Главная
→
Блог
→
Аудит ИТ-инфраструктуры

Аудит ИТ-инфраструктуры: все что нужно знать об IT-аудите — состав, виды, результаты

С латинского слово «audit» переводится как «слушает». В нашем случае аудит — это прослушка всей ИТ-инфраструктуры с целью проверить ее. На что и когда надо проверять ИТ-среду компании, как это делать и что входит в состав аудита ИТ-инфраструктуры, читайте в этой статье.

Акция
Бесплатный аудит инфраструктуры при подписке на "базовый" тариф тех. сопровождения!

Узнать подробнее

Что такое аудит ИТ-инфраструктуры

Аудит IT-инфраструктуры или IT-аудит представляет собой комплекс мер, направленный на инвентаризацию и оценку всех элементов вычислительной инфраструктуры и проводимый периодически. Задача: выяснить, насколько информационная система (ИС) соответствует бизнес-задачам, требованиям компании и рекомендациям производителей оборудования и ПО; рационально ли используются технологии, нет ли устаревших элементов, нужна ли модернизация; достаточно ли надежна и безопасна система. По результатам аудита составляют рекомендации по обновлению и в целом улучшению ИТ-инфраструктуры.

Когда необходимо проводить аудит ИТ-инфраструктуры

Лучше всего проводить ИТ-аудит с определенной периодичностью, например, раз в год. Но иногда бывают настолько резкие перемены (на рынке, в бизнес-курсе компании, в объемах и характере производства), что система сама «сигнализирует» о том, что она не справляется с задачами должным образом. Например, становится очевидным что-то из следующего списка:

для нынешних процессов некоторое ПО морально устарело
не хватает вычислительных ресурсов
произошла утечка информации
в сервисах постоянные сбои
медленно работает база данных
надо внедрять новые ИС или мигрировать в облако
грядут кадровые перестановки в руководящем составе компании или смена ИТ-команды
компания переходит на ИТ-аутсорсинг (удаленное обслуживание) и надо рассчитать стоимость работ
выросли расходы на ИТ-обслуживание

Начинать аудит стоит не раньше, чем будет понятно, какие процессы необходимо наладить, чтобы подготовить сотрудников к аудиту и не раньше, чем произойдет это налаживание.

Что входит в состав аудита ИТ-инфраструктуры

Перед ИТ-аудитом определяют состав команды, который будет его осуществлять, и составляют план с датами и контрольным списком пунктов для оценки. Важно также определить объем аудита, то есть, какие области оцениваются и на каком уровне детализации аудитор будет проводить свою оценку. Во время IT-аудита в основном проверяют оборудование, программное обеспечение, каналы связи и коммуникации, системы безопасности. Расскажем подробнее об этих процессах.

Аудит оборудования

Проверяя оборудование компании, проводят обследование и анализируют состояние следующих устройств и узлов:

серверов и всего серверного оборудования (в том числе проверяют на соответствие техническим требованиям);
персональных компьютеров, ноутбуков, планшетов;
рабочих телефонов (включая мобильные);
оргтехники;
сетевого оборудования (активного и пассивного), электрических кабелей, источников бесперебойного питания;
документирование результатов аудита.

Аудит оборудования, а проще говоря ревизию, можно проводить на основе его местоположения, а можно — на основе категорий. В первом случае аудит физической ИТ-среды разделяют на части в соответствии с отделами (комнатами), во втором разделение идет по категориям: ПК, серверное оборудование, принтеры и т.д. Также можно работать по группам предметов: стойка в серверной со всем оборудованием, рабочий стол и подобные.

Аудит программного обеспечения

Аудит ПО проводят с целью дать независимую оценку тому, соответствуют ли используемые в компании программные продукты и процессы стандартам, и руководствам. Он включает:

проверку ПО, установленного на рабочих компьютерах и серверах, на наличие лицензий и прав на использование;
обследование ПО на производительность и необходимость установки обновлений;
анализ кода приложений и оценка его соответствия стандартам, руководствам и передовым практикам;
документирование результатов аудита.

