Аудит информационных систем

Аудит информационных систем — это экспертная проверка ИТ-инфраструктуры с целью оценки работы всех процессов, связанных с хранением и передачей информации в организации. Проводится аудит серверного оборудования, систем и сетей хранения данных, а также программного обеспечения информационной инфраструктуры.

Виды ИТ-аудита

ИТ-аудит бывает следующих типов:

  • Экспресс-диагностика информационной инфраструктуры. Проводится поверхностный анализ текущего состояния серверов, программного обеспечения, компьютеров, средств безопасности и сетей. Это быстрый способ получить структурированное общее описание выявленных проблем и уязвимостей с рекомендациями по их устранению.
  • ИТ-проверка по выбранному критерию. Оценивается соответствие работы информационной системы тому или иному критерию. Например, может рассматриваться производительность системы — в результате клиент получает о ней отчёт и рекомендации по устранению выявленных проблем.
  • ИТ-аудит бизнес-процесса. Проводится анализ текущего состояния и соответствия стандартам, оценка рисков ИТ-структуры, задействованной в выбранном бизнес-процессе.
  • Технический ИТ-аудит. Проверяется всё оборудование, компьютерные и операционные системы, программное обеспечение, мобильные устройства, сетевое оборудование и оргтехника. В результате структурируются данные о наличии и соответствии стандартам аппаратной и программной частей ИТ-инфраструктуры, актуальности версий программного обеспечения, наличии всех необходимых лицензий и сертификатов. Также определяются уязвимости и точки отказа. Даются рекомендации.
  • Аудит ИТ-безопасности. Проверяется система хранения данных и резервного копирования, компьютерные системы на безопасность. Анализируется отказоустойчивость информационной системы, система защиты от внешних атак, все виды безопасности (защита от вирусов и спама, сетевая безопасность, система защиты конфиденциальной информации и персональных данных, сетевая политика безопасности). Выявляются риски, уязвимости и даются рекомендации по их устранению.
  • ИТ-аудит каналов связи. Анализируется работа всех каналов связи в организации: телефонии, VPN-тоннелей, мессенджеров, электронной почты. Проверяется корректность работы и наличие уязвимостей.
  • Комплексный ИТ-аудит. Это глубокая проверка всей ИТ-инфраструктуры компании, включая все критерии, бизнес-процессы, безопасность, каналы связи. Проверяется в организации все, что относится к информационным технологиям.

Для чего проводится ИТ-аудит

Среди множества целей проведения аудита информационных систем выделим основные:

  • оценка рисков, уязвимостей и разработка плана устранения проблем в ИТ-инфраструктуре организации;
  • оценка эффективности и целесообразности финансовых расходов на поддержание, масштабирование и обновление составляющих информационной системы компании;
  • оценка работы и уровня профессиональной подготовки сотрудников ИТ-отдела;
  • обеспечение соответствия стандартам и законности всех процессов и продуктов, которые относятся к корпоративной информационной инфраструктуре.

Когда проводить аудит ИТ

Аудит информационных систем необходимо проводить когда:

  • снизилась производительность ИТ-сервисов, веб-сайта или появились подозрения на вирусную атаку. Например, если стал медленно работать «1С:Предприятие 8», то необходимо провести ИТ-диагностику;
  • появилась потребность в изменении настроек программно-аппаратной части ИТ-инфраструктуры;
  • компания готовится к расширению или переводит часть офиса на удалённый режим работы, открывает новое подразделение. Например, у организации появилась потребность в открытии кол-центра, где одна часть сотрудников будет работать в офисе, а другая из дома в режиме удалённого доступа к офису. В этом случае ИТ-диагностика необходима для эффективной реализации задуманного;
  • отсутствует техническая документация по программным продуктам или оборудованию;
  • расходы на ИТ-обеспечение превышают запланированные;
  • сменился руководящий состав компании, и новому необходима актуальная информация о текущем состоянии и потребностях информационной инфраструктуры;
  • необходимо приобрести сертификат ISO и изменить юридический статус бизнеса;
  • нужно перевести программно-аппаратное обслуживание организации под ответственность аутсорсинговой ИТ-компании;
  • необходимо внедрение новых технологий или информационных систем, например CRM.

Этапы

Каждая ИТ-компания проводит аудит согласно собственному регламенту, задачам и возможностям. Этапы могут различаться, выделим некоторые из них:

Определение объектов

Согласно целям ИТ-аудита производится инвентаризация объектов, подлежащих проверке. Это могут быть серверы, телефония, оборудование и прочее.

Анализ внешних каналов связи с корпоративной сетью

Проверяются внешние точки доступа к корпоративной информационной инфраструктуре, производится анализ безопасности и корректности их работы.

Аудит способов хранения конфиденциальной информации

Проверку проходят все файлы с информацией, представляющей корпоративную ценность и персональные данные. Проверяется как безопасность хранения и архивирования данных, так и быстрота и качество их восстановления на случай, если в этом появится необходимость.

Проверка производительности серверного оборудования

Этот этап важен с точки зрения эффективности использования ресурсов для осуществления ИТ-процессов. Их может быть недостаточно, и тогда это отразится на производительности ИТ-системы. В то же время некоторые ресурсы могут оказаться лишними, что приводит к ненужным финансовым расходам на техническое обслуживание.

Оценка безопасности и бэкапа

Проводится аудит безопасности оборудования, оцениваются риски сбоев и способы их предотвращения, возможности бэкапа (восстановления данных) и необходимое для этого время.

Проверка учётных записей

Аудит проходят все учётные записи, имеющие права доступа администратора.

Аудит программного обеспечения

Проверяются все программы на наличие необходимого количества лицензий, отсутствие нарушений их использования. Если не все программные продукты имеют лицензии и необходимые сертификаты, то оценивается стоимость их приобретения.

Проверка системы мониторинга

Проводится глубокий аудит качества работы системы мониторинга, оценивается необходимость изменения конфигураций, проверяются критические узлы.

Аудит работы ИТ-отдела

Проверяются должностные инструкции по работе сотрудников ИТ-департамента, план действий в экстренных ситуациях, схемы ИТ-инфраструктуры, уровень компетенций сотрудников, распределение обязанностей и прочие факторы, влияющие на продуктивность работы ИТ-отдела.

Результат

Результатом ИТ-аудита является отчёт, в котором подробно отражены все параметры, описывающие состояние ИТ-инфраструктуры или какого-то из её компонентов в зависимости от вида проверки. Также клиент получает рекомендации по улучшению исследованных показателей и минимизации рисков возникновения сбоев, снижения эффективности работы.

Получить консультацию