Как проводить аудит ит бизнеса

Процессы удобно масштабируются как на уровень всего предприятия, так и на уровень отдельной информационной системы (далее – ИС), контроли, описанные ниже, актуальны на всех уровнях. В статье проведен анализ и оценка контролей в масштабе предприятия.

2. Процесс дублирования (обеспечение отказоустойчивости) ключевых ИТ-модулей

К ключевым ИТ-модулям предприятия можно отнести серверы, базы данных, сетевое оборудование, а также иное оборудование и сервисы, выход из строя которых приведет к недоступности предоставляемых ИТ-услуг на предприятии.

Цель указанного процесса – исключение риска недоступности сервисов и информационных систем предприятия в результате возникновения нештатной ситуации.

Для минимизации указанного риска необходим контроль наличия дублирующего компонента ключевых ИТ-модулей предприятия.

Показателем качественно реализованного процесса является отсутствие на предприятии ключевых ИТ-модулей без соответствующего дублирующего компонента.

ИТ-аудит: анализ базовых процессов обеспечения ИБ и эксплуатации ИТ-инфраструктуры

Показателем НЕкачественно реализованного процесса является обнаружение хотя бы одного ключевого ИТ-модуля без соответствующего дублирующего компонента.

Агрессивность метрики показателя качества контроля (обнаружение хотя бы одного ключевого ИТ-модуля без соответствующего дублирующего компонента) обусловлена архитектурой ИТ. Как правило, ключевые ИТ-модули являются частью взаимосвязанного комплекса технических средств (далее – КТС), например, ИС. В случае выхода из строя одного из ключевых модулей (например, сервера приложений, СУБД 4 , сетевого оборудования) недоступным окажется весь КТС (информационная система).

Оценить качество реализации процесса можно на основании анализа архитектуры дублирования ключевых ИТ-модулей предприятия. В качестве примера возьмем ИС, состоящую из сервера приложений и сервера СУБД. Необходимо проанализировать технологию, обеспечивающую дублирование на уровне сервера приложений и на уровне сервера СУБД. Ключевым показателем в описанном примере будет наличие/ отсутствие дублирующих компонентов для сервера приложений, сервера СУБД, а также данных сервера СУБД, на которые перейдет вся нагрузка в случае возникновения нештатной ситуации на основных компонентах.

Личный опыт и подводные камни:

В качестве источника данных для проведения анализа архитектуры дублирования ключевых ИТ-модулей необходимо использовать документацию КТС (например, схему реализации). Ускорить процесс изучения поможет интервью с архитектором, владельцем, администратором КТС. Также рекомендуется изучить инциденты, связанные с недоступностью КТС в прошлом на предмет причины некорректной отработки системы дублирования ключевых ИТ-модулей.

Одной из распространенных ошибок, допускаемых при оценке качества реализации процесса, является поверхностный анализ процесса из-за непонимания архитектуры КТС. На примере ИС, описанной выше (сервер приложений / сервер СУБД), могут быть реализованы дублирующие компоненты на уровне сервера приложений и на уровне сервера СУБД, но на уровне данных дублирование может отсутствовать. Подробности на схеме ниже:

ИТ – Аудит: Что это, зачем и как?

На схеме 1 серверу 1 присвоен статус «дублирование обеспечено». Указанная оценка будет некорректной поскольку данные не дублируются. В случае возникновения нештатной ситуации вся нагрузка перейдет на дублирующий сервер с развернутой на нем СУБД, но данных в СУБД не будет, а, следовательно, работоспособность ИС восстановлена не будет. Корректная оценка статуса дублирования сформирована на схеме 2: серверу 2 «дублирование НЕ обеспечено».

3. Процесс резервного копирования ключевых ИТ-модулей

Резервное копирование ключевых ИТ-модулей (далее – РК) предприятия необходимо на случай, если нештатная ситуация все-таки произошла, и все реализованные процессы ИБ и ИТ, направленные на обеспечение непрерывности предоставляемых ИТ-услуг предприятия, сработали некорректно или не сработали вовсе.

