Недвижимость 

Аудит ит-инфраструктуры. Какие услуги предлагает наша компания? Зачем нужен аудит ИТ-инфраструктуры предприятия


Комплексный инфраструктуры – это один из инструментов, позволяющих найти общий язык между руководством компании, рядовыми сотрудниками, и ИТ подразделением в вопросах текущего сопровождения и развития информационных систем компании.

Комплексный аудит ИТ-инфраструктуры является составной частью любого договора на обслуживание компьютеров организаций и одним из залогов взаимопонимания и долгосрочности наших отношений с клиентом.

Целью проведения аудита является:

  • Получение актуальной и объективной информации об состоянии оборудования и программного обеспечения в компьютерной сети компании,
  • Получение объективной информации о работе информационных систем, их интеграции в бизнес-процессы компании, текущих и потенциальных проблем в работе ИТ-инфраструктуры,
  • Разработка рекомендаций по повышению надежности, производительности и эффективности функционирования информационных систем,
  • Разработка рекомендаций по развитию информационных систем.

Если в вашей организации назревает конфликт в отношениях с ИТ службой, то комплексный аудит ИТ инфраструктуры – это то, что поможет выявить существующие проблемы в кратчайшие сроки и позволит определить экономически эффективные пути их решения.

В рамках комплексного ИТ аудита выполняются следующие работы:

  • Инвентаризация компьютерной техники и компьютерных комплектующих,
  • Инвентаризация сети, сетевого оборудования и сетевых комплектующих,
  • Инвентаризация установленного на рабочие станции программного обеспечения. Изучение использования установленного программного обеспечения пользователями сети,
  • Экспертная оценка состояния компьютерного парка и сетевого оборудования на соответствие предъявляемым к нему требованиям на ближайший календарный год и формирование бюджета на закупку компьютерных и сетевых комплектующих на календарный год,
  • Оценка удовлетворенности сотрудников компании качеством и удобством работы с информационными системами,
  • Формирование функциональной схемы сети. Изучение функций информационных систем и поиск существующих проблем в работе последних,
  • Анализ печатающий устройств и использования расходных материалов,
  • Анализ выполнения лицензионных соглашений с производителями программного обеспечения,
  • Анализ существующих эксплуатационных рисков и мер по их предотвращению,
  • Разработка рекомендаций по изменению существующих информационных систем с целью повышения качества и удобства работы с ними сотрудников компании,
  • Разработка предложения по развитию сети компании на ближайший календарный год.

Описание каждой из услуг приведено ниже:

1. Инвентаризация компьютерной техники и компьютерных комплектующих

В рамках данной услуги проводится инвентаризацич аппаратного обеспечения, установленного в офисах компании. В рамки инвентаризации входит следующее оборудование:

    Компьютерная техника и периферийные устройства

  • Сетевое оборудование

    Принтеры и сканеры

Инвентарная база формируется в формате Microsoft Excel и при проведении инвентаризации в ней заполняются следующие поля:

    Инвентарный номер оборудования – обозначает условно неделимый элемент инфраструктуры. Под неделимостью подразумевается неделимость элемента без вмешательства системного администратора: рабочее место, сервер и т.д.

    Тип оборудования:

    Комплектующее ПК

    Настольный компьютер

  • Оргтехника

    Переферийные устройства

  • Сетевое оборудование

    Ответственный пользователь – сотрудник компании, использующий данное оборудование. Если оборудование использует несколько сотрудников компании, то в качестве ответственного пользователя будет обозначаться «Техподдержка».

    Описание – содержит детальную классификацию системного элемента:

    Блок питания

    Видеокарта

    Внешний диск

    Жесткий диск

    Маршрутизатор

    Материнская плата

  • Оперативная память

    Модель – содержит конкретную модель данного системного элемента

    Расположение – отражает расположение элемента.

    Количество – количество системных элементов

    Статус – статус оборудования. Может принимать следующие значения:

    Исправный

    Неисправный

    Неизвестно (в случае отсутствия технической возможности для определения состояния оборудования).

    К списанию – поле, означающее, что данное оборудование рекомендуется списать с баланса компании. Принимает значение «+» если списание необходимо и «-» если оно не требуется.

Пример заполненной инвентарной базы приведен на рисунке 1.

Рис. 1: Пример заполнения инвентарной базы оборудования

2. Инвентаризация сети, сетевого оборудования и сетевых комплектующих

В рамки инвентаризации сети входит инвентаризация активного сетевого оборудования по методике, приведенной в пункте 1 и формирование схемы сети и кабельного журнала.

При формировании схемы сети анализируется схема помещений и на ней отмечается расположение сетевых розеток, активного и пассивного сетевого оборудования. В случае, если розетки в помещениях не размечены, в процессе инвентаризации будет произведена дополнительная разметка сетевых розеток при помощи самоклеющихся маркеров. В кабельном журнале обозначается соответствие между номерами розеток и номерами портов на патч-панеле и свитче.

