+38 (044) 232-06-03
+38 (067) 701-06-03
Пн.- Нд. 8:00 - 23:00
+38 (067) 701-06-03
Пн.- Нд. 8:00 - 23:00
Аудит ИТ
Шаблон или чек-лист для:
☑ проведения внутренних и внешних аудитов;
☑ смене поставщика ИТ-услуг;
☑ актуализации данных.
☑ проведения внутренних и внешних аудитов;
☑ смене поставщика ИТ-услуг;
☑ актуализации данных.
Расскажем больше, чем на сайте
Оставьте телефон — мы перезвоним.
Виды аудита (классификация)
Не существует единой классификации и методики. Различные институты, локальные и международные организации устанавливают собственные стандарты, методологии, фреймворки и рекомендации.
Варианты разделения по:
- Типу: Внутренний, Внешний;
- Целям: Технический, Стратегический;
- Охвату: Комплексный, Направленный;
- Графику: Плановый, Внеплановый;
- Инициаторам: руководство, ИТ-департамент, владельцы бизнеса;
- Задачам: прохождение сертификации, управления IT-процессами, смена обслуживающей компании, информационной безопасности (ИБ), управления рисками и инцидентами, разработка программного обеспечения и т.д.
Стандарты и практики:
- Cobit 5 for Assurance — фреймворк управления ИТ-системами и процессами. Включает стандарты и рекомендации, описывает бизнес-цели, процессы, контрольные меры, метрики;
- ITIL (Information Technology Infrastructure Library) — набор лучших практик для управления ИТ-сервисами.
Безопасность:
- ISO 27001 (ISMS) — стандарт для систем управления ИБ;
- NIST SP 800-53 — рекомендации по ИБ;
Методология
- ISACA's IT Assurance Framework (ITAF) — методологии и стандарты;
- IT Audit Framework 2nd Edition (ITAF) — термины, концепции требования к навыкам и знаниям аудиторов;
- IIA's International Professional Practices Framework (IPPF) - фреймворк для внутренних аудиторов.
Услуги ИТ аудита в Киеве.
Производится бесплатно во всех тарифах ИТ Аутсорсинга
(абонентского обслуживания)
(абонентского обслуживания)
Экспресс
Оценка состояния IT сервисов. Для небольших организаций. Сжатые сроки.
___________________________
Включает:
Стоимость: от 6000 грн
___________________________
Включает:
- Инвентаризация оборудования;
- Сервера и внешние сервисы;
- Сети и СКС;
- Рабочие места;
- Программное обеспечение;
- Резервное копирование;
- Почта и коммуникация;
- Рабочие места пользователей.
Стоимость: от 6000 грн
Комплексный
Детализированный отчет о текущем состоянии IT-систем и рекомендации.
___________________________
Включает:
Стоимость: от 12000 грн
___________________________
Включает:
- Все в "Экспресс" и:
- ИТ систем и процессов;
- Регламентные работы;
- Критические компоненты;
- Документации, инструкции;
- Отказоустойчивость;
- Средства защиты;
- Оценка безопасности.
Стоимость: от 12000 грн
Направленный
Детальное исследование выбранного направления или отдельных элементов:
___________________________
Включает:
Составляется индивидуальный план проведения
___________________________
Стоимость: Договорная
___________________________
Включает:
- Проведение тестов;
- Анализ уязвимостей;
- Рекомендации;
Составляется индивидуальный план проведения
___________________________
Стоимость: Договорная
Аудит ИТ инфраструктуры
Пример отчета:
Пример отчета:
1. Введение
Не следует приступать к аудиту, не понимая целей заказчика.
При проблемах с сетью заказчика не будет интересовать защищенность серверов. Аналогично, при миграции инфраструктуры в облако, наличие внутренних инструкций или функционирование локальных сервисов не является приоритетным.
В зависимости от инициатора, типа, сферы деятельности могут быть разные цели.