Цель указанного процесса – исключение риска потери данных информационных систем предприятия в результате возникновения нештатной ситуации на ключевых ИТ-модулях и дублирующих компонентах.

Рассмотрим контроль, реализация которого необходима для минимизации указанного риска в рамках процесса резервного копирования ключевых ИТ-модулей:

• контроль наличия резервных копий ключевых ИТ-модулей предприятия;
• возможность восстановить работоспособность на момент времени, указанный владельцем КТС (ИС).

Показателем качественно реализованного процесса является наличие резервных копий для всех ключевых ИТ-модулей предприятия, обеспечивающих возможность восстановления работоспособности на момент времени, указанный владельцем КТС (ИС).

Показателем НЕкачественно реализованного контроля является отсутствие резервных копий хотя бы для одного ключевого ИТ-модуля предприятия, а также отсутствие возможности восстановления работоспособности на момент времени, указанный владельцем КТС (ИС).

Агрессивность метрики показателя качества контроля обусловлена архитектурой ИТ. Если для восстановления работоспособности вам потребовались файлы резервного копирования, значит, все остальные инструменты поддержания работоспособности не выполнили свою функцию должным образом и резервная копия является последней возможностью восстановить работоспособность ИТ-услуги.

Оценить качество реализации процесса можно на основании анализа схемы РК ключевых ИТ-модулей предприятия. В качестве примера возьмем информационную систему, состоящую из двух серверов: сервера приложений и сервера СУБД. Необходимо проанализировать схему РК указанной ИС. Ключевым показателем в описанном примере будет наличие/ отсутствие резервных копий, необходимых для восстановления работоспособности ИТ-модулей на момент времени, указанный владельцем КТС (информационной системы), в случае возникновения нештатной ситуации.

Личный опыт и подводные камни:

В качестве источника данных для проведения анализа схемы РК ключевых ИТ-модулей можно использовать документацию по КТС, а также интервью с владельцем, архитектором, администратором КТС.

Одной из распространенных ошибок, допускаемых при оценке качества реализации процесса, является отказ от обсуждения схемы РК с владельцем КТС (ИС). Владелец, как правило, не посвящен в тонкости процесса РК (для него есть два статуса реализации процесса РК: процесс реализован или процесс не реализован), он может уточнить свое видение процессов, пояснить: какая часть данных, обрабатываемых в КТС, является критичной, сколько времени может быть недоступен КТС при восстановлении данных из резервной копии, данные за какой период могут быть потеряны без существенной деградации сервиса. При этом даже в случае реализованного процесса РК нужно понимать, что если процесс резервного копирования запускается один раз в сутки в 02.00, то в случае аварии в 01.59 будет потерян прогресс всех обработанных данных за последние 23 часа 59 минут. Подробнее на схеме ниже:

Для построения корректной системы резервного копирования необходимо уточнить у владельца КТС, какой прогресс обработанных данных он готов безвозвратно потерять при аварии (24 часа, 1 час, 5 минут, вообще не готов терять информацию). На основании ответа владельца КТС разрабатывается и внедряется РК КТС (информационной системы).

4. Процесс мониторинга ИТ- и ИБ-метрик

Грамотно настроенный процесс мониторинга позволяет реализовать превентивные меры по предотвращению аварийных ситуаций и инцидентов ИБ, приводящих к недоступности предоставляемых ИТ-услуг на предприятии.

Цель указанного процесса – исключение следующих рисков:

• недоступность сервисов и информационных систем предприятия в результате возникновения нештатной ситуации за-за отсутствия оперативного реагирования;
• компрометация данных предприятия в результате отсутствия оперативного реагирования.

Показателем качественно реализованного процесса является наличие разработанных и обновляемых метрик ИТ и ИБ, поставленных на мониторинг.

Показателем НЕкачественно реализованного процесса является отсутствие мониторинга разработанных и обновляемых метрик ИТ и ИБ.

Оценить качество реализации процесса можно на основании анализа метрик, разработанных для ИТ и ИБ. Необходимо провести анализ процесса формирования и актуализации метрик. Ключевым показателем для оценки качества реализации процесса будет наличие метрик, сформированных для ИТ и ИБ, а также периодическая актуализация сформированных метрик.

