+38 (044) 232-06-03
+38 (067) 701-06-03
Пн.- Нд. 8:00 - 23:00
+38 (067) 701-06-03
Пн.- Нд. 8:00 - 23:00
Аудит ІТ
Шаблон або чек-лист для:
☑ проведення внутрішніх і зовнішніх аудитів;
☑ зміни постачальника ІТ-послуг;
☑ актуалізації даних.
☑ проведення внутрішніх і зовнішніх аудитів;
☑ зміни постачальника ІТ-послуг;
☑ актуалізації даних.
Розповімо більше, ніж на сайті
Залиште телефон — ми перетелефонуємо.
Види аудиту (класифікація)
Не існує єдиної класифікації та методики. Різні інституції, локальні та міжнародні організації встановлюють власні стандарти, методології, фреймворки та рекомендації.
Варіанти розподілу по:
- Типу: Внутрішній, Зовнішній;
- Цілям: Технічний, Стратегічний;
- Охопленням: Комплексний, Спрямований;
- Графіку: Плановий, Позаплановий;
- Ініціаторам: керівництво, ІТ-департамент, власники бізнесу;
- Завданням: проходження сертифікації, управління IT-процесами, зміна обслуговуючої компанії, інформаційна безпека (ІБ), управління ризиками та інцидентами, розробка програмного забезпечення тощо.
Стандарти та практики:
- Cobit 5 for Assurance - фреймворк управління ІТ-системами та процесами. Включає стандарти та рекомендації, описує бізнес-цілі, процеси, контрольні заходи, метрики;
- ITIL (Information Technology Infrastructure Library) - набір найкращих практик для управління ІТ-сервісами.
Безпека:
- ISO 27001 (ISMS) - стандарт для систем управління ІБ;
- NIST SP 800-53 - рекомендації з ІБ;
Методологія
- ISACA's IT Assurance Framework (ITAF) - методології та стандарти;
- IT Audit Framework 2nd Edition (ITAF) - терміни, концепції, вимоги до навичок і знань аудиторів;
- IIA's International Professional Practices Framework (IPPF) - фреймворк для внутрішніх аудиторів.
Послуги ІТ аудиту в Києві
Проводиться безкоштовно у всіх тарифах ІТ Аутсорсингу
(абонентського обслуговування)
(абонентського обслуговування)
Експрес
Оцінка стану IT сервісів. Для невеликих організацій. Стислі терміни.
___________________________
Включає:
Вартість: від 6000 грн
___________________________
Включає:
- Інвентаризація обладнання;
- Сервера і зовнішні сервіси;
- Мережі та СКС;
- Робочі місця;
- Програмне забезпечення;
- Резервне копіювання;
- Пошта та комунікація;
- Робочі місця користувачів.
Вартість: від 6000 грн
Комплексний
Деталізований звіт про поточний стан IT-систем і рекомендації.
___________________________
Включає:
Усе в "Експрес" і:
Вартість: від 12000 грн
___________________________
Включає:
Усе в "Експрес" і:
- ІТ систем і процесів;
- Регламентні роботи;
- Критичні компоненти;
- Документації, інструкції;
- Відмовостійкість;
- Засоби захисту;
- Оцінювання безпеки.
Вартість: від 12000 грн
Спрямований
Детальне дослідження обраного напряму або окремих елементів:
___________________________
Включає:
Складається індивідуальний план проведення
___________________________
Вартість: Договірна
___________________________
Включає:
- Проведення тестів;
- Аналіз вразливостей;
- Рекомендації;
Складається індивідуальний план проведення
___________________________
Вартість: Договірна
Аудит ІТ інфраструктури
Приклад звіту:
Приклад звіту:
1. Вступ
Не слід приступати до аудиту, не розуміючи мети замовника.
У разі проблем із мережею замовника не цікавитиме захищеність серверів. Аналогічно, під час міграції інфраструктури в хмару, наявність внутрішніх інструкцій або функціонування локальних сервісів не є пріоритетним.
Залежно від ініціатора, типу, сфери діяльності можуть бути різні цілі.
Найпопулярніші сценарії проведення аудиту для малого бізнесу:
У разі проблем із мережею замовника не цікавитиме захищеність серверів. Аналогічно, під час міграції інфраструктури в хмару, наявність внутрішніх інструкцій або функціонування локальних сервісів не є пріоритетним.
