Аудит ИТ инфраструктуры

Аудит информационных систем – это процесс проведения всестороннего анализа ИТ-инфраструктуры на предмет её  соответствия определённым стандартам, политикам и регламентам.

Основные цели ИТ-аудита:

• Требуется создание документации по имеющейся инфраструктуре.
• Требуется проверить соответствия инфраструктуры, определённой политике.
• Требуется создание регламента или политики с целью оптимизации инфраструктуры.
• Требуется определить удовлетворяет ли ИТ-инфраструктура бизнес потребностям компании.
• Требуется выяснить причины инцидентов, сбоев, отказов в обслуживании.
• Требуется установить, соответствует ли ИТ-инфраструктура политике безопасности.
• Требуется собрать данные перед проведением крупномасштабных реорганизаций ИТ-инфраструктур, например при слиянии и разделении компаний.
• Требуется проверить квалификацию персонала ИТ отдела.
• Требуется оценка оправданности затрат на ИТ, с целью  их снижения.
• Требуется проверить и протестировать соответствие регламенту резервного копирования.
• После завершения проекта требуется проверить, выполнено ли проектное задание.

Аудит независимой компанией просто необходим в том случае, если завершилось выполнение какого-либо  проекта системным интегратором. Только независимая экспертиза, обладающая высококвалифицированными специалистами, сможет проверить правильность выполнения проекта и его соответствие техническому заданию. Аудит является необходимым этапом перед началом проекта по реорганизации IT инфраструктуры, или даже составления ТЗ на проект.

Вообще, аудиты рекомендуется проводить на регулярной основе, например раз в год, даже если не проводится никаких изменений в инфраструктуре, поскольку даже очень хорошо спроектированная инфраструктура нуждается в регламентном обслуживании и контроле. По своему опыту мы можем  сказать, что очень часто в процессе аудита выявляется, например, что в компании уже длительное время не выполняется резервирование данных, ввиду ошибки системы, либо смены пароля учётной записи агента резервирования, а в RAID массивах имеются вышедшие из строя диски. Т.к. до определённого времени инфраструктура продолжает нормально функционировать, об этих проблемах никто даже не подозревает. И как только происходит отказ, выясняется, что резервных копий нет, а потеря данных очень часто выливается в весьма ощутимые финансовые потери. Естественно, такая ситуация является также и причиной неправильной организации процессов управления ИТ. Самой большой ошибкой является то, что к услугам аудита многие компании прибегают только после возникновения проблем, хотя некоторые компании проводят аудит на регулярной основе.

IT-аудит можно разделить на 4 глобальных этапа:

1. Сбор информации. Сбор информации заключается в глубоком анализе всех уровней иерархии информационной системы. Анализируется специфика бизнеса компании и ожидание от ИТ. Ведётся разговор с пользователями разных подразделений, выясняется, с какими ИТ сервисами им приходится работать, а также выясняется степень их удовлетворённости в том или ином сервисе. Проводится анализ процессов, протекающих в ИТ отделе, анализируется уровень сервиса. Составляется список политик и регламентов. Строится структура информационной системы в целом. Проводится анализ состояния оборудования, его настроек и параметров. Проводится анализ установленного программного обеспечения. Проверяется корректность всех параметров. Используется ПО для массового сбора информации.  Анализируются журналы серверов и приложений, собираются логи с физических устройств.
2. Анализ собранных данных. Все собранные в процессе аудита данные анализируются группой специалистов. Проверяется оптимальность инфраструктуры в целом и её соответствие бизнес задачам компании. Анализируется оптимальность процессов управления ИТ и степень удовлетворённости потребностям бизнеса. Проверяется корректность настроек оборудования и программного обеспечения. Производится сверка утвёрждённых в компании политик с реальными параметрами программного обеспечения и оборудования. Проверяется корректность политики резервного копирования, а также её соответствие реально выполняющимся резервным копиям.
3. Составление документации. По итогам анализа составляется подробный отчёт, который содержит описание ИТ-инфраструктуры в целом, начиная от параметров ПО и оборудования, заканчивая ИТ процессами. Также в отчёте отдельно указываются все найденные несоответствия или противоречия.
4. Создание стратегии развития или реорганизации. Вместе с отчётом аудита, заказчик получает рекомендации по реорганизации ИТ-инфраструктуры. Рекомендации по оптимизации ИТ процессов, рекомендации по изменению тех или иных параметров ПО и оборудования, рекомендации по оптимизации затрат или замене ИТ персонала.

  При проведении аудитов компания ЛанКей руководствуется мировыми стандартами управления ИТ, такими как CobiT (Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»), разработанный организацией ISACA (Information Systems Audit and Control Association), стандартами серии ITIL/ITSM (IT Infrastructure Library/ IT Service Management). Использование данных стандартов позволяет применять опыт, накопленный ИТ отделами сотен стран мира, которые постоянно обновляются и совершенствуются. На данный момент стандарт CobiT имеет версию 4.1, а ITIL 2.0.

Тем не менее, мы понимаем, что не все западные стандарты могут быть применены к большинству российских компаний, именно поэтому нами разработано множество собственных методик по организации и управлению информационными системами. Мы знаем специфику бизнеса в России и знаем, как адаптировать под него информационные технологии.