Личный опыт и подводные камни:

Как правило, разрабатывается общий (базовый) набор метрик ИТ (например, доступности, свободных ресурсов оборудования, работоспособности) и метрик ИБ (например, попытки подключения к ресурсу неавторизованных пользователей, попытки скачать из информационной системы информацию ограниченного доступа, количество попыток ввода неверного пароля). В случае необходимости для отдельной ИС могут быть разработаны дополнительные индивидуальные метрики ИТ и ИБ. Необходимо проверить наличие и процесс актуализации вышеописанных метрик.

Одной из распространенных ошибок, допускаемых при оценке качества реализации процесса, является отказ от обсуждения метрик с владельцем КТС. Кроме реализованных базовых метрик необходимо уточнить у владельца, что он считает существенным в своем КТС. Например, владелец КТС может указать на определенные таблицы в СУБД, содержащие критически важную информацию, обращения к которым должны быть поставлены на мониторинг.

Также рекомендуется изучить инциденты, связанные с недоступностью КТС в прошлом, на предмет реализации метрик, позволяющих применять превентивные меры по предотвращению похожих инцидентов в будущем.

5. Вывод

В статье намеренно не используются сложные технические описания и формулировки. Пусть вас не смущает простота изложенного материала, т.к. пренебрежение значимостью указанных процессов может привести к необратимым последствиям.

Кейсы эксплуатации ИТ-инфраструктуры, описанные в статье, приводят к временной недоступности сервисов предприятия, а в некоторых случаях – к невозможности восстановить работоспособность ИТ-услуги полностью. Также в случае некорректной реализации указанных процессов велика вероятность потери данных ИС предприятия.

1 Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением более чем 4000 внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru

2 ITIL (ранее аббревиатура от англ. IT Infrastructure Library) — библиотека книг, описывающих лучшие практики на тему инфраструктуры информационных технологий, курируемая правительством Великобритании, и связанная с ней активность по популяризации, сертификации и применению данных практик. https://ru.wikipedia.org/wiki/ITIL

3 ITSM (IT Service Management, управление ИТ-услугами) — подход к управлению и организации ИТ-услуг, направленный на удовлетворение потребностей бизнеса. Управление ИТ-услугами реализуется поставщиками ИТ-услуг путем использования оптимального сочетания людей, процессов и информационных технологий. Для содействия реализации подхода к управлению ИТ-услугами используется серия документов ITIL. https://ru.wikipedia.org/wiki/ITSM

4 Систе́ма управле́ния ба́зами да́нных — совокупность программных и лингвистических средств общего или специального назначения, обеспечивающих управление созданием и использованием баз данных. СУБД — комплекс программ, позволяющих создать базу данных (БД) и манипулировать данными (вставлять, обновлять, удалять и выбирать).

Источник: www.audit-it.ru

Как провести аудит информационной безопасности?

Аудит информационной безопасности — это процесс, проводимый для выявления угроз, которые могут привести к потере конфиденциальности, целостности или доступности информации. Процедура предназначена для организаций, для которых информация имеет решающее значение. Аудит должен выполняться регулярно или после каждого существенного изменения ИТ-инфраструктуры компании или ее процедур безопасности.

Что такое ИТ-аудит?

Аудит ИТ-систем — это не что иное, как проверка и оценка ИТ-систем в компании и связанных с ними неавтоматизированных процессов. Планирование аудита ИТ-безопасности включает два этапа. Первым шагом должен быть сбор информации и планирование конкретных аудиторских мероприятий. На этом этапе аудитор должен рассмотреть 5 аспектов:

• Специфику бизнеса и производственных процессов.
• Результаты аудита прошлых лет.
• Последние тенденции и передовой опыт.
• Правовые нормы.
• Неотъемлемые элементы оценки риска.

Следующим шагом является осуществление аудита, который состоит из следующих этапов:

• Исследование и оценка ИТ-инфраструктуры.
• Тестирование и оценка систем.
• Составление отчетов.

