В статье описываются общие принципы и схема проведения ИТ-аудита в соответствии со стандартом COBIT, определяющим набор универсальных задач управления ИТ.
COBIT — стандарт, определяющий набор универсальных задач управления ИТ. Основная ценность COBIT заключается в том, что он предлагает модель, обеспечивающую взаимосвязь между бизнес-целями и ИТ-процессами. В статье (она является продолжением «Введения в COBIT», опубликованного в предыдущем номере журнала) описываются общие принципы и схема проведения ИТ-аудита в соответствии со стандартом COBIT.
B состав последней редакции COBIT входит несколько книг. «Резюме для руководства» служит введением в остальные разделы стандарта, содержит общие сведения о стандарте, определяет миссию COBIT и понятие Систем управления ИТ. «Концептуальное ядро COBIT» представляет собой набор основополагающих принципов и понятий, а также модель управления ИТ, на базе которых строятся все положения стандарта. «Руководство по менеджменту» позволяет реализовывать более эффективные стратегии управления ИТ, устанавливать контроль над использованием информационных ресурсов и соответствующими процессами, осуществлять мониторинг, давать сравнительную оценку достижения бизнес-целей и оценивать производительность в рамках каждого ИТ-процесса. «Набор инструментов внедрения» дает разъяснение ключевых концепций, пошаговое описание и примеры успешного внедрения COBIT [3].
Одна из основных книг COBIT — «Руководство по аудиту» (Audit Guideline), определяющее правила использования концептуального ядра и основных принципов управления COBIT при проведении ИТ-аудита. В нем описывается, как производить проверку реализации каждого из 34 высокоуровневых ИТ-процессов и 318 детальных задач управления, определяемых в концептуальном ядре COBIT. Это позволяет аудитору оценивать адекватность реализованной системы управления требованиям стандарта и бизнес-целям, формировать рекомендации по ее улучшению.
Различные формы проведения внешнего и внутреннего ИТ-аудита включают обследования и обзоры безопасности информационных систем, сертификацию и аттестацию, технические экспертизы, а также различные формы контроля качества. При этом используемые в каждом конкретном случае методы и программы проведения аудита могут существенно различаться. Основная задача COBIT — определение основных принципов и общей структуры проведения ИТ-аудита, применимых к самому широкому кругу организаций и информационных систем.
Модели проведения аудита
Согласно COBIT основной целью ИТ-аудита является предоставление руководству организации обоснованных гарантий эффективного выполнения задач управления ИТ. Кроме того, ИТ-аудит должен способствовать улучшению состояния информационной системы, характеризующегося уровнем ее безопасности и эффективностью процессов управления ИТ. Поэтому в ходе аудита анализируется текущее состояние и при наличии существенных отклонений от норм производится оценка результирующих рисков, выдаются рекомендации по поводу корректирующих действий.
Наиболее распространенная модель оценки механизмов управления — классическая модель аудита, на которой и построено «Руководство по аудиту». В соответствии с ней критерии аудита определяются стандартами и другими нормативными документами. Еще одним общепринятым подходом является модель анализа рисков, при которой критерии аудита формируются на основании оценки рисков. Любая из этих моделей может применяться на практике при проведении ИТ-аудита в организациях на базе COBIT.
Вместе с тем, подходы к анализу и управлению рисками, а также вопросы их использования при проведении ИТ-аудита остаются за рамками COBIT. Стандарт ограничивается лишь определением общих понятий. Пожалуй, вся содержательная часть посвященного этой теме раздела COBIT заключается в диаграмме, приведенной на рис. 1, и в кратком пояснении к ней.
Анализ рисков (Risk Assessment) начинается с оценки ИТ-ресурсов (Asset Valuation), необходимых для достижения бизнес-целей. ИТ-ресурсы включают в себя информацию, технические, программные и прочие средства, необходимые для ее получения, обработки и хранения. На следующем шаге осуществляется анализ уязвимостей (Vulnerability Assessment) и анализ угроз (Threat Assessment), препятствующих достижению бизнес-целей. Вероятность угрозы, величина уязвимости и размер возможного ущерба определяют степень риска, ассоциированного с возможностью осуществления данной угрозы. Далее выполняется выбор контрмер (Counter Measures) и оценка их эффективности (Control Evaluation), a также определяется величина остаточных рисков (Residual Risk). Результатом анализа рисков является план действий по внедрению механизмов управления (Action Plan).
Более полное описание моделей проведения ИТ-аудита, а также обзор современных методов анализа и управления рисками приводятся в публикации [2].