Для аудирования ПО рекомендуются следующие роли:

Инициатор
принимающий решение о необходимости аудита. Он устанавливает цель и объем аудита, определяет критерии оценки, определяет аудиторский персонал, решает, какие последующие действия потребуются, распространяет аудиторский отчет.
Ведущий аудитор
способный проводить непредвзятые, объективные оценки. Он отвечает за выполнение административных задач: подготовка плана аудита, формирование группы аудиторов и управление ею, обеспечение соответствия аудита поставленным задачам.
Регистратор
документирует действия, решения и рекомендации группы аудита, а также аномалии в ПО.
Аудиторы (или один)
которые проверяют продукты, определенные в плане аудита, документируют свои наблюдения и рекомендуют корректирующие действия.

Операции по ИТ-аудиту программного обеспечения может проводить сторонняя организация. Это предпочтительный вариант для тех, кто хочет доверить процесс профессионалам и получить независимые оценки и рекомендации.

Аудит каналов связи и коммуникацииость

Этот вид ИТ-аудита также называют коммуникационным аудитом. В него входят:

обследование и описание имеющихся каналов передачи данных;
анализ работы всех видов телефонии;
анализ работы и настроек корпоративной электронной почты;
документирование результатов аудита

Важно также провести целенаправленный поиск самодельных методов или несанкционированных инструментов, которые команды используют для общения. Показателем наличия здесь может быть неработающий официальный инструмент связи.

Аудит систем безопасности

Этот вид ИТ-аудита также называют аудитом управления рисками. Он помогает опережать внутренние нарушения безопасности и внешние кибератаки, которые ставят под угрозу репутацию и финансы компании. В аудит систем безопасности входят проверки, анализы и обследования:

всех систем информационной безопасности (ИБ) компании на отказоустойчивость;
работы антивирусной и антиспам-защиты;
систем защиты от взлома инфраструктуры;
систем хранения и бэкапирования данных;
систем обработки персональных данных;
возможных путей доступа к информации компании;
межсетевых настроек безопасности;
настроек сетевых политик.

Эти проверки можно осуществлять с помощью сторонних компетентных организаций, специализированного ПО или пентеста. Последнее — это тестирование на проникновение в ИС компании через моделирование поведения злоумышленника или провокацию персонала с целью выявления недобросовестного работника (проводят компании, специализирующиеся на ИБ).

Виды ИТ-аудита

IT-аудит делят на виды в зависимости от масштаба проверки инфраструктуры. В основном выделяют три вида: экспресс-аудит, комплексный и направленный. Расскажем о них.

Экспресс ИТ-аудит

Это поверхностный, быстрый анализ системы, при котором собирают только общие данные о ее состоянии. Тем не менее он позволяет оценить сложность инфраструктуры, какие существуют проблемные места, насколько правильно и оптимально используют оборудование. Аудит проводят в течение 1-3 дней. Его часто применяют перед новым проектом, чтобы оценить потенциал системы.

Отчет по итогам такого экспресс-обследования содержит:

списки рабочих мест, серверов, ПО и активного сетевого оборудования
минимальные рекомендации по оптимизации

Комплексный ИТ-аудит

Подразумевает подробное, всестороннее, полное обследование ИТ-инфраструктуры, включая квалификацию ИТ-персонала. Его производят с целью сверить, насколько состояние и развитие информационных систем соответствует планам развития бизнеса в целом. Такой аудит в зависимости от размера компании могут производить в течение длительного времени: от одной до нескольких недель.

Комплексный аудит проводят в три этапа:

Сбор информации обо всех элементах IT-инфраструктуры.
Составление отчетов.
Разработка проекта по оптимизации или глобальной модернизации инфраструктуры.

Итогом комплексного аудита будет актуальная, подробная техническая документация, описывающая нынешнее состояние информационных систем компании и проект модернизации с обоснованием.