Аудит ИТ-безопасности может также включать контролируемые атаки на сетевую инфраструктуру и проверку реакции сотрудников в ситуациях, угрожающих кибербезопасности. Тесты на проникновение направлены на выявление уязвимостей в безопасности.

5 категорий аудита ИТ-безопасности

Если вы хотите получить действительно достоверную информацию и полностью обезопасить данные вашей компании и целостность ИТ-систем, аудит ИТ-безопасности необходимо проводить на 5 уровнях:

1. Системы и приложения. Аудит гарантирует, что они эффективны, актуальны, надежны, своевременны и безопасны на всех уровнях бизнеса.
2. Оборудование для обработки информации. Регулярный контроль обеспечивает корректную, своевременную и штатную работу как в нормальных, так и в аварийных условиях.
3. Развертывание новых систем. Все разрабатываемые системы должны внедряться в соответствии со стандартами организации.
4. Управление ИТ и корпоративной культурой. В последние годы самым большим источником угроз для ИТ-безопасности компании были не системы или приложения, а люди. Главные причины проблем: ошибка пользователя, использование ранее украденных данных, ошибки в настройке компонентов.
5. Клиент/сервер, телекоммуникации, интранет и экстранет: ИТ-аудит исследует элементы управления телекоммуникациями, такие как сервер и сеть, которая является «мостом» между клиентами и серверами.

Сколько времени занимает ИТ-аудит?

Это зависит от компании, ее специфики и размера. Обычно аудит ИТ-безопасности длится около месяца. Итогом выполненных работ является подготовка отчета и графика корректирующих действий, которые должны быть реализованы после окончания аудита. IT-специалисты также указывают на состояние информационной безопасности в компании и необходимость привлечения внешних специалистов и аутсорсинговых компаний.

Как проходит ИТ-аудит?

Изначально компания-аудитор собирает диагностические и конфигурационные данные. Дополняет необходимую информацию интервью с сотрудниками и запрашивает у клиента ИТ-процедуры. Далее следует этап анализа данных. По окончании проверки отправляет отчет, который содержит описание фактов и их сравнение с предыдущей проверкой (если таковая была).

В отчет включаются рекомендации по изменениям и предложения по безопасности, подробное описание каждого компьютера и сервера, тесты дисков и памяти. Также проверяются процедуры и их применение, проводится оценка рисков.

Получите скидку до 10%
на обслуживание
Оставьте заявку на расчет и зафиксируйте скидку до конца года

Отчет должен отвечать на следующие вопросы:

• Безопасны ли применяемые процедуры и политики?
• Есть ли у серверов базовая безопасность?
• Эффективны ли рабочие станции?
• Является ли оборудование, на котором работаем компания, современным, технически эффективным и достаточным?
• Есть ли у компании нелегальное программное обеспечение?
• Каков уровень безопасности компьютерной сети?
• Безопасен ли доступ к данным?
• Каковы слабые места инфраструктуры и где находятся потенциальные угрозы и высок ли связанный с ними риск
• Что мы можем сделать, чтобы перейти на следующий уровень?

Остались вопросы? Оставляйте заявку на консультацию! Компания 1BITcloud предлагает услуги по поддержке IT-инфраструктуры любого бизнеса и полностью гарантирует контроль за выполнением обозначенных работ. Обращаясь к нам, вы гарантированно получите качественное информационное сопровождение в максимально сжатые сроки.

Источник: 1bitcloud.ru

Как проводить аудит ит бизнеса

сетевого оборудования (активного и пассивного), электрических кабелей, источников бесперебойного питания;

документирование результатов аудита.

Аудит оборудования, а проще говоря ревизию, можно проводить на основе его местоположения, а можно — на основе категорий. В первом случае аудит физической ИТ-среды разделяют на части в соответствии с отделами (комнатами), во втором разделение идет по категориям: ПК, серверное оборудование, принтеры и т.д. Также можно работать по группам предметов: стойка в серверной со всем оборудованием, рабочий стол и подобные.

