Мечты о «чистом» аудите

ИТ-аудит пришел в Россию достаточно поздно — в начале 2000-х. До этого момента у компаний просто не было необходимости каким-то образом анализировать построение своих информационных потоков и состояние ИТ-инфраструктуры. Большую роль в появлении ИТ-аудита в России сыграли потребности крупных компаний сертифицироваться на соответствие различным международным стандартам. И с середины десятилетия услуги ИТ-аудита становятся все более популярными. Но отдельных проектов по-прежнему мало — большая часть работ по ИТ-аудиту сегодня идет лишь в составе внедрений. В России ИТ-аудит — только инвентаризация или обследование инфраструктуры предприятия, считает Сергей Ядыков из компании «АйТи» ИТ-аудитом российские и западные компании обычно называют разные вещи. «В большинстве стран мира под ИТ-аудитом принято понимать комплекс мероприятий по аудиту процессов управления информационными технологиями в организации на соответствие целям бизнеса (или, применительно к госорганам, деятельности), различным нормативным актам в данной сфере и т. п. Поэтому и главными исполнителями в таких случаях являются бизнес-консультанты, а ИТ-специалисты могут привлекаться в качестве экспертов в конкретных областях», — говорит руководитель отдела консалтинга компании «АйТи« Сергей Ядыков. В российских компаниях, наоборот, термином ИТ-аудит обозначают не собственно аудит информационных технологий, а инвентаризацию или обследование информационной и технической инфраструктуры предприятия. «У нас к ИТ-аудиту приходят, когда необходимо разработать стратегию развития компании при масштабировании, слиянии/поглощении, когда необходимо перейти к единым стандартам в ИТ», — говорит директор департамента системной интеграции компании Tops BI (ГК «Систематика») Елена Кутукова. Именно поэтому в России ИТ-аудитом занимаются преимущественно ИТ-специалисты. Консалтинговые компании в большинстве своем не имеют собственных ИТ-специалистов и, как правило, привлекают экспертов из компаний системных интеграторов. По мере повышения интереса к ИТ-составляющей крупные консалтинговые компании стали вводить в штат собственных ИТ-аудиторов, которые стали отвечать за общий аудит ИТ-инфраструктуры и были бы способны выдать рекомендации по оптимизации ИТ-службы. Появились в России и представители «большой четверки» (крупнейшие консалтинговые компании Deloitte, Ernst & Young, PricewaterhouseCoopers, KPMG). Тем не менее к интеграторам аудиторы обращаться продолжают, особенно если речь идет о глубоком и узкоспециализированном ИТ-аудите. Причина проста — компетенции интеграторов выше. В последнее время наиболее крупные системные интеграторы сами начали активно выходить на рынок управленческого и финансового аудита. Чаще всего ИТ-аудит заказывают негосударственные компании из финансового, страхового, а также нефтяного секторов и розничной торговли. «В основном это динамично развивающиеся средние компании, которые хотят модернизировать информационную инфраструктуру или планируют переходить на аутсорсинг к внешнему поставщику услуг. Впрочем, встречаются и представители малого бизнеса», — говорит руководитель отдела системной интеграции компании «Микротест» Николай Стельмаченко. По мнению директора сибирского филиала ЗАО «Энвижн Груп» Дмитрия Гокова, наоборот, большинство средних компаний еще не пришло к пониманию того факта, что далеко не все вопросы, касающиеся собственной ИТ-инфраструктуры, можно успешно решить на основе опыта собственного штатного ИТ-персонала. В принципе, обследование собственных ИТ-ресурсов и выделение проблемных мест компания может провести и самостоятельно, но, как правило, на это не хватает ни времени, ни людей. У интеграторов такие ресурсы есть, вдобавок большую роль играет т. н. эффект «взгляда со стороны», а это, безусловно, полезно. Диаметральные подходы Аудит может инициировать как руководство компании, так и сам ИТ-отдел. Как правило, причины такой активности диаметрально противоположны. ИТ-отделам требуется дополнительное финансирование от руководства