Проведение ит-аудита. Частые сбои, потеря важной информации. В каких случаях проведение IT-аудита особенно важно

Привет, %username%! Готов поспорить, что рано или поздно все сисадмины относительно небольших компаний сталкиваются с такой волшебной задачей от руководства, как составление проекта развития ИТ-инфраструктуры компании. Особенно если тебе предложили должность и сразу же попросили составить план развития и бюджетирования. Вот и мне однажды поставили такую задачу. О всех подводных камнях, с которыми можно столкнуться, я и напишу. Всем заинтересовавшимся велкам под кат!

Сразу поясню, что вы тут не найдете советов о том, какое оборудование выбирать для тех или иных решений, какие программные продукты выбирать, open source или платное ПО, с какими интеграторами общаться стоит, а с какими нет. Это все полностью индивидуально и будет напрямую зависеть от вас и того, что в итоге вы хотите - залатать дыры в текущем корыте или построить ИТ-инфраструктуру таким образом, чтобы любая задача сводилась к нажатию кнопки “СДЕЛАТЬ ХОРОШО” (да я ленивый).

Данная статья больше нацелена на тех, кто совсем мало в этой сфере работает и от него требуют всего и сразу. Думаю молодым сисадминам небольших компаний будет полезно.

Вот собственно примерный список проблем, с которыми можно столкнуться при проведении аудита ИТ-инфраструктуры:

1. Отсутствие тех, у кого можно хоть что-то спросить - именно такая проблема встала передо мной, когда руководство поручило провести аудит с целью улучшения инфраструктуры в целом. На тот момент я являлся самым старым сотрудником отдела компании и поинтересоваться мне было просто не у кого. По этой причине времени на ковыряние и попытку понять “за каким же это хреном сделано” было затрачено не мало, ведь пока я был простым сисадмином меня почти не посвящали в тонкости организации ИТ-инфраструктуры.

2. Отсутствие четко поставленных хотелок со стороны руководства - все думаю согласятся с тем, что нам - айтишникам - по долгу службы приходится быть немного экстрасенсами, т.к. довольно много приходится додумывать и допонимать, опираясь на контекст поставленной задачи. В моем случае приходилось додумывать варианты направления развития бизнеса в целом.

3. Отсутствие четкого (документированного) описания текущей инфраструктуры - увы (! ) этого не было никогда ранее. Никто и никогда не составлял банальную карту сети офиса. Не описывал как организована связь между филиалами (коих более 10 штук по всей стране). Я уже не говорю про банальную маркировку кабелей на маршрутизаторах.

4. Полное отсутствие документации - вообще! Абсолютно никакой документации не велось в отделе никогда. И это категорически печально. Ведь банальные копии договоров (на телефонию, интернет, обслуживание 1С, аренду хостинга и прочее) хотя бы в электронном виде должны быть в отделе. И это одно из обязательных условий, ведь любой сотрудник отдела ИТ должен знать, к кому обратиться в случае если упал интернет в другом регионе (где время +3 к Москве).

5. Отсутствие общей базы паролей - все пароли были разные и менялись от случая к случаю. Весь этот ворох приходилось держать в голове, т.к. “все что записано однажды - может быть и считано”. Для того, чтобы предоставить новому сотруднику определенный доступ, необходимо переписать в почте (или на бумажке) все логины и пароли и передать их лично ему. А если ты еще не правильно пароль вспомнил… Ужас!

6. Отсутствие информации о том, как все организованно в регионах - имелась информация лишь о том, сколько там человек, кто руководитель и… всё! Т.е. имелась просто абстракция под названием “Региональное представительство в городе Мухосранске, где сидит 15 человек”. Никто никогда не задавался вопросом, как там устроена сеть, какие у нее слабые места, как происходит доступ сотрудников представительства в сеть Интернет, как организован доступ сотрудников к сетевым ресурсам центрального офиса.

И это еще не полный список, т.к. таких косяков просто огромное количество. И все они встретились мне на пути. Одним из тяжелейших моментов могу назвать тот факт, что я этим занимался впервые и ударить в грязь лицом не хотелось.

