои в работе ИС, как выявить и локализовать проблемы? Как решаются вопросы безопасности и контроля доступа? Подрядные организации провели поставку, монтаж, пуско-наладку. Как оценить их работу? Есть ли недостатки, если есть, то какие? Когда необходимо провести модернизацию оборудования и ПО? Как обосновать необходимость модернизации? Как установить единую систему управления и мониторинга ИС? Какие выгоды она предоставит? Руководитель организации, начальник отдела ОИТП должны иметь возможность получать достоверную информацию о текущем состоянии ИС в кратчайшие сроки. Возможно ли это? Почему все время производится закупка дополнительного оборудования? Сотрудники отдела ОИТП постоянно чему-либо учатся, есть ли в этом необходимость?Какие действия предпринимать в случае возникнове...