Как проходит аудит ИТ-инфраструктуры и зачем это делать

ИТ аудит является независимой экспертизой текущего состояния ИТ-инфраструктуры клиента, ее технического долга, определяющей степень ее согласованности с требуемыми критериями и показателями функционирования в соответствии с лучшими практиками и позволяющей сформировать стратегию дальнейшего развития ИТ-инфраструктуры и оптимизировать стоимость владения.

Цели аудита ИТ-инфраструктуры

В результате проведения аудита клиент получает объективную оценку состояния своей ИТ-инфраструктуры и рекомендации по улучшению ее количественных и качественных показателей. Получение объективной оценки и есть главная цель аудита. В процессе достижения этой цели производятся оценки различных составляющих системы по многочисленным критериям.

Следует понимать, что понятие «аудит ИТ-инфраструктуры» довольно обширное, так как включается в себя аудиты:

информационной безопасности;
инфраструктуры виртуализации;
серверной инфраструктуры;
сетевой инфраструктуры;
систем хранения данных и сети хранения данных;
платформенных сервисов;
внешних сервисов.

Каждый вид аудита требует отдельной подготовки и различных способов проведения проверок. Но идеологически все они направлены на то, чтобы найти проблемы в той или иной части ИТ-инфраструктуры. Обобщив критерии, по которым проводятся данные аудиты, можно выделить следующие пункты:

оценка безопасности. Проверка наличия и эффективности мер по обеспечению безопасности ИТ-инфраструктуры. Это включает в себя выявление уязвимостей, оценку рисков и рекомендации по улучшению безопасности данных и всей системы в целом;
использование ресурсов. Поиск неэффективного использования ресурсов, таких как серверы, хранилища данных, сетевое оборудование, облачные хранилища;
соответствие стандартам и законам. Проверка соответствия ИТ-инфраструктуры существующим нормативам, законам и стандартам, а также регуляторным требованиям;
эффективность бизнес-процессов. Анализ ИТ-системы с точки зрения ее влияния на бизнес-процессы. Определение узких мест и возможностей для улучшения производительности и автоматизации бизнес-операций;
обеспечение надежности и доступности. Гарантирование того, что ИТ-инфраструктура способна обеспечивать высокую доступность и надежность услуг и приложений для пользователей;
управление рисками. Оценка рисков, связанных с ИТ-системой, и разработка стратегий и мероприятий для их снижения или управления;
развитие и стратегическое планирование. Предоставление информации и рекомендаций, которые могут помочь организации разработать стратегический план для будущего развития ИТ-инфраструктуры;
документация и стандартизация. Создание документации и стандартов, которые помогут обеспечить последовательность и качество работы в ИТ-системе;
улучшение управления проектами. Оценка методов управления проектами в области ИТ и предоставление рекомендаций для их совершенствования;
контроль над затратами. Идентификация излишних расходов и возможностей для экономии ресурсов и средств.

Подготовка к аудиту

Сбор информации о клиенте. Перед началом работ ИТ-аудитор проводит удаленные интервью с работниками клиента. В ходе данных интервью производится ознакомление с действующими информационными системами, анализ и фиксация необходимой информации, а также ознакомление с документацией. Предварительный план интервью с сотрудниками состоит из следующих пунктов:
- интервью с сотрудниками, ответственным за бизнес-процессы, для которых используется аудируемая ИТ-инфраструктура;
- интервью с сотрудниками, ответственным за обеспечение информационной безопасности. В ходе данного интервью осуществляется сбор информации о существующих процессах по обеспечению информационной безопасности информационной системы, находящейся в области аудита, и ознакомление с документацией по обеспечению ИБ;
- интервью с сотрудниками, ответственными за функционирование и администрирование компонентов информационной системы. В ходе данных интервью осуществляется сбор информации о компонентах информационной инфраструктуры и их настройках, находящихся в области аудита.
Подготовка аудиторской команды. Выбор и подготовка аудиторской команды критически важны для успешного проведения аудита. ИТ-аудиторы должны иметь соответствующие навыки и опыт в области аудита необходимой ИТ-инфраструктуры. Они также должны быть знакомы с технологиями и инструментами, используемыми клиентом.
Разработка плана аудита. На основе собранной информации о клиенте разрабатывается план аудита. План включает в себя методологию аудита, перечень проверяемых параметров и ресурсы, необходимые для его выполнения.
Подготовка инструментов и ресурсов. Необходимо подготовить все необходимые инструменты и ресурсы для проведения аудита. Это может включать в себя программное обеспечение для сканирования сети, аппаратное оборудование, необходимое для сбора данных, а также аудиторские шаблоны и стандарты.

