Аудит IT-инфраструктуры предприятия: цели, задачи, реализация. Комплексный IT-аудит — коммерческое предложение

IT-инфраструктура предприятия - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и/или моральный ущерб.

В современных условиях рынка полнота информации, ее достоверность, скорость получения и обработки данных, эффективность информационного обмена между структурными подразделениями организации, оперативность принятия решений и реализации возложенных на каждое из таких подразделений задач, становятся одними из наиболее значимых факторов успешности предприятия: его рентабельности, прибыльности, конкурентоспособности.

Функцию обеспечения вышеперечисленных задач берет на себя информационная система организации, состоящая, как правило, из компьютерного парка, системы автоматизации производства, систем безопасности (видеонаблюдение, охранно-пожарная сигнализация, СКУД и проч.), коммуникационных систем (мини-АТС, локальные и/или корпоративные сети) и т. д.

Двумя наиболее значимыми, на наш взгляд, факторами эффективности функционирования информационной системы, состоящей из перечисленных подсистем, являются:

  • - полезная эффективность IT-инфраструктуры организации (соответствие технических и программных средств предприятия реальным целям, задачам и потребностям бизнеса);
  • - информационная безопасность IT-инфраструктуры предприятия (включая устойчивость технических средств к всевозможным отказам и сбоям, а также обеспечение сохранности важной информации: пресечение ее утечки и/или уничтожения и защита от несанкционированного доступа);

Одним из способов обеспечения полезной эффективности и информационной безопасности предприятия является аудит IT-инфраструктуры организации, направленный на оптимизацию информационной системы предприятия и выявление явных и/или скрытых угроз ее нормального функционирования.

Аудит IT-инфраструктуры представляет собой системный процесс, заключающийся в получении и оценке объективных данных о текущем состоянии IT-систем организации:

  • - серверов и рабочих станций, задействованных в IT-инфраструктуре предприятия;
  • - активного сетевого оборудования;
  • - системного программного обеспечения;
  • - физической и логической структуры корпоративной локальной сети;
  • - периферийного оборудования;
  • - телекоммуникационных систем;
  • - систем безопасности;
  • - систем электроснабжения;
  • - каналов передачи данных;

Как правило, при аудите IT-инфраструктуры применяются следующие методы исследования:

  • - проведение инвентаризации компонентов IT-инфраструктуры;
  • - анкетирование сотрудников организации, проводящееся по опросным листам;
  • - анализ программного обеспечения, файлов и системных событий серверов и рабочих станций, входящих в IT-инфраструктуру организации;
  • - проверка сетевой безопасности серверов и рабочих станций с целью исключения возможного несанкционированных проникновений через сеть Интернет и/или по другим каналам связи;
  • - мониторинг состояния активного сетевого оборудования;
  • - диагностика системы электроснабжения, кабельных сетей и пассивных компонентов IT-инфраструктуры предприятия;

Целью создания любой компьютерной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Информация является конечным «продуктом потребления» и выступает в виде центральной компоненты системы.

Именно поэтому одним из ключевых вопросов при проведении аудита IT-инфраструктуры организации является оценка этой инфраструктуры с точки зрения информационной безопасности. Эта проблема может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

Безопасность (защищенность) информации, в данном случае, - это такое состояние всех компонентов компьютерной (информационной) системы, при котором обеспечивается защита информации от всех возможных угроз на требуемом уровне. При этом, под системой защиты информации понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в компьютерной системе в соответствии с принятой политикой безопасности.

С позиции обеспечения безопасности информации, IT-инфраструктуру организации целесообразно рассматривать в виде единства трех компонентов, оказывающих взаимное влияние друг на друга:

  • - информация;
  • - технические и программные средства;
  • - обслуживающий персонал и пользователи.

Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Все множество потенциальных угроз безопасности информации в компьютерных системах может быть разделено на два класса:

  • - преднамеренные угрозы
  • - непреднамеренные (случайные) угрозы

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными. Реализация угроз этого класса приводит к наибольшим потерям информации. При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию. К непреднамеренным (случайным) угрозам, в частности, относятся:

  • - стихийные бедствия и/или аварии;
  • - сбои и отказы оборудования;
  • - ошибки пользователей и/или обслуживающего персонала.

Ошибочные операции или действия могут вызываться отказами аппаратных и программных средств, а также ошибками пользователей и обслуживающего персонала. Некоторые ошибочные действия могут привести к нарушениям целостности, доступности и конфиденциальности информации. Ошибочная запись в оперативную память и на внешнее запоминающее устройство, нарушение разграничения памяти при мультипрограммных режимах работы ЭВМ, ошибочная выдача информации в канал связи, короткие замыкания и обрыв проводников - вот далеко не полный перечень ошибочных действий, которые представляют реальную угрозу безопасности информации в информационной системе организации.

Для блокирования (парирования) случайных угроз безопасности информации в компьютерных системах должен быть решен комплекс задач:

  • - дублирование информации;
  • - повышение надежности системы;
  • - создание отказоустойчивых систем;
  • - минимизация ущерба от аварий и стихийных бедствий;
  • - блокировка ошибочных операций;
  • - оптимизация взаимодействия человека и компьютерной системы.

Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. В зависимости от ценности информации, особенностей построения и режимов функционирования компьютерной системы могут использоваться различные методы дублирования, которые классифицируются по различным признакам. По степени пространственной удаленности носителей основной и дублирующей информации методы дублирования могут быть разделены на методы:

  • - сосредоточенного дублирования;
  • - рассредоточенного дублирования.

Для определенности целесообразно считать методами сосредоточенного дублирования такие методы, для которых носители с основной и дублирующей информацией находятся в одном помещении. Все другие методы относятся к рассредоточенным. Рассредоточенное копирование достаточно распространенный и достаточно эффективный способ обеспечения сохранности информации в компьютерных сетях; кроме того, рассредоточенное копирование является практически единственным способом обеспечения целостности и доступности информации при стихийных бедствиях и крупных авариях.

Для блокировки ошибочных действий используются технические и аппаратно-программные средства. К таким средствам относятся блокировочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записи на внешние (портативные) источники информации. Аппаратно-программные средства используются для блокирования выдачи информации в неразрешенные каналы связи, запрета выполнения операций, доступных только в определенных режимах, при помощи специализированных ключей защиты позволяют блокировать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти, запись в определенные области внешних запоминающих устройств и другие операции.

Важным условием функционирования IT-инфраструктуры организации является ее надежность и отказоустойчивость. Под надежностью понимается свойство системы выполнять возложенные на нее задачи в определенных условиях эксплуатации. Если при наступлении отказа компьютерная система способна выполнять заданные функции, сохраняя значения основных характеристик в пределах, установленных технической документацией, то она находится в работоспособном состоянии. Для решения этой задачи необходимо обеспечить высокую надежность функционирования алгоритмов, программ и технических (аппаратных) средств. Кроме того, необходимо предусмотреть систему бесперебойного электроснабжения, состоящую из одного или нескольких источников бесперебойного питания (ИБП), а на отдельных объектах и дизель-генераторной установки (ДГУ).

Отказоустойчивость - это свойство компьютерной системы сохранять работоспособность при отказах отдельных устройств, блоков, схем. Известны три основных подхода к созданию отказоустойчивых систем:

  • - простое резервирование;
  • - помехоустойчивое кодирование информации;
  • - создание адаптивных систем.

Одним из наиболее простых и действенных путей создания отказоустойчивых систем является простое резервирование. Простое резервирование основано на использовании дополнительных устройств, блоков, узлов, схем в качестве резервных. При отказе основного элемента осуществляется переход на использование резервного. Резервирование осуществляется на различных уровнях: на уровне устройств, средств передачи информации, блоков, узлов и т. д. Резервирование отличается также и глубиной. Для целей резервирования могут использоваться один резервный элемент и более.

Помехоустойчивое кодирование основано на использовании информационной избыточности. Рабочая информация в информационной системе дополняется определенным объемом специальной контрольной информации. Наличие этой контрольной информации (контрольных двоичных разрядов) позволяет путем выполнения определенных действий над рабочей и контрольной информацией определять ошибки и даже исправлять их. Так как ошибки являются следствием отказов средств IT-инфраструктуры предприятия, то, используя исправляющие коды, можно парировать часть отказов. Исправляющие возможности кодов для конкретного метода помехоустойчивого кодирования зависят от степени избыточности. Чем больше используется контрольной информации, тем шире возможности кода по обнаружению и исправлению ошибок.

Также существенную угрозу безопасности информации в компьютерной системе представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Несанкционированная модификация структур может осуществляться на любом жизненном цикле IT-инфраструктуры предприятия. Проведение аудита IT-инфраструктуры предприятия позволяет выявить потенциальные возможности несанкционированной модификации компонентов системы и, соответственно, предотвратить ее осуществление.

Резюме по теме

Подводя итог вышесказанному, необходимо отметить, что комплексный аудит IT-инфраструктуры предприятия, анализ всех ее систем и подсистем, эффективности их взаимодействия и использования - задача достаточно трудоемкая, требующая достаточных финансовых и производственных затрат, но, несмотря на это, необходимая. В условиях стремительного развития бизнеса, IT-инфраструктура предприятия представляет собой сложный и разветвленный организм. Построение грамотной структуры управления организацией в значительной степени зависит от возможности IT-подразделения организовать управление предприятием с помощью информационных технологий. Внедрение системы управления предприятием, закупка нового оборудования, инсталляция новых программных продуктов чаще всего проходят без видения целостной картины развития IT-инфраструктуры организации. Это вызывает проблемы полноценного функционирования программных продуктов, проведения дополнительных работ или закупок, что приводит к срывам сроков внедрения проектов, усложняет развитие бизнеса, требует дополнительных инвестиций. IT-аудит - это комплексный анализ информационной структуры, который позволяет решить возникшие сложности, определить качество IT-инфраструктуры предприятия и привести ее возможности в соответствие с целями и задачами бизнеса.

Вопросы для повторения

  • 1. Этапы проведения ИТ-аудита.
  • 2. Что анализируется на этапе «Планирования ИТ-аудита»?
  • 3. Опишите жизненный цикл четырех доменов COBIT
  • 4. Понятие модели зрелости COBIT
  • 5. Что представляет собой аудит ИТ- инфраструктуры?

Очень часто руководители организаций, задают вопрос: ”Зачем нужен аудит, если у нас все хорошо?” На этот вопрос есть два ответа:

1. На чем основана ваша уверенность?

2. Помните ли вы о том, что на компьютеры, провода и программное обеспечение уже были потрачены финансовые средства и от того, насколько эффективно, все это используется, зависит не только экономика предприятия, но и уровень возможных рисков для бизнеса.

Пример из практики: Долгое время руководство одной из компаний считало, что один из двух использующихся в Компании серверов является “точной копией” другого. Не стоит говорить об их разочаровании, когда система дала сбой и “точная копия” оказалась неподготовленной к работе. Результат – несколько дней простоя и замена штатных специалистов на внешнюю ИТ компанию.

Другой пример : При внедрении IP телефонии, сотрудники Заказчика не учли наличие аналогового факса, который не был занесен в списки телефонного оборудования, участвующего в проекте. Необходимость в его работе возникла при очередном аврале в бухгалтерии, когда Компания едва не попала на крупный штраф из-за неотправленного вовремя документа в налоговую службу.

Поинтересуйтесь, как часто, ваш главный бухгалтер не может срочно выгрузить нужный документ из 1С или зайти из дома в корпоративную почту для ответа на важное письмо руководителя. Спросите у сотрудников: все ли у них в порядке с ИТ и, что они думают о работе ИТ подразделения. Если в ответ вы услышите про не печатающие принтеры, “зависающие ” серверы и потерянные файлы, то самое время подумать про аудит ИТ инфраструктуры, а может быть и про комплексный аудит ИТ в целом.

ИТ инфраструктура – одна из составных частей ИТ Компании. От ее стабильной работы зависит постоянство работы информационных систем, возможность оптимизации затрат рабочего времени сотрудников, качество ИТ услуг и, как следствие, эффективное функционирование всех бизнес процессов Компании.

Аудит ИТ инфраструктуры позволяет оценить эффективность, безопасность и надежность используемых программ и оборудования. Даже если у сотрудников компании нет претензий к работе ИТ, состояние ИТ инфраструктуры не обязательно является оптимальным.

Ежегодно в компании должна проводиться бухгалтерская инвентаризация основных средств. Как правило, она носит формальный характер: комиссия подписывает ведомость, не вникая в указанные позиции, а все, что находится (если находится) сверх списка, в расчет не принимается.

В этом случае, аудит ИТ инфраструктуры – это реальный шанс оценить не только эффективность, надежность и безопасность используемых программ и оборудования, но и составить реальный перечень ИТ активов, которыми владеет бизнес.

Аудит позволяет определить текущее состояние ИТ инфраструктуры: реальное количество оборудования, его техническое состояние, лицензионность программного обеспечения, частоту сбоев и аварий. В будущем, эта информация может быть использована не только для оптимизации работы собственного подразделения ИТ, но для возможного перехода на и составления договора по принципу SLA.

Если вы недовольны состоянием дел в области ИТ, и хотите навести элементарный порядок, то ИТ аудит инфраструктуры – это первый шаг, который позволит оценить возможные риски бизнеса в области ИТ, предотвратит или снизить количество сбоев, создаст возможность оптимизировать работу ИТ подразделения.

ИТ аудит – это рабочий инструмент для того, чтобы определить нагрузку на серверное оборудование и степень его использования различными ИТ сервисами.

После проведения аудита, вы сможете оптимизировать ИТ инфраструктуру, что приведет к сокращению расходов и повышению качества ИТ сервисов.

Как вариант, аудит можно провести при смене ИТ директора, а через погода-год провести обследование повторно для оценки результатов его работы. Аудит также можно провести, если планируется новый ИТ проект, чтобы оценить его эффективность после внедрения.

Но самое главный плюс аудита – это возможность проверить, на сколько, реальное положение дел в ИТ соответствует ИТ стратегии и стратегическим задачам бизнеса

Глубина обследования области ИТ зависит от целей аудита. Например, аудит ИТ инфраструктуры, как правило, выявляет и риски связанные с информационной безопасностью, а это уже заявка на отдельный организации.

Результатом обследования является аудиторское заключение. В нем могут содержаться как рекомендации по конкретным фактам, событиям или оборудованию, так и более общие, связанные с глобальными изменениями в ИТ Компании.

При аудите мы всегда говорим о возможных рисках. При этом, в своих выводах мы стараемся дать такие рекомендации, которые позволяют обойтись существующими ресурсами без привлечения дополнительных затрат и инвестиций.

Рекомендации сортируются нами по приоритетам в соответствии с их критичностью для бизнеса, так, чтобы Заказчик смог определить и спланировать привлечение необходимых ресурсов. Мы предлагаем различные варианты, а Заказчик всегда может выбрать наиболее подходящий.

ИТ аудит - это изучение и оценка IT инфраструктуры компании и ее отдельных частей. С помощью аудита можно понять текущую ситуацию, а также спланировать дальнейшие шаги по развитию и оптимизации сети. Это сложный процесс, состоящий из множества этапов и адаптированный к каждому конкретному предприятию. При этом каждый из этапов может быть реализован разными способами.

Экспресс аудит

Экспресс-аудит - это наиболее распространенный вид IT аудита. Обычно он проводится перед тем, как взять компанию на обслуживание. Такой аудит состоит из нескольких этапов:

  • сбор информации: опрос руководителя и сотрудников, изучение сервисов и т. д.;
  • осмотр техники, серверов, сетевого оборудования и рабочих станций.

Главное достоинства экспресс-аудита - это скорость. Информацию по состоянию IT инфраструктуры компании и рекомендации по ее модернизации можно получить буквально за считанные минуты. К наиболее распространенным проблемам малого и среднего бизнеса относятся:

  • резервное копирование;
  • антивирусная безопасность;
  • безопасность интернет-банка;
  • резервирование оборудования;
  • доступ пользователей к сети.

Особое внимание при проведении аудита уделяется приведению инфраструктуры в соответствие стандартам, которые включают в себя должный уровень безопасности и отказоустойчивости. Завершающим этапом ИТ аудита становится отчет по результатам проверки.

Целевой IT аудит компьютерной сети

Целевой ИТ аудит проводится для решения конкретных задач и локальных проблем. Ситуаций, когда стоит заказать целевой аудит ИТ, довольно много, среди них:

  • апгрейд оборудования;
  • оптимизация функционирования сервисов;
  • выявление и устранение проблем безопасности;
  • улучшение работы отдела IT;
  • внедрение новых информационных систем;
  • автоматизация бизнес-процессов.

Стоимость целевого исследования компьютерной системы ниже, чем полного. При этом проблема не только выявляется, но и решается. Заказчик получает консультации и комплексные рекомендации, зафиксированные документально, что поможет ему в следующий раз устранить неполадки самостоятельно.

Главное достоинство целевого исследования ИТ инфраструктуры предприятия - это полная документированность процесса, то есть составляется план мероприятий, где указаны сроки, этапы и ответственные лица. Все выявленные проблемы и результаты исследования заносятся в отчет. Он может быть выполнен на цифровом или бумажном носителе.

Полное исследование сети

Комплексное исследование компьютерной сети обычно является частью полной проверки компании. Его целью является внесение изменений в работу отдела ИТ. Комплексная проверка инфраструктуры предприятия - это сложный многоступенчатый процесс, результат которого зависит от следования наработанным международным стандартам. Аудиту подлежат следующие направления:

  • информационные системы;
  • информационная безопасность;
  • отдел ИТ;
  • технологическая инфраструктура предприятия.

Результатом комплексной проверки системы является отчет, в котором содержится информация о том, насколько сеть соответствует стандартам, какие выявлены проблемы, и способы по их устранению.

Результат исследования систем

По результатам исследований системы заказчик получает отчет о текущем состоянии ИТ сетей и предложение по улучшению их работы.


Мы отправим презентацию на ваш адрес электронной почты


Наши специалисты проведут аудит it инфраструктуры в Москве и Санкт-Петербурге: найдут все уязвимые места вашей IT инфраструктуры, выявят возможные риски и просчитают их последствия. В итоге Вы получите исчерпывающие рекомендации по оптимизации IT-инфраструктуры и управлению рисками - это информация, которая позволит вам избежать вероятных убытков.

На какие вопросы даёт ответ IT-аудит?

  • Каким рискам подвержена IT-инфраструктура вашей компании?
  • Если произойдут сбои в работе системы, останется ли в сохранности важная информация?
  • Как быстро снова заработают ключевые IT-сервисы?
  • Насколько хорошо IT-инфраструктура вашей фирмы справляется со своими задачами?
  • Адекватную ли оплату получают сотрудники вашего IT-отдела?
  • Насколько профессиональны сотрудники вашего IT-отдела?
  • Могут ли сотрудники вашего IT-отдела нанести вред вашей компании?

В каких случаях проведение IT-аудита особенно важно?

Существует три ситуации, когда IT-аудит становится необходимостью. Это:

1. Увольнение системного администратора компании

IT-аудит поможет:

  • Понять, в каком состоянии находится IT-инфраструктура вашей фирмы на данный момент.
  • Оценить реальный уровень профессионализма вашего системного администратора и проверить, соответствует ли ему уровень оплаты.
  • Произвести обоснованное увольнение при несоответствии сотрудника занимаемой должности.
  • Сформулировать важные для завершения трудовых отношений критерии.
  • Проверить, не наносят ли действия системного администратора ущерб вашей компании.

2. Приём на работу системного администратора

IT-аудит поможет:

  • Сформулировать для сотрудника профессиональный план работ.
  • Установить важные и стопроцентно прозрачные критерии прохождения сотрудником испытательного срока.
  • Привязать материальную мотивацию к успешному выполнению важных для компании задач.
  • Предоставить кандидату действительно объективную оценку состояния IT-инфраструктуры фирмы.
  • Максимально облегчить передачу новому системному администратору.

3. Частые сбои, потеря важной информации

IT-аудит поможет:

  • Узнать, как минимизировать потери и чего ждать в будущем.
  • Определить, насколько долго IT-сервисы вашей компании будут восстанавливаться после вероятных сбоев.
  • Оценить связанные с IT-инфраструктурой риски и угрозы для вашего бизнеса.
  • Выяснить, какими резервами располагает IT-инфраструктура вашей компании, и определить, будет ли их достаточно (с учетом развития бизнеса).


Что входит в IT-аудит?

Наши сотрудники:

  • Проведут интервью с вами и, если это необходимо, с IT-отделом и другими сотрудниками вашей фирмы.
  • Тщательно изучат Ваши серверы, программное обеспечение и сетевое оборудование.
  • Подготовят и презентуют детальный отчёт, содержащий в себе рекомендации по улучшению IT-инфраструктуры.

При необходимости, IT-аудит может быть проведён конфиденциально, в том числе, и в нерабочее время. Всё, что нам потребуется — это основные пароли доступа.

Мы проводим IT-аудит по многократно отработанной и проверенной на практике типовой программе. Разумеется, корректируя её под поставленные вами задачи. Это могут быть:

  • Выяснение причин произошедшего сбоя или инцидента (к примеру, «атаки» на сервер фирмы).
  • Организация удалённого доступа к серверам фирмы — разграничение прав доступа, проверка безопасности и т. д.
  • Оценка рисков зависимости от текущего персонала IT-отдела (проверка наличия у Вас основных паролей, степени документированности IT-инфраструктуры и т. д.).

Сколько времени займёт IT-аудит?

От двух до пяти рабочих дней — конкретные сроки зависят от масштаба IT-инфраструктуры вашей компании. В срочных случаях мы готовы начать работу непосредственно в день обращения.

Мы гарантируем:

  • Строгую конфиденциальность.
  • Комплексный подход к проведению IT-аудита.
  • Высокую квалификацию наших специалистов.
  • Максимальное внимание к поставленным вами задачам.


Типовая программа проведения IT-аудита

Включает в себя следующие разделы и действия:

1. Выявление проблемных и потенциально проблемных мест с точки зрения безопасности:

1.1 Анализ политик безопасности:

Проверка результирующих локальных политик безопасности на серверах. Оцениваются:

  • Политика аудита.
  • Параметры безопасности.
  • Назначение прав пользователя.
  • Настройки лог-файлов.
  • Настройки брандмауэра Windows.
  • Сервисы в автозагрузке.

Проверка доменных политик, применяемых к рабочим станциям. Оцениваются:

  • Параметры безопасности.
  • Назначение прав пользователя.
  • Сетевая установка ПО.
  • Параметры брандмауэра Windows.
  • Скрипты, которые выполняются при запуске/выключении рабочей станции.
  • Ограничения приложений.

Проверка политик обновления ПО. Оцениваются:

  • Наличие сервера WSUS.
  • Синхронизация WSUS.
  • Распространение обновлений.

1.2 Анализ сети и доступных извне сервисов на наличие уязвимостей:

Проверка списка сервисов, которые доступны из внешних сетей. Оцениваются:

  • Права, с которыми запускаются доступные извне службы.

Проверка порядка предоставления доступа к различным сервисам извне. Оцениваются:

  • Параметры предоставления доступа и хранения истории выдачи разрешений.
  • Ограничения при доступе извне.

Проверка контроля над доступом из внешней сети. Оцениваются:

  • Наличие лог-файлов/хранение истории обращений.
  • Возможность быстро заблокировать доступ конкретному сотруднику или всем пользователям.

1.3 Анализ антивирусной защиты, политики паролей и пользовательских разрешений:

Проверка работы антивирусного ПО, оценка выбранного для защиты IT-инфраструктуры продукта.

Проверка применяемых к серверам политик. Оцениваются:

  • Доступ к антивирусу (кто может остановить его работу на сервере?).
  • Ограничения проверяемых файлов.

Проверка применяемых к рабочим станциям политик. Оцениваются те же параметры, что и в предыдущем пункте.

Проверка прав доступа к статистике антивируса.

Проверка оповещений при возникновении вирусной угрозы.

2. Диагностика работы серверного оборудования на аппаратном и программном уровнях:

Тестирование серверного оборудования и источников бесперебойного питания:

  • Внешний осмотр серверных станций (без отключения).
  • Проверка соответствия мощности ИБП ожидаемому времени автономной работы серверов.
  • Проверка настроек ПО источников бесперебойного питания.
  • Внутренний осмотр серверных станций (с отключением).
  • Тестирование нагрузочной способности источников бесперебойного питания (с отключением).

Анализ хранящихся в журналах событий записей:

  • Поиск событий, которые связаны с произошедшими аппаратными сбоями.
  • Поиск событий, которые связаны с перезапуском служб.

Анализ настроек серверных служб:

  • Проверка прав, с которыми запускаются службы.
  • Поиск ошибок, которые связаны с запущенными службами.

3. Определение проблемных и потенциально проблемных мест с точки зрения производительности:

  • Анализ нагрузки на серверные станции в часы пиковой активности.
  • Проверка наличия свободного места на жестких дисках.
  • Анализ распределения нагрузок между серверными станциями.
  • Выявление приложений, которые наиболее требовательны к ресурсам.

4. Диагностика работы сети и активного оборудования:

  • Проверка скорости интернет-канала.
  • Оценка потерь пакетов во внутренней и внешней сети.
  • Проверка политик безопасности и параметров работы активного оборудования.
  • Проверка загруженности внутренних каналов, соединяющих активное оборудование.

5. Проверка корректности пользовательских настроек (несколько рабочих станций по выбору):

  • Соответствие реальных настроек эталонным.
  • Проверка состояния антивирусного ПО.
  • Проверка наличия вредоносного ПО (кейлоггеры, снифферы, программы подбора паролей и т. д.).
  • Проверка наличия нелицензионного ПО.

6. Аудит политик резервного копирования

  • Проверка наличия резервных копий для важных сервисов.
  • Проверка политик резервного копирования, установленных для важных сервисов.
  • Проведение выборочного тестирования хранящихся бэкапов.
  • Диагностика устройств, на которых хранятся бэкапы.

7. Анализ структуры сети, анализ компоновки сетевых решений, выявление уязвимых мест

  • Проверка способа доступа к активному сетевому и серверному оборудованию.
  • Анализ системы охлаждения серверных станций.
  • Выявление перегруженных серверных станций.
  • Проверка соответствия текущих характеристик подводящей сети и электрической мощности серверов.
  • Проверка альтернативного подключения серверных станций к электропитанию.

8. Выявление проблемных и потенциально проблемных мест с точки зрения надёжности:

  • Определение общих «узких» мест производительности для двух или более сервисов.
  • Определение общих точек отказа для двух или более сервисов.

9. Анализ ситуаций, в которых сетевое или серверное оборудование отказывает:

Наши специалисты сделают прогноз потери данных и простоя при выходе из строя отдельных серверных станций.

10. Анализ заявок пользователей и инцидентов, случившихся ранее:

  • Проверка наличия системы учёта заявок от пользователей.
  • Анализ самых часто встречающихся заявок.
  • Анализ ранее произошедших крупных инцидентов и последствий, к которым они привели.

Наши преимущества

Профессиональный аудит ИТ инфраструктуры: комплексная проверка работы информационных систем

Любое современное предприятие просто не может полноценно существовать без развитой информационной системы. Кроме того, любые сбои компьютерного оборудования, программного обеспечения могут привести к целому ряду серьезных проблем. Среди них и неэффективное расходование финансовых средств предприятия, и утечка важных данных, и полная остановка всех процессов.

Если вы хотите оптимизировать работу информационной системы предприятия, закажите аудит ИТ инфраструктуры в Москве в компании Руки из плеч. Он дает возможность своевременно выявить намечающиеся проблемы и оперативно устранить их.

К целям таких работ можно отнести также обнаружение уязвимостей в информационной системе, недочетов, которые оказывают негативное влияние на работу предприятия. Также аудит позволяет разработать комплекс эффективных мер для ее возвращения в нормальный режим.

Какие услуги предлагает наша компания?

Наша аутсорсинговая компания выполняет комплексные услуги по проверке работоспособности информационных систем, которые включают в себя:

  • оценку IT-инфраструктуры, технического состояния сетевого, компьютерного и серверного оборудования;
  • проверку работоспособности программного обеспечения, выполнения им основных функций, обеспечивающих слаженную работу всех подразделений предприятия;
  • оценку состояния структурированной кабельной системы;
  • проверку систем, обеспечивающих полную безопасность информации, передаваемой по сети.

Что вы получите, обратившись к нам?

Проведением аудита ИТ инфраструктуры занимаются опытные аудиторы, разбирающиеся не только в особенностях современного оборудования и программного обеспечения, но и в специфических нюансах предприятий, задействованных в той или иной сфере деятельности.

Именно поэтому результатом обращения к нам будет:

  • эффективная работа серверов и компьютеров;
  • максимальная безопасность хранения и передачи данных, их защита от любых непредвиденных ситуаций;
  • уменьшение затрат на расходные материалы для оргтехники;
  • эффективная защита от шпионского и вирусного программного обеспечения;
  • установленные на все компьютеры и другое оборудование лицензионные операционные системы и приложения, которые будут автоматически обновляться до самых актуальных версий;
  • внедрение систем, предназначенных для эффективного хранения, резервирования и восстановления данных.

Обращение к нам - это возможность не только проверить IT-инфраструктуру, но и адаптировать ее к конкретным особенностям именно вашего предприятия, значительно повысить эффективность работы.

Комплексный инфраструктуры – это один из инструментов, позволяющих найти общий язык между руководством компании, рядовыми сотрудниками, и ИТ подразделением в вопросах текущего сопровождения и развития информационных систем компании.

Комплексный аудит ИТ-инфраструктуры является составной частью любого договора на обслуживание компьютеров организаций и одним из залогов взаимопонимания и долгосрочности наших отношений с клиентом.

Целью проведения аудита является:

  • Получение актуальной и объективной информации об состоянии оборудования и программного обеспечения в компьютерной сети компании,
  • Получение объективной информации о работе информационных систем, их интеграции в бизнес-процессы компании, текущих и потенциальных проблем в работе ИТ-инфраструктуры,
  • Разработка рекомендаций по повышению надежности, производительности и эффективности функционирования информационных систем,
  • Разработка рекомендаций по развитию информационных систем.

Если в вашей организации назревает конфликт в отношениях с ИТ службой, то комплексный аудит ИТ инфраструктуры – это то, что поможет выявить существующие проблемы в кратчайшие сроки и позволит определить экономически эффективные пути их решения.

В рамках комплексного ИТ аудита выполняются следующие работы:

  • Инвентаризация компьютерной техники и компьютерных комплектующих,
  • Инвентаризация сети, сетевого оборудования и сетевых комплектующих,
  • Инвентаризация установленного на рабочие станции программного обеспечения. Изучение использования установленного программного обеспечения пользователями сети,
  • Экспертная оценка состояния компьютерного парка и сетевого оборудования на соответствие предъявляемым к нему требованиям на ближайший календарный год и формирование бюджета на закупку компьютерных и сетевых комплектующих на календарный год,
  • Оценка удовлетворенности сотрудников компании качеством и удобством работы с информационными системами,
  • Формирование функциональной схемы сети. Изучение функций информационных систем и поиск существующих проблем в работе последних,
  • Анализ печатающий устройств и использования расходных материалов,
  • Анализ выполнения лицензионных соглашений с производителями программного обеспечения,
  • Анализ существующих эксплуатационных рисков и мер по их предотвращению,
  • Разработка рекомендаций по изменению существующих информационных систем с целью повышения качества и удобства работы с ними сотрудников компании,
  • Разработка предложения по развитию сети компании на ближайший календарный год.

Описание каждой из услуг приведено ниже:

1. Инвентаризация компьютерной техники и компьютерных комплектующих

В рамках данной услуги проводится инвентаризацич аппаратного обеспечения, установленного в офисах компании. В рамки инвентаризации входит следующее оборудование:

    Компьютерная техника и периферийные устройства

  • Сетевое оборудование

    Принтеры и сканеры

Инвентарная база формируется в формате Microsoft Excel и при проведении инвентаризации в ней заполняются следующие поля:

    Инвентарный номер оборудования – обозначает условно неделимый элемент инфраструктуры. Под неделимостью подразумевается неделимость элемента без вмешательства системного администратора: рабочее место, сервер и т.д.

    Тип оборудования:

    Комплектующее ПК

    Настольный компьютер

  • Оргтехника

    Переферийные устройства

  • Сетевое оборудование

    Ответственный пользователь – сотрудник компании, использующий данное оборудование. Если оборудование использует несколько сотрудников компании, то в качестве ответственного пользователя будет обозначаться «Техподдержка».

    Описание – содержит детальную классификацию системного элемента:

    Блок питания

    Видеокарта

    Внешний диск

    Жесткий диск

    Маршрутизатор

    Материнская плата

  • Оперативная память

    Модель – содержит конкретную модель данного системного элемента

    Расположение – отражает расположение элемента.

    Количество – количество системных элементов

    Статус – статус оборудования. Может принимать следующие значения:

    Исправный

    Неисправный

    Неизвестно (в случае отсутствия технической возможности для определения состояния оборудования).

    К списанию – поле, означающее, что данное оборудование рекомендуется списать с баланса компании. Принимает значение «+» если списание необходимо и «-» если оно не требуется.

Пример заполненной инвентарной базы приведен на рисунке 1.

Рис. 1: Пример заполнения инвентарной базы оборудования

2. Инвентаризация сети, сетевого оборудования и сетевых комплектующих

В рамки инвентаризации сети входит инвентаризация активного сетевого оборудования по методике, приведенной в пункте 1 и формирование схемы сети и кабельного журнала.

При формировании схемы сети анализируется схема помещений и на ней отмечается расположение сетевых розеток, активного и пассивного сетевого оборудования. В случае, если розетки в помещениях не размечены, в процессе инвентаризации будет произведена дополнительная разметка сетевых розеток при помощи самоклеющихся маркеров. В кабельном журнале обозначается соответствие между номерами розеток и номерами портов на патч-панеле и свитче.

Рис. 2: Пример схемы сети

3. Инвентаризация установленного на рабочие станции программного обеспечения. Изучение использования установленного программного обеспечения пользователями сети,

В рамках данной услуги будет произведен сбор информации о программном обеспечении, установленном на рабочие станции сотрудников компании, и выделены 10 наиболее часто встречающихся программ. Оценка использования программного обеспечения будет произведена на основе опроса пользователей по 10 данным программам.

4. Экспертная оценка состояния компьютерного парка и сетевого оборудования на соответствие предъявляемым к нему требованиям на ближайший календарный год и формирование бюджета на закупку компьютерных и сетевых комплектующих на календарный год,

В рамках данной услуги будет произведен анализ состояния компьютерного парка в целом и на основе экспертной оценки произведена оценка вероятности отказа оборудования в ближайший календарный год. Оборудование с наивысшей вероятностью отказа будет рекомендовано к замене.

5. Оценка удовлетворенности сотрудников компании качеством и удобством работы с информационными системами,

Оценка будет произведена на основе опроса пользователей. Форма опросного листа будет предварительно согласована с представителем компании-клиента.

6. Формирование функциональной схемы сети. Изучение функций информационных систем и поиск существующих проблем в работе последних

В рамках данной услугу будет произведен экспертный анализ взаимодействия информационных систем в компании-клиента и составлена функциональная схема сети компании (пример функциональной схемы на Рис. 3) с описанием функций отдельных элементов. В случае если в процессе анализа информационных систем выявятся замечания к их работе, они будут отображены в отчете по результатам аудита ИТ инфраструктуры.

Рис. 3: Пример функциональной схемы сети

7. Анализ работы телефонной связи и схемы обработки телефонных вызовов,

Проводиться анализ схемы обработки входящих и исходящих вызовов (рис. 4), выявляются слабые места, выдаются рекомендации по модернизации телефонной связи в случае необходимости.

Рис. 4 Пример схемы обработки вызовов.

8. Анализ печатающий устройств и использования расходных материалов,

Анализируются существующие печатающие устройства, их ежемесячная загрузка, стоимость отпечатка и адекватность запасов расходных материалов. Выдаются рекомендации по снижению стоимости отпечатка и созданию неубывающего резерва расходных материалов для реализации функций непрерывной печати документов.

9. Анализ выполнения лицензионных соглашений с производителями программного обеспечения

На данном этапе производиться сбор информации о количестве приобретенных компанией лицензий на программное обеспечение и проводиться их сравнение с данными о количестве установленного и используемого программного обеспечения, полученными в пункте 3. Производиться также проверка выполнения всех пунктов лицензионных соглашений для уже купленного программного обеспечения. При необходимости приобретения дополнительных лицензий производиться оценка стоимости лицензий на основе данных, полученных от ведущих дистрибьюторов программного обеспечения.

10. Анализ существующих эксплуатационных рисков и мер по их предотвращению.

На основе данных, полученных в рамках аудита, о текущем состоянии ИТ инфраструктуры проводится анализ эксплуатационных рисков, их последствий и возможных действий по снижению негативных последствий. В рамки анализа входят как штатные ситуацию отказа оборудования, так и форс-мажорные ситуации.

На основе данных, полученных в пунктах 1 – 10 разрабатывается общий список рекомендаций по изменению существующих информационных систем с целью повышения стабильности и скорости их работы, а также с целью повышения удобства работы с ними сотрудников компании.

12. Разработка предложения по развитию сети компании на ближайший календарный год

Заключительным пунктом аудита ИТ инфраструктуры является предложение по развитию информационных систем на ближайший календарный год с описанием функциональных возможностей информационных систем, предлагающихся к внедрению и необходимых затрат на приобретение программно-аппаратного обеспечения для реализации данных изменений.

Работы в рамках аудита ИТ-инфраструктуры зависят от размеров сети и количества информационных сервисов и занимают от 10 до 25 рабочих дней. Результатом обследования является инвентарная база оборудования и развернутый отчет о результатах аудита информационных систем.

Поделиться с друзьями:
Похожие публикации