Наиболее популярные сценарии проведения аудита для малого бизнеса:
При проблемах с сетью заказчика не будет интересовать защищенность серверов. Аналогично, при миграции инфраструктуры в облако, наличие внутренних инструкций или функционирование локальных сервисов не является приоритетным.
В зависимости от инициатора, типа, сферы деятельности могут быть разные цели.
Наиболее популярные сценарии проведения аудита для малого бизнеса:
- Произошедший инцидент: взлом, потеря или утечка данных, отказ оборудования или сервисов.
- Смена обслуживающей ИТ компании или штатного системного администратора;
- Реорганизация, масштабирование, смена владельца, открытие филиалов, изменение (добавление) направлений деятельности, значительные изменения бизнес-процессов или ИТ инфраструктуры;
- Помощь ИТ отделу. Привлечение узконаправленных специалистов для реализации специфических задач или при недостаточном уровне квалификации штатных системных администраторов;
- Оценка эффективности и квалификации персонала, рекомендации по развитию;
- Планирование IT бюджета, оптимизация затрат, оценка рациональности расходов;
- Внедрение новых или повышение эффективности существующих, процессов, сервисов. Переход в облачную или гибридную среду;
- Защита и безопасность. Анализ краткосрочных и потенциальных угроз. Оценка систем и процессов, обеспечивающих ИБ;
- Достаточность имеющихся активов текущим и планируемым задачам;
- Соответствия внутрикорпоративным и международным политикам, законодательным требованиям, общепринятым стандартам (ITIL, COBIT, ISACA, ITSM), соответствие уровня сервиса.
Учитывая специфику обслуживания небольших компаний (до 100 рабочих мест) компания Sysadmin.com.ua, использует Cobit, ITIL
Представлен неполный список. Может изменяться, дополняться:
- Серверная инфраструктура;
- Корпоративные и облачные сервисы;
- Отказоустойчивость:
- Резервное копирование;
- Компьютеры, периферийная и офисная техника;
- Сетевая инфраструктура;
- Почта, средства коммуникации, связи;
- ОС и программное обеспечения;
- Документация, руководства, политики;
- ИБ и защита, контроль доступов;
- Бизнес-процессы;
- Рабочие места пользователей.
- Документация: инструкции, своды правил, памятки, документация от вендоров;
- Интервью с владельцами бизнеса, руководителями, сотрудниками, представителями ИТ-отделов;
- Опросный лист: замечания, проблемы, ожидания, уровень удовлетворенности.
2. Организационная структура
- Бизнес-процессы, уровень зависимости компании от системы;
- Внутренняя и внешняя инфраструктура;
- Физическая и логическая структура ресурсов;
- Информационные потоки.
- Описание критических операций и процессов;
- Возможные точки отказа и повышенного риска (пример: интернет, каналы коммуникации, прием заявок с сайта, доступность 1C или CRM, файловые хранилища, MS SharePoint, работа оборудования и подобные);
- Приемлемое / граничное время недоступности услуг;
- Допустимая потеря информации (за 5 мин, час, сутки). Используется при реализации систем отказоустойчивости и резервного копирования/восстановления;
- Потенциальные риски и последствия: ЛВС, интернет, ПО и БД, недоступность серверов, веб-сервисы, отказ ПК, торгового или промышленного оборудования, кассовых аппаратов и т.п.;
- План аварийно-восстановительных работ, ответственные.
