IT-инфраструктура предприятия - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и/или моральный ущерб.

В современных условиях рынка полнота информации, ее достоверность, скорость получения и обработки данных, эффективность информационного обмена между структурными подразделениями организации, оперативность принятия решений и реализации возложенных на каждое из таких подразделений задач, становятся одними из наиболее значимых факторов успешности предприятия: его рентабельности, прибыльности, конкурентоспособности.

Функцию обеспечения вышеперечисленных задач берет на себя информационная система организации, состоящая, как правило, из компьютерного парка, системы автоматизации производства, систем безопасности (видеонаблюдение, охранно-пожарная сигнализация, СКУД и проч.), коммуникационных систем (мини-АТС, локальные и/или корпоративные сети) и т. д.

Двумя наиболее значимыми, на наш взгляд, факторами эффективности функционирования информационной системы, состоящей из перечисленных подсистем, являются:

• - полезная эффективность IT-инфраструктуры организации (соответствие технических и программных средств предприятия реальным целям, задачам и потребностям бизнеса);
• - информационная безопасность IT-инфраструктуры предприятия (включая устойчивость технических средств к всевозможным отказам и сбоям, а также обеспечение сохранности важной информации: пресечение ее утечки и/или уничтожения и защита от несанкционированного доступа);

Одним из способов обеспечения полезной эффективности и информационной безопасности предприятия является аудит IT-инфраструктуры организации, направленный на оптимизацию информационной системы предприятия и выявление явных и/или скрытых угроз ее нормального функционирования.

Аудит IT-инфраструктуры представляет собой системный процесс, заключающийся в получении и оценке объективных данных о текущем состоянии IT-систем организации:

• - серверов и рабочих станций, задействованных в IT-инфраструктуре предприятия;
• - активного сетевого оборудования;
• - системного программного обеспечения;
• - физической и логической структуры корпоративной локальной сети;
• - периферийного оборудования;
• - телекоммуникационных систем;
• - систем безопасности;
• - систем электроснабжения;
• - каналов передачи данных;

Как правило, при аудите IT-инфраструктуры применяются следующие методы исследования:

• - проведение инвентаризации компонентов IT-инфраструктуры;
• - анкетирование сотрудников организации, проводящееся по опросным листам;
• - анализ программного обеспечения, файлов и системных событий серверов и рабочих станций, входящих в IT-инфраструктуру организации;
• - проверка сетевой безопасности серверов и рабочих станций с целью исключения возможного несанкционированных проникновений через сеть Интернет и/или по другим каналам связи;
• - мониторинг состояния активного сетевого оборудования;
• - диагностика системы электроснабжения, кабельных сетей и пассивных компонентов IT-инфраструктуры предприятия;

Целью создания любой компьютерной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Информация является конечным «продуктом потребления» и выступает в виде центральной компоненты системы.

Именно поэтому одним из ключевых вопросов при проведении аудита IT-инфраструктуры организации является оценка этой инфраструктуры с точки зрения информационной безопасности. Эта проблема может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

Безопасность (защищенность) информации, в данном случае, - это такое состояние всех компонентов компьютерной (информационной) системы, при котором обеспечивается защита информации от всех возможных угроз на требуемом уровне. При этом, под системой защиты информации понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в компьютерной системе в соответствии с принятой политикой безопасности.

С позиции обеспечения безопасности информации, IT-инфраструктуру организации целесообразно рассматривать в виде единства трех компонентов, оказывающих взаимное влияние друг на друга:

• - информация;
• - технические и программные средства;
• - обслуживающий персонал и пользователи.

Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Все множество потенциальных угроз безопасности информации в компьютерных системах может быть разделено на два класса:

• - преднамеренные угрозы
• - непреднамеренные (случайные) угрозы

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными. Реализация угроз этого класса приводит к наибольшим потерям информации. При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию. К непреднамеренным (случайным) угрозам, в частности, относятся:

• - стихийные бедствия и/или аварии;
• - сбои и отказы оборудования;
• - ошибки пользователей и/или обслуживающего персонала.

Ошибочные операции или действия могут вызываться отказами аппаратных и программных средств, а также ошибками пользователей и обслуживающего персонала. Некоторые ошибочные действия могут привести к нарушениям целостности, доступности и конфиденциальности информации. Ошибочная запись в оперативную память и на внешнее запоминающее устройство, нарушение разграничения памяти при мультипрограммных режимах работы ЭВМ, ошибочная выдача информации в канал связи, короткие замыкания и обрыв проводников - вот далеко не полный перечень ошибочных действий, которые представляют реальную угрозу безопасности информации в информационной системе организации.