Рис. 2: Пример схемы сети

3. Инвентаризация установленного на рабочие станции программного обеспечения. Изучение использования установленного программного обеспечения пользователями сети,

В рамках данной услуги будет произведен сбор информации о программном обеспечении, установленном на рабочие станции сотрудников компании, и выделены 10 наиболее часто встречающихся программ. Оценка использования программного обеспечения будет произведена на основе опроса пользователей по 10 данным программам.

4. Экспертная оценка состояния компьютерного парка и сетевого оборудования на соответствие предъявляемым к нему требованиям на ближайший календарный год и формирование бюджета на закупку компьютерных и сетевых комплектующих на календарный год,

В рамках данной услуги будет произведен анализ состояния компьютерного парка в целом и на основе экспертной оценки произведена оценка вероятности отказа оборудования в ближайший календарный год. Оборудование с наивысшей вероятностью отказа будет рекомендовано к замене.

5. Оценка удовлетворенности сотрудников компании качеством и удобством работы с информационными системами,

Оценка будет произведена на основе опроса пользователей. Форма опросного листа будет предварительно согласована с представителем компании-клиента.

6. Формирование функциональной схемы сети. Изучение функций информационных систем и поиск существующих проблем в работе последних

В рамках данной услугу будет произведен экспертный анализ взаимодействия информационных систем в компании-клиента и составлена функциональная схема сети компании (пример функциональной схемы на Рис. 3) с описанием функций отдельных элементов. В случае если в процессе анализа информационных систем выявятся замечания к их работе, они будут отображены в отчете по результатам аудита ИТ инфраструктуры.

Рис. 3: Пример функциональной схемы сети

7. Анализ работы телефонной связи и схемы обработки телефонных вызовов,

Проводиться анализ схемы обработки входящих и исходящих вызовов (рис. 4), выявляются слабые места, выдаются рекомендации по модернизации телефонной связи в случае необходимости.

Рис. 4 Пример схемы обработки вызовов.

8. Анализ печатающий устройств и использования расходных материалов,

Анализируются существующие печатающие устройства, их ежемесячная загрузка, стоимость отпечатка и адекватность запасов расходных материалов. Выдаются рекомендации по снижению стоимости отпечатка и созданию неубывающего резерва расходных материалов для реализации функций непрерывной печати документов.

9. Анализ выполнения лицензионных соглашений с производителями программного обеспечения

На данном этапе производиться сбор информации о количестве приобретенных компанией лицензий на программное обеспечение и проводиться их сравнение с данными о количестве установленного и используемого программного обеспечения, полученными в пункте 3. Производиться также проверка выполнения всех пунктов лицензионных соглашений для уже купленного программного обеспечения. При необходимости приобретения дополнительных лицензий производиться оценка стоимости лицензий на основе данных, полученных от ведущих дистрибьюторов программного обеспечения.

10. Анализ существующих эксплуатационных рисков и мер по их предотвращению.

На основе данных, полученных в рамках аудита, о текущем состоянии ИТ инфраструктуры проводится анализ эксплуатационных рисков, их последствий и возможных действий по снижению негативных последствий. В рамки анализа входят как штатные ситуацию отказа оборудования, так и форс-мажорные ситуации.

На основе данных, полученных в пунктах 1 – 10 разрабатывается общий список рекомендаций по изменению существующих информационных систем с целью повышения стабильности и скорости их работы, а также с целью повышения удобства работы с ними сотрудников компании.

12. Разработка предложения по развитию сети компании на ближайший календарный год

Заключительным пунктом аудита ИТ инфраструктуры является предложение по развитию информационных систем на ближайший календарный год с описанием функциональных возможностей информационных систем, предлагающихся к внедрению и необходимых затрат на приобретение программно-аппаратного обеспечения для реализации данных изменений.

Работы в рамках аудита ИТ-инфраструктуры зависят от размеров сети и количества информационных сервисов и занимают от 10 до 25 рабочих дней. Результатом обследования является инвентарная база оборудования и развернутый отчет о результатах аудита информационных систем.


Мы отправим презентацию на ваш адрес электронной почты


Наши специалисты проведут аудит it инфраструктуры в Москве и Санкт-Петербурге: найдут все уязвимые места вашей IT инфраструктуры, выявят возможные риски и просчитают их последствия. В итоге Вы получите исчерпывающие рекомендации по оптимизации IT-инфраструктуры и управлению рисками - это информация, которая позволит вам избежать вероятных убытков.

На какие вопросы даёт ответ IT-аудит?

  • Каким рискам подвержена IT-инфраструктура вашей компании?
  • Если произойдут сбои в работе системы, останется ли в сохранности важная информация?
  • Как быстро снова заработают ключевые IT-сервисы?
  • Насколько хорошо IT-инфраструктура вашей фирмы справляется со своими задачами?
  • Адекватную ли оплату получают сотрудники вашего IT-отдела?
  • Насколько профессиональны сотрудники вашего IT-отдела?
  • Могут ли сотрудники вашего IT-отдела нанести вред вашей компании?

В каких случаях проведение IT-аудита особенно важно?

Существует три ситуации, когда IT-аудит становится необходимостью. Это:

1. Увольнение системного администратора компании

IT-аудит поможет:

  • Понять, в каком состоянии находится IT-инфраструктура вашей фирмы на данный момент.
  • Оценить реальный уровень профессионализма вашего системного администратора и проверить, соответствует ли ему уровень оплаты.
  • Произвести обоснованное увольнение при несоответствии сотрудника занимаемой должности.
  • Сформулировать важные для завершения трудовых отношений критерии.
  • Проверить, не наносят ли действия системного администратора ущерб вашей компании.

2. Приём на работу системного администратора

IT-аудит поможет:

  • Сформулировать для сотрудника профессиональный план работ.
  • Установить важные и стопроцентно прозрачные критерии прохождения сотрудником испытательного срока.
  • Привязать материальную мотивацию к успешному выполнению важных для компании задач.
  • Предоставить кандидату действительно объективную оценку состояния IT-инфраструктуры фирмы.
  • Максимально облегчить передачу новому системному администратору.

3. Частые сбои, потеря важной информации

IT-аудит поможет:

  • Узнать, как минимизировать потери и чего ждать в будущем.
  • Определить, насколько долго IT-сервисы вашей компании будут восстанавливаться после вероятных сбоев.
  • Оценить связанные с IT-инфраструктурой риски и угрозы для вашего бизнеса.
  • Выяснить, какими резервами располагает IT-инфраструктура вашей компании, и определить, будет ли их достаточно (с учетом развития бизнеса).


Что входит в IT-аудит?

Наши сотрудники:

  • Проведут интервью с вами и, если это необходимо, с IT-отделом и другими сотрудниками вашей фирмы.
  • Тщательно изучат Ваши серверы, программное обеспечение и сетевое оборудование.
  • Подготовят и презентуют детальный отчёт, содержащий в себе рекомендации по улучшению IT-инфраструктуры.

При необходимости, IT-аудит может быть проведён конфиденциально, в том числе, и в нерабочее время. Всё, что нам потребуется — это основные пароли доступа.

Мы проводим IT-аудит по многократно отработанной и проверенной на практике типовой программе. Разумеется, корректируя её под поставленные вами задачи. Это могут быть:

  • Выяснение причин произошедшего сбоя или инцидента (к примеру, «атаки» на сервер фирмы).
  • Организация удалённого доступа к серверам фирмы — разграничение прав доступа, проверка безопасности и т. д.
  • Оценка рисков зависимости от текущего персонала IT-отдела (проверка наличия у Вас основных паролей, степени документированности IT-инфраструктуры и т. д.).

Сколько времени займёт IT-аудит?

От двух до пяти рабочих дней — конкретные сроки зависят от масштаба IT-инфраструктуры вашей компании. В срочных случаях мы готовы начать работу непосредственно в день обращения.

Мы гарантируем:

  • Строгую конфиденциальность.
  • Комплексный подход к проведению IT-аудита.
  • Высокую квалификацию наших специалистов.
  • Максимальное внимание к поставленным вами задачам.


Типовая программа проведения IT-аудита

Включает в себя следующие разделы и действия:

1. Выявление проблемных и потенциально проблемных мест с точки зрения безопасности:

1.1 Анализ политик безопасности:

Проверка результирующих локальных политик безопасности на серверах. Оцениваются:

  • Политика аудита.
  • Параметры безопасности.
  • Назначение прав пользователя.
  • Настройки лог-файлов.
  • Настройки брандмауэра Windows.
  • Сервисы в автозагрузке.

Проверка доменных политик, применяемых к рабочим станциям. Оцениваются:

  • Параметры безопасности.
  • Назначение прав пользователя.
  • Сетевая установка ПО.
  • Параметры брандмауэра Windows.
  • Скрипты, которые выполняются при запуске/выключении рабочей станции.
  • Ограничения приложений.

Проверка политик обновления ПО. Оцениваются:

  • Наличие сервера WSUS.
  • Синхронизация WSUS.
  • Распространение обновлений.

1.2 Анализ сети и доступных извне сервисов на наличие уязвимостей:

Проверка списка сервисов, которые доступны из внешних сетей. Оцениваются:

  • Права, с которыми запускаются доступные извне службы.

Проверка порядка предоставления доступа к различным сервисам извне. Оцениваются:

  • Параметры предоставления доступа и хранения истории выдачи разрешений.
  • Ограничения при доступе извне.

Проверка контроля над доступом из внешней сети. Оцениваются:

  • Наличие лог-файлов/хранение истории обращений.
  • Возможность быстро заблокировать доступ конкретному сотруднику или всем пользователям.

1.3 Анализ антивирусной защиты, политики паролей и пользовательских разрешений:

Проверка работы антивирусного ПО, оценка выбранного для защиты IT-инфраструктуры продукта.