- Наличие ИТ-отдела или штатного специалиста;
- Обязанности, зона ответственности, опыт, сертификаты;
- Ключевые показатели деятельности, кем и как контролируются, используемые метрики контроля;
- Прием и обработки заявок (график, средства коммуникации, системы, контроль выполнения);
- Наличие регламентирующих инструкций;
- Заявка на приобретение ПО, техники, расходных материалов;
- Процедура передачи административных прав и доступов;
Обязанности и зоны ответственности. Примеры:
- Администрирование серверов:
- Установка и настройка ОС, ПО, администрирование БД;
- Техподдержка и консультации пользователей;
- Создание и тестирование резервных копий;
- Выбор и организация закупок техники и ПО;
- Ввод в эксплуатацию, настройка, ремонт оргтехники, учет гарантийных обязательств;
- Администрирование сети: организация рабочих мест, настройка маршрутизации, создание VPN подключений;
- Установка обновлений и патчей (ОС, ПО, прошивки);
- Обеспечение безопасности;
- Создание и проверка backup;
- Разработка и документирование процедур;
Филиалы. Методы коммуникации и взаимосвязей;
Лица, принимающие решения;
Сотрудники, квалификация, зона ответственности;
Лица, принимающие решения;
Сотрудники, квалификация, зона ответственности;
3. Обследование, сбор данных, инвентаризация
- Перечень серверов (физические/виртуальные);
- Операционная инфраструктура: версии ОС, роли, назначение (AD, DNS, DHCP, ISA, RDP, DB, Mail, etc.);
- Локальные и групповые политики (AD);
- Текущая и пиковая нагрузка. Достаточность;
- Профилактические и сервисные работы: регламент обслуживания, что входит (обновление, плановая замена дисков, мониторинг температур, свободного места, состояние дисков);
- Безопасность: актуальность версий ОС и системных приложений. Контроль доступа, предотвращение вторжений, фильтрация нежелательных IP, сканирование, блокировка при подборе паролей, настройки Firewall, антивирус;
- Резервное копирование. План и графики создания бэкап, процедуры аварийного восстановления;
- Учетные записи с привилегированными правами и администраторов. Обоснование предоставленных прав;
- Реализация отказоустойчивости: использование дублирования, дедупликации, S2D, план (возможность) аварийного восстановления или миграции на сторонние ресурсы, подменный фонд;
- Мониторинг и оповещение, анализ журнала событий, система оповещения.
Внутренние и внешние:
Хранение и обработка информации: внутренний файлообмен, Битрикс24, SharePoint, CRM и ERP, БД, 1С;
Связь и коммуникация: телефония, почта, мессенджеры, Teams
Хранение и обработка информации: внутренний файлообмен, Битрикс24, SharePoint, CRM и ERP, БД, 1С;
Связь и коммуникация: телефония, почта, мессенджеры, Teams
Серверная:
Пользовательская
- Объекты резервирования;
- Объем хранимых данных, схема копирования, места хранения, используемые ресурсы и ПО, количество копий, соответствие правилу 3-2-1;
- Копии на момент аудита. Наличие Offline копий (на внешних носителях, без выхода в Интернет);
- Плановое разворачивание и тестирование созданных копий, дата проведения крайнего теста;
- Расчётное время восстановления ключевых образов системы и компонентов;
- Процедура восстановления, ответственные
Пользовательская
- Реализация Backup на ПК;
- Использование OneDrive, GoogleDrive;
- Хранение на локальных ПК, серверах, общих папках, порталах
Удобней подавать в табличном виде или БД.
- Сотрудники, отделы или подразделения, закреплённая техника, учетные записи Microsoft, AD, локальные права администратора;
- Техника: тип, модель, характеристики, серийный / инвентарный номер, расположение, стационарная/перемещаемая, техническое состояние, соответствие задачам;
- Установленные программы и ОС;
- Хранение и защита информации: антивирус, шифрование дисков, VPN, использование OneDrive, GoogleDrive.
