36) Що таке ит-аудит

Аудит - перевірка сторонніми компаніями різних аспектів роботи організації. Незважаючи на деякі відмінності між зовнішнім і внутрішнім аудитом - різниця тільки в тому, хто саме хоче його провести. У разі внутрішнього аудиту, він ініціюється власником компанії для отримання впевненості в тому, що компанія працює у вірному напрямку або для отримання рекомендацію щодо поліпшення й оптимізації роботи. Зовнішній аудит ініціюється замовником, який бажає упевнитися в якості послуг, що поставляються.

В обох випадках після закінчення аудиту виставляється зведена оцінка ризиків і подається звіт, зрозумілий неспеціалісту. У звіт зазвичай включаються і рекомендації щодо оптимізації роботи відділу, який піддався аудиту.

Для кожної частини компанії існують свої набори перевірок, у кожної з яких своя специфіка. Для відділу ІТ, аудит складається з декількох частин:

  • аудит ІТ інфраструктури;
  • аудит механізмів резервування;
  • аудит співробітників на предмет володіння робочим інструментом (комп'ютером).

Аудит IT інфраструктури

Аудит ІТ інфраструктури - як правило зовні нагадує інвентаризацію, з тією різницею, що крім опису обладнання проводиться також перевірка її працездатності і навантаження. В процесі перевіряється якість обладнання і його відповідності вимогам бізнес-процесів. Відповідно, оцінка роботи буде залежати не тільки від можливостей безперебійної роботи, а й відсутність надмірностей (або, навпаки, саме ті компонентів).

Наприклад, для фірми, що складається з 3-10 чоловік, не має сенсу встановлювати потужний сервер, розрахований на обслуговування сотень комп'ютерів. Нічого крім збитків таке рішення не принесе, незважаючи на те, що в цілому система з поставленими завданнями буде справлятися на всі 100%.

З іншого боку, для великих компаній, наявність потужного сервера є необхідністю, причому деякий запас потужності повинен бути на випадок розширення та інші змін в компанії.

Існують деякі додаткові перевірки, які неочевидні, але також відносяться до ІТ-аудиту, наприклад, якість настройки міні АТС. яка присутня практично у всіх компаніях, і тому подібного додаткового обладнання.

Аудит комп'ютерної мережі

В IT аудит входить і аудит комп'ютерної мережі. як локальної, так і глобальної (якщо вона є в наявності). При цьому перевіряється не тільки швидкість роботи, але і відповідність компонентів необхідним стандартам. Так, цілком робоча система може бути побудована з порушеннями, які не впливають на роботу невеликої мережі. Але в разі розширення або злиття ці порушення можуть принести безліч несподіваних неприємностей. Усунення виявлених порушень в цілі аудиту мережі не входить, але вони будуть враховані в звіті.

В аудит локальної мережі входить перевірка всього обладнання, включаючи кабелі, комутатори і роутери. Серед виявлених порушень можуть виявитися як неякісні кабелі, так і перевищення стандартного відстані між вузлами мережі. Так само, як і з сервером, може проводитися оцінка роутерів, які можуть бути як недостатньо надійні, так і надмірно дороги для мети використання.

На відміну від аудиту локальної мережі. перевірка глобальної мережі перевіряє в основному програмне забезпечення та налаштування серверів, відповідальних за вихід в глобальну мережу. Тобто перевіряються настройки dns, маршрутів, захищеності входу і пересилання даних по глобальній мережі. В цьому випадку можуть бути винятки, якщо глобальна мережа не є мережею Інтернет (побудовані великими компаніями міжміські магістралі оптичного кабелю), але такі випадки досить рідкісні.

Заходи, що входять в аудит мережі значно залежать від рівня розвитку IT-інфраструктури в окремо взятій компанії. Чим ширший інфраструктура - тим більше аспектів доводиться перевіряти аудиторам.

аудит резервування

Аудит інфраструктури і аудит мережі також включають в себе аудит резервування. Резервування даних - одна з найважливіших завдань ІТ-відділу, так як втрата бази даних може звести нанівець тривалу роботу організації. Резервування (найчастіше дублювання і корекція помилок) дозволяє швидко відновити дані з мінімальними втратами. Завданням аудиторів в даному випадку є оцінка можливостей по відновленню даних і оцінка ризиків, до яких призведе той чи інший збій. Крім оцінки резервування даних, також проводиться оцінка резервування живлення (ІБП, дизель-генератори тощо обладнання) і ліній зв'язку.

аудит співробітників

Остання частина IT аудиту - аудит співробітників компанії (найчастіше тільки ІТ-відділу, але бувають і виключення), на предмет володіння знаннями, необхідними для роботи. Крім знань перевіряються також і права доступу всіх користувачів. Оцінка прав доступу, в основному, впливає на оцінку захищеності мережі. Так як кожен співробітник повинен виконувати свою частину роботи, то права доступу до деяких баз даних, програм і таке інше, повинні надаватися тільки для виконання обов'язків.

Результати ІТ-аудиту

Результати ІТ-аудиту дуже важливі як для замовників (при зовнішньому аудиті), так і для власників компанії, так дозволяють своєчасно виявляти різні проблеми або, навпаки, шляхи оптимізації та розвитку IT-відділу та інфраструктури.