компании на проведение модернизации, и для этого нужны подтверждения приглашенных экспертов. Если заказчиком услуг выступает топ-менеджмент, напрашивается вывод об обеспокоенности состоянием ИТ, а значит, и эффективностью работы ИТ-службы. В результате можно получить две совершенно разных реакции ИТ-службы на «вторжение» внешних аудиторов. «Когда инициатором аудита выступает сам ИТ-директор или когда решение о проведении аудита принимается в связи со сменой руководителя ИТ-службы, аудиторам обычно оказывается вся необходимая помощь», — говорит Сергей Ядыков. Если же инициатор — топ-менеджмент, то возможен конфликт ИТ-службы и внешних аудиторов. Методов борьбы с аудиторами масса — саботаж, предоставление искаженной информации, сокрытие документов и т. п. «Изредка случаются небольшие недопонимания, в основном связанные с тем, что рядовые сотрудники ИТ-служб считают, что аудит предназначен для выявления лично их неправильной работы, — подтверждает директор департамента аудита компании «Информзащита« Максим Эмм. — Такие сотрудники начинают пытаться скрыть истинное положение дел, но обычно это им не удается». Железо, информация, безопасность Выделяют аудит ИТ-инфраструктуры, информационных систем, информационной безопасности. Обследование телекоммуникационной и вычислительной инфраструктуры обычно вскрывает причины недостаточной пропускной способности сетей и неоптимальной утилизации серверного оборудования. Рекомендации могут касаться модернизации оборудования и ПО, замены части ИТ-инфраструктуры, распределения по категориям элементов ИТ-инфраструктуры. Аудит информационных систем затрагивает еще и бизнес-процессы. Например, в проекте для одного из департаментов Пенсионного фонда РФ, выполненном интегратором «АйТи», целями были оценка необходимости автоматизации бизнес-процессов, выработка концепции и методов автоматизации и снижение рисков при внедрении информационных технологий. «Моделирование бизнес-процессов среди прочего позволило выявить участки повторного ввода данных в информационные системы, важные функции, которые не автоматизированы или автоматизация которых не соответствовала требованиям к деятельности департамента», — рассказывает Сергей Ядыков. Одним из наиболее развитых направлений ИТ-аудита является аудит информационной безопасности. «В первую очередь ему подвергаются компании, аудит ИБ для которых является обязательным по правилам того или иного регулятора — это, например, банки, работающие с международными платежными системами, публичные компании, торгующие акциями на западных рынках, и т. п.», — говорит Максим Эмм. Как правило, аудит ИБ проводится только для уже созданных систем ИБ по критерию соответствия системы безопасности политике ИБ организации. Также оценивают соответствие требованиям стандартов в области ИБ (ISO/IEC 27001, 27002 [17799]). Иногда проводят комплексное обследование ИБ, в ходе которого оценивается не только соответствие локальным или международным стандартам, но и состояние системы ИБ в целом, ее слабые места. В ходе аудита систем информационной безопасности анализируются и оцениваются структура, функции и особенности технических средств хранения, передачи и обработки информации, используемые в организации. Следующий этап — выявление каналов утечки информации, в том числе технических. Проверке подвергается все — от оценки содержания нормативных документов и проверки настроек программного обеспечения и оборудования до оценки эффективности процессов управления ИБ и попыток эксплуатации существующих уязвимостей ИТ-инфраструктуры. «Проверки бывают как удаленные — например, для анализа документов, так и требующие непосредственного контакта с людьми и ИТ-системами — такие как интервью, использование специальных технических средств», — говорит Максим Эмм. «Комплексное обследование также может включать в себя инструментальную часть — так называемый «тест на проникновение» (penetration test) либо «упрощенный» вариант — сканирование уязвимостей (vulnerability assessment). Еще одним немаловажным аспектом комплексного обследования является то, что оно включает в себя анализ информационных рисков, — рассказывает руководитель отдела ИБ компании Tops BI (ГК «Систематика«) Владимир Баланин. — Проведение анализа рисков (если в организации на текущий момент не внедрен процесс управления информационными рисками) позволяет правильно спроецировать требования стандартов ИБ и расставить акценты при последующих инвестициях не только в системы информационной безопасности, но и в ИТ в целом». Мечты о чистом аудите Отдельные проекты ИТ-аудита востребованы не так сильно, как аудит в составе внедрений. «В рамках рынка Сибирского федерального округа мы не сталкивались с желанием компаний провести ИТ-аудит без последующего внедрения. Обычно на совершенствование ИТ-инфраструктуры в рамках того или иного предприятия формируется определенный бюджет, а ИТ-аудит просто является его составной частью. ИТ-аудит чаще всего заказывается клиентом в качестве элемента, предшествующего этапу внедрения того или иного решения. Но в этом случае более правильно говорить об «обследовании«, — говорит Дмитрий Гоков. — Понятие же «ИТ-аудит», вероятнее всего, будет более применимо к ситуациям в будущем. В зарубежных странах заказы на «чистый« ИТ-аудит гораздо более популярны, чем в России сегодня, так как часто проводятся в рамках проверок лицензированными контролирующими профильными организациями с целью последующего решения вопроса о сертификации какого-либо технологического решения или бизнес-процесса компании». Аудиты, которые затрагивают Сибирский федеральный округ, как правило, проводятся в составе проектов в крупных федеральных компаниях. Таков, например, аудит сети передачи данных и видео-конференц-связи в Новосибирском филиале ТНК-ВР в составе федерального проекта, который выполняла компания «Микротест». Николай Стельмаченко называет его одним из самых масштабных проектов за 2007 год. Необходимо было восстановить схему организации связи и данные об оборудовании корпоративной сети — у штатных ИТ-специалистов не хватало на это ни резервов, ни свободного времени. В результате руководство ТНК-ВР получило исчерпывающую информацию о работе и состоянии всей корпоративной сети передачи данных, количестве сотрудников, а также рекомендации по ее эффективной модернизации и эксплуатации. Второй проект был направлен на выявление причины сбоев, которые возникали во время сеансов видео-конференц-связи между московским офисом и региональными представительствами. Необходимо было установить, почему они происходят: из-за неполадок в каналах связи или же из-за некорректно настроенного оборудования системы видео-конференц-связи. По итогам ИТ-аудита были предоставлены экспертные заключения, рекомендации по модернизации оборудования и его настройкам. ИТ-аудит является еще и обязательной составляющей проектов по оценке TCO (совокупной стоимости владения) ИТ-инфраструктурой. «Оценку TCO по методике консалтинговой компании Gartner мы проводили для ряда компаний, в том числе для «ВымпелКома», «ЛУКОЙЛа», «Самаранефтегаза«. Рекомендации и заключения обычно сильно зависят от целей ИТ-аудита и масштаба заказчика, специфики его бизнеса. Для очень крупных компаний обычно не является большой проблемой, если у них на балансе числятся устаревшее ПО и оборудование на несколько десятков миллионов рублей. Тем не менее и эти деньги можно сэкономить, организовав регулярный учет этих активов», — говорит Сергей Ядыков. Интеграторы прогнозируют увеличение проектов по «чистому» аудиту среди региональных компаний. Предпосылки к этому действительно есть. Сегодня на федеральном уровне разрабатываются детальные требования по защите персональных данных — любой информации, относящейся к физическому лицу, — для организаций, действующих на территории РФ. Когда эти требования будут до конца разработаны, все коммерческие и государственные организации, работающие с персональными данными, вероятнее всего, инициируют проведение ИТ-аудита, чтобы получить заключения о соответствии своей ИТ-инфраструктуры указанным требованиям.