Аудит программного обеспечения

Аудит ПО проводят с целью дать независимую оценку тому, соответствуют ли используемые в компании программные продукты и процессы стандартам, и руководствам. Он включает:

• проверку ПО, установленного на рабочих компьютерах и серверах, на наличие лицензий и прав на использование;
• обследование ПО на производительность и необходимость установки обновлений;
• анализ кода приложений и оценка его соответствия стандартам, руководствам и передовым практикам;
• документирование результатов аудита.

Для аудирования ПО рекомендуются следующие роли:

принимающий решение о необходимости аудита. Он устанавливает цель и объем аудита, определяет критерии оценки, определяет аудиторский персонал, решает, какие последующие действия потребуются, распространяет аудиторский отчет.

Ведущий аудитор

способный проводить непредвзятые, объективные оценки. Он отвечает за выполнение административных задач: подготовка плана аудита, формирование группы аудиторов и управление ею, обеспечение соответствия аудита поставленным задачам.

Регистратор
документирует действия, решения и рекомендации группы аудита, а также аномалии в ПО.

Аудиторы (или один)

которые проверяют продукты, определенные в плане аудита, документируют свои наблюдения и рекомендуют корректирующие действия.

Операции по ИТ-аудиту программного обеспечения может проводить сторонняя организация. Это предпочтительный вариант для тех, кто хочет доверить процесс профессионалам и получить независимые оценки и рекомендации.

Аудит каналов связи и коммуникацииость

• обследование и описание имеющихся каналов передачи данных;
• анализ работы всех видов телефонии;
• анализ работы и настроек корпоративной электронной почты;
• документирование результатов аудита

Аудит систем безопасности

Этот вид ИТ-аудита также называют аудитом управления рисками. Он помогает опережать внутренние нарушения безопасности и внешние кибератаки, которые ставят под угрозу репутацию и финансы компании. В аудит систем безопасности входят проверки, анализы и обследования:

всех систем информационной безопасности (ИБ) компании на отказоустойчивость;

работы антивирусной и антиспам-защиты;

систем защиты от взлома инфраструктуры;

систем хранения и бэкапирования данных;

систем обработки персональных данных;

возможных путей доступа к информации компании;

межсетевых настроек безопасности;

настроек сетевых политик.

Эти проверки можно осуществлять с помощью сторонних компетентных организаций, специализированного ПО или пентеста. Последнее — это тестирование на проникновение в ИС компании через моделирование поведения злоумышленника или провокацию персонала с целью выявления недобросовестного работника (проводят компании, специализирующиеся на ИБ).

Виды ИТ-аудита

IT-аудит делят на виды в зависимости от масштаба проверки инфраструктуры. В основном выделяют три вида: экспресс-аудит, комплексный и направленный. Расскажем о них.

Экспресс ИТ-аудит

Это поверхностный, быстрый анализ системы, при котором собирают только общие данные о ее состоянии. Тем не менее он позволяет оценить сложность инфраструктуры, какие существуют проблемные места, насколько правильно и оптимально используют оборудование. Аудит проводят в течение 1-3 дней. Его часто применяют перед новым проектом, чтобы оценить потенциал системы.

• списки рабочих мест, серверов, ПО и активного сетевого оборудования
• минимальные рекомендации по оптимизации

Комплексный ИТ-аудит

Подразумевает подробное, всестороннее, полное обследование ИТ-инфраструктуры, включая квалификацию ИТ-персонала. Его производят с целью сверить, насколько состояние и развитие информационных систем соответствует планам развития бизнеса в целом. Такой аудит в зависимости от размера компании могут производить в течение длительного времени: от одной до нескольких недель.

Комплексный аудит проводят в три этапа:

1. Сбор информации обо всех элементах IT-инфраструктуры.
2. Составление отчетов.
3. Разработка проекта по оптимизации или глобальной модернизации инфраструктуры.