Для блокирования (парирования) случайных угроз безопасности информации в компьютерных системах должен быть решен комплекс задач:

• - дублирование информации;
• - повышение надежности системы;
• - создание отказоустойчивых систем;
• - минимизация ущерба от аварий и стихийных бедствий;
• - блокировка ошибочных операций;
• - оптимизация взаимодействия человека и компьютерной системы.

Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. В зависимости от ценности информации, особенностей построения и режимов функционирования компьютерной системы могут использоваться различные методы дублирования, которые классифицируются по различным признакам. По степени пространственной удаленности носителей основной и дублирующей информации методы дублирования могут быть разделены на методы:

• - сосредоточенного дублирования;
• - рассредоточенного дублирования.

Для определенности целесообразно считать методами сосредоточенного дублирования такие методы, для которых носители с основной и дублирующей информацией находятся в одном помещении. Все другие методы относятся к рассредоточенным. Рассредоточенное копирование достаточно распространенный и достаточно эффективный способ обеспечения сохранности информации в компьютерных сетях; кроме того, рассредоточенное копирование является практически единственным способом обеспечения целостности и доступности информации при стихийных бедствиях и крупных авариях.

Для блокировки ошибочных действий используются технические и аппаратно-программные средства. К таким средствам относятся блокировочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записи на внешние (портативные) источники информации. Аппаратно-программные средства используются для блокирования выдачи информации в неразрешенные каналы связи, запрета выполнения операций, доступных только в определенных режимах, при помощи специализированных ключей защиты позволяют блокировать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти, запись в определенные области внешних запоминающих устройств и другие операции.

Важным условием функционирования IT-инфраструктуры организации является ее надежность и отказоустойчивость. Под надежностью понимается свойство системы выполнять возложенные на нее задачи в определенных условиях эксплуатации. Если при наступлении отказа компьютерная система способна выполнять заданные функции, сохраняя значения основных характеристик в пределах, установленных технической документацией, то она находится в работоспособном состоянии. Для решения этой задачи необходимо обеспечить высокую надежность функционирования алгоритмов, программ и технических (аппаратных) средств. Кроме того, необходимо предусмотреть систему бесперебойного электроснабжения, состоящую из одного или нескольких источников бесперебойного питания (ИБП), а на отдельных объектах и дизель-генераторной установки (ДГУ).

Отказоустойчивость - это свойство компьютерной системы сохранять работоспособность при отказах отдельных устройств, блоков, схем. Известны три основных подхода к созданию отказоустойчивых систем:

• - простое резервирование;
• - помехоустойчивое кодирование информации;
• - создание адаптивных систем.

Одним из наиболее простых и действенных путей создания отказоустойчивых систем является простое резервирование. Простое резервирование основано на использовании дополнительных устройств, блоков, узлов, схем в качестве резервных. При отказе основного элемента осуществляется переход на использование резервного. Резервирование осуществляется на различных уровнях: на уровне устройств, средств передачи информации, блоков, узлов и т. д. Резервирование отличается также и глубиной. Для целей резервирования могут использоваться один резервный элемент и более.

Помехоустойчивое кодирование основано на использовании информационной избыточности. Рабочая информация в информационной системе дополняется определенным объемом специальной контрольной информации. Наличие этой контрольной информации (контрольных двоичных разрядов) позволяет путем выполнения определенных действий над рабочей и контрольной информацией определять ошибки и даже исправлять их. Так как ошибки являются следствием отказов средств IT-инфраструктуры предприятия, то, используя исправляющие коды, можно парировать часть отказов. Исправляющие возможности кодов для конкретного метода помехоустойчивого кодирования зависят от степени избыточности. Чем больше используется контрольной информации, тем шире возможности кода по обнаружению и исправлению ошибок.

Также существенную угрозу безопасности информации в компьютерной системе представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Несанкционированная модификация структур может осуществляться на любом жизненном цикле IT-инфраструктуры предприятия. Проведение аудита IT-инфраструктуры предприятия позволяет выявить потенциальные возможности несанкционированной модификации компонентов системы и, соответственно, предотвратить ее осуществление.