Залежно від ініціатора, типу, сфери діяльності можуть бути різні цілі.
Найпопулярніші сценарії проведення аудиту для малого бізнесу:
- Інцидент, що стався: злом, втрата або витік даних, відмова обладнання або сервісів.
- Зміна обслуговуючої ІТ компанії або штатного системного адміністратора;
- Реорганізація, масштабування, зміна власника, відкриття філій, зміна (додавання) напрямків діяльності, значні зміни бізнес-процесів або ІТ інфраструктури;
- Допомога ІТ відділу. Залучення вузькоспрямованих фахівців для реалізації специфічних завдань або при недостатньому рівні кваліфікації штатних системних адміністраторів;
- Оцінка ефективності та кваліфікації персоналу, рекомендації щодо розвитку;
- Планування IT бюджету, оптимізація витрат, оцінка раціональності витрат;
- Впровадження нових або підвищення ефективності наявних, процесів, сервісів. Перехід у хмарне або гібридне середовище;
- Захист і безпека. Аналіз короткострокових і потенційних загроз. Оцінка систем і процесів, що забезпечують ІБ;
- Достатність наявних активів поточним і планованим завданням;
- Відповідності внутрішньокорпоративним і міжнародним політикам, законодавчим вимогам, загальноприйнятим стандартам (ITIL, COBIT, ISACA, ITSM), відповідність рівня сервісу.
З огляду на специфіку обслуговування невеликих компаній (до 100 робочих місць) компанія Sysadmin.com.ua, використовує Cobit, ITIL
Подано неповний список. Може змінюватися, доповнюватися:
- Серверна інфраструктура;
- Корпоративні та хмарні сервіси;
- Відмовостійкість:
- Резервне копіювання;
- Комп'ютери, периферійна та офісна техніка;
- Мережева інфраструктура;
- Пошта, засоби комунікації, зв'язку;
- ОС і програмне забезпечення;
- Документація, керівництва, політики;
- ІБ і захист, контроль доступів;
- Бізнес-процеси;
- Робочі місця користувачів.
- Документація: інструкції, зведення правил, пам'ятки, документація від вендорів;
- Інтерв'ю з власниками бізнесу, керівниками, співробітниками, представниками ІТ-відділів;
- Опитувальний лист: зауваження, проблеми, очікування, рівень задоволеності.
2. Організаційна структура
- Бізнес-процеси, рівень залежності компанії від системи;
- Внутрішня і зовнішня інфраструктура;
- Фізична та логічна структура ресурсів;
- Інформаційні потоки.
- Опис критичних операцій і процесів;
- Можливі точки відмови і підвищеного ризику (приклад: інтернет, канали комунікації, приймання заявок із сайту, доступність 1C або CRM, файлові сховища, MS SharePoint, робота обладнання тощо);
- Прийнятний / граничний час недоступності послуг;
- Допустима втрата інформації (за 5 хв, годину, добу). Використовується під час реалізації систем відмовостійкості та резервного копіювання/відновлення;
- Потенційні ризики та наслідки: ЛВС, інтернет, ПЗ і БД, недоступність серверів, веб-сервіси, відмова ПК, торговельного або промислового обладнання, касових апаратів тощо;
- План аварійно-відновлювальних робіт, відповідальні.
