я
ИТ-АУДИТ - Аудит ИТ инфраструктуры и ИТ системы

Аудит ИТ


Проверим,оценим и сократим расходы на ИТ

ИТ-аудит – это комплекс процедур, направленных на изучение и оценивание ИТ-инфраструктуры компании и бизнес-приложений, эффективности использования и соответствие поставленным требованиям. Итогом аудита является отчет, который содержит подробную и достоверную информацию о состоянии ИТ – в процессах и инфраструктуре.

Цель ИТ аудита – показать, как в реальности обстоят дела с ИТ в вашей компании.

Бесплатно при заключении договора на ИТ-Аутсорсинг*



Аудит ИТ представляет собой процесс получения объективных данных о текущем состоянии ИТ-систем, оценки действий и событий, происходящих в ней, устанавливающий уровень их соответствия определенному критерию (внутренним стандартам предприятия, требованиям национальных и международных стандартов) и предоставляющий результаты заказчику в виде рекомендаций.

Этапы проведения аудита:

  • Согласование с Заказчиком целей и содержания аудита;
  • Сбор объективной информации о текущем состоянии;
  • Оценка и анализ полученной информации;
  • Представление результатов аудита и рекомендаций по оптимизации;
  • Контроль над выполнением рекомендаций.

Негативные последствия наличия брешей в функционировании ИТ способны привести к серьезным последствиям: утрата доверия со стороны контрагентов, финансовые потери, утрата лицензии или полная остановка деятельности бизнеса. Регулярное проведение ИТ-аудита, является необходимым и важным мероприятием.

Аудит ИТ поможет Вам решить множество проблем и даст ответы на вопросы относительно функционирования ИТ-инфраструктуры:

  • Как правильно построить информационную систему?
  • Что необходимо сделать в первую очередь?
  • Как правильно управлять и осуществлять мониторинг?
  • Выполняет ли существующая ИТ роль инструмента поддерживающего стратегию Вашего бизнеса?
  • Определение информационных рисков и влияния на бизнес-процессы предприятия?
  • Как минимизировать существующие риски?
  • Как снизить затраты на владение ИТ?
  • Как оптимизировать инвестиции в ИТ?
  • Как оптимизировать использование существующих ресурсов ИТ?
  • Как минимизировать риски в случае непредвиденных ситуаций?

Важно не путать ИТ-Аудит с ИТ-Консалтингом ! Эти два понятия часто смешивают. Из-за этого бизнес порой не может понять, какая именно услуга ему нужна сейчас. ИТ-аудит ищет существующие и потенциальные ошибки, ИТ-консалтинг работает с достижением стратегических и тактических целей в рамках цифровой трансформации. С одной оговоркой: ИТ-консалтинг смотрит на достижение бизнес-целей через призму информационных технологий.




Оказываемые виды ИТ аудита


В зависимости от задач, стоящих перед ИТ и бизнесом, к нам обращаются за следующими типами аудита:

Комплексный ИТ-аудит


При аудите ИТ проверяются используемые компанией информационные системы: безопасности, связи с внешней средой, корпоративная сеть на предмет их соответствия бизнес-процессам и т.д. При этом анализируются и оцениваются риски функционирования ИТ.

Предоставляем экспертную оценку состояния ИТ. Комплексный Аудит ИТ, включает в себя:

  • Аудит инфраструктуры
  • Аудит программного обеспечения (ПО)

Комплексный аудит ИТ-инфраструктуры поможет понять:

  • соответствует ли получаемый результат затратам на ИТ, которые несет компания. Узнать, насколько оптимальны настройки и эффективна архитектура ИС.
  • оценить компетентность ИТ-команды, насколько правильные и экономически оправданные решения принимают ИТ-специалисты. Добросовестно ли они выполняют свои обязанности.

Отличие комплексного аудита от специализированных:

  • Во время комплексного ИТ-аудита специалисты проверяют все объекты ИТ-инфраструктуры, оценивают их работоспособность и создают перечень рекомендаций по устранению обнаруженных проблем.
  • Во время специализированных ИТ-аудитов проверяются все объекты по одному из направлений (ИБ, работа критичных для бизнеса сервисов и др.).

Стоимость комплексного ИТ-аудита рассчитывается индивидуально и зависит от количества анализируемых объектов.

Аудит ИТ инфраструктуры


В аудит ИТ инфраструктуры входит:

  • аудит серверов, сетевого оборудования и систем хранения данных;
  • аудит параметрических данных об объемах и распределении нагрузки;
  • аудит уровня производительности систем;
  • аудит средств резервирования и методов обеспечения отказоустойчивости.

Архитектура системы всегда должна учитывать связь между используемыми приложениями и оборудованием. У каждого вендора программного обеспечения рекомендации и требования к оборудованию абсолютно разные.

Для каждого приложения существует свой набор метрик для мониторинга: процессорные мощности, время задержки процессора, время отклика дисковых массивов и т.д.

Аудит базовых процессов ИБ


К базовым процессам информационной безопасности относятся:

Процесс управления доступом (access management) – цель процесса исключение следующих рисков: контроль доступа к ресурсам неавторизованных пользователей, контроль избыточных прав доступа у пользователей предприятия (например, права администратора у бизнеса-пользователя).

Процесс управления обновлениями безопасности программного обеспечения – цель процесса исключение следующих рисков: недоступность сервисов/информационных систем и компрометация данных предприятия в результате эксплуатации уязвимости в ПО с устаревшими обновлениями безопасности.

Процессы удобно масштабируются как на уровень ИТ-инфраструктуры, так и на уровень отдельной ИС.


Аудит программного обеспечения


Аудит программного обеспечения — инвентаризация установленного программного обеспечения, определение лицензионной чистоты установленного ПО и определение необходимого плана действий для его легализации, поддержки и обновления. Может проводиться как самостоятельное мероприятие, так и в ходе комплексного аудита ИТ инфраструктуры.

Учитывая возрастающий контроль со стороны государства за соблюдением лицензионного законодательства и немалые штрафы, руководство компании обязано быть уверенным в законности использования установленных на ее устройствах программах.

Аудит ПО позволит сделать инвентаризацию имеющегося ПО, спланировать и сократить свои издержки на приобретение ПО в будущем, а также застраховать себя от ответственности за использование нелицензионного ПО.

Результатом проведения аудита ПО станет пакет документов, который даст исчерпывающую информацию об установленном ПО в вашей организации, рекомендации по необходимости легализации нелицензионного программного обеспечения, а также аналитика, на основе которой можно составить конкретный план по оптимизации.

Аудит систем управления активами


ИТ-активы – компьютерная техника, коммуникационное оборудование, программное обеспечение (ПО) – составляют важнейшую часть всех активов юридического лица.

Управление аппаратными активами охватывает управление физическими компонентами ИТ-инфраструктуры (серверами, компьютерами, сетевым оборудованием и др.), на протяжении всего их жизненного цикла, начиная с планирования приобретения до вывода из эксплуатации (с последующей передачей третьим лицам или утилизацией).

Управление активами ПО (Software Asset Management - SAM) – является аналогичной группой процессов, сфокусированных на программных активах, включая лицензии, версионность, и конечные точки инсталляции ПО.

Полный учет ИТ-активов необходим для корректного ведения финансовой деятельности. На основании результатов аудита выполняется:

  • разработка программы улучшений системы управления активами
  • разработка и внедрение системы управления активами

Классификация ИТ-аудита, позволяет определить цель, объект и вид аудита


  • Документарный ИТ-аудит – проверка нормативного обеспечения ИТ-блока компании документами, записями, данными и оценка степени формализации деятельности ИТ-блока компании. Документарный аудит нормативной базы ИТ-блока позволяет находить многие недоработки на предварительной стадии технологических и управленческих процессов
  • ИТ-аудит соответствия – проводят, когда есть нормативные требования к состоянию проверяемого объекта и установлены критерии качества. ИТ-аудит соответствия в большей степени носит технологический характер, сосредотачивая основное внимание на исполнении технических заданий, должностных инструкций, графиков эксплуатации, регламентов сопровождения, правил безопасности.
  • Риск-ориентированный ИТ-аудит –от предыдущих двух отличается тем, что к функциям контроля и анализа добавлены идентификация и оценка рисков. Риск-ориентированный аудит основывается на методиках исследования потенциальных угроз, оценки величины возможного ущерба и степени вероятности реализации негативного сценария для своевременного выявления и устранения факторов риска.
  • Аудит развития ИТ-блока – базируется на сведениях, полученных на трех первых стадиях ИТ-аудита. Помогает выработать эффективные корректирующие решения, умело их организовать и результативно осуществить — непростые задачи. Поэтому их важно еще и проконтролировать. Данное направление ИТ-аудита — неотъемлемая часть реализации стратегии развития компании в условиях турбулентных изменений внешних и внутренних технологических, экономических, социальных факторов. Аудит развития ИТ-блока является хорошим инструментом реализации стратегических планов естественного развития компании, сопряженных как с запросами бизнеса, так и с требованиями стандартов.

*При заключении договора на абонентское обслуживание компьютеров (ИТ-Аутсорсинг) по тарифу «Professional», предоставляется бесплатная услуга «Экспресс ИТ-аудит». Экспресс ИТ-аудит проводится с целью оценки сложности ИТ инфраструктуры, поиска проблемных мест, оценки оптимальность использования оборудования и корректности функционирования.