Резюме по теме

Подводя итог вышесказанному, необходимо отметить, что комплексный аудит IT-инфраструктуры предприятия, анализ всех ее систем и подсистем, эффективности их взаимодействия и использования - задача достаточно трудоемкая, требующая достаточных финансовых и производственных затрат, но, несмотря на это, необходимая. В условиях стремительного развития бизнеса, IT-инфраструктура предприятия представляет собой сложный и разветвленный организм. Построение грамотной структуры управления организацией в значительной степени зависит от возможности IT-подразделения организовать управление предприятием с помощью информационных технологий. Внедрение системы управления предприятием, закупка нового оборудования, инсталляция новых программных продуктов чаще всего проходят без видения целостной картины развития IT-инфраструктуры организации. Это вызывает проблемы полноценного функционирования программных продуктов, проведения дополнительных работ или закупок, что приводит к срывам сроков внедрения проектов, усложняет развитие бизнеса, требует дополнительных инвестиций. IT-аудит - это комплексный анализ информационной структуры, который позволяет решить возникшие сложности, определить качество IT-инфраструктуры предприятия и привести ее возможности в соответствие с целями и задачами бизнеса.

Вопросы для повторения

• 1. Этапы проведения ИТ-аудита.
• 2. Что анализируется на этапе «Планирования ИТ-аудита»?
• 3. Опишите жизненный цикл четырех доменов COBIT
• 4. Понятие модели зрелости COBIT
• 5. Что представляет собой аудит ИТ- инфраструктуры?

Привет, %username%! Готов поспорить, что рано или поздно все сисадмины относительно небольших компаний сталкиваются с такой волшебной задачей от руководства, как составление проекта развития ИТ-инфраструктуры компании. Особенно если тебе предложили должность и сразу же попросили составить план развития и бюджетирования. Вот и мне однажды поставили такую задачу. О всех подводных камнях, с которыми можно столкнуться, я и напишу. Всем заинтересовавшимся велкам под кат!

Сразу поясню, что вы тут не найдете советов о том, какое оборудование выбирать для тех или иных решений, какие программные продукты выбирать, open source или платное ПО, с какими интеграторами общаться стоит, а с какими нет. Это все полностью индивидуально и будет напрямую зависеть от вас и того, что в итоге вы хотите - залатать дыры в текущем корыте или построить ИТ-инфраструктуру таким образом, чтобы любая задача сводилась к нажатию кнопки “СДЕЛАТЬ ХОРОШО” (да я ленивый).

Данная статья больше нацелена на тех, кто совсем мало в этой сфере работает и от него требуют всего и сразу. Думаю молодым сисадминам небольших компаний будет полезно.

Вот собственно примерный список проблем, с которыми можно столкнуться при проведении аудита ИТ-инфраструктуры:

1. Отсутствие тех, у кого можно хоть что-то спросить - именно такая проблема встала передо мной, когда руководство поручило провести аудит с целью улучшения инфраструктуры в целом. На тот момент я являлся самым старым сотрудником отдела компании и поинтересоваться мне было просто не у кого. По этой причине времени на ковыряние и попытку понять “за каким же это хреном сделано” было затрачено не мало, ведь пока я был простым сисадмином меня почти не посвящали в тонкости организации ИТ-инфраструктуры.

2. Отсутствие четко поставленных хотелок со стороны руководства - все думаю согласятся с тем, что нам - айтишникам - по долгу службы приходится быть немного экстрасенсами, т.к. довольно много приходится додумывать и допонимать, опираясь на контекст поставленной задачи. В моем случае приходилось додумывать варианты направления развития бизнеса в целом.

3. Отсутствие четкого (документированного) описания текущей инфраструктуры - увы (! ) этого не было никогда ранее. Никто и никогда не составлял банальную карту сети офиса. Не описывал как организована связь между филиалами (коих более 10 штук по всей стране). Я уже не говорю про банальную маркировку кабелей на маршрутизаторах.

4. Полное отсутствие документации - вообще! Абсолютно никакой документации не велось в отделе никогда. И это категорически печально. Ведь банальные копии договоров (на телефонию, интернет, обслуживание 1С, аренду хостинга и прочее) хотя бы в электронном виде должны быть в отделе. И это одно из обязательных условий, ведь любой сотрудник отдела ИТ должен знать, к кому обратиться в случае если упал интернет в другом регионе (где время +3 к Москве).

