ИТ аудит

ЛЕКЦИЯ ИТ АУДИТ Виды ИТ аудита. Сети и телекоммуникации. Системы управления ИТ-услугами. Услуги в области ПО. Основные принципы аудита. 1 ВИДЫ ИТ АУДИТА ИТ аудит бывает в виде: − экспресс обследование; − комплексный аудит IT-инфраструктуры; − инвентаризация и аудит программного обеспечения; − аудит безопасности информационных систем. Экспресс обследование Регламент работ: 1) инвентаризация имеющейся техники; 2) осмотр локальной сети и сетевого оборудования; 3) составление схемы работы и взаимодействия сетевых компонентов; 4) выявление ключевых проблемных моментов в работе сетевого и компьютерного оборудования; 5) сбор информации, жалоб и пожеланий, от конечных пользователей по работе компьютеров, сети, оргтехники и программного обеспечения; 6) подготовка заключения по работе компьютерной техники, программного обеспечения, сетевых компонентов и оргтехники. В результате специалисты фирмы подготавливают пакет документов, содержащий описание IT-инфраструктуры заказчика и рекомендации по планированию инфраструктуры. Комплексный аудит IT-инфраструктуры Проведение комплексного аудита включает три основных этапа: − постановка задачи и уточнение границ работ; − сбор данных; − анализ данных и подготовка отчета. 2 Постановка задачи и уточнение границ работ. На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита: − уточняются цели и задачи аудита; − формируется рабочая группа. Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита. Иногда для проведения аудита необходим доступ к информации. Сбор данных. На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит. Выполняется обследование всех технических и организационных составляющих ИТ - инфраструктуры. Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.; Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ- инфраструктуры; Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее; Приложения — прикладное программное обеспечение, используемое в работе предприятия; Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.; Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы. 3 По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру. Анализ данных и подготовка отчета. На этом этапе выполняются следующие работы: − проверка и анализ собранных данных; − подготовка эксплуатационной документации; − выработка рекомендаций. Подготовка отчета об аудите. Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных. На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры Аналитический отчет является основным отчетным документом об аудите. Он включает описание эксплуатационную текущего документацию, состояния перечень ИТ-инфраструктуры, обнаруженных проблем, рекомендации по модернизации и развитию ИТ- инфраструктуры. Этап завершается передачей заказчику разработанных документов. 4 Аудит информационной безопасности Проведение аудита безопасности корпоративной информационной системы заказчика осуществляется в четыре этапа: 1) постановка задачи и уточнение границ работ; 2) сбор и анализ информации; 3) проведение анализа рисков; 4) разработка рекомендаций. Постановка задачи и уточнение границ работ. На данном этапе проводятся сбор исходных данных от заказчика, их предварительный анализ, а также организационные мероприятия по подготовке проведения аудита: − уточняются цели и задачи аудита; − формируется рабочая группа; − подготавливается и согласовывается техническое задание на проведение аудита. Целью аудита может быть как комплексный аудит системы защиты информации компании-заказчика, так и аудит информационной безопасности отдельных ИТ-систем (сетей передачи данных, вычислительных систем и систем хранения данных, и др.). На этом этапе цели проведения аудита уточняются и планируются все последующие шаги. Сбор и анализ информации. На этом этапе собирается информация и дается оценка следующих мер и средств: безопасности; обеспечения организационных мер программно-технических физической характеристики информационной в средств безопасности. построения системы: и области информационной защиты информации; Анализируются функционирования Организационные следующие корпоративной характеристики Организационно-технические характеристики Технические характеристики, связанные с архитектурой ИС Технические характеристики, связанные с конфигурацией сетевых устройств и серверов ИС Технические 5 характеристики, связанные с использованием встроенных механизмов информационной безопасности Проведение анализа