- Общее описание: маршрутизации, сегментация (VLAN), правила, ограничения, блокировки, фильтрация трафика;
- VPN: протоколы, настройки шифрования, реализация аппаратно / программно;
- Топология (логическая и физическая): схема размещения сетевых устройств, существующие и планируемые рабочие места, линии прокладки кабелей, состояние кабелей, розеток и патч-панелей;
- Точки коммутации: вход провайдеров, соединения между коммутаторами, межэтажные соединения, размещение коммутационных узлов, розеток, линии прокладки кабелей;
- Сетевые устройства: размещение, модели, тип (управляемое/неуправляемое), назначение, адреса, данные авторизации, настройки, правила;
- Интернет: тип подключения (кабель, оптоволокно), сетевые параметры (IP адрес, статический/динамический, привязка к MAC), вход в биллинг, контакты провайдеров, № договора, тарифный план, дополнительные условия;
- Wi-Fi: используемые контроллеры и Wi-Fi точки, гостевые сети, бесшовность, параметры шифрования, карта покрытия, используемы каналы, зашумленность;
- Общие сетевые ресурсы и устройства, какие пользователи или приложения используют;
- Политика санкционирования: права, разграничения, как реализовано;
- Отказоустойчивость: возможные точки отказа (включая электроснабжение), дублирование, резервные интернет-каналы, сохраненные конфигурации, наличие подменных устройств;
- Процедура при инцидентах, ответственные, инструкции;
- Безопасность и мониторинг: управление сетью, актуальность прошивок, анализ ошибок и системных сообщений, текущая и пиковая загрузка каналов связи, сетевого трафика, открытые порты. Кто контролирует. Настройка оповещений.
Почта
Телефония (включая IP)
Мессенджеры, прочие средства коммуникации
- Хостинг, вход в панель управления, процедура администрирования;
- Используемые и имеющиеся возможности: переадресация, фильтрация, блокировка СПАМа, защита от нежелательных вложений, антивирус, борьба с фишингом;
- Использование рассылок;
- Сертификаты безопасности, DKIM, DMARK и т.п.;
- Привязка: средства авторизации, технические адреса (программы и сервисы);
- Ящики на бесплатных ресурсах (не корпоративная почта).
Телефония (включая IP)
- Номера телефонов, назначение, за кем закреплены (реклама, бухгалтерия, персональный);
- Номера для подтверждения и восстановления, использование многофакторной аутентификации;
- Пополнение баланса, контроль звонков;
- Обслуживающая компания, вход в кабинет, настройки.
Мессенджеры, прочие средства коммуникации
- Внутренние и внешние средства коммуникации.
Регистраторы доменных, хостинг
- На кого зарегистрировано (компания, частное лицо), процедура восстановления доступа;
- Сроки окончания подписок (хостинг, доменное имя, сертификаты), процедура продления, как настроены уведомления (почта);
- Биллинг, график платежей;
- Защита панели управления: сложность пароля, периодичность смены, многофакторная авторизация;
- CMS, базы данных;
- Учетные записи (сотрудники, подрядчики), доступы, права, какие задачи выполняют;
- Имеющиеся записи (SPF, DKIM, DMARC, CNAME, MX, NS, TXT, SOA, SRV, PTR, DNAME);
- Резервное копирование: периодичность, процедура восстановления.
- Устройства: регистраторы, камеры, каналы связи, схема сети с размещением;
- Реализация безопасности, включая физическую защищённость;
- Настройки, параметры подключения, права доступа;
- Период хранения видеозаписей, использование облачных хранилищ.
- Список услуг, поставок;
- Перечень поставщиков и подрядчиков, работы на аутсорсинге;
- Основные бизнес-приложения (включая 1С, БД, ERP, CRM, САПР, системы клиент-банк);
- Действующие лицензии. Поставщики, соглашения о техническом обслуживании, копии лицензионных Соглашений с Microsoft и другими Лицензиатами;
- Используемые ОС, офисные программы;
- Сторонние некритичные приложения и ПО;
- Ключи, сертификаты - размещение, какими сотрудниками или сервисами используются
Группировка по категориям:
Информация:
- Системные: сервера, контроллеры домена;
- Сторонние сервисы (включая Microsoft, Google);
- Локальные компьютеры;
- Прикладные (1с, SQL, ERP, CRM);
- Оборудование (сетевые устройства, печатающая техника, видеонаблюдение);
- Web-панели, хостинг
Информация:
- Учётные записи неизвестного назначения (не привязанные к сотрудникам или сервисам);
- не отключённые временные записи, уволенные сотрудники;
- Активные технические (системные) учётные записи;
- Записи с правами администратора или избыточными правами;
- Контроль избыточных прав.
Список и полнота имеющейся документации: руководства, инструкции, политики, памятки, нормативная, свод правил, памятки.
Можно группировать по классам:
Примеры внутренних инструкций и правил (отдельных или сводных):
Можно группировать по классам:
- Внутренние системы и процессы;
- Вендоры и производители;
- Нормативно-правовые, внутрикорпоративные, отраслевые требования;
- ИТ-департамент;
- Пользователи
Примеры внутренних инструкций и правил (отдельных или сводных):
- процессы управления изменениями;
- действия при штатных и аварийных ситуациях;
- требования к паролям;
- правила идентификаторов техники;
- регламент создания и блокировки учётных записей пользователей;
- приобретение, замена, модернизация техники;
- стандарты использования техники и ПО.
Приведенная информация подходит для поверхностного исследования вопросов ИБ.
Наличие политики информационной безопасности
РИСКИ:
Полезные материалы и примеры:
Наличие политики информационной безопасности
- ПОЛИТИКА ИБ (что может угрожать) - ситуация в области потенциальных угроз: источники, последствия;
- КОНЦЕПЦИЯ ИБ Какие инструменты и средства будут применяться для недопущения / предотвращени.
РИСКИ:
- Недоступность сервисов, деградация (полное или частичное уничтожение);
- Компрометация, утечка данных;
- Нарушение целостности или искажение (подмена).
- Соблюдения политик сотрудниками и процессами: управления рисками, процедуры регистрации, контроль доступа, пароли;
- Соответствие стандартам: законодательным, отраслевым, нормативно-правовым, общепринятым;
- Физическая защищенность серверных комнат, биометрическая идентификация, видеонаблюдение, контроль доступа;
- Управления рисками: планирование и реагирование на инциденты, их регистрация и документирование;
- Защита данных: шифрование, уровни доступа, регулярные аудиты;
- Обновления: актуальность версий, наличие патчей для программного обеспечения и операционных систем;
- Сети: корректность настройки фаерволов, брандмауэров, сетевых устройств. Мониторинг и обнаружение инцидентов, анализ трафика, контроль доступа;
- Управления доступом: эффективность механизмов аутентификации и авторизации (учетные записи, групповые политики, одноразовые пароли);
- Защиты данных: методы шифрования, контроль целостности, предотвращение утечки;
- Приложения и программное обеспечение: аудит кода, сканирование на наличие уязвимостей, анализ архитектуры приложений, актуальность версий;
- Физическая защищенность: охрана, СКД, видеонаблюдение, хранение серверов в дата-центры;
- Обработки инцидентов и мониторинг: процедуры предотвращения и реагирования на инциденты, анализ отчетов, системы мониторинга.
Полезные материалы и примеры:
- COBIT: модель оценки системы управления IT (отдельный раздел по ИБ - COBIT for Information Security);
- ISO 27001 — международный стандарт ИБ: требования к системе менеджмента, защита информационных ресурсов;
- CIS (Center for Internet Security) - сборник практик по защите информации;
- OSSTM (The Open Source Security Testing Methodology Manual) - тестирование беспроводных сетей, физическая безопасность, обработка данных, влияние человеческого фактора, регулятивные требования;
- NIST (National Institute of Standarts and Technology) - уязвимости сетей, социальная инженерия, рекомендации по составлению отчетов;
- PTES (The Penetration Testing Execution Standart) - сбор информации, структура отчета.
Объекты оценки (устройства, сервисы, сетевой трафик)
Наличие средств защиты;
Системы мониторинга и контроля:
- Контроль доступности сервисов;
- Анализ средств мониторинга, графики;
- Журналирование событий (логов);
- Выявление и реагирование на инциденты, о
- Отслеживание аномалий;
- Планы аварийно-восстановительных работ.