5. Отсутствие общей базы паролей - все пароли были разные и менялись от случая к случаю. Весь этот ворох приходилось держать в голове, т.к. “все что записано однажды - может быть и считано”. Для того, чтобы предоставить новому сотруднику определенный доступ, необходимо переписать в почте (или на бумажке) все логины и пароли и передать их лично ему. А если ты еще не правильно пароль вспомнил… Ужас!

6. Отсутствие информации о том, как все организованно в регионах - имелась информация лишь о том, сколько там человек, кто руководитель и… всё! Т.е. имелась просто абстракция под названием “Региональное представительство в городе Мухосранске, где сидит 15 человек”. Никто никогда не задавался вопросом, как там устроена сеть, какие у нее слабые места, как происходит доступ сотрудников представительства в сеть Интернет, как организован доступ сотрудников к сетевым ресурсам центрального офиса.

И это еще не полный список, т.к. таких косяков просто огромное количество. И все они встретились мне на пути. Одним из тяжелейших моментов могу назвать тот факт, что я этим занимался впервые и ударить в грязь лицом не хотелось.

Понимая немного психологию в целом и учитывая, что огромная часть нас - айтишников - это интроверты, при составлении такого аудита в большинстве случаев побоятся обратиться к руководству компании с банальными вопросами. И мне было страшно. Но тем не менее я был вынужден переступить через свои страхи и задать те банальные вопросы, на которые мне способно дать ответ руководство.

Я не стану напоминать о том, что необходимо сделать инвентаризацию для того, чтобы понимать с чем работаешь, что является устаревшим, что можно заменить на более производительное. Это обязательное мероприятие. А вот о том, что после переписи всего оборудования надо все разделить всё на категории (активное сетевое, workstaion, bussiness-critical servers and service) напомню. При наличии доступа к административной панели сделать бэкапы конфигураций, описать “что”, “зачем” и “для чего” настроено в конкретной железке, переписать все сетевые адреса серверов, управляемых железок (да простят меня господа сетевики), сетевых хранилищ, принтеров и всего, что имеет доступ к сети (ну кроме рабочих станций).

Следующим этапом можно попытаться составить примерную схему того, как устроена сеть на план-схеме этажа, чтобы понимать где может быть бутылочное горлышко. В моем случае была проблема в том, что сеть этажа поделена на две части и в дальней от серверной части были проблемы с сетью, а оказалось все банально - не экранированная витая пара лежала вместе с силовой линией этажа бизнес-центра напряжением на 220 и 380 вольт - какая к черту сеть, ребята. После этого можно приступать к анализу железа.

Анализ железячной составляющей это одно из важных мероприятий. Необходимо понимать, насколько актуально на текущий момент времени используемое железо (как сетевое и серверное, так и пользовательские ПК). Обычно на этом этапе выясняется (с поддержкой от бухгалтерии, а так же коммерческих отделов), что вся bussiness-critical информация хранится в виде документов Excell на сервере, у которого жесткие диски работают уже третий гарантийный срок (! ) и все удивляются тому, что “файлы по сети медленно открываются” и сам сервер шумит дисками как больной психиатрии стучащий ложкой по кастрюле. А сетевые железки сняты с производства еще за год до того, как их купили в компанию и по отзывам они ужасны. Или например wi-fi в офисе поднят на точках доступа, которые по всем отзывам считаются такой дрянью, которую врагу не пожелаешь.

Далее, необходимо оценить текущие серверные мощности

Необходимо именно оценить серверные мощности. Т.е. необходимо оценить работу текущих серверов (физических и виртуальных, если в вашей организации присутствует виртуализация) и оценить то, насколько используются ресурсы. Может быть стоит какие-то сервера (или серверы?) ликвидировать вообще, т.к. необходимость в них отпала уже давно, а убрать их боялись. Какие-то сервисы может быть удобнее объединить, а какие-то наоборот разделить, потому что они несовместимы на одной машине и чрезмерно нагружают систему.

Виртуализируйте все!

Когда парк ваших серверов и сервисов достигает критической массы и вы вынуждены заходя в серверную смотреть, что это за систменик или тыкаться по KVM в поисках нужного сервера, то вам явно требуется виртуализация. Все системы, которые можно запустить на виртуалке необходимо перевести в виртуальную среду (всяческие СКУДы, сервер корпоративного портала, корпоративное облако, etc). Современных, а главное удобных инструментов для этого предостаточно (VMware, Proxmox, Xen, Hyper-V). Просто определитесь с тем, что вам нужно/нравится/можно купить и запускайте в работу.