Понимая немного психологию в целом и учитывая, что огромная часть нас - айтишников - это интроверты, при составлении такого аудита в большинстве случаев побоятся обратиться к руководству компании с банальными вопросами. И мне было страшно. Но тем не менее я был вынужден переступить через свои страхи и задать те банальные вопросы, на которые мне способно дать ответ руководство.

Я не стану напоминать о том, что необходимо сделать инвентаризацию для того, чтобы понимать с чем работаешь, что является устаревшим, что можно заменить на более производительное. Это обязательное мероприятие. А вот о том, что после переписи всего оборудования надо все разделить всё на категории (активное сетевое, workstaion, bussiness-critical servers and service) напомню. При наличии доступа к административной панели сделать бэкапы конфигураций, описать “что”, “зачем” и “для чего” настроено в конкретной железке, переписать все сетевые адреса серверов, управляемых железок (да простят меня господа сетевики), сетевых хранилищ, принтеров и всего, что имеет доступ к сети (ну кроме рабочих станций).

Следующим этапом можно попытаться составить примерную схему того, как устроена сеть на план-схеме этажа, чтобы понимать где может быть бутылочное горлышко. В моем случае была проблема в том, что сеть этажа поделена на две части и в дальней от серверной части были проблемы с сетью, а оказалось все банально - не экранированная витая пара лежала вместе с силовой линией этажа бизнес-центра напряжением на 220 и 380 вольт - какая к черту сеть, ребята. После этого можно приступать к анализу железа.

Анализ железячной составляющей это одно из важных мероприятий. Необходимо понимать, насколько актуально на текущий момент времени используемое железо (как сетевое и серверное, так и пользовательские ПК). Обычно на этом этапе выясняется (с поддержкой от бухгалтерии, а так же коммерческих отделов), что вся bussiness-critical информация хранится в виде документов Excell на сервере, у которого жесткие диски работают уже третий гарантийный срок (! ) и все удивляются тому, что “файлы по сети медленно открываются” и сам сервер шумит дисками как больной психиатрии стучащий ложкой по кастрюле. А сетевые железки сняты с производства еще за год до того, как их купили в компанию и по отзывам они ужасны. Или например wi-fi в офисе поднят на точках доступа, которые по всем отзывам считаются такой дрянью, которую врагу не пожелаешь.

Далее, необходимо оценить текущие серверные мощности

Необходимо именно оценить серверные мощности. Т.е. необходимо оценить работу текущих серверов (физических и виртуальных, если в вашей организации присутствует виртуализация) и оценить то, насколько используются ресурсы. Может быть стоит какие-то сервера (или серверы?) ликвидировать вообще, т.к. необходимость в них отпала уже давно, а убрать их боялись. Какие-то сервисы может быть удобнее объединить, а какие-то наоборот разделить, потому что они несовместимы на одной машине и чрезмерно нагружают систему.

Виртуализируйте все!

Когда парк ваших серверов и сервисов достигает критической массы и вы вынуждены заходя в серверную смотреть, что это за систменик или тыкаться по KVM в поисках нужного сервера, то вам явно требуется виртуализация. Все системы, которые можно запустить на виртуалке необходимо перевести в виртуальную среду (всяческие СКУДы, сервер корпоративного портала, корпоративное облако, etc). Современных, а главное удобных инструментов для этого предостаточно (VMware, Proxmox, Xen, Hyper-V). Просто определитесь с тем, что вам нужно/нравится/можно купить и запускайте в работу.

Виртуализацию в топку! Даешь только хардвер!

Не виртуализируйте критичные вещи - такие как шлюзы, маршрутизаторы, VPN-сервера используемые для аварийного доступа в сеть, сервера 1С (тут в меня могу полететь тухлые помидоры). Важно здраво оценивать все факторы, руководствуясь которыми вы принимаете решение о том, что загонять в виртуальную среду, а что нет. Идеальных решений не существует.