Уровни описания процедуры аудита
Общий подход к проведению ИТ-аудита, изложенный в COBIT, опирается на следующие основные элементы:
- концептуальное ядро COBIT, определяющее общий понятийный аппарат и включающее в себя классификацию ИТ-процессов, описание информационных критериев и ИТ-ресурсов;
- общие требования к процедуре аудита ИТ-процессов, изложенные в разделах «Планирование и выработка стратегии аудита» и «Обобщенная схема руководства по аудиту»;
- общие принципы управления, изложенные в разделе «Общие замечания относительно оценки процессов управления».
На более низком уровне абстракции определяются основные стадии проведения аудита и формулируются «Детальные инструкции по аудиту конкретных ИТ-процессов», которые аудитор дополняет и конкретизирует с целью осуществить их соответствие с конкретными условиями проведения аудита и особенностями исследуемой информационной системы. «Руководство по аудиту» содержит детальные инструкции для каждого из 34 ИТ-процессов (в терминологии COBIT — высокоуровневых задач управления). Не все задачи управления, описанные в COBIT, применимы в каждой конкретной ситуации. Определение актуальных задач управления производится исходя из текущих потребностей организации на основе анализа рисков.
Инструкции и требования, приведенные в «Руководстве по аудиту», предназначены для использования лишь в качестве вспомогательных средств и методологической основы при разработке конкретных программ проведения ИТ-аудита. Они не могут заменить конкретные методики, используемые аудиторами. В ходе планирования аудита должны также учитываться:
- критерии и требования, специфичные для данной отрасли;
- отраслевые и промышленные стандарты;
- особенности используемых программно-аппаратных платформ;
- конкретные механизмы управления, используемые в организации.
Критерии оценки процессов управления ИТ
В центре внимания COBIT находится аудит системы управления ИТ, охватывающий организационный и процедурный уровни управления ИТ-процессами; программно-технические аспекты остаются за рамками этого стандарта. Общие принципы управления определяют стратегию проведения ИТ-аудита. Они сосредоточены главным образом на распределении ответственности, стандартах управления и управлении информационными потоками между субъектами и объектами управления.
В COBIT процесс управления подразделяется на четыре этапа. На первом определяется стандарт оценки эффективности ИТ-процесса. На втором — анализируется состояние ИТ-процесса путем получения субъектом управления (ИТ-менеджер) информации от объекта управления (ИТ-процесс). На третьем этапе информация о состоянии ИТ-процесса сравнивается с требованиями стандарта. На четвертом — в случае выявления несоответствия ИТ-процесса требованиям стандарта субъект управления предпринимает корректирующие действия путем передачи соответствующей управляющей информации ИТ-процессу (см. рис. 2).
Рис. 2. Управление ИТ-процессами |
Исходя из этой модели, формулируются основные критерии оценки механизмов управления.
- Распределение ответственности и подотчетность. Для того чтобы модель управления работала, ответственность за бизнес-процессы необходимо четко распределить, установив строгую подотчетность каждого должностного лица. В противном случае не будет происходить обмена управляющей информацией и корректирующих действий не последует.
- Стандарты и допустимые отклонения. Стандарты оценки эффективности ИТ-процессов могут быть самыми разными, начиная с высокоуровневых планов и стратегий и заканчивая ключевыми индикаторами производительности и критическими факторами успеха [3]. Четко документированные, поддерживаемые в актуальном состоянии и доступные для всех сотрудников организации стандарты — важный критерий эффективности системы управления ИТ. Для каждого ИТ-процесса должны быть четко определены допустимые отклонения от требований стандарта.
- Информационные критерии. В COBIT определяется семь информационных критериев: эффективность, продуктивность, конфиденциальность, целостность, доступность, соответствие и надежность. Эффективность управляющей информации, то есть ее актуальность, своевременность и пригодность, а также ее целостность служат основой функционирования системы управления ИТ-процессами. Их необходимо рассматривать в качестве базовых информационных критериев.
Основные этапы аудита
При составлении планов и выработке стратегии аудита прежде всего необходимо определить границы его проведения в терминах бизнес-подсистем, информационных подсистем, являющихся объектами исследования, их физического расположения и взаимосвязей. При этом анализируются следующие данные:
- структура бизнес-процессов;
- платформы и структура информационных систем, поддерживающих бизнес-процессы;
- структура ролей и распределения ответственности, включая аутсорсинг;
- бизнес-риски и бизнес-стратегия.
План аудита должен определять совокупность оцениваемых ИТ-процессов, ИТ-ресурсов и информационных критериев, последовательность шагов по сбору и анализу информации аудита и проведению необходимых тестов. На этапе планирования определяются информационные критерии, наиболее значимые для существующих бизнес-процессов. Затем идентифицируются ИТ-риски и оценивается общий уровень контроля рассматриваемых бизнес-процессов. При этом принимаются во внимание существующие механизмы управления, последние изменения в бизнесе и ИТ-окружении, зарегистрированные инциденты и результаты предыдущих аудиторских проверок. На основе полученной информации осуществляется выбор соответствующих ИТ-процессов и связанных с ними ИТ-ресурсов, служащих объектом исследования.