Проверка применяемых к серверам политик. Оцениваются:

  • Доступ к антивирусу (кто может остановить его работу на сервере?).
  • Ограничения проверяемых файлов.

Проверка применяемых к рабочим станциям политик. Оцениваются те же параметры, что и в предыдущем пункте.

Проверка прав доступа к статистике антивируса.

Проверка оповещений при возникновении вирусной угрозы.

2. Диагностика работы серверного оборудования на аппаратном и программном уровнях:

Тестирование серверного оборудования и источников бесперебойного питания:

  • Внешний осмотр серверных станций (без отключения).
  • Проверка соответствия мощности ИБП ожидаемому времени автономной работы серверов.
  • Проверка настроек ПО источников бесперебойного питания.
  • Внутренний осмотр серверных станций (с отключением).
  • Тестирование нагрузочной способности источников бесперебойного питания (с отключением).

Анализ хранящихся в журналах событий записей:

  • Поиск событий, которые связаны с произошедшими аппаратными сбоями.
  • Поиск событий, которые связаны с перезапуском служб.

Анализ настроек серверных служб:

  • Проверка прав, с которыми запускаются службы.
  • Поиск ошибок, которые связаны с запущенными службами.

3. Определение проблемных и потенциально проблемных мест с точки зрения производительности:

  • Анализ нагрузки на серверные станции в часы пиковой активности.
  • Проверка наличия свободного места на жестких дисках.
  • Анализ распределения нагрузок между серверными станциями.
  • Выявление приложений, которые наиболее требовательны к ресурсам.

4. Диагностика работы сети и активного оборудования:

  • Проверка скорости интернет-канала.
  • Оценка потерь пакетов во внутренней и внешней сети.
  • Проверка политик безопасности и параметров работы активного оборудования.
  • Проверка загруженности внутренних каналов, соединяющих активное оборудование.

5. Проверка корректности пользовательских настроек (несколько рабочих станций по выбору):

  • Соответствие реальных настроек эталонным.
  • Проверка состояния антивирусного ПО.
  • Проверка наличия вредоносного ПО (кейлоггеры, снифферы, программы подбора паролей и т. д.).
  • Проверка наличия нелицензионного ПО.

6. Аудит политик резервного копирования

  • Проверка наличия резервных копий для важных сервисов.
  • Проверка политик резервного копирования, установленных для важных сервисов.
  • Проведение выборочного тестирования хранящихся бэкапов.
  • Диагностика устройств, на которых хранятся бэкапы.

7. Анализ структуры сети, анализ компоновки сетевых решений, выявление уязвимых мест

  • Проверка способа доступа к активному сетевому и серверному оборудованию.
  • Анализ системы охлаждения серверных станций.
  • Выявление перегруженных серверных станций.
  • Проверка соответствия текущих характеристик подводящей сети и электрической мощности серверов.
  • Проверка альтернативного подключения серверных станций к электропитанию.

8. Выявление проблемных и потенциально проблемных мест с точки зрения надёжности:

  • Определение общих «узких» мест производительности для двух или более сервисов.
  • Определение общих точек отказа для двух или более сервисов.

9. Анализ ситуаций, в которых сетевое или серверное оборудование отказывает:

Наши специалисты сделают прогноз потери данных и простоя при выходе из строя отдельных серверных станций.

10. Анализ заявок пользователей и инцидентов, случившихся ранее:

  • Проверка наличия системы учёта заявок от пользователей.
  • Анализ самых часто встречающихся заявок.
  • Анализ ранее произошедших крупных инцидентов и последствий, к которым они привели.

Наши преимущества

Профессиональный аудит ИТ инфраструктуры: комплексная проверка работы информационных систем

Любое современное предприятие просто не может полноценно существовать без развитой информационной системы. Кроме того, любые сбои компьютерного оборудования, программного обеспечения могут привести к целому ряду серьезных проблем. Среди них и неэффективное расходование финансовых средств предприятия, и утечка важных данных, и полная остановка всех процессов.

Если вы хотите оптимизировать работу информационной системы предприятия, закажите аудит ИТ инфраструктуры в Москве в компании Руки из плеч. Он дает возможность своевременно выявить намечающиеся проблемы и оперативно устранить их.

К целям таких работ можно отнести также обнаружение уязвимостей в информационной системе, недочетов, которые оказывают негативное влияние на работу предприятия. Также аудит позволяет разработать комплекс эффективных мер для ее возвращения в нормальный режим.

Какие услуги предлагает наша компания?

Наша аутсорсинговая компания выполняет комплексные услуги по проверке работоспособности информационных систем, которые включают в себя:

  • оценку IT-инфраструктуры, технического состояния сетевого, компьютерного и серверного оборудования;
  • проверку работоспособности программного обеспечения, выполнения им основных функций, обеспечивающих слаженную работу всех подразделений предприятия;
  • оценку состояния структурированной кабельной системы;
  • проверку систем, обеспечивающих полную безопасность информации, передаваемой по сети.

