Услуги

Технический аудит ИТ-систем

Информационные технологии интегрированы во все сферы жизни и бизнеса. Даже небольшие компании имеют если не ИТ-отдел, то собственного айтишника либо обращаются за обслуживанием компьютерной системы к сторонним специалистам-аутсорсерам.

Специалисты группы компаний «Интегрус» уже более десяти лет занимаются всеми видами ИТ-аудита, предлагая технический аудит компьютерных систем, систем управления и ПО. Мы знаем, что безотказная работа IT-инфраструктуры требует грамотной настройки и оптимизации все процессов и оборудования, проверку их на наличие проблем и уязвимостей. Результаты, полученные в ходе аудита, описывают реальное положение дел в компании. Наши рекомендации по решению проблем работают, что подтверждается на практике множеством довольных клиентов.

Кому нужен технический аудит?

Руководство большинства компаний заинтересовано в получении прибыли, но склонно экономить на обеспечении безопасности предприятия и сохранности данных. Они обращаются к независимым ИТ-экспертам только при возникновении устойчивых проблем с программами и оборудованием, когда начинает проседать бизнес.

Аудит лучше проводить планово, предупреждая ошибки на будущее, а не решая инциденты прошлого. Для бюджета и репутации предприятия более выгодно заранее выявлять уязвимости, своевременно оптимизировать ИТ-инфраструктуру для повышения производительности. В этом случае достаточно быстрых плановых проверок.

После планового аудита всегда определяются ситуация на момент проверки и точки роста, намечаются корректировки. Поэтому при регулярных проверках, как правило, критических инцидентов не происходит, а с небольшими справляется собственная команда ИТ-отдела. Для крупных компаний, имеющих значительный технический ландшафт, может быть настроена система мониторинга.

Без технического аудита никак не обойтись, если:

  • ИТ-инфраструктура превращается в черную дыру бюджета, а количество неполадок не уменьшается.
  • готовится модернизация/масштабирование/трансформация компании. Необходимо оценить исходное состояние ИТ, чтобы получить дорожную карту для дальнейшей работы, определить этапы и сроки. В этом случае возможно уменьшить затраты почти на треть от первоначальных.

Например, даже при миграции в облако или переходе в ERP-систему может потребоваться аудит ИТ-инфраструктуры. Это нужно для того, чтобы система работала без сбоев и неожиданностей.

Техническое задание на IT-аудит

Проведение технического аудита IT-компании означает проверку каждого элемента, входящего в информационную систему. Объективно анализируются состояние и эффективность работы программной, аппаратной и технической составляющих информационной инфраструктуры. Полученная информация обрабатывается, по результатам проверки формируется отчет о текущем положении дел в ИТ-системе компании, даются рекомендации по увеличению производительности, минимизации рисков.

К компании, которая берет на себя составление и выполнение технического задания на аудит сети ИТ, предъявляются высокие требования. Она должна иметь:

  • опыт работы на рынке не менее пяти лет;
  • реализованные успешные проекты по сходной тематике аудита, в идеале – экспертизу в области проектирования и эксплуатации крупных ИТ-инфраструктур;
  • сертифицированных специалистов по всем направлениями исследования (например, по системам виртуализации VMware различных уровней, по операционным системам Microsoft и т. п.);
  • сертификацию вендоров.

Кто может проводить технический ИТ-аудит

Проведение технического аудита и документирования компьютерной системы — это проверка конкретных бизнес-процессов, с обязательной полной диагностикой, переписью оборудования. В результате исследования руководство компании получает точную информацию о наличии компьютерного оборудования, сроков действия сертификатов и лицензий, рисков и проблем. Для выполнения работы необходимо предварительно согласовать с заказчиком техническое задание на проведение IT-аудита.

Определение целей и задач аудита текущей инфраструктуры. Например, целями технического задания на аудит ИТ-инфраструктуры могут являться анализ состояния информационных систем, аппаратного обеспечения, разработка ресурсно-сервисных моделей, оценка ИТ-ландшафта по уровням доступности, надежности, отказоустойчивости, выявление всех возможных рисков и т. п. Задачами же станут сбор информации, документирование, определение проблем ИТ-инфраструктуры, выработка рекомендаций по их устранению, модернизации, подготовка независимого экспертного отчета.

Определение границ обследования (количество объектов ИТ-инфраструктуры, подлежащих проверке) и географии площадок аудита. При необходимости может потребоваться дополнительное соглашение о неразглашении информации до начала выполнения работ. Проводятся встречи с заказчиком, формируется команда аудиторов и специалистов заказчика, подготавливаются специальные опросные листы.

Технический аудит информационной безопасности

Определение статуса информационных систем (используемая, неиспользуемая), сбор данных. Аудиторы проводят анкетирование и интервьюирование ключевых сотрудников компании, собирают конфигурационные данные, изучают проектную документацию. В технический аудит входят: наблюдение за работой персонала и ИТ-систем, осмотр помещений, описание архитектуры и конфигурации оборудования, сбор статистики по загруженности оборудования, инвентаризация аппаратного обеспечения.

По каждому пункту технического задания аудита проводится своя проверка. Например, в ряде случаев необходимо определять дисбаланс между приложениями и мощностями, который может приводить к выходу из строя оборудования. Также проверяются архитектурные связи между логической частью и «железом», совпадают ли ОС с требованиями установленных приложений. При аттестации облачных сервисов может потребоваться проверить их соответствие стандарту ISO/IEC 27001:2013. Это значит, проверяются группы по уровням доступа, настройки администрирования на некорректные параметры, влияющие на конфиденциальность данных и т. п.

Анализ и оценка результатов, формирование отчета. Эксперты изучают и систематизируют полученные данные, производят оценку. В отчете аудитор:

  • публикует инвентаризационную ведомость;
  • описывает все информационные системы по статусам и уровням критичности;
  • указывает наиболее узкие места ИТ-инфраструктуры;
  • указывает ресурсно-сервисные модели;
  • предлагает свои рекомендации, как оптимизировать имеющиеся в инфраструктуре заказчика компоненты (в т. ч. по занимаемому месту и объему потребляемой электроэнергии).

Глобально стоимость технического ИТ-аудита складывается из масштаба исследований (сколько на предприятии ПК, серверов, хранилищ информации и т. п., подлежащих анализу) и количества персонала, использующего данную аппаратуру. Как правило, стоимость определяется заранее, до начала выполнения работы, и итоговая сумма фиксируется в договоре. В случае, если заказчик не уверен в том, сколько техники следует проверять, можно оценивать стоимость в стоимости часов работы аудитора.

Техническое задание на проведение аудита информационной безопасности считается завершенным, когда на руки заказчику передается детализированный отчет, включающий развернутое описание состояния оборудования, перечень всех обнаруженных проблем, уязвимостей, вирусов, некорректно установленного программного обеспечения. На основе полученных данных аудитор дает конкретный план улучшения ИТ-инфраструктуры предприятия и бизнес-процессов.

В итоге предприятие получает экспертную диагностику системы, что упрощает внедрение нового ПО, замену оборудования на более современное, перестройку ИТ-инфраструктуры. В перспективе, выполнив рекомендованные работы, можно добиться увеличения отдачи от вложений в IT-отдел, качества принимаемых решений, уменьшить срок внедрения инноваций и выработать более эффективную ИТ-стратегию компании.