После разработки плана и стратегии проведения ИТ-аудита выполняется процедура аудита, на описании которой в основном и сосредоточено «Руководство по аудиту». По завершении данной процедуры следуют выработка рекомендаций и подготовка отчетных документов.
Процедура аудита включает в себя четыре последовательных этапа: идентификация и документирование (сбор и первичный анализ информации); оценка механизмов управления; тест соответствия; детальное тестирование.
На этапе идентификации и документирования осуществляется документирование процедур и идентификация существующих механизмов управления путем интервьюирования руководства и сотрудников организации с целью уяснения следующих вопросов: требования бизнеса и ассоциированные с ними риски; организационная структура; распределение ролей и ответственности; политики и процедуры; требования нормативной базы; существующие механизмы управления; существующая отчетность.
На этапе оценки механизмов управления производится оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность сравнивается с установленными критериями, промышленными стандартами и критическими факторами успеха. При помощи методов экспертных оценок определяется, для каких механизмов управления на следующем этапе должно быть протестировано соответствие установленным процедурам. Аудитору необходимо убедиться в том, что существующие ИТ-процессы документированы, ответственность и подотчетность четко определены, а там, где необходимо, предусмотрены компенсирующие механизмы управления.
Тестом соответствия называют этап аудита, задачей которого является получение гарантий пригодности существующих механизмов управления для решения задач управления. Проверка осуществляется путем получения прямых и косвенных свидетельств надлежащего выполнения установленных процедур управления за оцениваемый период. На этом этапе выполняется также ограниченное исследование адекватности результатов процессов управления, определяется уровень детального тестирования и объем дополнительной работы, необходимой для получения гарантий адекватности ИТ-процесса.
Детальным тестом называют заключительный этап аудита, целью которого является оценка и обоснование рисков невыполнения задач управления путем использования аналитических методов и экспертных оценок. Его конечная цель — побудить руководство к выполнению корректирующих действий для улучшения состояния системы управления ИТ. На данном этапе аудитор производит документирование недостатков механизмов управления, угроз и уязвимостей, являющихся следствием этих недостатков, реальных и потенциальных последствий реализации угроз путем причинно-следственного анализа и проведения сравнительного тестирования.
Обобщенная схема аудита
Согласно изложенному в статье подходу, общая схема проведения аудита (General Audit Guideline) включает в себя четыре этапа: идентификация (identify), оценка (evaluate), тест соответствия (test), детальный тест (substantiate). Для оценки достижения каждой из задач управления используются «Детальные инструкции по аудиту» (Detailed Audit Guideline). Выработка стратегии и планирование процедуры аудита осуществляется в соответствии с «Общими требованиями» (Audit Process Requirements). При проведении аудита также должны учитываться «Критерии оценки процессов управления» (Control Observations). Kpome того, во всех перечисленных документах используется понятийный аппарат и модель взаимосвязей между бизнес-целями, ИТ-процессами, ИТ-ресурсами, информационными критериями и задачами управления, определяемыми «Концептуальным ядром COBIT» (Control Framework).
Литература
- COBIT 3rd Edition, Released by the COBIT Steering Committee and the IT Governance Institute, July 2000.
- Астахов A. M., Аудит безопасности информационных систем. ISACA.RU, 2002.
- Астахов А. «Введения в COBIT», //Директор информационной службы, № 7-8/2003.
Александр Астахов — CISA, руководитель отдела защиты информации, компания «Вимм-Билль-Данн Продукты Питания», участник рабочей группы ISACA.RU, alexastahov@hotmail.ru
Этап оценки механизмов
Инструкции по аудиту на этапе оценки механизмов управления отражает следующая диаграмма.
Оценка механизмов управления осуществляется путем проверки ряда утверждений.
- Существует структура для систематической оценки рисков, включая риски недостижения целей организации, а также система управления рисками.
- Подход к анализу рисков предусматривает регулярное обновление оценок на глобальном и системном уровне.
- Процедура оценки рисков позволяет учитывать как внешние, так и внутренние факторы, а также принимает во внимание результаты аудитов, ожидания и идентифицированные инциденты.
- Цели всей организации включены в процесс идентификации рисков.
- Процедуры мониторинга изменений в работе систем предусматривают своевременное уточнение данных о системных рисках и уязвимостях.
- Существуют процедуры непрерывного мониторинга и улучшения оценки рисков, облегчающие процессы создания механизмов управления.