Что вы получите, обратившись к нам?

Проведением аудита ИТ инфраструктуры занимаются опытные аудиторы, разбирающиеся не только в особенностях современного оборудования и программного обеспечения, но и в специфических нюансах предприятий, задействованных в той или иной сфере деятельности.

Именно поэтому результатом обращения к нам будет:

  • эффективная работа серверов и компьютеров;
  • максимальная безопасность хранения и передачи данных, их защита от любых непредвиденных ситуаций;
  • уменьшение затрат на расходные материалы для оргтехники;
  • эффективная защита от шпионского и вирусного программного обеспечения;
  • установленные на все компьютеры и другое оборудование лицензионные операционные системы и приложения, которые будут автоматически обновляться до самых актуальных версий;
  • внедрение систем, предназначенных для эффективного хранения, резервирования и восстановления данных.

Обращение к нам - это возможность не только проверить IT-инфраструктуру, но и адаптировать ее к конкретным особенностям именно вашего предприятия, значительно повысить эффективность работы.

Все, что относится к рабочему процессу любого вида, требует тщательного изучения, систематизации, оптимизации и учета. Нельзя допускать халатности и неаккуратности в рабочих делах - это знают все. Но как организовать рабочий процесс наиболее эффективно и правильно?

Именно здесь и возникает понятие аудита. Аудит - это то же самое, что проверка, только вот проводится она, как правило, независимыми специалистами в сфере финансов или любой хозяйственно-экономической деятельности. Оценивается также отчетность, данные учета, данные деятельности той или иной организации (возможна и оценка деятельности проекта или продукта, системы, процесса).

В этой статье речь пойдет о совершенно другом виде аудита - об аудите ИТ-инфраструктуры. Каждая компания, которая обладает тем или иным потенциалом - техническим, финансовым и информационным - нуждается в аудите ИТ-инфраструктуры как в чем-то, что позволит компании максимально точно и четко оценить собственный потенциал, обнаружить прорехи в организации и составить план на будущее. В этих случаях аудит ит инфраструктуры играет незаменимую роль - он проверяет, оценивает, прогнозирует и позволяет составить план дальнейшего развития максимально точно и быстро.

Но давайте все же разберемся в том, что такое аудит ИТ-инфраструктуры, что он подразумевает и какие услуги представляют ИТ-аудиторы.

Что называют аудитом ИТ-инфраструктуры?

Как правило, под аудитом ит инфраструктуры подразумевают некий комплекс мероприятий:

Инвентаризация составных частей информационной системы;

Исследование составных частей информационной системы;

И, конечно же, анализ, как частей информационной системы, так и всей системы в целости.

При аудите ИТ-инфраструктуры оценка может производиться не только в общих чертах, но и, к примеру, на соответствие требованиям определенной компании. Также заказчики, ознакомившись с аудитом ИТ-инфраструктуры и его результатами, могут понять, насколько нуждается их информационная сеть в модернизации и обновлениях, и нуждается ли вообще.

Также при аудите ИТ-инфраструктуры автоматически определяется уровень безопасности той или иной системы, проверка на надежность. При аудите инфраструктуры также проверяется антивирусная защита предприятия, возможности архивирования, защиты от несанкционированного доступа.

Из чего состоит аудит ИТ-инфраструктуры?

1) С аудитом ит инфраструктуры вы получаете и аудит оборудования, что включает в себя как обследование организационной техники, исследование качества рабочих мест, обследование серверов, в частности того, в каком состоянии они находятся. Также в понятие аудита оборудования входит анализ разнообразных составляющих ИТ-инфраструктуры компании, таких, как активное и пассивное сетевое оборудование, кабельная система, серверное оборудование (в том числе его соответствие требованиям как компании, так и в общем). Аудит ИТ-инфраструктуры анализирует даже то, достаточно ли питания для тех или иных задач и их выполнения на аппаратуре.

2) Аудит программного обеспечения, получаемый с аудитом ит инфраструктуры, что включает в себя обследование всего программного обеспечения организации, что было установлено как на рабочих машинах, так и на серверах компании. Также по желанию все программное обеспечение могут проверить на предмет наличия лицензионных соглашений, прав на использование оборудования и так далее.

3) Получаемый с аудитом ит инфраструктуры аудит каналов связи и каналов коммуникации включает в себя обследование всех каналов передачи данных, анализ работы телефонии, настроек корпоративной электронной почты.

4) Анализ систем безопасности включает как обследование и проверку уже существующих в компании систем и протоколов информационной безопасности, проверку защиты электронных почт, антиспама и антивирусных программ, так и исследование систем защиты от взлома. Также анализ систем безопасности аудитом ИТ-инфраструктуры поможет с анализом вообще всех путей, по которым можно получить доступ к информации компании, с настройкой межсетевой безопасности, а также проанализирует то, настолько эффективным является способ вашего хранения данных.

Виды аудита ИТ-инфраструктуры

Сейчас, как правило, компании предоставляют услуги аудита по трем основным видам:

При экспресс - аудите ИТ-инфраструктуры, который подразумевает оценку сложности инфраструктуры, находит те или иные проблемные места в организации инфраструктуры, оценивает оптимальность использования оборудования, эффективность работы обеспечения той или иной организации. Экспресс-аудит проводится до трех дней;

При комплексном аудите ИТ-инфраструктуры, как правило, подразумевается полная проверка всего состояния ИТ-инфраструктуры компании целиком. Также составляется глобальный, долгоиграющий проект, ориентированный на достижение тех или иных показателей эффективности и модернизацию оборудования вообще;

Направленный ИТ-аудит инфраструктуры позволяет получить нужную информацию об отдельных элементах инфраструктуры ИТ в той или иной компании. Это может быть аудит серверов, аудит СКС, аудит сетевых служб.

Зачем нужен аудит ИТ-инфраструктуры?

Описания могут быть замечательными, но так ли он нужен, этот аудит? Зачем люди нанимают аудиторов и какую роль они играют в развитии компании и ее улучшении?

Прежде всего аудитом ИТ-инфраструктуры интересуются те компании, которые хотят оценить возможности и эффективность собственной инфраструктуры, своего оборудования и системы выполнения тех или иных задач. Только при аудите ИТ-инфраструктуры пользователь может понять, как эффективно использовать те ресурсы, которые уже имеются в компании, как максимально задействовать уже существующие возможности. Каждый пользователь может получить бесплатные советы по улучшению собственной ИТ-инфраструктуры с минимальным использованием денег и времени.

Без сведений об аудите ИТ-инфраструктуры с компанией вряд ли заключат контракт другие организации, ведь эти сведения считаются очень важными при оценке целесообразности того или иного сотрудничества. Аудит позволяет грамотно рассчитать стоимость тех или иных статей расхода - к примеру, того же аутсорсинга ИТ-компаний и обслуживания программного и аппаратного обеспечения.

Стоит ли доверять?

Конечно же, вам решать, пользоваться аудитом ИТ-инфраструктуры в организации вашего собственного бизнеса, или пока что не стоит. Не каждый может сразу же принять новые технологии и безоговорочно довериться им, не каждый может сразу же оценить преимущества и осмыслить недостатки.

Но помните, что с аудитом ИТ-инфраструктуры вы получаете повышение эффективности работы, оптимизацию любых инвестиций и дальнейшую разработку развития компании. Так стоит ли сомневаться?

Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.

Когда (в каких случаях) эта услуга востребована?

  1. Приобретение бизнеса, либо объединение предприятий (формальное, или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
  2. Перед проведением модернизации ИТ-инфраструктуры предприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
  3. Когда рост бизнеса опережает развитие ИТ . В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
  4. Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита - это самый оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению

Какие преимущества эта услуга дает заказчику?

  1. Упрощение модернизации ИТ-инфраструктуры за счет получения наиболее полной и актуальной информации об имеющихся ИТ-ресурсах.
  2. Получение оценки затрат по модернизации ИТ-инфраструктуры. Знание отражаемых в отчетной документации степени необходимости и прогнозируемых объемов работ, позволяет заказчику принимать обоснованное решение.
  3. Повышение эффективности использования имеющихся ИТ-ресурсов, после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием информационных технологий.
  4. Повышение управляемости ИТ предприятия. Руководство получает необходимую управленческую информацию, необходимую для принятия решений, прогнозирования развития ситуации, управления ИТ. Возрастает эффективность работы ИТ-службы предприятия, сокращается время простоев и количество нештатных ситуаций.
  5. Получение практических рекомендаций по используемым технологиям, оборудованию и его настройкам. Все рекомендации связаны с конкретными проблемами, обнаруженными при проведении аудита, поэтому реализация каждой рекомендации приносит исключительно пользу для компании.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

  1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
  2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
  3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение комплексного аудита включает три основных этапа:

  • Сбор данных

Постановка задачи и уточнение границ работ

На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:

  • Уточняются цели и задачи аудита
  • Формируется рабочая группа
  • Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор данных

На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.

Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:

  • Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;
  • Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;
  • Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;
  • Приложения — прикладное программное обеспечение, используемое в работе предприятия;
  • Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;
  • Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.

По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.

Анализ данных и подготовка отчета

На этом этапе выполняются следующие работы:

  • проверка и анализ собранных данных
  • подготовка эксплуатационной документации
  • выработка рекомендаций
  • подготовка отчета об аудите

Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.

На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры

Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.

Этап завершается передачей заказчику разработанных документов.

Результат

Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.

Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.

IT-инфраструктура предприятия - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и/или моральный ущерб.

В современных условиях рынка полнота информации, ее достоверность, скорость получения и обработки данных, эффективность информационного обмена между структурными подразделениями организации, оперативность принятия решений и реализации возложенных на каждое из таких подразделений задач, становятся одними из наиболее значимых факторов успешности предприятия: его рентабельности, прибыльности, конкурентоспособности.

Функцию обеспечения вышеперечисленных задач берет на себя информационная система организации, состоящая, как правило, из компьютерного парка, системы автоматизации производства, систем безопасности (видеонаблюдение, охранно-пожарная сигнализация, СКУД и проч.), коммуникационных систем (мини-АТС, локальные и/или корпоративные сети) и т. д.

Двумя наиболее значимыми, на наш взгляд, факторами эффективности функционирования информационной системы, состоящей из перечисленных подсистем, являются:

  • - полезная эффективность IT-инфраструктуры организации (соответствие технических и программных средств предприятия реальным целям, задачам и потребностям бизнеса);
  • - информационная безопасность IT-инфраструктуры предприятия (включая устойчивость технических средств к всевозможным отказам и сбоям, а также обеспечение сохранности важной информации: пресечение ее утечки и/или уничтожения и защита от несанкционированного доступа);

Одним из способов обеспечения полезной эффективности и информационной безопасности предприятия является аудит IT-инфраструктуры организации, направленный на оптимизацию информационной системы предприятия и выявление явных и/или скрытых угроз ее нормального функционирования.

Аудит IT-инфраструктуры представляет собой системный процесс, заключающийся в получении и оценке объективных данных о текущем состоянии IT-систем организации:

  • - серверов и рабочих станций, задействованных в IT-инфраструктуре предприятия;
  • - активного сетевого оборудования;
  • - системного программного обеспечения;
  • - физической и логической структуры корпоративной локальной сети;
  • - периферийного оборудования;
  • - телекоммуникационных систем;
  • - систем безопасности;
  • - систем электроснабжения;
  • - каналов передачи данных;

Как правило, при аудите IT-инфраструктуры применяются следующие методы исследования:

  • - проведение инвентаризации компонентов IT-инфраструктуры;
  • - анкетирование сотрудников организации, проводящееся по опросным листам;
  • - анализ программного обеспечения, файлов и системных событий серверов и рабочих станций, входящих в IT-инфраструктуру организации;
  • - проверка сетевой безопасности серверов и рабочих станций с целью исключения возможного несанкционированных проникновений через сеть Интернет и/или по другим каналам связи;
  • - мониторинг состояния активного сетевого оборудования;
  • - диагностика системы электроснабжения, кабельных сетей и пассивных компонентов IT-инфраструктуры предприятия;

Целью создания любой компьютерной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Информация является конечным «продуктом потребления» и выступает в виде центральной компоненты системы.

Именно поэтому одним из ключевых вопросов при проведении аудита IT-инфраструктуры организации является оценка этой инфраструктуры с точки зрения информационной безопасности. Эта проблема может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

Безопасность (защищенность) информации, в данном случае, - это такое состояние всех компонентов компьютерной (информационной) системы, при котором обеспечивается защита информации от всех возможных угроз на требуемом уровне. При этом, под системой защиты информации понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в компьютерной системе в соответствии с принятой политикой безопасности.

С позиции обеспечения безопасности информации, IT-инфраструктуру организации целесообразно рассматривать в виде единства трех компонентов, оказывающих взаимное влияние друг на друга:

  • - информация;
  • - технические и программные средства;
  • - обслуживающий персонал и пользователи.

Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Все множество потенциальных угроз безопасности информации в компьютерных системах может быть разделено на два класса:

  • - преднамеренные угрозы
  • - непреднамеренные (случайные) угрозы

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными. Реализация угроз этого класса приводит к наибольшим потерям информации. При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию. К непреднамеренным (случайным) угрозам, в частности, относятся:

  • - стихийные бедствия и/или аварии;
  • - сбои и отказы оборудования;
  • - ошибки пользователей и/или обслуживающего персонала.

Ошибочные операции или действия могут вызываться отказами аппаратных и программных средств, а также ошибками пользователей и обслуживающего персонала. Некоторые ошибочные действия могут привести к нарушениям целостности, доступности и конфиденциальности информации. Ошибочная запись в оперативную память и на внешнее запоминающее устройство, нарушение разграничения памяти при мультипрограммных режимах работы ЭВМ, ошибочная выдача информации в канал связи, короткие замыкания и обрыв проводников - вот далеко не полный перечень ошибочных действий, которые представляют реальную угрозу безопасности информации в информационной системе организации.

Для блокирования (парирования) случайных угроз безопасности информации в компьютерных системах должен быть решен комплекс задач:

  • - дублирование информации;
  • - повышение надежности системы;
  • - создание отказоустойчивых систем;
  • - минимизация ущерба от аварий и стихийных бедствий;
  • - блокировка ошибочных операций;
  • - оптимизация взаимодействия человека и компьютерной системы.

Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. В зависимости от ценности информации, особенностей построения и режимов функционирования компьютерной системы могут использоваться различные методы дублирования, которые классифицируются по различным признакам. По степени пространственной удаленности носителей основной и дублирующей информации методы дублирования могут быть разделены на методы:

  • - сосредоточенного дублирования;
  • - рассредоточенного дублирования.

Для определенности целесообразно считать методами сосредоточенного дублирования такие методы, для которых носители с основной и дублирующей информацией находятся в одном помещении. Все другие методы относятся к рассредоточенным. Рассредоточенное копирование достаточно распространенный и достаточно эффективный способ обеспечения сохранности информации в компьютерных сетях; кроме того, рассредоточенное копирование является практически единственным способом обеспечения целостности и доступности информации при стихийных бедствиях и крупных авариях.

Для блокировки ошибочных действий используются технические и аппаратно-программные средства. К таким средствам относятся блокировочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записи на внешние (портативные) источники информации. Аппаратно-программные средства используются для блокирования выдачи информации в неразрешенные каналы связи, запрета выполнения операций, доступных только в определенных режимах, при помощи специализированных ключей защиты позволяют блокировать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти, запись в определенные области внешних запоминающих устройств и другие операции.

Важным условием функционирования IT-инфраструктуры организации является ее надежность и отказоустойчивость. Под надежностью понимается свойство системы выполнять возложенные на нее задачи в определенных условиях эксплуатации. Если при наступлении отказа компьютерная система способна выполнять заданные функции, сохраняя значения основных характеристик в пределах, установленных технической документацией, то она находится в работоспособном состоянии. Для решения этой задачи необходимо обеспечить высокую надежность функционирования алгоритмов, программ и технических (аппаратных) средств. Кроме того, необходимо предусмотреть систему бесперебойного электроснабжения, состоящую из одного или нескольких источников бесперебойного питания (ИБП), а на отдельных объектах и дизель-генераторной установки (ДГУ).

Отказоустойчивость - это свойство компьютерной системы сохранять работоспособность при отказах отдельных устройств, блоков, схем. Известны три основных подхода к созданию отказоустойчивых систем:

  • - простое резервирование;
  • - помехоустойчивое кодирование информации;
  • - создание адаптивных систем.

Одним из наиболее простых и действенных путей создания отказоустойчивых систем является простое резервирование. Простое резервирование основано на использовании дополнительных устройств, блоков, узлов, схем в качестве резервных. При отказе основного элемента осуществляется переход на использование резервного. Резервирование осуществляется на различных уровнях: на уровне устройств, средств передачи информации, блоков, узлов и т. д. Резервирование отличается также и глубиной. Для целей резервирования могут использоваться один резервный элемент и более.

Помехоустойчивое кодирование основано на использовании информационной избыточности. Рабочая информация в информационной системе дополняется определенным объемом специальной контрольной информации. Наличие этой контрольной информации (контрольных двоичных разрядов) позволяет путем выполнения определенных действий над рабочей и контрольной информацией определять ошибки и даже исправлять их. Так как ошибки являются следствием отказов средств IT-инфраструктуры предприятия, то, используя исправляющие коды, можно парировать часть отказов. Исправляющие возможности кодов для конкретного метода помехоустойчивого кодирования зависят от степени избыточности. Чем больше используется контрольной информации, тем шире возможности кода по обнаружению и исправлению ошибок.

Также существенную угрозу безопасности информации в компьютерной системе представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Несанкционированная модификация структур может осуществляться на любом жизненном цикле IT-инфраструктуры предприятия. Проведение аудита IT-инфраструктуры предприятия позволяет выявить потенциальные возможности несанкционированной модификации компонентов системы и, соответственно, предотвратить ее осуществление.

Резюме по теме

Подводя итог вышесказанному, необходимо отметить, что комплексный аудит IT-инфраструктуры предприятия, анализ всех ее систем и подсистем, эффективности их взаимодействия и использования - задача достаточно трудоемкая, требующая достаточных финансовых и производственных затрат, но, несмотря на это, необходимая. В условиях стремительного развития бизнеса, IT-инфраструктура предприятия представляет собой сложный и разветвленный организм. Построение грамотной структуры управления организацией в значительной степени зависит от возможности IT-подразделения организовать управление предприятием с помощью информационных технологий. Внедрение системы управления предприятием, закупка нового оборудования, инсталляция новых программных продуктов чаще всего проходят без видения целостной картины развития IT-инфраструктуры организации. Это вызывает проблемы полноценного функционирования программных продуктов, проведения дополнительных работ или закупок, что приводит к срывам сроков внедрения проектов, усложняет развитие бизнеса, требует дополнительных инвестиций. IT-аудит - это комплексный анализ информационной структуры, который позволяет решить возникшие сложности, определить качество IT-инфраструктуры предприятия и привести ее возможности в соответствие с целями и задачами бизнеса.

Вопросы для повторения

  • 1. Этапы проведения ИТ-аудита.
  • 2. Что анализируется на этапе «Планирования ИТ-аудита»?
  • 3. Опишите жизненный цикл четырех доменов COBIT
  • 4. Понятие модели зрелости COBIT
  • 5. Что представляет собой аудит ИТ- инфраструктуры?