Компоненты аудита

Следующий этап аудита ИТ-инфраструктуры — сбор информации. Он является ключевым этапом, на котором аудиторы собирают все необходимые данные о текущем состоянии информационных технологий в организации. В зависимости от типа аудита проверяются различные компоненты системы.

[table id=»362″ ] [tr][cell]Информационная безопасность[/cell] [cell]— анализ состояния информационной безопасности (внешнее и внутреннее тестирование на проникновение; соответствие ФЗ-152; соответствие PCI-DSS).[/cell][/tr] [tr][cell]Виртуальная инфраструктура[/cell] [cell]— состояние виртуальной инфраструктуры;
— архитектура виртуальной инфраструктуры;
— состояние кластера vSAN.[/cell][/tr] [tr][cell]Серверная инфраструктура[/cell] [cell]— состояние существующей серверной инфраструктуры;
— архитектура серверной инфраструктуры;
— использование ресурсов серверной инфраструктуры;
— программное обеспечение серверной инфраструктуры:
— мониторинг серверной инфраструктуры.[/cell][/tr] [tr][cell]Сетевая инфраструктура[/cell] [cell] — состояние существующей сетевой инфраструктуры;
— архитектура сетевой инфраструктуры;
— системные настройки элементов сетевой инфраструктуры;
— работа уровней L2 и L3 сетевой инфраструктуры;
— сетевая безопасность инфраструктуры;
— мониторинг сетевой инфраструктуры.[/cell][/tr] [tr][cell]Инфраструктура хранения данных (системы хранения данных (СХД) и сеть хранения данных (SAN))[/cell] [cell]— состояние существующей инфраструктуры хранения данных;
— архитектура инфраструктуры хранения данных;
— использование ресурсов систем хранения данных.[/cell][/tr] [tr][cell]Платформенные сервисы[/cell] [cell]— сбои или неисправности, связанные с некорректной работой платформенных сервисов;
— системные настройки платформенных сервисов согласно рекомендациям производителя;
— состояние ПО;
— мониторинг.[/cell][/tr] [tr][cell]Внешние сервисы[/cell] [cell]— используемые внешние сервисы, включая облачные решения;
— соответствие использования сервисов поставленным задачам.[/cell][/tr] [/table]

Отчетность

Все интересующие компоненты аудита согласовываются до его начала. После чего проводится сбор всей необходимой информации по выбранным пунктам аудита. Собрав необходимую информацию, IT аудиторы проводят анализ по многочисленным критериям и составляют финальный отчет.

Отчет анализа ИТ-инфраструктуры является ключевым результатом аудита и представляет собой документ, в котором подробно описываются результаты анализа, выявленные проблемы и рекомендации для улучшения. Отчет включает в себя:

[table id=»720″ ] [tr][cell th=»on»]Раздел отчета[/cell] [cell th=»on»]Содержание[/cell][/tr] [tr][cell]Обзор ИТ-инфраструктуры[/cell] [cell]— общая информация о структуре и характеристиках ИТ-инфраструктуры;
— схемы сетей, конфигурация серверов и другие технические детали.[/cell][/tr] [tr][cell]Результаты анализа[/cell] [cell]— выявленные уязвимости и проблемы в безопасности;
— описание текущих конфигураций и нарушений политик безопасности;
— информация о производительности систем и сетей;
— анализ логов и журналов для обнаружения аномалий.[/cell][/tr] [tr][cell]Оценка рисков[/cell] [cell]— оценка рисков, связанных с текущим состоянием ИТ-инфраструктуры;
— идентификация потенциальных угроз и вероятности их возникновения;
— оценка воздействия инцидентов безопасности на организацию.[/cell][/tr] [tr][cell]Рекомендации[/cell] [cell]— подробные рекомендации по устранению уязвимостей и проблем безопасности;
— советы по улучшению производительности систем и сетей;
— рекомендации по соблюдению стандартов и лучших практик.[/cell][/tr] [tr][cell]План действий и варианты развития инфраструктуры[/cell] [cell]— план действий для внедрения предложенных изменений и улучшений;
— указание на приоритетность действий и ресурсы, необходимые для их выполнения.[/cell][/tr] [/table]

Польза для бизнеса

Регулярное проведение ИТ-аудита приносит организации целый комплекс выгод, которые напрямую влияют на стабильность бизнеса и его конкурентоспособность.

Укрепление информационной безопасности

Систематическая проверка защитных механизмов позволяет обнаружить слабые места в системе безопасности до того, как ими воспользуются злоумышленники. ИТ аудиторы выявляют устаревшие протоколы шифрования, ошибки в настройке брандмауэров, небезопасные конфигурации серверов. Своевременное устранение этих уязвимостей существенно снижает вероятность компрометации данных и защищает репутацию компании.

Оптимизация использования ресурсов

Детальный анализ загрузки серверов, систем хранения и сетевой инфраструктуры показывает реальную картину мощностей. Часто обнаруживается, что значительная часть ресурсов простаивает или используется неэффективно. Перераспределение нагрузки и отказ от избыточных компонентов позволяет сократить эксплуатационные затраты и направить освободившиеся средства на развитие бизнеса.

Выполнение законодательных требований

Проверка соответствия действующим нормам и отраслевым стандартам помогает избежать штрафных санкций и судебных разбирательств. Аудит подтверждает, что компания корректно обрабатывает персональные данные, соблюдает требования финансовых регуляторов и следует установленным правилам хранения информации. Это особенно важно для организаций, работающих с чувствительными данными клиентов.

Предотвращение операционных рисков

Выявление потенциальных точек отказа в инфраструктуре позволяет разработать план действий на случай непредвиденных ситуаций. ИТ-аудиторы оценивают надежность систем резервного копирования, проверяют процедуры восстановления после сбоев, анализируют вероятность различных типов инцидентов. Такой проактивный подход минимизирует время простоя и снижает финансовые потери от технических неполадок.

Рациональное управление затратами

Обнаружение неоправданных расходов — один из ключевых результатов аудита. Проверка часто показывает, что компания платит за программные продукты, которые никто не использует, содержит избыточное количество серверов или переплачивает за облачные сервисы из-за неоптимальной конфигурации. Устранение таких финансовых «утечек» может высвободить до четверти ИТ-бюджета.

Основа для стратегического развития

Результаты аудита дают руководству объективную информацию для принятия решений о модернизации технологической инфраструктуры. Понимание текущего состояния систем, их слабых и сильных сторон помогает составить реалистичный план технологического развития компании и правильно расставить приоритеты инвестиций.

Даже несмотря на очевидные плюсы, в большинстве российских компаний обычно не принято проводить аудиты своих ИТ-инфраструктур. Руководство часто не видит смысла платить за какую-то бумажку, в которой будут одни только указания на недостатки. Ведь после аудита придется платить еще кому-то за приведение системы к требуемому уровню. Подробнее об этой проблеме, почему это неправильное мышление и как ИТ-аудит поможет компаниям сэкономить ресурсы, мы рассказали в другой нашей статье.

Когда проводить ИТ-аудит?

Существует ряд ситуаций, когда проведение ИТ-аудита становится критически важным для бизнеса.

Снижение производительности корпоративных систем

Когда ключевые бизнес-приложения начинают работать медленнее обычного, а сотрудники регулярно жалуются на зависания или сбои — это тревожный сигнал. Замедление работы учетных систем, баз данных или корпоративного портала может указывать на серьезные проблемы с архитектурой решения, перегрузку серверного оборудования или ошибки в настройке компонентов. Особенно критичны такие проблемы для компаний из сферы розничной торговли и финансовых услуг, где каждая секунда задержки влияет на качество обслуживания клиентов.

Неконтролируемый рост ИТ-бюджета

Ситуация, когда расходы на информационные технологии растут без видимого улучшения сервиса, требует детального разбора. Профессиональный аудит помогает обнаружить «черные дыры» в бюджете: неактивные подписки на облачные платформы, неиспользуемые лицензии программного обеспечения, избыточные вычислительные мощности. Зачастую компании переплачивают до трети ИТ-бюджета за ресурсы, которые фактически не приносят пользы.

Подготовка к технологическим изменениям

Перед запуском масштабных проектов — внедрением систем искусственного интеллекта, миграцией на российское ПО, развертыванием IoT-инфраструктуры — необходимо убедиться в готовности существующей среды. Аудит определяет потенциальные препятствия: устаревшее оборудование, которое не потянет новые нагрузки, несовместимость сетевых протоколов, недостаток квалификации у текущей команды специалистов.

Рост числа инцидентов безопасности

Участившиеся попытки взлома, утечки данных или предписания от регуляторов — веские основания для немедленной проверки. Эксперты проводят комплексный анализ защитных механизмов: насколько надежно зашифрованы каналы передачи данных, корректно ли разграничены права доступа, регулярно ли обновляются системы, соответствует ли всё требованиям российского законодательства и международных стандартов.

Реорганизация бизнеса

Объединение с другой компанией, открытие филиалов в новых регионах или кратное увеличение объема операций — всё это создает повышенную нагрузку на ИТ-инфраструктуру. Аудит в таких случаях выявляет несовместимость технологических платформ разных подразделений, оценивает, выдержит ли текущая инфраструктура возросшие требования, и помогает избежать дорогостоящих простоев.

Отсутствие прозрачности в работе ИТ-службы

Если руководство не может получить четкого ответа на вопросы о том, чем занимается ИТ-отдел, сколько времени требуется на решение типовых задач и почему постоянно возникают задержки — это свидетельствует о проблемах в управлении. Аудит помогает навести порядок: выстроить понятные процессы, внедрить систему учета заявок и установить измеримые показатели эффективности.

Как выбрать компетентного ИТ-аудитора?

Выбор ИТ-аудитора является важным шагом при обследовании информационных технологий в компании. Необходимо тщательно выбирать аудитора, потому что результаты ИТ-аудита окажут большое влияние на инвестиции в инфраструктуру, ее функциональность и развитие. При выборе ИТ-аудитора лучше основываться на его опыте аудирования, построения и поддержания ИТ-инфраструктур. Так возрастают шансы того, что выбранный аудитор действительно разбирается в своем деле. Независимые профессионалы смогут дать объективную оценку и квалифицированные рекомендации. Также при выборе ИТ-аудитора стоит:

Определить потребности и ожидания. Какие информационные системы используются, какие проблемы нужно решить, какие цели необходимо достичь;
Проверить сертификацию и квалификацию аудитора. ИТ—аудитор должен иметь соответствующие профессиональные сертификаты и квалификацию для выполнения ИТ—аудита;
Убедиться, что ИТ-аудитор обладает надежными методами. ИТ-аудит должен быть проведен по надежным методикам, чтобы гарантировать точность оценки.

IТGLOBAL.COM также предлагает услуги ИТ-аудита. Мы — российский интегратор, поставщик ИТ-услуг, продуктов и сервисов, разработчик собственных программных продуктов. Обширный опыт в различных областях ИТ позволяет нам со всех сторон правильно подойти к аудиту, будь то виртуальная, аппаратная или программная часть инфраструктуры.