Как проходит аудит ИТ-инфраструктуры и зачем это делать

ИТ аудит является независимой экспертизой текущего состояния ИТ-инфраструктуры клиента, ее технического долга, определяющей степень ее согласованности с требуемыми критериями и показателями функционирования в соответствии с лучшими практиками и позволяющей сформировать стратегию дальнейшего развития ИТ-инфраструктуры и оптимизировать стоимость владения.

Цели аудита ИТ-инфраструктуры

В результате проведения аудита клиент получает объективную оценку состояния своей ИТ-инфраструктуры и рекомендации по улучшению ее количественных и качественных показателей. Получение объективной оценки и есть главная цель аудита. В процессе достижения этой цели производятся оценки различных составляющих системы по многочисленным критериям.

Следует понимать, что понятие «аудит ИТ-инфраструктуры» довольно обширное, так как включается в себя аудиты:

• информационной безопасности;
• инфраструктуры виртуализации;
• серверной инфраструктуры;
• сетевой инфраструктуры;
• систем хранения данных и сети хранения данных;
• платформенных сервисов;
• внешних сервисов.

Каждый вид аудита требует отдельной подготовки и различных способов проведения проверок. Но идеологически все они направлены на то, чтобы найти проблемы в той или иной части ИТ-инфраструктуры. Обобщив критерии, по которым проводятся данные аудиты, можно выделить следующие пункты:

• оценка безопасности. Проверка наличия и эффективности мер по обеспечению безопасности ИТ-инфраструктуры. Это включает в себя выявление уязвимостей, оценку рисков и рекомендации по улучшению безопасности данных и всей системы в целом;
• использование ресурсов. Поиск неэффективного использования ресурсов, таких как серверы, хранилища данных, сетевое оборудование, облачные хранилища;
• соответствие стандартам и законам. Проверка соответствия ИТ-инфраструктуры существующим нормативам, законам и стандартам, а также регуляторным требованиям;
• эффективность бизнес-процессов. Анализ ИТ-системы с точки зрения ее влияния на бизнес-процессы. Определение узких мест и возможностей для улучшения производительности и автоматизации бизнес-операций;
• обеспечение надежности и доступности. Гарантирование того, что ИТ-инфраструктура способна обеспечивать высокую доступность и надежность услуг и приложений для пользователей;
• управление рисками. Оценка рисков, связанных с ИТ-системой, и разработка стратегий и мероприятий для их снижения или управления;
• развитие и стратегическое планирование. Предоставление информации и рекомендаций, которые могут помочь организации разработать стратегический план для будущего развития ИТ-инфраструктуры;
• документация и стандартизация. Создание документации и стандартов, которые помогут обеспечить последовательность и качество работы в ИТ-системе;
• улучшение управления проектами. Оценка методов управления проектами в области ИТ и предоставление рекомендаций для их совершенствования;
• контроль над затратами. Идентификация излишних расходов и возможностей для экономии ресурсов и средств.

Подготовка к аудиту

1. Сбор информации о клиенте. Перед началом работ аудитор проводит удаленные интервью с работниками клиента. В ходе данных интервью производится ознакомление с действующими информационными системами, анализ и фиксация необходимой информации, а также ознакомление с документацией. Предварительный план интервью с сотрудниками состоит из следующих пунктов:
   • интервью с сотрудниками, ответственным за бизнес-процессы, для которых используется аудируемая ИТ-инфраструктура;
   • интервью с сотрудниками, ответственным за обеспечение информационной безопасности. В ходе данного интервью осуществляется сбор информации о существующих процессах по обеспечению информационной безопасности информационной системы, находящейся в области аудита, и ознакомление с документацией по обеспечению ИБ;
   • интервью с сотрудниками, ответственными за функционирование и администрирование компонентов информационной системы. В ходе данных интервью осуществляется сбор информации о компонентах информационной инфраструктуры и их настройках, находящихся в области аудита.
2. Подготовка аудиторской команды. Выбор и подготовка аудиторской команды критически важны для успешного проведения аудита. Аудиторы должны иметь соответствующие навыки и опыт в области аудита необходимой ИТ-инфраструктуры. Они также должны быть знакомы с технологиями и инструментами, используемыми клиентом.
3. Разработка плана аудита. На основе собранной информации о клиенте разрабатывается план аудита. План включает в себя методологию аудита, перечень проверяемых параметров и ресурсы, необходимые для его выполнения.
4. Подготовка инструментов и ресурсов.Необходимо подготовить все необходимые инструменты и ресурсы для проведения аудита. Это может включать в себя программное обеспечение для сканирования сети, аппаратное оборудование, необходимое для сбора данных, а также аудиторские шаблоны и стандарты.

Компоненты аудита

Следующий этап аудита ИТ-инфраструктуры — сбор информации. Он является ключевым этапом, на котором аудиторы собирают все необходимые данные о текущем состоянии информационных технологий в организации. В зависимости от типа аудита проверяются различные компоненты системы.