Организация сетей между филиалами

Вопрос довольно обширный и имеет множество решений. От самого простого - выделять каждому удаленному сотруднику логин и пароль для VPN, дорогого - арендовать L2-сеть у одного провайдера и до безумного - наставить самых различных сетевых железок от разных вендоров, с помощью которых организовать доступ в сеть на местах и доступ к сетевым ресурсам внутри компании (сетевые хранилища и т.п.). Оцените все “за” и “против” и примите верное и лучшее решение в конкретно вашем случае. Для простоты и понимания “что делать” и “как делать” смело приглашайте системных интеграторов и консультируйтесь с ними. За спрос не дадут по шее, а дадут понять как можно решить одну и ту же проблему разными способами (дешево и дорого). Уже после пары-тройки таких встреч вы сможете более точно и более четко описать для себя самого все свои хотелки и возможные способы их решения.

После всех выше описанных работ можно приступить к составлению примерного бюджета. Для выбора конкретных моделей оборудования обращайтесь за помощью в специализированные чаты (сам использовал чаты в Телеграм, т.к. там всегда живой народ и больше шансов получить быстрый ответ; список можно загуглить). Все оборудование, которое вы выбираете рассчитывайте с запасом на перспективу и рост потребностей ваших прямых клиентов - сотрудников компании. Больше общайтесь с руководством на тему дальнейшего развития бизнеса компании. Возможно они сами вам подскажут ответ на то, на что вы не знали ответа.

Вместо заключения

Правильно организуйте работу вашего отдела, особенно когда вас в отделе больше двух человек. Никогда не создавайте такую ситуацию, в которой какие-то вещи завязаны на одно человека. Это ваша точка отказа!

Старайтесь максимально документировать все свои действия на серверах в процессе изменения конфигураций сервисов. Это поможет и вам в дальнейшем, и вашим коллегам, которые будут работать вместе с вами (или вместо вас, когда вы пойдете на повышение/другую работу/отпуск).

И запомните две вещи:

1. Идеальной инструкции не существует!
2. Идеальной защиты не существует!

P.S.: На этом все. Жду ваших комментариев и здравой критики.

Теги: Добавить метки

Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.

Когда (в каких случаях) эта услуга востребована?

1. Приобретение бизнеса, либо объединение предприятий (формальное, или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
2. Перед проведением модернизации ИТ-инфраструктуры предприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
3. Когда рост бизнеса опережает развитие ИТ . В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
4. Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита - это самый оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению

Какие преимущества эта услуга дает заказчику?

1. Упрощение модернизации ИТ-инфраструктуры за счет получения наиболее полной и актуальной информации об имеющихся ИТ-ресурсах.
2. Получение оценки затрат по модернизации ИТ-инфраструктуры. Знание отражаемых в отчетной документации степени необходимости и прогнозируемых объемов работ, позволяет заказчику принимать обоснованное решение.
3. Повышение эффективности использования имеющихся ИТ-ресурсов, после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием информационных технологий.
4. Повышение управляемости ИТ предприятия. Руководство получает необходимую управленческую информацию, необходимую для принятия решений, прогнозирования развития ситуации, управления ИТ. Возрастает эффективность работы ИТ-службы предприятия, сокращается время простоев и количество нештатных ситуаций.
5. Получение практических рекомендаций по используемым технологиям, оборудованию и его настройкам. Все рекомендации связаны с конкретными проблемами, обнаруженными при проведении аудита, поэтому реализация каждой рекомендации приносит исключительно пользу для компании.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение комплексного аудита включает три основных этапа:

• Сбор данных

Постановка задачи и уточнение границ работ

На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:

• Уточняются цели и задачи аудита
• Формируется рабочая группа
• Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор данных

На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.

Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:

• Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;
• Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;
• Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;
• Приложения — прикладное программное обеспечение, используемое в работе предприятия;
• Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;
• Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.

По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.

Анализ данных и подготовка отчета

На этом этапе выполняются следующие работы:

• проверка и анализ собранных данных
• подготовка эксплуатационной документации
• выработка рекомендаций
• подготовка отчета об аудите

Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.

На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры

Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.

Этап завершается передачей заказчику разработанных документов.

Результат

Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.

Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.

Очень часто руководители организаций, задают вопрос: ”Зачем нужен аудит, если у нас все хорошо?” На этот вопрос есть два ответа:

1. На чем основана ваша уверенность?

2. Помните ли вы о том, что на компьютеры, провода и программное обеспечение уже были потрачены финансовые средства и от того, насколько эффективно, все это используется, зависит не только экономика предприятия, но и уровень возможных рисков для бизнеса.

Пример из практики: Долгое время руководство одной из компаний считало, что один из двух использующихся в Компании серверов является “точной копией” другого. Не стоит говорить об их разочаровании, когда система дала сбой и “точная копия” оказалась неподготовленной к работе. Результат – несколько дней простоя и замена штатных специалистов на внешнюю ИТ компанию.

Другой пример : При внедрении IP телефонии, сотрудники Заказчика не учли наличие аналогового факса, который не был занесен в списки телефонного оборудования, участвующего в проекте. Необходимость в его работе возникла при очередном аврале в бухгалтерии, когда Компания едва не попала на крупный штраф из-за неотправленного вовремя документа в налоговую службу.

Поинтересуйтесь, как часто, ваш главный бухгалтер не может срочно выгрузить нужный документ из 1С или зайти из дома в корпоративную почту для ответа на важное письмо руководителя. Спросите у сотрудников: все ли у них в порядке с ИТ и, что они думают о работе ИТ подразделения. Если в ответ вы услышите про не печатающие принтеры, “зависающие ” серверы и потерянные файлы, то самое время подумать про аудит ИТ инфраструктуры, а может быть и про комплексный аудит ИТ в целом.

ИТ инфраструктура – одна из составных частей ИТ Компании. От ее стабильной работы зависит постоянство работы информационных систем, возможность оптимизации затрат рабочего времени сотрудников, качество ИТ услуг и, как следствие, эффективное функционирование всех бизнес процессов Компании.

Аудит ИТ инфраструктуры позволяет оценить эффективность, безопасность и надежность используемых программ и оборудования. Даже если у сотрудников компании нет претензий к работе ИТ, состояние ИТ инфраструктуры не обязательно является оптимальным.

Ежегодно в компании должна проводиться бухгалтерская инвентаризация основных средств. Как правило, она носит формальный характер: комиссия подписывает ведомость, не вникая в указанные позиции, а все, что находится (если находится) сверх списка, в расчет не принимается.

В этом случае, аудит ИТ инфраструктуры – это реальный шанс оценить не только эффективность, надежность и безопасность используемых программ и оборудования, но и составить реальный перечень ИТ активов, которыми владеет бизнес.

Аудит позволяет определить текущее состояние ИТ инфраструктуры: реальное количество оборудования, его техническое состояние, лицензионность программного обеспечения, частоту сбоев и аварий. В будущем, эта информация может быть использована не только для оптимизации работы собственного подразделения ИТ, но для возможного перехода на и составления договора по принципу SLA.

Если вы недовольны состоянием дел в области ИТ, и хотите навести элементарный порядок, то ИТ аудит инфраструктуры – это первый шаг, который позволит оценить возможные риски бизнеса в области ИТ, предотвратит или снизить количество сбоев, создаст возможность оптимизировать работу ИТ подразделения.

ИТ аудит – это рабочий инструмент для того, чтобы определить нагрузку на серверное оборудование и степень его использования различными ИТ сервисами.

После проведения аудита, вы сможете оптимизировать ИТ инфраструктуру, что приведет к сокращению расходов и повышению качества ИТ сервисов.

Как вариант, аудит можно провести при смене ИТ директора, а через погода-год провести обследование повторно для оценки результатов его работы. Аудит также можно провести, если планируется новый ИТ проект, чтобы оценить его эффективность после внедрения.

Но самое главный плюс аудита – это возможность проверить, на сколько, реальное положение дел в ИТ соответствует ИТ стратегии и стратегическим задачам бизнеса

Глубина обследования области ИТ зависит от целей аудита. Например, аудит ИТ инфраструктуры, как правило, выявляет и риски связанные с информационной безопасностью, а это уже заявка на отдельный организации.

Результатом обследования является аудиторское заключение. В нем могут содержаться как рекомендации по конкретным фактам, событиям или оборудованию, так и более общие, связанные с глобальными изменениями в ИТ Компании.

При аудите мы всегда говорим о возможных рисках. При этом, в своих выводах мы стараемся дать такие рекомендации, которые позволяют обойтись существующими ресурсами без привлечения дополнительных затрат и инвестиций.

Рекомендации сортируются нами по приоритетам в соответствии с их критичностью для бизнеса, так, чтобы Заказчик смог определить и спланировать привлечение необходимых ресурсов. Мы предлагаем различные варианты, а Заказчик всегда может выбрать наиболее подходящий.

Комплексный инфраструктуры – это один из инструментов, позволяющих найти общий язык между руководством компании, рядовыми сотрудниками, и ИТ подразделением в вопросах текущего сопровождения и развития информационных систем компании.

Комплексный аудит ИТ-инфраструктуры является составной частью любого договора на обслуживание компьютеров организаций и одним из залогов взаимопонимания и долгосрочности наших отношений с клиентом.

Целью проведения аудита является:

• Получение актуальной и объективной информации об состоянии оборудования и программного обеспечения в компьютерной сети компании,
• Получение объективной информации о работе информационных систем, их интеграции в бизнес-процессы компании, текущих и потенциальных проблем в работе ИТ-инфраструктуры,
• Разработка рекомендаций по повышению надежности, производительности и эффективности функционирования информационных систем,
• Разработка рекомендаций по развитию информационных систем.

Если в вашей организации назревает конфликт в отношениях с ИТ службой, то комплексный аудит ИТ инфраструктуры – это то, что поможет выявить существующие проблемы в кратчайшие сроки и позволит определить экономически эффективные пути их решения.

В рамках комплексного ИТ аудита выполняются следующие работы:

• Инвентаризация компьютерной техники и компьютерных комплектующих,
• Инвентаризация сети, сетевого оборудования и сетевых комплектующих,
• Инвентаризация установленного на рабочие станции программного обеспечения. Изучение использования установленного программного обеспечения пользователями сети,
• Экспертная оценка состояния компьютерного парка и сетевого оборудования на соответствие предъявляемым к нему требованиям на ближайший календарный год и формирование бюджета на закупку компьютерных и сетевых комплектующих на календарный год,
• Оценка удовлетворенности сотрудников компании качеством и удобством работы с информационными системами,
• Формирование функциональной схемы сети. Изучение функций информационных систем и поиск существующих проблем в работе последних,
• Анализ печатающий устройств и использования расходных материалов,
• Анализ выполнения лицензионных соглашений с производителями программного обеспечения,
• Анализ существующих эксплуатационных рисков и мер по их предотвращению,
• Разработка рекомендаций по изменению существующих информационных систем с целью повышения качества и удобства работы с ними сотрудников компании,
• Разработка предложения по развитию сети компании на ближайший календарный год.

Описание каждой из услуг приведено ниже:

1. Инвентаризация компьютерной техники и компьютерных комплектующих

В рамках данной услуги проводится инвентаризацич аппаратного обеспечения, установленного в офисах компании. В рамки инвентаризации входит следующее оборудование:

Компьютерная техника и периферийные устройства

• Сетевое оборудование

  Принтеры и сканеры

Инвентарная база формируется в формате Microsoft Excel и при проведении инвентаризации в ней заполняются следующие поля:

Инвентарный номер оборудования – обозначает условно неделимый элемент инфраструктуры. Под неделимостью подразумевается неделимость элемента без вмешательства системного администратора: рабочее место, сервер и т.д.

Тип оборудования:

Комплектующее ПК

Настольный компьютер

• Оргтехника

  Переферийные устройства

• Сетевое оборудование

Ответственный пользователь – сотрудник компании, использующий данное оборудование. Если оборудование использует несколько сотрудников компании, то в качестве ответственного пользователя будет обозначаться «Техподдержка».

Описание – содержит детальную классификацию системного элемента:

Блок питания

Видеокарта

Внешний диск

Жесткий диск

Маршрутизатор

Материнская плата

• Оперативная память

Модель – содержит конкретную модель данного системного элемента

Расположение – отражает расположение элемента.

Количество – количество системных элементов

Статус – статус оборудования. Может принимать следующие значения:

Исправный

Неисправный

Неизвестно (в случае отсутствия технической возможности для определения состояния оборудования).

К списанию – поле, означающее, что данное оборудование рекомендуется списать с баланса компании. Принимает значение «+» если списание необходимо и «-» если оно не требуется.

Пример заполненной инвентарной базы приведен на рисунке 1.

Рис. 1: Пример заполнения инвентарной базы оборудования

2. Инвентаризация сети, сетевого оборудования и сетевых комплектующих

В рамки инвентаризации сети входит инвентаризация активного сетевого оборудования по методике, приведенной в пункте 1 и формирование схемы сети и кабельного журнала.

При формировании схемы сети анализируется схема помещений и на ней отмечается расположение сетевых розеток, активного и пассивного сетевого оборудования. В случае, если розетки в помещениях не размечены, в процессе инвентаризации будет произведена дополнительная разметка сетевых розеток при помощи самоклеющихся маркеров. В кабельном журнале обозначается соответствие между номерами розеток и номерами портов на патч-панеле и свитче.

Рис. 2: Пример схемы сети

3. Инвентаризация установленного на рабочие станции программного обеспечения. Изучение использования установленного программного обеспечения пользователями сети,

В рамках данной услуги будет произведен сбор информации о программном обеспечении, установленном на рабочие станции сотрудников компании, и выделены 10 наиболее часто встречающихся программ. Оценка использования программного обеспечения будет произведена на основе опроса пользователей по 10 данным программам.

4. Экспертная оценка состояния компьютерного парка и сетевого оборудования на соответствие предъявляемым к нему требованиям на ближайший календарный год и формирование бюджета на закупку компьютерных и сетевых комплектующих на календарный год,

В рамках данной услуги будет произведен анализ состояния компьютерного парка в целом и на основе экспертной оценки произведена оценка вероятности отказа оборудования в ближайший календарный год. Оборудование с наивысшей вероятностью отказа будет рекомендовано к замене.

5. Оценка удовлетворенности сотрудников компании качеством и удобством работы с информационными системами,

Оценка будет произведена на основе опроса пользователей. Форма опросного листа будет предварительно согласована с представителем компании-клиента.

6. Формирование функциональной схемы сети. Изучение функций информационных систем и поиск существующих проблем в работе последних

В рамках данной услугу будет произведен экспертный анализ взаимодействия информационных систем в компании-клиента и составлена функциональная схема сети компании (пример функциональной схемы на Рис. 3) с описанием функций отдельных элементов. В случае если в процессе анализа информационных систем выявятся замечания к их работе, они будут отображены в отчете по результатам аудита ИТ инфраструктуры.

Рис. 3: Пример функциональной схемы сети

7. Анализ работы телефонной связи и схемы обработки телефонных вызовов,

Проводиться анализ схемы обработки входящих и исходящих вызовов (рис. 4), выявляются слабые места, выдаются рекомендации по модернизации телефонной связи в случае необходимости.

Рис. 4 Пример схемы обработки вызовов.

8. Анализ печатающий устройств и использования расходных материалов,

Анализируются существующие печатающие устройства, их ежемесячная загрузка, стоимость отпечатка и адекватность запасов расходных материалов. Выдаются рекомендации по снижению стоимости отпечатка и созданию неубывающего резерва расходных материалов для реализации функций непрерывной печати документов.

9. Анализ выполнения лицензионных соглашений с производителями программного обеспечения

На данном этапе производиться сбор информации о количестве приобретенных компанией лицензий на программное обеспечение и проводиться их сравнение с данными о количестве установленного и используемого программного обеспечения, полученными в пункте 3. Производиться также проверка выполнения всех пунктов лицензионных соглашений для уже купленного программного обеспечения. При необходимости приобретения дополнительных лицензий производиться оценка стоимости лицензий на основе данных, полученных от ведущих дистрибьюторов программного обеспечения.

10. Анализ существующих эксплуатационных рисков и мер по их предотвращению.

На основе данных, полученных в рамках аудита, о текущем состоянии ИТ инфраструктуры проводится анализ эксплуатационных рисков, их последствий и возможных действий по снижению негативных последствий. В рамки анализа входят как штатные ситуацию отказа оборудования, так и форс-мажорные ситуации.

На основе данных, полученных в пунктах 1 – 10 разрабатывается общий список рекомендаций по изменению существующих информационных систем с целью повышения стабильности и скорости их работы, а также с целью повышения удобства работы с ними сотрудников компании.

12. Разработка предложения по развитию сети компании на ближайший календарный год

Заключительным пунктом аудита ИТ инфраструктуры является предложение по развитию информационных систем на ближайший календарный год с описанием функциональных возможностей информационных систем, предлагающихся к внедрению и необходимых затрат на приобретение программно-аппаратного обеспечения для реализации данных изменений.

Работы в рамках аудита ИТ-инфраструктуры зависят от размеров сети и количества информационных сервисов и занимают от 10 до 25 рабочих дней. Результатом обследования является инвентарная база оборудования и развернутый отчет о результатах аудита информационных систем.

Все, что относится к рабочему процессу любого вида, требует тщательного изучения, систематизации, оптимизации и учета. Нельзя допускать халатности и неаккуратности в рабочих делах - это знают все. Но как организовать рабочий процесс наиболее эффективно и правильно?

Именно здесь и возникает понятие аудита. Аудит - это то же самое, что проверка, только вот проводится она, как правило, независимыми специалистами в сфере финансов или любой хозяйственно-экономической деятельности. Оценивается также отчетность, данные учета, данные деятельности той или иной организации (возможна и оценка деятельности проекта или продукта, системы, процесса).

В этой статье речь пойдет о совершенно другом виде аудита - об аудите ИТ-инфраструктуры. Каждая компания, которая обладает тем или иным потенциалом - техническим, финансовым и информационным - нуждается в аудите ИТ-инфраструктуры как в чем-то, что позволит компании максимально точно и четко оценить собственный потенциал, обнаружить прорехи в организации и составить план на будущее. В этих случаях аудит ит инфраструктуры играет незаменимую роль - он проверяет, оценивает, прогнозирует и позволяет составить план дальнейшего развития максимально точно и быстро.

Но давайте все же разберемся в том, что такое аудит ИТ-инфраструктуры, что он подразумевает и какие услуги представляют ИТ-аудиторы.

Что называют аудитом ИТ-инфраструктуры?

Как правило, под аудитом ит инфраструктуры подразумевают некий комплекс мероприятий:

Инвентаризация составных частей информационной системы;

Исследование составных частей информационной системы;

И, конечно же, анализ, как частей информационной системы, так и всей системы в целости.

При аудите ИТ-инфраструктуры оценка может производиться не только в общих чертах, но и, к примеру, на соответствие требованиям определенной компании. Также заказчики, ознакомившись с аудитом ИТ-инфраструктуры и его результатами, могут понять, насколько нуждается их информационная сеть в модернизации и обновлениях, и нуждается ли вообще.

Также при аудите ИТ-инфраструктуры автоматически определяется уровень безопасности той или иной системы, проверка на надежность. При аудите инфраструктуры также проверяется антивирусная защита предприятия, возможности архивирования, защиты от несанкционированного доступа.

Из чего состоит аудит ИТ-инфраструктуры?

1) С аудитом ит инфраструктуры вы получаете и аудит оборудования, что включает в себя как обследование организационной техники, исследование качества рабочих мест, обследование серверов, в частности того, в каком состоянии они находятся. Также в понятие аудита оборудования входит анализ разнообразных составляющих ИТ-инфраструктуры компании, таких, как активное и пассивное сетевое оборудование, кабельная система, серверное оборудование (в том числе его соответствие требованиям как компании, так и в общем). Аудит ИТ-инфраструктуры анализирует даже то, достаточно ли питания для тех или иных задач и их выполнения на аппаратуре.

2) Аудит программного обеспечения, получаемый с аудитом ит инфраструктуры, что включает в себя обследование всего программного обеспечения организации, что было установлено как на рабочих машинах, так и на серверах компании. Также по желанию все программное обеспечение могут проверить на предмет наличия лицензионных соглашений, прав на использование оборудования и так далее.

3) Получаемый с аудитом ит инфраструктуры аудит каналов связи и каналов коммуникации включает в себя обследование всех каналов передачи данных, анализ работы телефонии, настроек корпоративной электронной почты.

4) Анализ систем безопасности включает как обследование и проверку уже существующих в компании систем и протоколов информационной безопасности, проверку защиты электронных почт, антиспама и антивирусных программ, так и исследование систем защиты от взлома. Также анализ систем безопасности аудитом ИТ-инфраструктуры поможет с анализом вообще всех путей, по которым можно получить доступ к информации компании, с настройкой межсетевой безопасности, а также проанализирует то, настолько эффективным является способ вашего хранения данных.

Виды аудита ИТ-инфраструктуры

Сейчас, как правило, компании предоставляют услуги аудита по трем основным видам:

При экспресс - аудите ИТ-инфраструктуры, который подразумевает оценку сложности инфраструктуры, находит те или иные проблемные места в организации инфраструктуры, оценивает оптимальность использования оборудования, эффективность работы обеспечения той или иной организации. Экспресс-аудит проводится до трех дней;

При комплексном аудите ИТ-инфраструктуры, как правило, подразумевается полная проверка всего состояния ИТ-инфраструктуры компании целиком. Также составляется глобальный, долгоиграющий проект, ориентированный на достижение тех или иных показателей эффективности и модернизацию оборудования вообще;

Направленный ИТ-аудит инфраструктуры позволяет получить нужную информацию об отдельных элементах инфраструктуры ИТ в той или иной компании. Это может быть аудит серверов, аудит СКС, аудит сетевых служб.

Зачем нужен аудит ИТ-инфраструктуры?

Описания могут быть замечательными, но так ли он нужен, этот аудит? Зачем люди нанимают аудиторов и какую роль они играют в развитии компании и ее улучшении?

Прежде всего аудитом ИТ-инфраструктуры интересуются те компании, которые хотят оценить возможности и эффективность собственной инфраструктуры, своего оборудования и системы выполнения тех или иных задач. Только при аудите ИТ-инфраструктуры пользователь может понять, как эффективно использовать те ресурсы, которые уже имеются в компании, как максимально задействовать уже существующие возможности. Каждый пользователь может получить бесплатные советы по улучшению собственной ИТ-инфраструктуры с минимальным использованием денег и времени.

Без сведений об аудите ИТ-инфраструктуры с компанией вряд ли заключат контракт другие организации, ведь эти сведения считаются очень важными при оценке целесообразности того или иного сотрудничества. Аудит позволяет грамотно рассчитать стоимость тех или иных статей расхода - к примеру, того же аутсорсинга ИТ-компаний и обслуживания программного и аппаратного обеспечения.

Стоит ли доверять?

Конечно же, вам решать, пользоваться аудитом ИТ-инфраструктуры в организации вашего собственного бизнеса, или пока что не стоит. Не каждый может сразу же принять новые технологии и безоговорочно довериться им, не каждый может сразу же оценить преимущества и осмыслить недостатки.

Но помните, что с аудитом ИТ-инфраструктуры вы получаете повышение эффективности работы, оптимизацию любых инвестиций и дальнейшую разработку развития компании. Так стоит ли сомневаться?