рисков. Анализ рисков дает возможность: − адекватно оценить существующие угрозы; − идентифицировать критичные ресурсы ИС; − выработать адекватные требования по защите информации; − сформировать перечень наиболее опасных уязвимых мест, угроз и потенциальных злоумышленников; − получить определенный уровень гарантий, основанный на объективном экспертном заключении. При анализе рисков осуществляется: − классификация информационных ресурсов; − анализ уязвимостей; − составление модели потенциального злоумышленника; − оценка рисков нарушения информационной безопасности. В процессе анализа рисков проводится оценка критичности идентифицированных уязвимых мест и возможности их использования потенциальным злоумышленником для осуществления несанкционированных действий. Разработка рекомендаций. На основании информации, полученной в ходе обследования информационной инфраструктуры заказчика и результатов анализа рисков, разрабатываются рекомендации по совершенствованию системы защиты информации, применение которых позволит минимизировать риски, с приложением списка конкретных уязвимостей активного сетевого оборудования, серверов, межсетевых экранов и др. По завершении аудита подготавливается итоговый отчет, содержащий оценку текущего уровня безопасности ИТ-инфраструктуры, информацию об обнаруженных 6 проблемах, анализ соответствующих рисков и рекомендации по их устранению. Аудит ИТ-инфраструктуры Результатом аудита ИТ-инфраструктуры компании является определение соответствия требований бизнеса и возможностей имеющееся ИТ-инфраструктуры, а также соответствия лучшим мировым практикам и выявление проблем и «узких мест» функционирования ИТ-инфраструктуры. Аудит является основой для выработки предложений по совершенствованию ИТ-инфраструктуры. Разработка корпоративной стратегии развития ИТ. С учетом особенностей деятельности компании Заказчика наши специалисты разработают корпоративную стратегию развития ИТ, в которой будут учены все аспекты деятельности Компании Заказчика: состояние ИТинфраструктуры, текущие и будущие потребности бизнеса и т.п. Стратегия развития ИТ позволяет: − оптимизировать затраты на реализацию ИТ-задач; − сократить риски при внедрении ИТ-систем; − организовать адекватную информационную поддержку текущих бизнес-процессов; − обеспечить развитие ИТ-систем по мере роста бизнеса. Аудит информационной безопасности. Аудит информационной безопасности рекомендуется компаниям: − с доступности, повышенными или конфиденциальности возрастающими требованиями и информационных целостности к ресурсов; − с сильной зависимостью бизнеса от информационных технологий (операторы связи, банки, страховые компании); − активно развивающим ИТ-системы (крупные производственные и торговые компании с территориально-распределенными сетями). 7 Результатом данного вида аудита является отчет, содержащий: − экспертную оценку текущего состояния системы защиты информации (СЗИ); − оценку информационных рисков по специальным методикам и критериям на основе российских и международных стандартов; − рекомендации по совершенствованию системы защиты информации. Аудит процессов управления ИТ-инфраструктурой Результатом данного вида аудита является отчет, содержащий: − описание общей модели действующего процесса управления; − оценку степени соответствия передовому мировому опыту действующего процесса управления ITIL; − предварительные рекомендации по совершенствованию и предложения по структуре проекта совершенствования (реорганизации) процесса управления. 8 2 СЕТИ И ТЕЛЕКОММУНИКАЦИИ Важнейшей составляющей ИТ-инфраструктуры, а, следовательно, и основой для функционирования и успешного ведения бизнеса компании является Сетевая инфраструктура компании. Инвестиции в сетевую инфраструктуру, в отличие от инвестиций в основные бизнес-процессы, относятся к разряду долговременных и, как результат, должны обеспечивать необходимую функциональность, работоспособность и защищенность ресурсов на протяжении длительного периода времени, что обеспечивается комплексным подходом компании «ВитаСофт» к решению задач Заказчика. Предложения компании «ВитаСофт» ориентированы на использование передовых технологий и решений, предлагаемых ведущими разработчиками телекоммуникационного оборудования (Cisco, HP, 3Com, Nortel Networks, Avaya и др). Компания “ВитаСофт” предлагает следующие виды работ: − аудит состояния сети с последующей выдачей рекомендаций по оптимизации настроек оборудования; − консультирование