Виртуализацию в топку! Даешь только хардвер!

Не виртуализируйте критичные вещи - такие как шлюзы, маршрутизаторы, VPN-сервера используемые для аварийного доступа в сеть, сервера 1С (тут в меня могу полететь тухлые помидоры). Важно здраво оценивать все факторы, руководствуясь которыми вы принимаете решение о том, что загонять в виртуальную среду, а что нет. Идеальных решений не существует.

Организация сетей между филиалами

Вопрос довольно обширный и имеет множество решений. От самого простого - выделять каждому удаленному сотруднику логин и пароль для VPN, дорогого - арендовать L2-сеть у одного провайдера и до безумного - наставить самых различных сетевых железок от разных вендоров, с помощью которых организовать доступ в сеть на местах и доступ к сетевым ресурсам внутри компании (сетевые хранилища и т.п.). Оцените все “за” и “против” и примите верное и лучшее решение в конкретно вашем случае. Для простоты и понимания “что делать” и “как делать” смело приглашайте системных интеграторов и консультируйтесь с ними. За спрос не дадут по шее, а дадут понять как можно решить одну и ту же проблему разными способами (дешево и дорого). Уже после пары-тройки таких встреч вы сможете более точно и более четко описать для себя самого все свои хотелки и возможные способы их решения.

После всех выше описанных работ можно приступить к составлению примерного бюджета. Для выбора конкретных моделей оборудования обращайтесь за помощью в специализированные чаты (сам использовал чаты в Телеграм, т.к. там всегда живой народ и больше шансов получить быстрый ответ; список можно загуглить). Все оборудование, которое вы выбираете рассчитывайте с запасом на перспективу и рост потребностей ваших прямых клиентов - сотрудников компании. Больше общайтесь с руководством на тему дальнейшего развития бизнеса компании. Возможно они сами вам подскажут ответ на то, на что вы не знали ответа.

Вместо заключения

Правильно организуйте работу вашего отдела, особенно когда вас в отделе больше двух человек. Никогда не создавайте такую ситуацию, в которой какие-то вещи завязаны на одно человека. Это ваша точка отказа!

Старайтесь максимально документировать все свои действия на серверах в процессе изменения конфигураций сервисов. Это поможет и вам в дальнейшем, и вашим коллегам, которые будут работать вместе с вами (или вместо вас, когда вы пойдете на повышение/другую работу/отпуск).

И запомните две вещи:

1. Идеальной инструкции не существует!
2. Идеальной защиты не существует!

P.S.: На этом все. Жду ваших комментариев и здравой критики.

Теги: Добавить метки

Заказать услугу

Насколько стабильно и оптимально работают ваши компьютеры? Если вы хотите узнать объективный ответ на этот вопрос, обратитесь в компанию ИТЛ. Мы проведём аудит IT-инфраструктуры вашей компании, обнаружим проблемы, предложим способы их решения и похвалим ваших системных администраторов за те аспекты, в которых они действительно преуспели.

Наши сотрудники - это своего рода ревизоры. Однако их задача обнаружить и исправить ошибки, а не наказать или оштрафовать виновных. С ними приятно и легко работать.

Стоимость IT аудита

Зачем нужен аудит ИТ-инфраструктуры предприятия?

Если коротко, подобная работа позволяет вам заглянуть внутрь существующей информационной системы. С помощью аудита IT-инфраструктуры вы увидите её слабые места и получите рекомендации о том, как их исправить. Это поможет наладить стабильную работу, сэкономить деньги на решении проблем и зарабатывать ещё больше.

Ваши штатные системные администраторы могут быть талантливыми профессионалами. Однако даже специалисты такого уровня не защищены от ошибок. Если вы сомневаетесь в необходимости аудита ИТ-инфраструктуры предприятия, задумайтесь о нескольких вещах:

• Сколько интернет-трафика, который вы оплачиваете из своего кармана, сотрудники тратят в личных целях? Хотели бы вы сэкономить на этом?
• Предприняты ли необходимые меры для минимизации рисков утечки информации? Нужно ли защитить клиентскую базу, финансовые документы, договора и маркетинговые планы от попадания в третьи руки?
• Если произойдёт сбой системы (а такое иногда случается), останется ли у вас важная корпоративная информация?
• Правильно ли лицензировано ПО на используемых компьютерах? Нет ли риска изъятия оборудования и наложения штрафов на компанию контролирующими органами?

