Российские аудиторы информационных систем пошли учиться в «Микроинформ»
Стремительно меняющиеся технологии требуют от специалистов, отвечающих за информационную безопасность компаний, непрерывного самообучения. Однако для поддержания профессионализма на должном уровне время от времени необходимо обмениваться опытом как с «себе подобными», так и с педагогом-инструктором. В сентябре в учебном центре «Микроинформ» впервые прошли занятия по программе «Школа аудита ИС». В свое время именно с этой тематики началась история MIS Training Institute, российским представителем которой выступает «Микроинформ».
В сегодняшней России она тоже вызвала немалый интерес: не только на бесплатный ознакомительный семинар, но и учиться собралась достаточно большая группа. Пятидневный курс обучения основам аудита информационных систем, включая вопросы идентификации и минимизации бизнес-рисков, связанных с ИС, прошли 26 человек. Программу вел инструктор MIS Training Institute и президент рочестерского Института внутренних аудиторов, CISA (Certified Information Systems Auditor) Фрэд Рот, признавшийся, что ему пришлось отвечать на очень непростые вопросы слушателей. Он рекомендовал проходить подобное организованное обучение не реже одного раза в год: «Необходимо постоянно учиться. Как только начинаешь думать, что все понял, — технология меняется».
Объектами аудита ИТ должны быть три компонента: безопасность бизнес-процессов, безопасность доступа и технической инфраструктуры. Особенно лакомыми кусками для аудиторов являются ERP-«монстры», такие как SAP, Baan и Peoplesoft.
По словам гендиректора «Микроинформа» Бориса Фридмана, в западных странах данной программой интересуются в основном финансовые аудиторы. На них и рассчитан курс, позволяющий переквалифицироваться, дополнив профессиональные навыки финансиста знаниями основ технологии. Поскольку для предприятия критически важно, чтобы финансовый и ИТ-аудиторы работали вместе, вариант заполучить их в одном лице оказывается весьма удобным. В России же инициатива исходит от ИТ-компаний, предлагающих своим клиентам услугу аудита информационных систем: около половины проходивших обучение — сотрудники крупных фирм системных интеграторов.
Превращение информационных технологий в критически важный компонент бизнеса, а также рост популярности Web-служб и беспроводной связи как инструментов его ведения побуждают руководителей предприятий вкладывать средства в обеспечение безопасности, несмотря на отсутствие прямого и очевидного возврата на инвестиции. Источники потенциальной угрозы могут находиться как вне компании, так и внутри нее. Поэтому на втором месте в списке самых распространенных мер защиты — после построения виртуальной частной сети — находится консалтинг, а на третьем — обучение, связанное с информационной безопасностью.
Консалтинговых фирм и системных интеграторов, предлагающих на российском рынке услуги аудита информационных систем и смежные с ними, сегодня уже немало. Кроме того, в России работает отделение Ассоциации аудита и контроля информационных систем (ISACA), разрабатывающей открытые стандарты аудита ИС и координирующей деятельность более 12 тыс. аудиторов мира. Совместно с привлеченными консультантами ISACA разработан стандарт CoBiT (Контрольные объекты информационных технологий), используемый для оценки трудовых ресурсов, технологий, оборудования и данных компании с точки зрения их эффективности, технического уровня, безопасности, целостности, пригодности, согласованности и надежности.
Надо только учесть, во-первых, отсутствие российских стандартов, соответствие которым должны были бы контролировать аудиторы. Но, может, это и не минус вовсе — необходимость приводить информационную инфраструктуру сразу к мировым стандартам. Второй существенный момент — отсутствие в большинстве компаний политики информационной безопасности, оформленной таким образом, чтобы с ней можно было сопоставить текущее положение дел. Скорее всего, аудиторам для начала придется помогать клиентам в разработке этого документа, а не контролировать его выполнение.