Направленный ИТ-аудит

Этот вид аудита преследует цель получить информацию о состоянии выбранных элементов инфраструктуры или направлен на определенные процессы. Его также называют целевым ИТ-аудитом. Целевой ИТ-аудит часто направлен на отдельные составляющие ИТ-инфраструктуры например, только на систему закупок или на компьютерную сеть и структурированную кабельную систему (СКС). Подразделяется на аудит по критерию и аудит бизнес-процесса. Отчет по результатам направленного ИТ-аудита будет включать описание выбранной составляющей инфраструктуры и рекомендации, которые касаются только ее.

При аудите по критерию собирают и анализируют сведения об ИТ-инфраструктуре только в рамках выбранного критерия, например, производительности или безопасности. Отчет в данном случае будет содержать оценку систем на соответствие, а также анализ причин и рекомендации по улучшению инфраструктуры в случае несоответствия выбранным критериям.

При аудите бизнес-процесса проводят проверку инфраструктуры не для всей компании, а для определенного бизнес-процесса. Это может быть аудит техники, персонала, ИТ-услуг или ИТ-процессов.

Этапы проведения аудита ИТ-инфраструктуры

Чтобы результаты аудита можно было использовать максимально эффективно, лучше проводить эту процедуру последовательно, предварительно распланировав все этапы. Классически их выделяют пять:

Проверка узлов или элементов IT-инфраструктуры, включая инвентаризацию оборудования и обследование ПО, антивирусов.
Классификация и оценка найденных проблем и «бутылочных горлышек» инфраструктуры.
Определение методов решения найденных проблем и способов оптимизации структуры.
Агрегация выводов и составление рекомендаций на их основе.
Сведение результатов аудита и рекомендаций по улучшению инфраструктуры в отчет.
Сюда же должны войти описание предполагаемых выгод от применения рекомендаций и расчет затрат на работы по устранению проблем и оптимизации систем.

Проблемы, которые могут возникнуть при проведении IT-аудита инфраструктуры

При проведении аудита могут возникнуть трудности, причины которых уходят корнями еще в дни основания компании. Хорошие новости заключаются в том, что к основным из них можно подготовиться и исправить проблемы так, чтобы к следующему аудиту они не возникали. Перечислим их.

Руководство компании не поставило четкую задачу с подробным описанием целей.;Руководство должно хорошо понимать само и донести до аудиторов, для чего необходим ИТ-аудит вплоть до ближайших бизнес-целей. Исполнители не должны додумывать, что и зачем необходимо улучшать, если задача поставлена скупо, например, «улучшить IT-инфраструктуру в целом». Отсутствие источников информации. Например, когда нужной информацией об элементах инфраструктуры владеют уже неработающие сотрудники, а контакта с ними нет.;Сотрудники, обладающие ценной информацией об инфраструктуре компании должны перед увольнением проводить хотя бы экспресс-аудит, в результате которого фиксировать данные в отчете так, чтобы у новых сотрудников не возникало вопроса «зачем это сделано». Отсутствие документации на оборудование и ПО, лицензионных и регистрационных документов, договоров (или копий) на услуги сервисных провайдеров (интернет, хостинг, телефония, бухгалтерия, системы автоматизации).;Любой IT-сотрудник должен знать, куда он может обратиться в случае проблем с элементами инфраструктуры. Для удобства копии документов можно хранить в электронном виде (в форме сканов, фотографий). Отсутствие единой базы паролей.;Надо вести базу паролей в специализированном защищенном сервисе. Это избавит от необходимости вспоминать и собирать пароли в электронной почте или через личный опрос персонала. Также избавит от потери доступа, если пароль не будет найден. Отсутствие описания текущего состояния ИТ-инфраструктуры.;Помимо документированного описания ИТ-инфраструктуры (включая маркировку кабелей) в компании должны иметься карта локальной вычислительной сети и карта связей филиалов. Отсутствие всего вышеперечисленного для филиалов и удаленных офисов компании.;Обязательны описание ИТ-инфраструктур и карты ЛВС для всех подразделений и филиалов (включая описание организации доступа в интернет). Обязательно наличие компетентных удаленных контактов.