Аудит ИТ-инфраструктуры предприятия - это взгляд со стороны, поэтому риск пропустить что-то из-за «замыленного взгляда» отсутствует. Мы помогаем вашим техническим специалистам работать качественнее, замечать свои ошибки и радовать руководство.

Виды ИТ-аудита

Каждая проверка характеризуется несколькими критериями, на основании которых определяют ее вид. Она может инициироваться в обязательном порядке государственными органами РФ или руководством компании, охватывать всю структуру информационной системы или ограничиваться оценкой отдельного подразделения (уровня безопасности, технического соответствия, надежности и др.).

По форме проведения выделяют внутреннюю и внешнюю аудиторскую проверку.

Внутренний аудит ИТ-инфраструктуры

Этот вид оценки средств информационных технологий осуществляют специалисты самой организации. Внутренние аудиты проводятся по утвержденному графику с целью проверки:

• соответствия нормативным требованиям и законодательству;
• информационной безопасности;
• функционирования;
• соответствия технической документации.

Программа проверки планируется в соответствии с объемом работ и результатами предыдущих мероприятий. При отборе персонала учитываются беспристрастность и незаинтересованность в результате. Аудиторы не должны проверять и оценивать собственную работу.

Руководство проверяемого участка не может препятствовать проведению проверки и тормозить рабочий процесс. Оно должно оперативно отреагировать на выявленные недочеты и выявить причины их возникновения. Результаты этой деятельности также проверяются.

Внешний аудит IT-инфраструктуры

Внешняя аудиторская проверка проводится лицензированными коммерческими организациями. Она осуществляется в соответствии с законодательством и нормативными требованиями.

Внешний аудит проводится в случае:

• потребности руководства в оценке средств ИТ;
• комплексной или тематической проверки на соответствие стандартам и законодательству;
• установления соответствия требованиям потребителей;
• оценки поставщика услуг;
• необходимости определения областей и способов совершенствования.

Внешнюю аудиторскую проверку заказывает проверяемая организация или другая компания, имеющая на это регулирующее или контрактное право. Она осуществляется специалистом с аттестатом аудитора или аудиторской организацией. Проведение ИТ-аудита не заменяет государственного контроля организаций, владеющих или пользующихся конфиденциальной информацией.

Экспресс-аудит инфраструктуры

Если заказчику требуется быстрый анализ технического состояния ИТ-инфраструктуры и эффективности ее использования, то ему предоставляются услуги экспресс-аудита. Этот вид проверки проводится в кратчайшие сроки с использованием специальных методов и ПО и позволяет выявить недочеты в функционировании и участки, требующие модернизации. Специалисты оценивают эффективность использования оборудования на рабочих местах, уточняют список установленного ПО и серверов. На основании полученных результатов оформляется отчет со списком рекомендаций, направленных на улучшение работы инфраструктуры.

Аудит IT-инфраструктуры для оптимизации расходов

Своевременная диагностика позволяет выявить проблемы на ранней стадии и защитить себя от ущерба. Это утверждение справедливо для многих аспектов жизни и бизнеса. Оно касается и аудита ИТ-инфраструктуры предприятия.

В ходе этого процесса проводится комплексная проверка используемого оборудования и программного обеспечения. Мы выносим рекомендации о том, какие компьютеры можно починить или восстановить, недорого улучшить, а от каких лучше избавиться.

Аудит IT-инфраструктуры можно назвать своеобразной страховкой от возможных проблем с безопасностью корпоративной сети, стабильностью оборудования и несанкционированного доступа к важным данным. Главное, чтобы этот процесс выполняли опытные профессионалы.

Как заказать проведение ИТ-аудита?

Вы вправе выбрать любую компанию для проверки своих компьютеров. Наше предложение на проведение ИТ-аудита покажется вам интересным, если вы ищете подрядчика, который:

• предлагает справедливую и привлекательную стоимость услуг;
• допускает к работе инженеров, прошедших строгий, трёхэтапный отбор;
• выносит только те рекомендации, которые пойдут на пользу бизнесу клиента;
• профессионально занимается проведением подобных работ.

Мы начинаем сотрудничество с бесплатной консультации. Если вам интересна стоимость проведения ИТ-аудита, вы можете запросить её у наших менеджеров по телефону или оставить заявку прямо на сайте. В таком случае мы всё посчитаем, подготовимся к разговору и свяжемся с вами уже с конкретными предложениями.

Аудит ИТ инфраструктуры представляется единой процедурой, чей смысл состоит в сборе и анализе предметной информации о сложившемся на данный момент состоянии информационно-технологической системы компании. Основную задачу построения каждой системы составляет получение доступа пользователей к актуальной информации, редактирование и сохранение. Своевременный аудит ИТ инфраструктуры предприятия позволит предотвратить потерю важных данных, вследствие отказа комплектующих, сбоев программного обеспечения, неправильных настроек резервного копирования и тому подобных проблем, выявить которые без полноценного и тщательного исследования очень сложно. Таким образом, для увеличения продуктивности Вашего информационного комплекса нужно иногда проводить аудит ИТ инфраструктуры для получения независимой оценки положения всех субъектов корпоративной локальной сети с предоставлением экспертных заключений и рекомендаций по этапам улучшения функционирования.

Аудит ИТ инфраструктуры

• Полная опись всей аппаратной составляющей субъектов
• Исследование топологии построения корпоративной сети
• Тщательный обзор и документирование имеющихся элементов
• Подготовка отчета, содержащего выводы о состоянии сервисов и процессов
• Формирование подробных рекомендаций по улучшению системы

Аудит ИТ инфраструктуры предприятия

На данный момент существует масса методик осуществления исследований информационно-технологических систем. Большая часть методик, разработанных нами, в области осуществления такого процесса, как аудит ИТ инфраструктуры предприятия направлена на эффективное выявление совпадения бизнес-требований в компании реальному положению дел в ее локальной сети.

Заказать аудит ИТ инфраструктуры

Эпизодическое выполнение аудита ИТ инфраструктуры в течении многолетнего договора по технической поддержке как обычной, так и разветвленной информационно-технологической системы поможет поддерживать актуальное понимание того, что именно представляет собой в данный момент времени информационный комплекс, как у собственника, так и непосредственно компании, предоставляющей техническую поддержку, тем самым повысив эффективность своих услуг. Аудит ИТ инфраструктуры предприятия позволит сделать более прозрачным управление бизнесом организации, особенно если он имеет распределенную структуру.

Цена аудита ИТ инфраструктуры

Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.

Когда (в каких случаях) эта услуга востребована?

1. Приобретение бизнеса, либо объединение предприятий (формальное, или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
2. Перед проведением модернизации ИТ-инфраструктуры предприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
3. Когда рост бизнеса опережает развитие ИТ . В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
4. Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита - это самый оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению

Какие преимущества эта услуга дает заказчику?

1. Упрощение модернизации ИТ-инфраструктуры за счет получения наиболее полной и актуальной информации об имеющихся ИТ-ресурсах.
2. Получение оценки затрат по модернизации ИТ-инфраструктуры. Знание отражаемых в отчетной документации степени необходимости и прогнозируемых объемов работ, позволяет заказчику принимать обоснованное решение.
3. Повышение эффективности использования имеющихся ИТ-ресурсов, после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием информационных технологий.
4. Повышение управляемости ИТ предприятия. Руководство получает необходимую управленческую информацию, необходимую для принятия решений, прогнозирования развития ситуации, управления ИТ. Возрастает эффективность работы ИТ-службы предприятия, сокращается время простоев и количество нештатных ситуаций.
5. Получение практических рекомендаций по используемым технологиям, оборудованию и его настройкам. Все рекомендации связаны с конкретными проблемами, обнаруженными при проведении аудита, поэтому реализация каждой рекомендации приносит исключительно пользу для компании.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение комплексного аудита включает три основных этапа:

• Сбор данных

Постановка задачи и уточнение границ работ

На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:

• Уточняются цели и задачи аудита
• Формируется рабочая группа
• Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор данных

На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.

Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:

• Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;
• Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;
• Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;
• Приложения — прикладное программное обеспечение, используемое в работе предприятия;
• Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;
• Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.

По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.

Анализ данных и подготовка отчета

На этом этапе выполняются следующие работы:

• проверка и анализ собранных данных
• подготовка эксплуатационной документации
• выработка рекомендаций
• подготовка отчета об аудите

Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.

На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры

Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.

Этап завершается передачей заказчику разработанных документов.

Результат

Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.

Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.