Направленный ИТ-аудит

Этот вид аудита преследует цель получить информацию о состоянии выбранных элементов инфраструктуры или направлен на определенные процессы. Его также называют целевым ИТ-аудитом. Целевой ИТ-аудит часто направлен на отдельные составляющие ИТ-инфраструктуры например, только на систему закупок или на компьютерную сеть и структурированную кабельную систему (СКС). Подразделяется на аудит по критерию и аудит бизнес-процесса. Отчет по результатам направленного ИТ-аудита будет включать описание выбранной составляющей инфраструктуры и рекомендации, которые касаются только ее.

При аудите по критерию собирают и анализируют сведения об ИТ-инфраструктуре только в рамках выбранного критерия, например, производительности или безопасности. Отчет в данном случае будет содержать оценку систем на соответствие, а также анализ причин и рекомендации по улучшению инфраструктуры в случае несоответствия выбранным критериям.

При аудите бизнес-процесса проводят проверку инфраструктуры не для всей компании, а для определенного бизнес-процесса. Это может быть аудит техники, персонала, ИТ-услуг или ИТ-процессов.

Этапы проведения аудита ИТ-инфраструктуры

Чтобы результаты аудита можно было использовать максимально эффективно, лучше проводить эту процедуру последовательно, предварительно распланировав все этапы. Классически их выделяют пять:

Проверка узлов или элементов IT-инфраструктуры, включая инвентаризацию оборудования и обследование ПО, антивирусов.

Классификация и оценка найденных проблем и «бутылочных горлышек» инфраструктуры.

Определение методов решения найденных проблем и способов оптимизации структуры.

Агрегация выводов и составление рекомендаций на их основе.

Сведение результатов аудита и рекомендаций по улучшению инфраструктуры в отчет.

Сюда же должны войти описание предполагаемых выгод от применения рекомендаций и расчет затрат на работы по устранению проблем и оптимизации систем.

Проблемы, которые могут возникнуть при проведении IT-аудита инфраструктуры

При проведении аудита могут возникнуть трудности, причины которых уходят корнями еще в дни основания компании. Хорошие новости заключаются в том, что к основным из них можно подготовиться и исправить проблемы так, чтобы к следующему аудиту они не возникали. Перечислим их.

Проблема;Как должно быть

Руководство компании не поставило четкую задачу с подробным описанием целей.;Руководство должно хорошо понимать само и донести до аудиторов, для чего необходим ИТ-аудит вплоть до ближайших бизнес-целей. Исполнители не должны додумывать, что и зачем необходимо улучшать, если задача поставлена скупо, например, «улучшить IT-инфраструктуру в целом».

Отсутствие источников информации. Например, когда нужной информацией об элементах инфраструктуры владеют уже неработающие сотрудники, а контакта с ними нет.;Сотрудники, обладающие ценной информацией об инфраструктуре компании должны перед увольнением проводить хотя бы экспресс-аудит, в результате которого фиксировать данные в отчете так, чтобы у новых сотрудников не возникало вопроса «зачем это сделано».

Отсутствие документации на оборудование и ПО, лицензионных и регистрационных документов, договоров (или копий) на услуги сервисных провайдеров (интернет, хостинг, телефония, бухгалтерия, системы автоматизации).;Любой IT-сотрудник должен знать, куда он может обратиться в случае проблем с элементами инфраструктуры. Для удобства копии документов можно хранить в электронном виде (в форме сканов, фотографий).

Отсутствие единой базы паролей.;Надо вести базу паролей в специализированном защищенном сервисе. Это избавит от необходимости вспоминать и собирать пароли в электронной почте или через личный опрос персонала. Также избавит от потери доступа, если пароль не будет найден.

Отсутствие описания текущего состояния ИТ-инфраструктуры.;Помимо документированного описания ИТ-инфраструктуры (включая маркировку кабелей) в компании должны иметься карта локальной вычислительной сети и карта связей филиалов. Отсутствие всего вышеперечисленного для филиалов и удаленных офисов компании.;Обязательны описание ИТ-инфраструктур и карты ЛВС для всех подразделений и филиалов (включая описание организации доступа в интернет). Обязательно наличие компетентных удаленных контактов.

Источник: gitinsky.com