• Информационная безопасность: — анализ состояния информационной безопасности (внешнее и внутреннее тестирование на проникновение; соответствие ФЗ-152; соответствие PCI-DSS).
• Виртуальная инфраструктура: — состояние виртуальной инфраструктуры; — архитектура виртуальной инфраструктуры; — состояние кластера vSAN
• Серверная инфраструктура: — состояние существующей серверной инфраструктуры; — архитектура серверной инфраструктуры; — использование ресурсов серверной инфраструктуры; — программное обеспечение серверной инфраструктуры: — мониторинг серверной инфраструктуры.
• Сетевая инфраструктура: — состояние существующей сетевой инфраструктуры; — архитектура сетевой инфраструктуры; — системные настройки элементов сетевой инфраструктуры; — работа уровней L2 и L3 сетевой инфраструктуры; — сетевая безопасность инфраструктуры; — мониторинг сетевой инфраструктуры.
• Инфраструктура хранения данных (системы хранения данных (СХД) и сеть хранения данных (SAN)): — состояние существующей инфраструктуры хранения данных; — архитектура инфраструктуры хранения данных; — использование ресурсов систем хранения данных.
• Платформенные сервисы: — сбои или неисправности, связанные с некорректной работой платформенных сервисов; — системные настройки платформенных сервисов согласно рекомендациям производителя; — состояние ПО; — мониторинг.
• Внешние сервисы: — используемые внешние сервисы, включая облачные решения; — соответствие использования сервисов поставленным задачам.

Отчетность

Все интересующие компоненты аудита согласовываются до его начала. После чего проводится сбор всей необходимой информации по выбранным пунктам аудита. Собрав необходимую информацию, аудиторы проводят анализ по многочисленным критериям и составляют финальный отчет.

Отчет анализа ИТ-инфраструктуры является ключевым результатом аудита и представляет собой документ, в котором подробно описываются результаты анализа, выявленные проблемы и рекомендации для улучшения. Отчет включает в себя:

• обзор ИТ-инфраструктуры: — общая информация о структуре и характеристиках ИТ-инфраструктуры; — схемы сетей, конфигурация серверов и другие технические детали;
• результаты анализа: — выявленные уязвимости и проблемы в безопасности; — описание текущих конфигураций и нарушений политик безопасности; — информация о производительности систем и сетей; — анализ логов и журналов для обнаружения аномалий;
• оценку рисков: — оценка рисков, связанных с текущим состоянием ИТ-инфраструктуры; — идентификация потенциальных угроз и вероятности их возникновения; — оценка воздействия инцидентов безопасности на организацию;
• рекомендации: — подробные рекомендации по устранению уязвимостей и проблем безопасности; — советы по улучшению производительности систем и сетей; — рекомендации по соблюдению стандартов и лучших практик;
• план действий: — план действий для внедрения предложенных изменений и улучшений; — указание на приоритетность действий и ресурсы, необходимые для их выполнения;
• варианты развития инфраструктуры.

Польза для бизнеса

Прохождение аудита ИТ-инфраструктуры помогает бизнесу оценить текущее состояние своих ИТ-систем и принять информированные решения по их улучшению и оптимизации. Он также позволяет обеспечить контроль и защиту бизнес-процессов, что в конечном итоге увеличивает эффективность и конкурентоспособность компании. В результате аудита компания может получить бесценную для себя информацию:

• выявление уязвимостей и рисков. Аудит помогает выявить уязвимые места и слабости в ИТ-инфраструктуре, что позволяет бизнесу принимать меры по устранению этих проблем;
• улучшение эффективности. Результаты аудита позволяют руководству бизнеса определить, где нужно сделать изменения и улучшения, чтобы сделать процессы более эффективными;
• соответствие стандартам и требованиям. Аудит позволяет бизнесу проверить, соответствует ли ИТ-инфраструктура стандартам и требованиям законодательства в соответствующей области деятельности;
• защита конфиденциальности. Аудит помогает убедиться, что системы защиты конфиденциальности данных функционируют должным образом и не нарушают никаких норм и правил;
• экономия ресурсов. Аудит помогает определить, где можно сэкономить и оптимизировать затраты на ИТ-инфраструктуру.

Даже несмотря на очевидные плюсы, в большинстве российских компаний обычно не принято проводить аудиты своих ИТ-инфраструктур. Руководство часто не видит смысла платить за какую-то бумажку, в которой будут одни только указания на недостатки. Ведь после аудита придется платить еще кому-то за приведение системы к требуемому уровню. Подробнее об этой проблеме, почему это неправильное мышление и как ИТ-аудит поможет компаниям сэкономить ресурсы, мы рассказали в другой нашей статье.

Как выбрать компетентного ИТ-аудитора?

Выбор ИТ-аудитора является важным шагом при обследовании информационных технологий в компании. Необходимо тщательно выбирать аудитора, потому что результаты ИТ-аудита окажут большое влияние на инвестиции в инфраструктуру, ее функциональность и развитие. При выборе аудитора лучше основываться на его опыте аудирования, построения и поддержания ИТ-инфраструктур. Так возрастают шансы того, что выбранный аудитор действительно разбирается в своем деле. Независимые профессионалы смогут дать объективную оценку и квалифицированные рекомендации. Также при выборе аудитора стоит:

• определить потребности и ожидания. Какие информационные системы используются, какие проблемы нужно решить, какие цели необходимо достичь;
• проверить сертификацию и квалификацию аудитора. ИТ-аудитор должен иметь соответствующие профессиональные сертификаты и квалификацию для выполнения ИТ-аудита;
• убедиться, что ИТ-аудитор обладает надежными методами. ИТ-аудит должен быть проведен по надежным методикам, чтобы гарантировать точность оценки.

ITGLOBAL.COM также предлагает услуги ИТ-аудита. Мы — российский интегратор, поставщик ИТ-услуг, продуктов и сервисов, разработчик собственных программных продуктов. Обширный опыт в различных областях ИТ позволяет нам со всех сторон правильно подойти к аудиту, будь то виртуальная, аппаратная или программная часть инфраструктуры.