Пример отчета, выдаваемого после проведения аудита

Аудиторский отчет должен содержать описание всей IT-инфраструктуры и отдельно описания различных систем, например, операционной инфраструктуры, сервисной (приложения, сайты). Должны быть отмечены те элементы, которые имеют критическое значение для бизнеса. Также в отчете должны быть указаны все выявленные уязвимости, слабые места, риски, примеры неоптимального применения ресурсов. В заключении отчет в зависимости от его целей содержит рекомендации по устранению найденных проблем или план развития (модернизации) IT-инфраструктуры.

Примерная структура отчета по результатам аудита может быть такой:

1. Назначение документа
1.1. Цели аудита
1.2. Объекты аудита
1.3. Проведенные интервью
2. Описание объекта аудита
2.1. Общее описание ИТ-инфраструктуры
2.2. Инфраструктура бизнес-приложений:
2.2.1. Почтовый сервер MS Exchange (бизнес critical)
2.2.2. Внутренний портал MS SharePoint
2.2.3. 1C (бизнес critical)
2.2.4. Доступ в интернет (бизнес critical)
2.2.5. Прием факсов (бизнес critical)
2.3. Операционная инфраструктура
2.3.1. ActiveDirectory
2.3.2. ISA сервер
2.3.3. Антивирусная защита
2.3.4. Backup
2.3.4. Серверное помещение
3. Результаты аудита
3.1. Выявленные проблемы
3.1.1. Неоптимальность архитектурных решений
3.1.2. Неэффективность использования серверных ресурсов
3.1.3. Организационные и процедурные проблемы
3.2. Риски сопровождения ИТ-инфраструктуры
3.2.1. Краткосрочные риски
3.3. Предложения по результатам аудита
3.3.1. Проект по оптимизации ИТ-инфраструктуры
3.3.2. Разовое мероприятие по нормализации серверной инфраструктуры
3.3.3. Передача на аутсорсинг критичных бизнес-приложений

Что делать после получения отчета по аудиту?

После получения отчета нужно провести все работы, отмеченные в рекомендациях. Если собственными силами это сделать сложно, можно запланировать работы и найти профессионального исполнителя — например, наших инженеров.

Какой он, ИТ-аудитор? Как найти и выбрать компетентного грамотного специалиста?

К выбору аудитора стоит подходить ответственно, ведь от результатов ИТ-аудита будут зависеть инвестиции в инфраструктуру, а также ее функциональность и развитие.

Если вы готовитесь к глобальной модернизации или рассматриваете переход на новые информационные системы, то лучше воспользоваться услугами аудиторской компании или организации, которые строят и поддерживают ИТ-инфраструктуры. Независимые специалисты смогут дать объективную оценку и компетентные рекомендации.

Если нужен анализ функционирования существующей ИТ-инфраструктуры, то можно воспользоваться аудиторскими компетенциями производителей оборудования и вендоров ПО. Разработчики систем лучше знают их устройство и нюансы, чем аудиторы.

Вы можете воспользоваться услугами компетентных ИТ-аудиторов из GitinSky. Оставьте заявку на странице услуги по ИТ-аудиту, и наши специалисты свяжутся с вами для консультации.

Сколько стоит аудит ИТ-инфраструктуры?

Стоимость IT-аудита складывается из того, насколько сложна и объемна инфраструктура, состоит ли она из нескольких нагруженных информационных систем на сотнях серверов или это инфраструктура средней сложности из пяти серверов. Также цена зависит от набора услуг: нужно ли разрабатывать долгосрочный план оптимизации инфраструктуры, нужна ли выделенная команда инженеров, необходим ли непрерывный и так далее.

Вывод

Грамотно и вовремя проведенный аудит ИТ-инфраструктуры способен сэкономить бизнесу деньги и время. И наоборот: если не проводить такую инвентаризацию оборудования и программного обеспечения, не сопоставлять то, как используются ИТ-инструменты с их предназначением и бизнес-курсом, можно поплатиться большими издержками, в том числе и репутационными.

Лучше доверить аудит ИТ-инфраструктуры профессионалам. Их компетентность и непредвзятость позволят рассчитывать на качественный результат процесса.

Не пропустите последние новости. Подписывайтесь!