Наявність ІТ-відділу або штатного фахівця;
Обов'язки та зони відповідальності. Приклади:
- Обов'язки, зона відповідальності, досвід, сертифікати;
- Ключові показники діяльності, ким і як контролюються, використовувані метрики контролю;
- Приймання та опрацювання заявок (графік, засоби комунікації, системи, контроль виконання);
- Наявність регламентуючих інструкцій;
- Заявка на придбання ПЗ, техніки, витратних матеріалів;
- Процедура передачі адміністративних прав і доступів;
Обов'язки та зони відповідальності. Приклади:
- Адміністрування серверів:
- Встановлення та налаштування ОС, ПЗ, адміністрування БД;
- Техпідтримка та консультації користувачів;
- Створення та тестування резервних копій;
- Вибір і організація закупівель техніки та ПЗ;
- Введення в експлуатацію, налаштування, ремонт оргтехніки, облік гарантійних зобов'язань;
- Адміністрування мережі: організація робочих місць, налаштування маршрутизації, створення VPN підключень;
- Встановлення оновлень і патчів (ОС, ПЗ, прошивки);
- Забезпечення безпеки;
- Створення та перевірка backup;
- Розробка і документування процедур;
- Філії. Методи комунікації та взаємозв'язків;
- Особи, які ухвалюють рішення;
- Співробітники, кваліфікація, зона відповідальності;
3. Обстеження, збір даних, інвентаризація
- Перелік серверів (фізичні/віртуальні);
- Операційна інфраструктура: версії ОС, ролі, призначення (AD, DNS, DHCP, ISA, RDP, DB, Mail, etc.);
- Локальні та групові політики (AD);
- Поточне і пікове навантаження. Достатність;
- Профілактичні та сервісні роботи: регламент обслуговування, що входить (оновлення, планова заміна дисків, моніторинг температур, вільного місця, стан дисків);
- Безпека: актуальність версій ОС і системних додатків. Контроль доступу, запобігання вторгненням, фільтрація небажаних IP, сканування, блокування під час підбору паролів, налаштування Firewall, антивірус;
- Резервне копіювання. План і графіки створення бекапів, процедури аварійного відновлення;
- Облікові записи з привілейованими правами та адміністраторів. Обґрунтування наданих прав;
- Реалізація відмовостійкості: використання дублювання, дедуплікації, S2D, план (можливість) аварійного відновлення або міграції на сторонні ресурси, підмінний фонд;
- Моніторинг та оповіщення, аналіз журналу подій, система оповіщення.
Внутрішні та зовнішні:
Зберігання та обробка інформації: внутрішній файлообмін, Бітрікс24, SharePoint, CRM і ERP, БД, 1С;
Зв'язок і комунікація: телефонія, пошта, месенджери, Teams
Зберігання та обробка інформації: внутрішній файлообмін, Бітрікс24, SharePoint, CRM і ERP, БД, 1С;
Зв'язок і комунікація: телефонія, пошта, месенджери, Teams
Серверна:
Користувацька
- Об'єкти резервування;
- Обсяг збережених даних, схема копіювання, місця зберігання, використовувані ресурси і ПЗ, кількість копій, відповідність правилу 3-2-1;
- Копії на момент аудиту. Наявність Offline копій (на зовнішніх носіях, без виходу в Інтернет);
- Планове розгортання і тестування створених копій, дата проведення крайнього тесту;
- Розрахунковий час відновлення ключових образів системи і компонентів;
- Процедура відновлення, відповідальні
Користувацька
- Реалізація Backup на ПК;
- Використання OneDrive, GoogleDrive;
- Зберігання на локальних ПК, серверах, загальних папках, порталах
Зручніше подавати в табличному вигляді або БД.
- Співробітники, відділи або підрозділи, закріплена техніка, облікові записи Microsoft, AD, локальні права адміністратора;
- Техніка: тип, модель, характеристики, серійний / інвентарний номер, розташування, стаціонарна / переміщувана, технічний стан, відповідність завданням;
- Встановлені програми та ОС;
- Зберігання та захист інформації: антивірус, шифрування дисків, VPN, використання OneDrive, GoogleDrive.
- Загальний опис: маршрутизації, сегментація (VLAN), правила, обмеження, блокування, фільтрація трафіку;
- VPN: протоколи, налаштування шифрування, реалізація апаратно/програмно;
- Топологія (логічна і фізична): схема розміщення мережевих пристроїв, наявні та плановані робочі місця, лінії прокладання кабелів, стан кабелів, розеток і патч-панелей;
- Точки комутації: вхід провайдерів, з'єднання між комутаторами, міжповерхові з'єднання, розміщення комутаційних вузлів, розеток, лінії прокладання кабелів;
- Мережеві пристрої: розміщення, моделі, тип (керований/некерований), призначення, адреси, дані авторизації, налаштування, правила;
- Інтернет: тип підключення (кабель, оптоволокно), мережеві параметри (IP адреса, статична/динамічна, прив'язка до MAC), вхід до білінгу, контакти провайдерів, № договору, тарифний план, додаткові умови;
- Wi-Fi: використовувані контролери і Wi-Fi точки, гостьові мережі, безшовність, параметри шифрування, карта покриття, використовувані канали, зашумленість;
- Загальні мережеві ресурси і пристрої, які користувачі або додатки використовують;
- Політика санкціонування: права, розмежування, як реалізовано;
- Відмовостійкість: можливі точки відмови (включно з електропостачанням), дублювання, резервні інтернет-канали, збережені конфігурації, наявність підмінних пристроїв;
- Процедура в разі інцидентів, відповідальні, інструкції;
- Безпека і моніторинг: управління мережею, актуальність прошивок, аналіз помилок і системних повідомлень, поточне і пікове завантаження каналів зв'язку, мережевого трафіку, відкриті порти. Хто контролює. Налаштування сповіщень.
