В статье определяется необходимость проведения внутреннего аудита ИТ-инфраструктуры. Указываются основные стандарты к проведению внутреннего аудита ИТ-инфраструктуры, проводится их сравнительный анализ. Подводятся итоги анализа и делаются выводы по применению стандартов с учетом Российский реалий.
Ключевые слова: ИТ-аудит, ИТ-инфраструктура, автоматизация проведения аудита, ITIL, COBIT.
This article describes necessity of internal IT audit. This article describes standards for audit of IT. In this article are shown results of analyze of standards, written conclusions about using of standards in Russian Industry.
Keywords: IT audit, IT infrastructure, audit automation, ITIL, COBIT.
Введение
Уровень автоматизации на предприятиях растет быстрыми темпами. Уже сейчас невозможно представить предприятия, где бы не использовались информационные технологии. Как известно, передовые технологии обычно обходятся предприятиям очень дорого, а если в компании не налажена ИТ-инфраструктура, затраты могут не приносить желаемого эффекта. Дорогостоящие технологии могут давать меньший эффект, чем более дешевые и устаревшие, при условии, что при использовании последних четко налажена ИТ-инфраструктура. Статистика показывает, что рост затрат на ИТ-инфраструктуру снижается на протяжении последних нескольких лет. Начавшаяся нестабильность в курсах валют наложила серьезные ограничения для Российского рынка: приобретать новые информационные технологии стало дороже для компаний. Исследования показывают, что на текущий период затраты компаний на информационные технологии не велики, роста затрат практически не видно.
В связи с вышеуказанным имеет смысл искать способы снижения затрат на информационные технологии. Одним из решений этой проблемы можно выделить проведение аудита ИТ-инфраструктуры. Под аудитом ИТ инфраструктуры принято считать комплекс мероприятий по проведению инвентаризации, исследованию и анализу составных частей всей информационной системы. В процессе аудита производится оценка инфраструктуры на соответствие требованиям компании, а также необходимости и возможности модернизации.
На российском рынке в настоящее время можно выделить шесть видов услуг по аудиту информационной инфраструктуры [1, с. 63].
Проведение аудита является чрезвычайно непростой задачей: требуется вести учет данных, проводить расчеты, выдавать рекомендации, вести учет корректирующих мероприятий. Положительная сторона заключается в том, что уже существует ряд методик проведения аудита, которые можно взять за основу для использования. К основным стандартам де-факто для проведения ИТ-аудита можно отнести [2,5]:
- Control Objectives for Information and related Technology (COBIT).
- IT Infrastructure Library (ITIL).
- Systems Security Engineering Capability Maturity Model (SSE-CMM).
- ISO 20000 и др.
Цель исследования.
Провести сравнительный анализ уже существующих подходов к проведению аудита ИТ-инфраструктуры, оценить возможность их адаптации и автоматизации на Российском рынке.
Материалы и методы.
Проводится сравнительный анализ двух наиболее известных стандартов: COBIT и ITIL.
При сравнении будет использован ряд метрик: назначение, покрытие, доступность, стиль изложения, новизна, узнаваемость.
С точки зрения назначения COBIT в части управления является более высокоуровневым по отношению к ITIL. COBIT представляет собой руководство, свод знаний и передового опыта, в то время как ITIL представляет собой набор лучших практик от компаний из разных стран мира [3].
ITIL покрывает меньше половины рассматриваемых практик COBIT. COBIT более обширен в использовании. Но в ITIL часть практик и подходов описана более детально, чем в COBIT.
В плане доступности следует отметить, что COBIT намного дешевле, чем ITIL.
Стиль изложения в COBIT более четкий, строгий и структурированный. ITIL представляет собой повествовательный стиль. С точки зрения читабельности более строгий стиль позволяет быстрее находить однозначные ответы на требуемые вопросы.
COBIT еще не вошел в сознания людей так глубоко, в то время как ITIL уже используется продолжительное время. В ITIL накоплен богатый опыт, но часть практик уже устаревает.
ITIL более раскручен, он более известен для читателей, чем COBIT. В ITIL более адаптированная система сертификации.
Как COBIT, так и ITIL не учитывают национальных особенностей, для использования в Российских условиях требуется дополнительная адаптация этих стандартов.
Результаты.
По проведенному исследованию можно утверждать, что каждый из рассмотренных стандартов имеет ряд преимуществ: COBIT более обширный и более четкий, а ITIL более детально расписывает имеющиеся практики. На практике могут быть совместно использованы оба стандарта. Они не противоречат друг другу, а дополняют друг друга. На практике при выборе любого из выбранных подходов потребуется адаптация для Российского рынка. Проведение аудита по выработанным и адаптированным стандартам может быть автоматизировано, ведь процесс проведения аудита становится шаблонным. Это позволит снизить затраты и повысить эффективность от проведения аудита.
Выводы.
Таким образом, ознакомившись с такими подходами как COBIT и ITIL можем сделать вывод, что они могут быть использованы как по отдельности, так и совместно. COBIT представляет собой более четкое и структурированное руководство, охватывающее обширную область, а ITIL представляет собой набор подробно расписанных практик, но набор практик меньше, чем у COBIT.
Оптимальным решением является совместное использование этих подходов с учетом адаптации под Российский рынок. Это позволит охватить разные сферы деятельности и разные уровни управления. Под уже выработанные и адаптированные подходы к проведению ИТ-аудита необходимо разработать средства автоматизации. Это позволит снизить затраты и повысить эффективность от проведения аудита.
Литература:
- Ситнов А.А. Аудит информационной инфраструктуры. Учебное пособие/ А.А. Ситнов. – Москва: Евразийский открытый институт. – 2011. – 144 с.
- Петренко С.А. Аудит безопасности INTRANET. Учебное пособие/ С.А. Петренко, А.А. Петренко. – М., 2007. – 386 c.
- Белобрагин В.Я., Зажигалкин А.В., Зворыкина Т.И. Основы стандартизации: учеб. пособие. – М.: РИА «Стандарты и качество», 2015. – 464 с.
- Тузовский И.Д. Утопия-XXI: Глобальный проект «Информационное общество». – Челябинск: Челябинская государственная академия культуры и искусств. – 2014. – 392 с.
- Городникова Н.В., Гохберг Л.М., Дитковский К.А. и др. Индикаторы инновационной деятельности: 2017: статистический сборник; Нац. исслед. ун-т «Высшая школа экономики». -М.: НИУ ВШЭ, 2017. – 328 с.
