ИТ Аудит можно разделить на три основных составляющих:
| Аудит информационных систем | |
| Аудит аппаратной и сетевой инфраструктуры | |
| Аудит информационной безопасности |
АУДИТ ИНФОРМАЦИОННЫХ СИСТЕМ:
Цели проведения: Выявления функциональных рисков ведения учёта в корпоративных информационных системах предприятия
Основные этапы:
| Аудит архитектуры системы. Анализ ресурсоёмкости и производительности | |
| Выявления дублирования функционала, двойного ввода и избыточности информации | |
| Аудит прав доступа. Настройка доступа к системе в соответствии с должностными обязанностями | |
| Аудит и настройка систем архивирования | |
| Выявление критически важных участков учёта. Оценка вероятности и величины возможного ущерба | |
| Создание оптимальной отказоустойчивой архитектуры хранения данных |
По итогам аудита информационных систем:
| Рекомендации по обновлению платформы и прикладных решений | |
| Рекомендации по адаптации функционала к требованиям бизнеса | |
| Рекомендации по доработке механизмов обмена данными, настройке интеграций | |
| Рекомендации по повышению производительности и отказоустойчивости |
АУДИТ АППАРАТНОЙ И СЕТЕВОЙ ИНФРАСТРУКТУРЫ:
Цели проведения:
| Выявить возможные риски и причины нестабильной работы, отказоустойчивости и ресурсоёмкости оборудования и сети. | |
| Проверить качество сетевых услуг. Экспертиза даст сведения о скорости, времени задержки, пропускной способностью каналов и других показателях. | |
| Поиск путей снижения расходов на содержание и обслуживание. | |
| Выбрать варианты модернизации оборудования и сетевой инфраструктуры. |
Основные этапы:
| Выявление основных компонентов ИТ инфраструктуры, разграничение на критически важные и второстепенные | |
| Анализ каждого компонент ИТ инфраструктуры: беспроводные сети разных масштабов, телефония, ЦОД, обеспечение совместной работы и др. | |
| Исследование работоспособности сервисов, а также их соответствие рекомендациям производителей и требованиям бизнеса; | |
| Оценка конфигурация офисного и удаленного оборудования; | |
| Тестирование отказоустойчивости при критичных уровнях нагрузки на корпоративную сеть; | |
| Выявление аппаратных и сетевых уязвимостей, которые несут потенциальную угрозу конфиденциальности и целостности корпоративной информации. |
По итогам аудита аппаратной и сетевой инфраструктуры:
| В результате для заказчика создается структурированное заключение. В отчете описывается состояние всех компонентов ИТ инфраструктуры. Приводится окончательная оценка состоянии сети, предоставляется развернутая карта со всеми сетевыми сервисами компании. | |
| В итоговую документацию включается список рекомендаций по оптимизации работы различных сегментов. План с указанием конкретных решений, необходимых для усовершенствования и обеспечения надежной защиты сетевой инфраструктуры. Рекомендации по оптимизации конфигурации компонентов, модернизации функционала |
АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ:
Цели проведения: Оценка уровня защищённости информации на данный момент, выявление и оценка рисков утечки данных, получение рекомендаций по дальнейшей работе
Основные этапы:
| Анализ документации на соответствие нормами и требованиям, прописанным в законодательстве | |
| разработка политик безопасности; | |
| разработка организационно-распорядительной документации. | |
| Анализ защищенности сети | |
| анализ соответствия внешней защиты корпоративной сети требованиям в области информационной безопасности. | |
| анализ прав доступа сотрудников к внутренним сетевым ресурсам организации и групповых политик в части обеспечения доступа | |
| Моделирование угроз | |
| определение угроз; | |
| описание каналов утечки информации; |
По итогам аудита информационной безопасности:
| Отчёт, содержащий оценку эффективности применяемых средств и мер защиты информации | |
| Описание характеристик и компонентов корпоративной информационной системы, которые влияют на уровень защищенности, результаты тестов | |
| Рекомендации по внесению изменений в регламенты информационной безопасности, совершенствованию групповых политик и разграничениям прав доступа, модернизации оборудования и сетевой инфраструктуры, оптимизации аппаратной архитектуры сети |
