Комплексный аудит IT-инфраструктуры

Проведение комплексного аудита – это наиболее оптимальный способ получить цельную и достоверную картину состояния IT-инфраструктуры компании-заказчика, адекватно оценить уровень технической и программной оснащённости компании, выявить проблемные места и получить необходимые рекомендации по их устранению от независимых высококвалифицированных специалистов, принять своевременное решение о замене и совершенствовании компьютерного оборудования, программного обеспечения, сервисов и подключений.

Проведение аудита позволяет:

  1. Выработать обоснованную политику в области предоставления IT-услуг внешним и внутренним пользователям локальной сети, использования, закупки либо замены аппаратно-программного обеспечения;
  2. Провести инвентаризацию существующей инфраструктуры, документирование бизнес-процедур, настроек программного и аппаратного обеспечения;
  3. Выявить факты использования нелицензионного ПО и оценить последствия нарушения лицензионных соглашений;
  4. Оценить эффективность использования ПО;
  5. Соотнести возможности имеющегося либо планируемого к закупке ПО и потребностей компании и, на основании этой информации, выбрать наиболее подходящее, в том числе и по ценовым критериям, программное обеспечение;
  6. Составить полный список закупленного и установленного ПО, что позволит составить план закупок и извлечь максимальную выгоду из лицензионных соглашений, воспользовавшись программами корпоративного лицензирования;
  7. Провести оценку соответствия конфигурации серверов и локальной сети в целом решаемым и перспективным задачам компании;
  8. Провести оценку системы хранения информации, отказоустойчивости и производительности серверов и всей сети в целом;
  9. Провести к одному стандарту набор используемого ПО, определив для каждой группы сотрудников оптимальные для них наборы программ, что в свою очередь позволит сократить расходы на тех поддержку и уменьшить время простоев;
  10. Минимизировать затраты на закупку программного и аппаратного обеспечения, повысить эффективность использования имеющихся ИТ-ресурсов;
  11. Повысить безопасность локальной сети за счет отказа от использования небезопасного ПО, установки необходимых заплат и изменения конфигураций.

Основные этапы аудита

Вне зависимости от объекта обследования проведение аудита включает четыре основных этапа:

1. Проведение экспресс-обследования.

Этап предназначен для оценки сроков и стоимости основных этапов аудита, уточнения задач поставленных перед аудиторами.
Как правило, экспресс-обследование проводится на основании отдельного соглашения с заказчиком, а его результаты позволяют заключить уточненный договор на проведение остальных этапов полного аудита.

В том случае, если для проведения аудита необходим доступ к конфиденциальной информации, то перед проведением обследования разрабатывается и утверждается  соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

2. Постановка задач аудита и уточнение состава работ.

На данном этапе:

  • Уточняются цели и задачи аудита;
  • Формируется рабочая группа и проводятся все необходимые организационные мероприятия. В состав рабочей группы должны входить как специалисты компании-аудитора, так и сотрудники компании-заказчика. Сотрудники заказчика обеспечивают представление всей необходимой информации, контролируют процессы проведения обследования, а также участвуют в согласовании его промежуточных и конечных результатов. Аудиторы отвечают за квалифицированное проведение работ по обследованию предметных областей в соответствии с определенными целями и задачами проекта, согласуют процессы и результаты проведения обследования;
  • Подготавливается, согласовывается и утверждается техническое задание (ТЗ) на проведение аудита, а так же план-график проведения работ. В техническом задании на аудит фиксируется состав и содержание работ по аудиту и требования к разрабатываемым документам.

3. Сбор данных в соответствии с детальным перечнем работ, определенных в ТЗ на аудит.

В ходе этапа производится:

  • анализ работы всех технических составляющих ИТ-инфраструктуры, включая:
    • аппаратного обеспечения (сетевого оборудования, серверов, рабочих станций, систем хранения и др.);
    • оборудования и помещений, необходимых для поддержки функционирования ИТ-инфраструктуры (систем связи и кондиционирования, СКС и др.).
  • инвентаризация программного обеспечения как закупленного, так и установленного на компьютерах и серверах заказчика (операционных систем, систем управления базами данных, интеграции приложений и прочее). В ходе инвентаризации:
    • собирается информация о версиях имеющегося ПО, включая установленные обновления;
    • документируется конфигурационная информация;
    • анализируется имеющаяся документация на программное обеспечение, включая бухгалтерскую. Особое внимание обращается на наличие лицензионных соглашений и прочих документов, подтверждающих легальность использования  программного обеспечения.
  • проверка работы системы копирования и восстановления информации;
  • проверка соответствия требуемым стандартам параметров работы электропитания, включая электропитание серверов;
  • проверка параметров эксплуатации серверного помещения на соответствие стандартам, рекомендованным производителями оборудования;
  • документирование бизнес-процессов, затрагивающих используемое программное и аппаратное обеспечение;
  • документирование этапов работы принятых систем документооборота, хранения данных и оказания услуг;
  • сбор информации о имеющихся навыках, знаниях и опыте работы персонала, непосредственно связанного с обслуживанием ИТ-инфраструктуры, предоставлением ИТ-услуг.

Сбор данных может осуществляться путем:

  • интервьюирования персонала заказчика;
  • анализа предоставленных документов;
  • ручного осмотра и инвентаризации инфраструктуры;
  • сбора конфигурационной информации;
  • инструментального обследования.

Интервьюирование персонала предназначено как для документирования бизнес-процедур, так и для выявления существующих проблем, связанных с использованием программного и аппаратного обеспечения. К интервьюированию обязательно привлекаются:

  • сотрудники, непосредственно использующие ПО для решения своих задач;
  • специалисты, связанные с предоставлением IT-услуг.

В ходе интервьюирования необходимо учитывать, что видение одной и той же проблемы может существенно различаться с точки зрения, например, пользователя и системного администратора.

Дополнительно к сбору информации  может проводиться ряд тестов, включая:

  • нагрузочное (стрессовое) тестирование локальной сети и серверов;
  • оценка качества канала связи с Internet, удаленными офисами.

Оценка производительности может включать:

  • Мониторинг работы и анализ журналов отчетов;
  • Профилирование приложений;
  • Моделирование нагрузки путем проведения ряда тестов.

Детальный перечень выполняемых работ обычно определяется в ТЗ на аудит.

4. Анализ данных и подготовка отчета.

На данном этапе производится:

  • сопоставление и анализ собранных данных;
  • формирование выводов и рекомендаций;
  • подготовка и оформление отчета об аудите.

На основании анализа собранных данных может быть принято решение о сборе дополнительных данных.

Итог аудита

Итогом аудита является документация, содержащая:

  • детализированные данные о текущей ИТ-инфраструктуре предприятия, включая перечень имеющихся проблем, список закупленного и установленного программного обеспечения, имеющихся лицензий;
  • рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры, рекомендации по закупке лицензий либо замене на другие продукты, список мер по устранению либо снижению проявления выявленных первоочередных проблем, включая оценку длительности и стоимости их реализации.