- Вероятность, частота и методы анализа рисков включены в процедуру идентификации рисков.
- Документация по оценке рисков включает в себя: описание методологии оценки рисков; идентификацию существенных уязвимостей и соответствующих рисков; риски и соответствующие уязвимости, для противодействия которым существуют механизмы управления.
- Квалификация персонала, выполняющего оценку рисков, является адекватной.
- Существует формальный количественный, качественный или комбинированный подход к идентификации и измерению величины рисков, угроз и уязвимостей.
- Для измерения рисков, угроз и уязвимостей используются вычислительные и иные методы.
- Для реализации необходимых контрмер, направленных против рисков, угроз и уязвимостей, используется план управления рисками.
- Решение о допустимости тех или иных остаточных рисков принимает во внимание политику организации, идентификацию и измерение рисков, неопределенность, присущую самому подходу к оценке рисков, а также стоимость и эффективность реализации контрмер и механизмов управления.
- Страховка покрывает остаточные риски.
- Существуют формальные количественные или качественные подходы к выбору механизмов управления и максимизации возврата.
- Установлен баланс между используемыми детектирующими, превентивными, корректирующими и восстанавливающими контрмерами.
- Предусмотрены формальные процедуры для обнародования целей механизмов управления.
Этап детального тестирования
Пример инструкций для этапа детального тестирования выглядит следующим образом.
Обоснование риска невыполнения задач управления осуществляется путем сравнения структуры оценки рисков с другими организациями отрасли, с соответствующими международными стандартами или с общепризнанными «лучшими практиками» с последующим детальным исследованием подхода к оценке рисков, используемого для идентификации, измерения и уменьшения величины рисков до приемлемого уровня.
Данный этап призван выявить:
- неидентифицированные риски;
- неизмеренные риски;
- риски, которые не были уменьшены до приемлемого уровня;
- устаревшие оценки рисков;
- ошибочные оценки рисков, угроз и уязвимостей;
- планы управления рисками, не предусматривающие экономически оправданных механизмов управления и мер безопасности;
- отсутствие формального признания остаточных рисков;
- неадекватное страховое обеспечение.
Этап тестирования соответствия
Оценка соответствия выполняется путем тестирования следующих утверждений.
- Структура оценки рисков предусматривает регулярное обновление оценки рисков с целью уменьшения рисков до приемлемой величины.
- Документация по оценке рисков согласована со структурой оценки рисков, должным образом подготовлена и сопровождается.
- ИТ-менеджеры и ИТ-персонал вовлечены в процесс оценки рисков.
- Руководство организации осведомлено о факторах, обусловливающих риски, и вероятности угроз.
- Соответствующий персонал понимает и формально принимает остаточные риски.
- Отчеты по оценке рисков предоставляются высшему руководству на согласование своевременно.
- Подход, используемый для анализа рисков, имеет своей целью измерить количественно или качественно величину уязвимости к риску.
- Риски, угрозы и уязвимости, идентифицированные руководством, и их атрибуты используются для выявления каждой разновидности угрозы.
- План управления рисками является актуальным и включает в себя экономически оправданные механизмы управления и контрмеры, направленные на уменьшение рисков.
- Существует система приоритетов и для каждого риска имеется соответствующая контрмера (а именно: спланированная превентивная мера, вторичный детектирующий механизм управления, а также третичный корректирующий механизм управления).
- Сценарии осуществления угроз документированы, актуальны и доведены до сведения ответственных лиц.
- Для остаточных рисков существует достаточное страховое обеспечение, учитывающее различные сценарии угроз, в том числе: пожар, затопление, землетрясение, ураганы, терроризм, непредвиденные природные бедствия; недостаточная ответственность сотрудников организации; потеря прибылей и клиентов в результате прерывания бизнес-процессов; иные риски, обычно не охватываемые рассмотренными планами обеспечения непрерывности бизнеса.
Этап идентификации и документирования
Приведенная здесь диаграмма иллюстрирует «оценку рисков» для ИТ-процесса, выполняемую на этапе идентификации и документирования.
Идентификация и документирование осуществляются путем интервьюирования высшего руководства ИТ, отдельных ИТ-специалистов, отдельных специалистов по управлению рисками и ключевых пользователей ИТ-услуг. Результатом является получение следующих сведений:
- политики и процедуры, имеющие отношение к оценке рисков;
- документы с оценкой бизнес-рисков, операционных рисков и ИТ-рисков;
- детали базиса, по которому измеряется величина риска и потери;
- файлы персонала, для которого производится оценка рисков;
- политики страхования остаточных рисков;
- мнения экспертов;
- результаты обследований;
- база данных управления рисками.