Пошта
Телефонія (включно з IP)
Інше
- Хостинг, вхід у панель керування, процедура адміністрування;
- Використовувані та наявні можливості: переадресація, фільтрація, блокування СПАМу, захист від небажаних вкладень, антивірус, боротьба з фішингом;
- Використання розсилок;
- Сертифікати безпеки, DKIM, DMARK тощо;
- Прив'язка: засоби авторизації, технічні адреси (програми та сервіси);
- Скриньки на безкоштовних ресурсах (не корпоративна пошта).
Телефонія (включно з IP)
- Номери телефонів, призначення, за ким закріплені (реклама, бухгалтерія, персональний);
- Номери для підтвердження і відновлення, використання багатофакторної аутентифікації;
- Поповнення балансу, контроль дзвінків;
- Обслуговуюча компанія, вхід у кабінет, налаштування.
Інше
- Месенджери, інші засоби комунікації
- Внутрішні та зовнішні засоби комунікації.
Реєстратори доменних, хостинг
- На кого зареєстровано (компанія, приватна особа), процедура відновлення доступу;
- Терміни закінчення підписок (хостинг, доменне ім'я, сертифікати), процедура подовження, як налаштовані повідомлення (пошта);
- Білінг, графік платежів;
- Захист панелі керування: складність пароля, періодичність зміни, багатофакторна авторизація;
- CMS, бази даних;
- Облікові записи (співробітники, підрядники), доступи, права, які завдання виконують;
- Наявні записи (SPF, DKIM, DMARC, CNAME, MX, NS, TXT, SOA, SRV, PTR, DNAME);
- Резервне копіювання: періодичність, процедура відновлення.
- Пристрої: реєстратори, камери, канали зв'язку, схема мережі з розміщенням;
- Реалізація безпеки, включно з фізичною захищеністю;
- Налаштування, параметри підключення, права доступу;
- Період зберігання відеозаписів, використання хмарних сховищ.
- Список послуг, поставок;
- Перелік постачальників і підрядників, роботи на аутсорсингу;
- Основні бізнес-додатки (включно з 1С, БД, ERP, CRM, САПР, системи клієнт-банк);
- Діючі ліцензії. Постачальники, угоди про технічне обслуговування, копії ліцензійних Угод з Microsoft та іншими Ліцензіатами;
- Використовувані ОС, офісні програми;
- Сторонні некритичні додатки та ПЗ;
- Ключі, сертифікати - розміщення, якими співробітниками або сервісами використовуються
Групування за категоріями:
Інформація:
- Системні: сервери, контролери домену;
- Сторонні сервіси (включно з Microsoft, Google);
- Локальні комп'ютери;
- Прикладні (1с, SQL, ERP, CRM);
- Обладнання (мережеві пристрої, друкарська техніка, відеоспостереження);
- Web-панелі, хостинг
Інформація:
- Облікові записи невідомого призначення (не прив'язані до співробітників або сервісів);
- не відключені тимчасові записи, звільнені співробітники;
- Активні технічні (системні) облікові записи;
- Записи з правами адміністратора або надлишковими правами;
- Контроль надлишкових прав.
Список і повнота наявної документації: керівництва, інструкції, політики, пам'ятки, нормативна, звід правил, пам'ятки.
Можна групувати за класами:
Приклади внутрішніх інструкцій і правил (окремих або зведених):
Можна групувати за класами:
- Внутрішні системи і процеси;
- Вендори і виробники;
- Нормативно-правові, внутрішньокорпоративні, галузеві вимоги;
- ІТ-департамент;
- Користувачі
Приклади внутрішніх інструкцій і правил (окремих або зведених):
- процеси управління змінами;
- дії під час штатних і аварійних ситуацій;
- вимоги до паролів;
- правила ідентифікаторів техніки;
- регламент створення і блокування облікових записів користувачів;
- придбання, заміна, модернізація техніки;
- стандарти використання техніки та ПЗ.
Наведена інформація підходить для поверхневого дослідження питань ІБ.
Наявність політики інформаційної безпеки
РИЗИКИ:
Дотримання політик співробітниками і процесами: управління ризиками, процедури реєстрації, контроль доступу, паролі;
Відповідність стандартам: законодавчим, галузевим, нормативно-правовим, загальноприйнятим;
Фізична захищеність серверних кімнат, біометрична ідентифікація, відеоспостереження, контроль, охорона, СКД, зберігання серверів у дата-центрах;;
Управління ризиками: планування та реагування на інциденти, їх реєстрація та документування;
Захист даних: шифрування, рівні доступу, регулярні аудити;
Оновлення: актуальність версій, наявність патчів для програмного забезпечення та операційних систем;
Мережі: коректність налаштування фаєрволів, брандмауерів, мережевих пристроїв. Моніторинг і виявлення інцидентів, аналіз трафіку, контроль доступу;
Управління доступом: ефективність механізмів аутентифікації та авторизації (облікові записи, групові політики, одноразові паролі);
Захист даних: методи шифрування, контроль цілісності, запобігання витоку;
Додатки та програмне забезпечення: аудит коду, сканування на наявність вразливостей, аналіз архітектури додатків, актуальність версій;
Обробки інцидентів і моніторинг: процедури запобігання та реагування на інциденти, аналіз звітів, системи моніторингу.
Корисні матеріали та приклади:
Наявність політики інформаційної безпеки
- ПОЛІТИКА ІБ (що може загрожувати) - ситуація в галузі потенційних загроз: джерела, наслідки;
- КОНЦЕПЦІЯ ІБ Які інструменти та засоби застосовуватимуться для недопущення / запобігання.
РИЗИКИ:
- Недоступність сервісів, деградація (повне або часткове знищення);
- Компрометація, витік даних;
- Порушення цілісності або спотворення (підміна).
Дотримання політик співробітниками і процесами: управління ризиками, процедури реєстрації, контроль доступу, паролі;
Відповідність стандартам: законодавчим, галузевим, нормативно-правовим, загальноприйнятим;
Фізична захищеність серверних кімнат, біометрична ідентифікація, відеоспостереження, контроль, охорона, СКД, зберігання серверів у дата-центрах;;
Управління ризиками: планування та реагування на інциденти, їх реєстрація та документування;
Захист даних: шифрування, рівні доступу, регулярні аудити;
Оновлення: актуальність версій, наявність патчів для програмного забезпечення та операційних систем;
Мережі: коректність налаштування фаєрволів, брандмауерів, мережевих пристроїв. Моніторинг і виявлення інцидентів, аналіз трафіку, контроль доступу;
Управління доступом: ефективність механізмів аутентифікації та авторизації (облікові записи, групові політики, одноразові паролі);
Захист даних: методи шифрування, контроль цілісності, запобігання витоку;
Додатки та програмне забезпечення: аудит коду, сканування на наявність вразливостей, аналіз архітектури додатків, актуальність версій;
Обробки інцидентів і моніторинг: процедури запобігання та реагування на інциденти, аналіз звітів, системи моніторингу.
Корисні матеріали та приклади:
- COBIT: модель оцінки системи управління IT (окремий розділ з ІБ - COBIT for Information Security);
- ISO 27001 - міжнародний стандарт ІБ: вимоги до системи менеджменту, захист інформаційних ресурсів;
- CIS (Center for Internet Security) - збірник практик із захисту інформації;
- OSSTM (The Open Source Security Testing Methodology Manual) - тестування бездротових мереж, фізична безпека, обробка даних, вплив людського фактора, регулятивні вимоги;
- NIST (National Institute of Standarts and Technology) - уразливості мереж, соціальна інженерія, рекомендації щодо складання звітів;
- PTES (The Penetration Testing Execution Standart) - збір інформації, структура звіту.
- Об'єкти оцінювання (пристрої, сервіси, мережевий трафік)
- Наявність засобів захисту;
- Системи моніторингу та контролю:
- Контроль доступності сервісів;
- Аналіз засобів моніторингу, графіки;
- Журналювання подій (логів);
- Виявлення та реагування на інциденти, про
- Відстеження аномалій;
- Плани аварійно-відновлювальних робіт.
- Навчання та обізнаність персоналу:
- Оцінка програм навчання та обізнаності в галузі ІБ;
- Порядок дій у разі виникнення нештатних ситуацій або інцидентів;
4. Результати та висновки
Основні питання, що цікавлять замовника:
- Задоволеність станом і функціонуванням IT-систем; ефективність, рівень кваліфікації, зони відповідальності;
- Бюджет: обґрунтованість виділених коштів;
- Ризики та безпека: поточний стан, підготовленість до інцидентів;
- Забезпеченість ресурсами;
- Готовність до змін і впровадження нових процесів/технологій;
Опис ризиків: короткострокові, потенційні;
РИЗИКИ:
Плани аварійно-відновлювальних робіт
РИЗИКИ:
- Недоступність сервісів, деградація (повне або часткове знищення);
- Компрометація, витік даних;
- Порушення цілісності або спотворення (підміна);
Плани аварійно-відновлювальних робіт
Візуально краще сприймається в табличному форматі:
Об'єкт/виявлена невідповідність/Пріоритет/Рішення/.
Групування об'єктів:
План заходів щодо поліпшення функціонування ІС:
Об'єкт/виявлена невідповідність/Пріоритет/Рішення/.
Групування об'єктів:
- Ризики;
- Відмовостійкість;
- Безпека;
- IT-інфраструктура;
- Рівень сервісу;
- Сервери та сервіси;
- Мережі;
- Відповідність активів;
- Неоптимальне використання ресурсів
План заходів щодо поліпшення функціонування ІС:
- Етапи
- терміни
- Відповідальні
- Контролери
Прогноз розвитку
- Планування реалізації поточних і майбутніх проєктів:
- Перелік проєктів, етапи, терміни;
- Відповідність активів (технічних, програмних, людських);
- Ресурсна забезпеченість, необхідність додаткових ресурсів;
- Планування та обґрунтування бюджету.
- Узагальнена інформація.
- План і пріоритетність рекомендованих дій, дорожньої карти або коригування наявної.
Етапи аудиту:
1
Організаційний (планування)
Зустріч із замовником:
Узгодження:
Запит необхідних даних:
- Визначення мети, очікуваних результатів;
- Затвердження аудійованих ресурсів, методології;
- Перелік запитуваної інформації;
- Формування вартості (бюджет).
Узгодження:
- Запланована тривалість;
- Графік доступу до об'єктів і проведення інтерв'ю;
- Інтерв'ю: підрозділи (IT, керівництво, користувачі), можливі запитання;
- Вибір відповідальних, їхні функції, ролі, графік спілкування;
- Відповідальний за надання сприяння аудиторам;
Запит необхідних даних:
- Внутрішні інструкції, документація;
- Доступи, права.
2
Збір інформації та обстеження
- Інвентаризація;
- Візуальне обстеження;
- Анкетування, проведення інтерв'ю;
- Збір документації;
- Перевірка наданих даних;
- Проведення тестів;
- Фізичне обстеження;
- Віддалене тестування.
3
Аналіз, опрацювання, підготовка звіту
- Обробка матеріалів;
- Опис процесів;
- Попереднє узгодження та доповнення звіту;
- Можливий запит додаткових даних;
- Інвентаризацію з розбивкою за категоріями (сервери, мережі, захист, відмовостійкість, документація тощо);
- Опис поточного стану;
- Виявлені проблеми та невідповідності;
- Потенційні ризики та наслідки.
4
Надання та роз'яснення результатів
- Зустріч із замовником;
- Презентація результатів;
- Обговорення та оцінка з представниками IT і керівництва;
- Надання рекомендацій і плану дій;
- Планування: пріоритетність завдань, оновлення дорожньої карти;
- Підбиття підсумків.
Хочете дізнатися вартість ІТ аудиту?
Залиште номер телефону. Ми зв'яжемося найближчим часом
Натискаючи на кнопку, ви даєте згоду на обробку персональних даних і погоджуєтеся з політикою конфіденційності.