и выполнение работ по модернизации сетей заказчика; − предпроектное обследование существующей сети и бизнес- приложений заказчика; − проектирование сетей; − монтаж и пуско-наладка сетей − гарантийное обслуживание сетевой инфраструктуры; − сервисное сопровождение сетей. Комплексная информационная безопасность В современных условиях развитие бизнеса, влекущее за собой бурное развитие информационных технологий, неизбежно влечет за собой появление новых угроз и повышение уязвимости информационных систем, что 9 подтверждается общемировой тенденцией роста расходов на информационную безопасность. Специалисты нашей компании окажут помощь в определении перечня защищаемых ресурсов, выявят угрозы информационной безопасности и предложат соответствующие способы защиты от них, выполнят все необходимые работы по созданию и внедрению комплексной системы информационной безопасности, исходя из особенностей инфраструктуры Заказчика, а также из соображений экономичности, эффективности и результативности. Предлагаются следующие услуги в области информационной безопасности: − консалтинг по вопросам построения комплексной системы информационной безопасности на объектах Заказчика; − аудит информационной безопасности объектов заказчика на соответствие требованиям руководящих и нормативно-методических документов. Анализ управления рисками. Классификация информационных систем; − разработка организационно-распорядительной документации по ИБ, в т.ч.: − разработка концепции (политики) информационной безопасности компании; − защита информации от несанкционированного доступа в АРМ, ЛВС и на других объектах информатизации; − разработка и внедрение автоматизированных систем в защищенном исполнении; − разработка и внедрение комплексов средств защиты информации для АС; − разработка и внедрение средств контроля и мониторинга действий пользователей; − разработка и внедрение систем криптографической защиты 10 информации с использованием технологий электронно-цифровой подписи; − разработка и внедрение интегрированной системы антивирусной защиты. Центры обработки данных Постоянный рост автоматизации бизнес-процессов предприятий всех отраслей, а также стремление к централизации вычислительных мощностей ставят задачу построения вычислительных систем высокой доступности на новый уровень, от которого зависит эффективность функционирования предприятий и учреждений. В таких условиях грамотное проектирование Центра Обработки Данных (ЦОД) является ключевым звеном для достижения успеха в работе предприятия. Основными компонентами ЦОД являются: Вычислительные платформы. ЦОД – ядро современной информационной системы любой организации. «Сердце» ЦОД составляют серверные вычислительные платформы. В проектах используется продукция ведущих мировых производителей: от мощных серверов корпоративного уровня, способных обеспечить работу СУБД с высокой нагрузкой, до "легких" горизонтально масштабируемых блейд-серверов для использования в качестве Web-серверов. Системы хранения данных. Наиболее ценное, что есть в информационной системе предприятия - это данные, поэтому их целостности и доступности должно уделяться максимальное внимание. Мы предлагаем заказчикам построение систем хранения, резервного копирования и восстановления данных, обеспечивающие должный уровень целостности и доступности, наиболее зарекомендовавшими себя в этой области являются сети хранения данных, построенные по технологии SAN (Storage Area Network). Резервные центры. В случае, когда требования к надёжности функционирования ИС особенно высоки и выдвигаются требования по катастрофоустойчивости, рекомендуется построение Резервного 11 Вычислительного Центра на удалённой площадке. Резервный центр дублирует основные функции ЦОД. При построении прорабатываются вопросы передачи данных, регламенты пуска и остановки приложений, а также организационные вопросы по переводу деятельности из основного центра в резервный и восстановлению ЦОД. Инфраструктура ВЦ. Обеспечить надёжное функционирование оборудования ЦОД невозможно без создания специальной инфраструктуры самого помещения ЦОД. При реализации проектов по созданию инфраструктуры ЦОД, мы придаем особое внимание построению системы гарантированного электропитания, климатической подсистеме, монтажному оборудованию (шкафы и стойки), подсистеме пожарной сигнализации, системе контроля и оповещения. Для построения ЦОД компания использует самые передовые технологи ведущих мировых производителей, таких как Hewlett Packard, IBM, Fujitsu-Siemens Computer, EMC, Cisco Systems, Oracle, CA и других. Требования каждой информационной системы предприятия уникальны – также уникален наш опыт в проектировании области построения ЦОД, позволяющий гарантировать в каждом случае оптимальный результат. В итоге Заказчик получает ЦОД, максимально соответствующий его техническим и бизнес-требованиям, как в краткосрочной, так и в долгосрочной перспективе. 12 3 СИСТЕМЫ УПРАВЛЕНИЯ ИТ-УСЛУГАМИ Системы управления ИТ-услугами – это комплекс систем и организационных мероприятий, включающих в себя функционал, связанный с управлением ИТ-инфраструктурой и автоматизацией различных аспектов работы ИТ-служб. Мы предлагаем полный комплекс систем по управлению сетевой инфраструктурой, серверными комплексами и рабочими станциями, а также по автоматизации пользователям, процессов включая оказания организацию ИТ-услуг конечным необходимых бизнес- бизнес-процессов Заказчика и подготовку регламентов и методик. Локальные и глобальные сети передачи данных и корпоративные системы управления обязательную часть деятельностью предприятия производственной жизненно необходимые давно инфраструктуры, составляют обеспечивая для функционирования предприятий бизнес- процессы. Нарушение работы любого из указанных компонентов может привести компанию к серьезным потерям в денежном выражении, потере заказчиков и деловых партнеров и т.д. Устранение же неисправностей территориальной распределенностью многочисленностью различных может быть осложнено вычислительных ресурсов, компонентов разных производителей, разнородностью технологий контроля и управления. Все это влечет за собой высокие затраты на поддержание работоспособности данной инфраструктуры, включая потребности в большом количестве сотрудников ИТ-службы. Системы управления сетевой инфраструктурой – решение для управления сетями передачи данных, позволяющее быстро находить и устранять источники проблем, возникающих в сети. Визуальное отображение карты сети, графическое отображения текущего состояния устройств, поддержка оборудования всех ведущих производителей, различных протоколов управления и множество других функций позволят существенно 13 сократить время устранения проблем и общие затраты на эксплуатацию. Системы управления обеспечивающие серверными централизованные средства комплексами контроля и системы, управления тысячами событий, ежедневно происходящих в аппаратной части серверов, базах данных операционных и различных систем (Solaris, приложениях. HP-UX, AIX, Поддержка Windows различных и т.д.) и многочисленных приложений (IBM, SAP, Oracle, MicroSoft и т.п.) позволит в режиме реального времени реагировать на возникающие ситуации, быстро находить причины неисправностей и узкие места в производительности, автоматически перераспределять ресурсы, сокращая тем самым потери от простоя жизненно-важных бизнес-процессов компании. Системы управления рабочими станциями – системы для сбора инвентаризационной информации по всем электронным активам, включая установленное программное обеспечение и данные о его использовании, настройки операционных систем, корпоративные и личные данные пользователей. Также данные системы обеспечивают централизованное распространение любого программного обеспечения и его настроек, контроль прав доступа и многое другое, что существенно уменьшает затраты на обслуживание большого количества территориально-распределенных рабочих станций. Управление предоставлением ИТ-услуг – комплекс организационных мероприятий и систем автоматизации различных аспектов работы ИТ-служб (системы Help Desk/Service Desk) по оказанию услуг конечным бизнеспользователям, в том числе организация необходимых бизнес-процессов, подготовка регламентов, методик и инструкций, разработанных на основе библиотеки передового опыта в области управления ИТ-услугами (ITIL Information Technology Infrastructure Library). Некоторые преимущества внедрения Систем управления ИТ-услугами: − увеличение эффективности работы ИТ-службы по оценкам аналитического агентства IDC: 14 1) уменьшается время на выявление и устранение неисправностей на 75%; 2) уменьшается время простоя оборудования и приложений на 57%; 3) уменьшается количество инцидентов, которые привели к простоям на 45%; 4) уменьшается время на внесение изменений в настройки на 41%; сокращение доли повторяющихся инцидентов в 4-5 раз; − возможность проактивного обнаружения проблем и их предотвращения; − ориентированность на потребности бизнеса, возможность аргументированного планирования затрат и численности персонала на развитие ИТ-инфраструктуры; − формализация оказываемых бизнес-пользователям услуг, возможность объективно оценивать результаты работы ИТ-отдела; − инженерные системы. В состав услуг в области построения инженерных систем, предлагаемых нашей компанией, входят: − обследование инженерной инфраструктуры; − разработка и реализация проектных решений в следующих областях: − структурированные кабельные системы (СКС); − волоконно-оптические линии связи (ВОЛС); − электропитание, в том числе гарантированное с использованием комплексов источников бесперебойного питания и дизель-генераторов; − системы пожарной сигнализации и автономного пожаротушения; − системы контроля доступа (СКД); − системы периметрового видеонаблюдения; − системы громкоговорящей связи (ГКС); 15 − интегрированные системы технической и информационной безопасности; − инженерная инфраструктура центров обработки данных: физическая целостность, СКД, кондиционирование, пожаротушение и т.п. 16 4 УСЛУГИ В ОБЛАСТИ ПО Решение задач по автоматизации управления предприятием является необходимым условием эффективного ведения бизнеса. При реализации проектов, связанных с внедрением программных решений и систем управления, «ВитаСофт» ориентируется на конкретные бизнес-задачи Заказчиков. Это позволяет предлагать нашим Заказчикам решения, наиболее полно отвечающие поставленным целям и с минимальными затратами. Предлагаются следующие услуги в области Программного Обеспечения (ПО): − комплексное лицензирование; − услуги в области системной архитектуры и ПО; − аудит используемого ПО и выработка конкретных предложений по созданию единой лицензионной политики; − поставка, настройка и внедрение программных решений; − обеспечение необходимого уровня последующей технической поддержки; − проведение обучения специалистов Заказчика, в том числе с участием представителей вендора. 17 5 ОСНОВНЫЕ ПРИНЦИПЫ АУДИТА Основной целью, которую преследует аудит информационной системы любой компании, является ее оптимизация и выявление различных угроз нормальному функционированию. Аудит является системным процессом, во время которого специалисты получают полную информацию обо всех ключевых процессах, происходящих в важнейших ключевых узлах информационной системы. При этом оцениваются следующие параметры инфраструктуры: − состояние серверов и рабочих компьютерных мест; − работоспособность и оптимальность сетевого оборудования; − актуальность установленного общего и сетевого программного обеспечения; − соответствие логической и физической структуры локальной сети стоящим задачам; − достаточность и работоспособность периферийных устройств; − работоспособность телекоммуникационных систем и обеспечение безопасности; − работоспособность и дублирование систем энергоснабжения аппаратной части; − оценка пропускной способности каналов передачи информации и Во время др. проведения аудита серьезное внимание уделяется подготовке персонала, имеющего отношение к информационной системе предприятия, так как человеческий фактор играет существенную роль в достоверности вводимой в систему информации. Проводится анализ эффективности прикладных программ, а также согласованность отдельных рабочих станций и общей системы. Оценивается монтаж локальных сетей и их стыковка. Пристальное внимание уделяется вопросам обеспечения сетевой 18 безопасности как внутри системы, так и в точках выхода во внешнюю среду. После анализа полученной информации вырабатываются конкретные рекомендации по совершенствованию исследованной информационной системы предприятия. Значение качественного монтажа локальных компьютерных сетей Вся информационная система крупного предприятия представляет собой объединение отдельных территориальных подсистем, которые сосредоточены в функциональных структурных подразделениях. Поэтому качественный монтаж компьютерных сетей и правильное проектирование точек их сопряжения с главной информационной магистралью является чрезвычайно важным вопросом, влияющим на работоспособность всей ИТинфраструктуры. Выбор топологии сетей и выполнение монтажных работ необходимо доверить специалистам, которые опираются на приобретенный опыт и полученные знания. Это станет залогом успешной долговременной работы локальных сетей, объединенных в общую информационную сеть предприятия. 19