- Оценка программ обучения и осведомленности в области ИБ;
- Порядок действий при возникновении нештатных ситуаций или инцидентов;
4. Результаты и заключения
Основные вопросы, интересующие заказчика:
- Удовлетворенность состоянием и функционированием IT-систем; эффективность, уровень квалификации, зоны ответственности;
- Бюджет: обоснованность выделяемых средств;
- Риски и безопасность: текущее состояние, подготовленность к инцидентам;
- Обеспеченность ресурсами;
- Готовность к изменениям и внедрение новых процессов / технологий;
Описание рисков: краткосрочные, потенциальные;
РИСКИ:
планы аварийно-восстановительных работ
РИСКИ:
- Недоступность сервисов, деградация (полное или частичное уничтожение);
- Компрометация, утечка данных;
- Нарушение целостности или искажение (подмена);
планы аварийно-восстановительных работ
Визуально лучше воспринимается в табличном формате:
Объект / выявленное несоответствие / Приоритет / Решение /
Группировка объектов:
План мероприятий по улучшению функционирования ИС:
Объект / выявленное несоответствие / Приоритет / Решение /
Группировка объектов:
- Риски;
- Отказоустойчивость;
- Безопасность;
- IT-инфраструктура;
- Уровень сервиса;
- Сервера и сервисы;
- Сети;
- Соответствие активов;
- Неоптимальное использование ресурсов
План мероприятий по улучшению функционирования ИС:
- Этапы
- сроки
- Ответственные
- Контролеры
Прогноз развития
Планирование реализации текущих и будущих проектов:
Планирование реализации текущих и будущих проектов:
- Перечень проектов, этапы, сроки;
- Соответствие активов (технических, программных, человеческих);
- Ресурсная обеспеченность, необходимость дополнительных ресурсов;
- Планирование и обоснование бюджета.
Обобщенная информация
План и приоритетность рекомендуемых действий
дорожной карты или корректировка существующей
План и приоритетность рекомендуемых действий
дорожной карты или корректировка существующей
Этапы аудита:
1
Организационный (планирование)
Встреча с заказчиком:
Согласование:
Запрос необходимых данных:
- Определение цели, ожидаемых результатов;
- Утверждение аудируемых ресурсов, методологии;
- Перечень запрашиваемой информации;
- Формирование стоимости (бюджет).
Согласование:
- Планируемая длительность;
- График доступа к объектам и проведения интервью;
- Интервью: подразделения (IT, руководство, пользователи), возможные вопросы;
- Выбор ответственных, их функции, роли, график общения;
- Ответственный за оказание содействие аудиторам;
Запрос необходимых данных:
- Внутренние инструкции, документация;
- Доступы, права.
2
Сбор информации и обследование
- Инвентаризация;
- Визуальное обследование;
- Анкетирование, проведение интервью;
- Сбор документации;
- Проверка предоставленных данных;
- Проведение тестов;
- Физическое обследование;
- Удаленное тестирование.
3
Анализ, обработка, подготовка отчета
- Обработка материалов;
- Описание процессов;
- Предварительное согласование и дополнение отчета;
- Возможен запрос дополнительных данных;
- Инвентаризацию с разбивкой по категориям (сервера, сети, защита, отказоустойчивость, документация и т.п.);
- Описание текущего состояния;
- Обнаруженные проблемы и несоответствия;
- Потенциальные риски и последствия.
4
Предоставление и разъяснение результатов
- Встреча с заказчиком;
- Презентация результатов;
- Обсуждение и оценка с представителями IT и руководства;
- Предоставление рекомендаций и плана действий;
- Планирование: приоритетность задач, обновление дорожной карты;
- Подведение итогов.
Хотите узнать стоимость ИТ аудита?
Оставьте номер телефона. Мы свяжемся в ближайшее время
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности