Зачем нужен ИТ-аудит
ИТ аудит - это анализ состояния компьютеров, серверов, сети, периферийного оборудования, программного обеспечения и оргтехники. Своевременный и грамотно проведенный IT аудит, поможет предотвратить возможные сбои в работе IT-инфраструктуры, определить ее уязвимые места и дать прогноз на её работу в ближайшее время, что очень важно для стабильной работы IT.
Без предварительного IT-аудита невозможен анализ рисков в области защиты информации. Как правило, руководитель предприятия не знает уязвимые места информационной системы, через которые может происходить потеря конфиденциальной информации. Благодаря IT аудиту, руководитель предприятия может узнать, какова степень информационной безопасности предприятия и позволяет принимать своевременные меры по предотвращению проблем. Перед внедрением новых сервисов и их конфигураций в действующую информационную систему, также нужно предварительно провести IT аудит. Перед проведением самого IT аудита, рекомендуется провести IT-диагностику, чтобы определить состав работ, сроков проведения и их стоимости. В процессе диагностики производится сбор информации, который необходим для определения проблем в IT-инфраструктуре предприятия. В дальнейшем, с помощью этой информации, разрабатываются конкретные предложения по проведению IT-аудита на предприятии.
Подготовка и проведение IT аудита:
- определение целей с руководителем предприятия;
- определение рабочей области для аудита;
- подготовка к проведению;
- проведение ИТ-аудита;
- предоставление отчета по результатам IT-аудита.
Этапы аудита:
первый этап - производится исследование, сбор информации о программном и аппаратном обеспечении, коммуникациях, защите данных и т.д. Также производится опрос сотрудников заказчика, с целью выявления функциональных и пользовательских недочетов системы; второй этап - комплекс аналитических процедур, позволяющих подготовить отчёты, рекомендации и список конкретных мероприятий по аппаратному и программному улучшению IT-системы, устранению недочётов и ошибок. Для предприятий малого-среднего бизнеса, для проведения IT аудита, наибольший интерес, как правило, представляет:
- информационная безопасность;
- надежность и эффективность информационной системы;
- грамотный расход средств на IT-инфраструктуру.
ИТ аудит подразделяется на:
1. Аудит оборудования:
- проверка состояния рабочих мест и оргтехники;
- проверка состояния серверов и оборудования;
- проверка состояния сетевого оборудования и кабельной системы;
- анализ источников питания и их достаточности.
2. Аудит программного обеспечения:
- анализ программного обеспечения, установленного на компьютерах и серверах клиента;
- Проверка прав на использование программного обеспечение, наличие лицензий.
3. Аудит каналов связи и коммуникации:
- проверка каналов передачи данных;
- проверка работы корпоративной электронной почты;
- проверка работы телефонии.
4. Аудит систем безопасности:
- проверка используемых систем информационной безопасности;
- проверка антивирусной защиты и защиты от спама;
- проверка возможных путей доступа к информации предприятия;
- проверка систем защиты на возможность взлома;
- проверка настроек безопасности сети;
- проверка системы хранения данных и их резервных копий.
Таким образом, Аудит ИТ повышает эффективность работы IT-инфраструктуры, грамотно распределяет расходы на ее модернизацию, построить оптимальную модель развития ИТ-инфраструктуры предприятия.