IT-аудит. Бу нима?

Бугунги кунда ҳеч бир соҳани ахборот технологияларисиз тасаввур қилиб бўлмайди, чунки ахборот технологиялари ҳар қандай соҳа ривожининг асосий омилларидан ҳисобланади.

Бироқ, ахборот технологияларининг нотўғри жорий қилиниши, дастурий маҳсулот ёки ахборот тизими автоматлаштирилаётган бизнес жараёнларига тўғри келмаслиги сарф-харажатларнинг ошишига олиб келиши мумкин. Хўш, бундай ҳолатларда нима қилишимиз керак?

Кейинги йилларда ҳаётимизда “IT-аудит” тушунчаси тез-тез тилга олинмоқда. Интернет саҳифаларида IT-аудит хизматини кўрсатишни таклиф қилаётган кўплаб компанияларни учратишимиз мумкин. Хўш, IT-аудити ўзи нима? У ташкилотлар ёки хусусий компаниялар учун қандай аҳамиятга эга?

IT-аудит – бу бутун ахборот тизимлари инфратузилмасини ва унинг алоҳида қисмларини ўрганиш ҳамда эксперт баҳолаш хизматидир. Айнан IT-аудит иш жараёнларини оптималлаштиришга ва ахборот тизимларига камроқ маблағ сарфлаш имкониятларини топишга ёрдам беради, мавжуд ахборот ресурсларини ташкилотнинг жорий ва истиқболдаги мақсадларига мувофиқлигини баҳолайди ҳамда ушбу баҳолаш натижалари асосида ташкилотларга мавжуд имкониятлардан максимал даражада фойдаланиш ва шу билан кераксиз харажатларидан қочиш имконини берадиган ечимларни тавсия қилади. Бундан ташқари, фойдаланилаётган технологиялар жуда тез ривожланаётганлиги сабабли, IТ-аудит ташкилотларга ахборот тизимлари ва воситаларининг қайси бири эскирганлигини ҳамда қайси бирини такомилллаштириш зарурлигини кўрсатади. Шу сабабли, ахборот технологиялари билан боғлиқ барча жараёнлар кутилганидек ишлашини таъминлаш учун IТ-аудит жуда ҳам зарур.

IТ-аудит янги дастурий таъминотни жорий этиш, ахборот бўлимини молиялаштириш харажатларини камайтириш, иш фаолиятини оптималлаштириш ва ривожланишга тўсқинлик қилаётган “заиф” бўғинларни бартараф этишга ёрдам беради. Шунингдек, IТ-аудит ахборот технологиялари ечимларини юқори даражадаги мустақил экспертизадан ўтказиш ва оптималлаштириш бўйича таклифларни ишлаб чиқишдан ташқари, ташкилот ривожланишининг режалаштириш воситаси бўлиб ҳам хизмат қилади ва мутасадди ташкилотлар томонидан ўтказиладиган текшириш ва ўрганишларга доим тайёр бўлишини таъминлайди.

IТ-аудит натижалари ходимларнинг ишини баҳолаш ва мавжуд камчиликларни аниқлаш имконини беради, аппарат ва дастурий таъминотни қачон янгилаш, унга бўлган эҳтиёжни асослаш, ахборот тизимини бошқариш ва мониторинг қилишнинг ягона тизимини йўлга қўйиш каби муаммолар ечимини тақдим этади. Шу билан бирга махфий маълумотларни ташкилотнинг ахборот тизимига жойлаштиришда хавфларни баҳолаш ва ушбу хавфларни қандай камайтиришни тушуниш имконини ҳосил қилади.

Бундан ташқари, IТ-аудит ташкилотларга ахборот технологиялари йўналиши бўйича мавжуд жараёнларни яхшилаш ва зарурларини жорий қилишга, ходимларни баҳолашга, инсон омили билан боғлиқ юқори хавф соҳаларини аниқлаш ва минималлаштиришга, аниқланган камчилик ёки заифликларни бартараф этишга, яширин хавфларни аниқлашга ва уларни мақбул даражада камайтиришга, ускуна ва дастурий таъминотларни сотиб олиш ёки модернизация қилиш харажатларини асослашга, муайян ахборот инфратузилмаси самарадорлигини оширишга, кадрлар тайёрлаш учун сарфланадиган инвестицияларни асослашга муҳим омил бўлиб хизмат қилади.

IТ-аудит турли йўналишлар бўйича ўтказилади, хусусан:

— АТ жараёнларини ташкил этиш ва бошқариш аудити;

— ахборот хавфсизлиги ҳолати аудити;

— ахборот тизимлари аудити;

— АТ инфратузилмаси аудити;

— АТ бўлими аудити;

— алоқа каналлари, телефония аудити;

— норматив-ҳуқуқий ҳужжатлар, талабалар ва стандартларга мувофиқлиги аудити;

— дастурий таъминотни ишлаб чиқиш ва қўллаб-қувватлаш жараёнини бошқариш аудити;

— лойиҳани бошқариш жараёни аудити ва бошқалар.

Хорижий давлатлар тажрибасига келсак, баъзи давлатларда ушбу хизмат мукаммал даражасида жорий этилган, шунингдек, IT-аудитни ўтказиш хизмати лицензияланмайдиган фаолият турига киради.

Россия Федерациясида IT-аудит бир қанча хорижий ва махсус маҳаллий стандарт “Аудит в условиях компьютерной обработки данных (КОД)” асосида ўтказилади. Хорижий мамлакатлардаги манбалардан CobiT¹, ISA 401 халқаро аудит стандарти, шунингдек, халқаро аудит амалиётига оид 1002, 1003,1004, 1008, 1009 қоидаларини қайд этиш мумкин. Улар ахборот тизимлари муҳитида аудит амалиёти масалаларини, КОД контекстида хатарларни баҳолаш ва ички назорат тизимининг ишончлилигини, замонавий ахборот технологияларидан фойдаланишни ҳисобга олган ҳолда аудит техникасини акс эттиради.

Бугунги кунда Россия IT-бозорида қуйидаги стандарт ва қоидаларга мувофиқ IT-аудити бўйича қуйидаги хизматлар кўрсатилмоқда:

— АT ҳолатини ўрганиш, яъни тадқиқ этиш;

— АT бўйича эксперт баҳолаш;

— АT техник аудит ўтказиш;

— АT бизнес-жараёнлари аудитини ўтказиш;

— АT мезонлари аудитини ўтказиш;

— Комплекс IT-аудитини ўтказиш.

Буюк Британияда IT-аудитини ўтказиш бўйича компаниялар кўп сонли бўлиб, улардан бири “Our IT department” компаниясидир. Мазкур компания ISO 27001:2013 стандарти бўйича аккредитациядан ўтган ҳамда IT аудити хизматини Лондон шаҳри ва Шарқий Англия ҳудудида жойлашган корхона ва ташкилотларга таклиф этади. “Our IT department” компаниясининг IT-аудити хизмати юқори техник ва юқори тажрибага эга АТ мутахассислари ва маслаҳатчилар жамоаси томонидан тақдим этилади.

Компания аудит ўтказиш давомида буюртма қилинган корхонанинг бутун АТ инфратузилмасини, бизнес-жараёнларни, АТ сиёсатини, амалиётни ва техник хизмат кўрсатилишини тўлиқ текширади ва ҳолатини баҳолайди.

Ҳиндистонда Халқаро ахборот тизимлари ва аудит маркази (iCISA) IT-аудитини ўтказувчи ташкилотлардан бири бўлиб ҳисобланади. Марказнинг асосий мақсади C&AG мандати доирасида IT-аудитини ўтказиш, ходимларнинг компьютерлаштирилган муҳитда аудиторлик текширувларини профессионал тарзда ўтказиши учун уларнинг малакалари даражасини ошириб бориш ҳамда компьютерлаштирилган муҳитда аудитга ишончни ошириш учун IT-аудити учун стандартлар ва йўриқномаларни қабул қилиш ва ишлаб чиқиш.

Ушбу Марказ IT-аудитини Ҳиндистондаги корхоналарди WGITA — IT аудит бўйича олий аудит муассасалари учун қўлланма асосида ўтказади. IT-аудити АТ ресурслари ташкилотнинг мўлжалланган марраларига самарали эришишга имкон беришини ва ресурслардан унумли фойдаланишни таъминлаш ҳамда IT-аудити EPR-тизимларини, ахборот тизимларининг хавфсизлигини, бизнес-ечимларни харид қилишни, АТ тизимларини такомиллаштиришни ва бизнеснинг узлуксизлигини таъминлашни қамраб олиши мумкин.

Қозоғистонда IT-аудити хизматини кўрсатувчи компаниялар орасида Volmax Group компанияси кенг танилган. Ушбу компания халқаро CobiT, ISA 401 халқаро аудит стандарти ва Қозоғистоннинг 35.020 “Информационные технологии (ИТ)” давлат стандартига мувофиқ IT-аудити хизматини тақдим этади.

Ушбу компания томонидан асбоб-ускуналар, дастурий таъминот, алоқа каналлари ва алоқа ҳамда хавфсизлик тизимлари аудитлари ўтказилади.

Қозоғистоннинг АТ аудити бозорида яна бир “Pacifica” номли компания 12 йилдан бери ўз фаолиятини юритиб келмоқда. Ушбу компания ахборот хавфсизлиги тизимларининг Қозоғистондаги етакчи интегратори ҳисобланади ва ахборот хавфсизлиги бўйича кенг қамровли хизматларни тақдим этади, хусусан ахборот тизимларининг техник аудити ва дастур кодини таҳлил қилиш хизматини ҳам.

Мамлакатимизда бугунги кунда аксарият давлатларнинг қонунчилигида IT-аудити бўйича аниқ кўрсатмаларнинг мавжуд эмаслиги сабабли, компаниялар халқаро стандартлардан фойдаланмоқдалар. Ўзбекистон IT-бозорида компания ва ташкилотларни, ахборот технологияларини ва инфратузилмасини, ускуналар ва дастурий таъминотларни аудити хизматлари энди шаклланмоқда.

Ҳозирда Ўзбекистонда бир қатор компаниялар IT-аудити бўйича ўз хизматларини тақдим қилишмоқда, яъни АТ инфратузилмаси, компьютер техникаси ва компьютер тармоғи, ахборот хавфсизлиги, сайт аудитини ва ташкилотнинг умумий IT-аудитларидир.

Шунингдек, Буюк Британиянинг “Baker Tilly” ва “ALPS & CHASE” компаниялари IT-аудити хизматини таклиф қилишади. Ушбу компаниялар ўз хизматларини нафақат Ўзбекистонда, балки Марказий Осиёнинг Қирғизистон, Қозоғистон, Тожикистон ва Туркманистон давлатларида тақдим этиб келишмоқда.

“Baker Tilly” компанияси IT-аудити хизмати ISACA (COBIT5), AXELOS (ITIL /ITSM) ва BSI (ISO/IEC 20000) каби халқаро ва давлат стандартлари ҳамда ISO/IEC 2700x, SWIFT, PCI DSS, NIST SP-800, OWASP, SANS/CIS ахборот хавфсизлиги соҳасидаги стандартларига асосланган хизмат кўрсатади.

“ALPS & CHASE” компанияси эса АТнинг жорий ҳолати таҳлилини, ходимлар, шунингдек, бутун ташкилот самарадорлигини ошириш учун мақбул ечимларни ҳамда сифатга салбий таъсир кўрсатадиган омилларни аниқлаш хизматларни тақдим этади.

Шунингдек, “катта тўртлик”² ҳам IT-аудит хизматини Ўзбекистонда тақдим этиб келишмоқда.

Маҳаллий аудит ташкилот ва компаниялар қаторида “Ахборот технологиялари ва ахборот ресурсларини ривожлантириш маркази” ДУК ҳам IT-аудит хизматини кўрсатади.

Ушбу ташкилот 6та йўналиш бўйича IT-аудит хизматларини кўрсатиб келмоқда. Хусусан:

ахборот тизимни тeхник топшириққа мувофиқлиги бўйича;

элeктрон ҳужжат айланиш тизимини давлат стандартларига мувофиқлиги бўйича;

кўрсатилаётган хизматни рақамлаштирилганлик ҳолати бўйича;

ахборот-коммуникация тeхнологиялари талабларига мувофиқлиги бўйича;

вeб-сайтни ахборот коммуникация тeхнологиялари талабларига мувофиқлиги бўйича;

ахборот хавфсизлиги талабларига мувофиқлиги бўйича аудитдан ўтказиш хизматларини тақдим этиб келмоқда.

Шуни таъкидлаш керакки, бугунги кунда Ўзбекистонда IT-аудити хизмати йўналишини қонунчилик асосида тартибга солиш, норматив-ҳуқуқий базани яратиш, IT-аудити бўйича миллий стандартларини ишлаб чиқиш шунингдек, ушбу хизматни ривожлантириш бўйича миллий Стратегия ва услубий қўлланма ишлаб чиқиш замон талабига айланиб бораётган долзарб масаладир.

Шу билан бирга, IT-аудитининг аҳамияти шундаки, улар ечимларни юқори даражадаги мустақил экспертизадан ўтказиш ва оптималлаштириш бўйича таклифларни ишлаб чиқишдан ташқари, улар корхона ривожланишини режалаштириш воситаси бўлиб хизмат қилиши мумкин. Ахборот технологиялари ҳолатини малакали эксперт баҳолашга муҳтож, харажатларни оптималлаштириш ва ривожланиш стратегиясини ишлаб чиқиш керак бўлганлар учун IT-аудити бир қатор саволларга жавоб берадиган алмаштириб бўлмайдиган ва самарали ёрдамга айланади.

IT-аудити натижалари ходимларнинг ишини баҳолаш ва мавжуд камчиликларни аниқлаш имконини беради. IT-аудити аппарат ва дастурий таъминотни қачон янгилаш, унга бўлган эҳтиёжни қандай асослаш, ахборот тизимини бошқариш ва мониторинг қилишнинг ягона тизимини қандай йўлга қўйиш ва у қандай имтиёзлар беради деган саволларга жавоб беради.


[1] Control Objectives for Information and Related Technologies — ISACA
[2] “Deloitte”, “PwC”, “Ernst & Young” ва “KPMG” компаниялари

 

Нозимжон Далибаев, «Ахборот
технологиялари ва ахборот ресурсларини
ривожлантириш маркази » давлат унитар
корхонаси директори

ОСТАВЬТЕ КОММЕНТАРИЙ: