Acasă / Impozitul pe venitul personal / Este un auditor de audit. Auditul tehnologiei informației
25.12.2019

Este un auditor de audit. Auditul tehnologiei informației

Din moment ce în companiile moderne Pe măsură ce tot mai multe operațiuni devin automatizate, auditurile IT sunt necesare pentru a se asigura că toate procesele legate de informații funcționează corect.

Vezi și:

Cum să protejați e-mailul companiei

Securitatea e-mailului unui utilizator - un angajat al companiei - este adesea o vulnerabilitate care este exploatată de atacatori. Vă spunem ce trebuie făcut pentru a vă proteja împotriva virușilor, spam-ului, atacurilor de phishing etc.

Cum să configurați WhatsApp pentru consultanți și manageri

Împărtășim experiența noastră despre cum să configurați consultări pe WhatsApp prin mesagerie instant, să ușurăm situația consultanților online, să stocați toată corespondența într-o formă convenabilă și ușor de înțeles, să vă protejați de pierderi potențiali cliențiși contactele „securante”.

Auditul site-ului

Motoarele de căutare nu observă site-ul tău, în ciuda tuturor eforturilor de a-l promova? Analiza SEO vă va ajuta să înțelegeți care este problema și cum să o remediați.

Auditul infrastructurii IT firma de logistica

Specialiștii IT ai Grupului de Companii Integrus au efectuat un audit cuprinzător al infrastructurii IT a unei companii de logistică care face parte din holding și are un sistem informatic comun.


Audit de telefonie și propunere de optimizare a costurilor apelurilor

Un audit al telefoniei analogice a fost efectuat într-un mare firma de constructii- cheltuieli pentru apeluri, echipamente si intretinerea acestuia. Conducerii companiei a primit un raport detaliat cu privire la posibilitățile de economisire de până la 30% din buget la introducerea telefoniei IP. Avantajele trecerii unei afaceri la servicii de telefonie IP sunt economii semnificative la costul apelurilor, simplitatea și ușurința implementării și asistenței, ușor de modernizat și extins. nu e nevoie de telefon...

Audit echipament server

A fost semnat un acord pentru un audit 1C cuprinzător între compania Integrus (interpreț) și compania client angajată în echipamente complexe saloane de înfrumusețare din Sankt Petersburg, Regiunea Leningradși în toată Rusia. Planurile noastre imediate includ încheierea unui acord cu această companie pentru un audit complet al serverelor (servere blade fizice) precum și un audit al sistemului de stocare a datelor, audit al serverelor SQL, al serverelor terminale și al serverelor de aplicații ale acestei companii. După…


Pregatirea infrastructurii IT pentru biroul unei mari companii de constructii

Un set de lucrări au fost finalizate pentru pregătirea și implementarea infrastructurii IT pentru biroul unei mari companii de construcții, după ce s-a mutat într-un nou Centru de Afaceri din Sankt Petersburg.

Audit 1C

Implementare, automatizare, creare sistem eficient contabilitate de gestiune 1C. Dezvoltare sistem automatizat contabilitatea de gestiune la întreprindere în programele 1C 8 UPP, UE (ERP), UT

Bună ziua

Aș dori să evidențiez problema conformității cu cerințele de management ale departamentului IT ca parte a auditului financiar extern al companiei. Scopul articolului nu este de a descrie legile conexe, ci mai degrabă impactul lor specific asupra managementului unui departament IT.

Probabil, mulți dintre voi ați întâlnit deja aceste cerințe, fie sub formă de rutină zilnică, fie de locuri de muncă în grabă la sfârșit. an calendaristic(Sunt mai înclinat către al doilea), dar personal, în afară de a menționa concepte precum SOX, HIPAA, SAS 70 (înlocuit cu SSAE 16) și ITGC, nu am văzut nicio descriere cuprinzătoare a acestei probleme.

Nu cu mult timp în urmă, în cadrul muncii mele, am pregătit o prezentare pentru noii angajați, care oferă o idee minimă despre acest tip de activitate al companiei noastre. De fapt, prezentarea în sine m-a determinat să scriu acest articol. Aici vreau să observ că experiența mea în țările CSI este foarte limitată - lucrez mai mult cu companii internaționale.

Daca esti interesat această întrebare, Bine ai venit.

Introducere

Permiteți-mi să vă fac o scurtă excursie în istoria acestor cerințe: ca urmare a fraudei financiare în mai multe companii mari la începutul anilor 2000, președintele SUA a aprobat legea SOX privind răspunderea directă conducerea superioară manageri pentru fiabilitatea situaţiilor financiare. Deoarece raportarea financiară în timpul nostru este păstrată nu în cărțile hambar, ci în specialitate sisteme informatice Ah, era nevoie să ne asigurăm că datele financiare stocate în aceste sisteme se puteau baza.

Fiecare dintre voi poate avea o întrebare, cum afectează acest lucru compania în care lucrați? Dacă firma este listată pe bursaîn SUA, sau este o filială a uneia dintre aceste companii, este necesar să se creeze un mecanism intern de monitorizare a activității departamentului IT. Desigur, este necesar să se creeze un mecanism similar în alte departamente, dar aici voi repet că scopul acestui articol este departamentul IT.

Deci, cum este creat un astfel de mecanism de control? De regulă, o companie apelează la o firmă de consultanță, care acționează ca reprezentant al acestei companii în negocierile cu o firmă de audit, iar o altă firmă de audit poate acționa și ca consultant. Firma de consultanta folosește propriile dezvoltări, personalizându-le într-o măsură sau alta pentru fiecare companie specifică.

Ce fel de evoluții sunt acestea? În esență, aceasta este o foaie de calcul Excel obișnuită care conține riscuri și controale organizate pe subiecte, pe care le voi descrie mai târziu. De unde provin aceste riscuri și controale? În funcție de gradul de dedicare al angajaților firmelor de consultanță, pornind de la un studiu amănunțit al diferitelor standarde (COBIT, ITIL, COSO), analiza ulterioară a acestora și construirea propriei „biblioteci” de riscuri și controale, și terminând cu un simplu plagiat, de regulă, foști angajați firme mari care a plecat într-o călătorie liberă.

Procesul de audit al departamentului IT poate fi împărțit în două perioade de timp. Prima, de regulă, are loc la sfârșitul primăverii sau începutul verii, include o descriere a proceselor și controalelor IT (completarea matricelor) și necesită furnizarea a cel puțin un exemplu documentat pentru fiecare control cheie. Din propria mea experiență, pot spune că această etapă este extrem de importantă pentru departamentul IT în sine - în absența unei verificări amănunțite a proceselor și controalelor IT descrise, eventualele inexactități pot fi costisitoare în viitor. A doua parte a auditului are loc în toamnă și include testarea tuturor controalelor cheie prin colectarea documentației privind aceste controale.

Aici avem nevoie de o mică explicație a diferenței dintre controlul obișnuit și cel cu cheie: controlul obișnuit este introdus în matrice sub forma unei descrieri, în timp ce controlul cheie, pe lângă descriere, trebuie testat. De unde știți unde este necesar să furnizați documentația de control și unde vă puteți limita doar la o mențiune? În nici un caz. Aceasta se negociază între intermediar și auditor, în funcție de dimensiunea companiei, de rezultatele primei părți a auditului etc. Cu toate acestea, pentru majoritatea controalelor enumerate mai jos, trebuie furnizată documentația.

Înainte de a începe să descriem procesul de audit, aș dori să menționez subiectul comenzilor și procedurilor - este necesar să documentăm toate procesele cheie de lucru ale departamentului IT. Aceste documente trebuie să fie aprobate de conducerea companiei, revizuite periodic și actualizate în caz de schimbări semnificativeîn procese sau tehnologii.
Și încă o notă: dacă este posibil, furnizați liste în format Excel - acest lucru va ușura viața atât auditorilor, cât și dumneavoastră (solicitările repetate care vă cer să furnizați același lucru, dar într-o formă diferită, vă pot pune nervos).

Să trecem la o descriere a controalelor. Tabelul de riscuri și controale este împărțit în trei părți:
1. Acces logic și fizic
2. Operarea sistemelor informatice
3. Managementul schimbării în sistemele informaţionale
A patra parte, Dezvoltarea sistemelor informaționale, este de obicei revizuită în cadrul managementului schimbărilor, deoarece se concentrează pe documentarea schimbărilor.

Acces logic și fizic

Prima secțiune este Accesul logic și fizic la toate sistemele informaționale care fac obiectul auditului.

1. Administratori de sistem - Acest lucru necesită să furnizați o listă de administratori pe fiecare sistem, inclusiv rețeaua companiei (administratori, administratori de domeniu, întreprinderi și scheme) și baze de date. Lista ar trebui fie exportată din sistem, fie furnizată ca capturi de ecran, prima fiind de preferat.
Pentru fiecare angajat cu drepturi de administrator de sistem, trebuie să existe un ordin de aprobare. De asemenea, este necesar să cunoașteți fiecare serviciu cont cu drepturi similare.

2. Drepturile de acces ale angajaților – sunt testate mai multe sub-articole:
o. Angajații care au început să lucreze în anul testat - trebuie să furnizați o listă cu astfel de angajați, cel mai ușor dintr-un program de contabilitate (pe baza faptului că nu există niciun angajat care să nu primească un salariu).
b. Angajații care au terminat munca în anul testat - în mod similar, o listă cu astfel de angajați.
c. Angajații care și-au schimbat funcțiile - lista angajaților.
d. În plus, ar trebui furnizate liste complete de utilizatori pe toate sistemele, inclusiv în rețeaua companiei și bazele de date
La cererea auditorilor ( lista completa sau eșantionare), trebuie furnizate formulare de angajare și concediere a angajaților completate și certificate.
Se va efectua o verificare încrucișată a datelor: există angajați care au primit drepturi de acces la orice sisteme fără permisiunea corespunzătoare, există angajați concediați/demiși cu drepturi deschise acces, indiferent dacă există conturi deschise neutilizate (conectat cu mai mult de 90-180 de zile în urmă).
Se verifică și implementarea procedurii anuale de auditare a drepturilor utilizatorilor - este necesară furnizarea unei liste certificate a utilizatorilor și a drepturilor acestora în fiecare sistem. Apropo, cu ajutorul acestei verificări poți detecta conturi ale angajaților concediați/demiși care nu au fost închise la timp.

3. Drepturi de acces la distanță – trebuie să furnizați o listă cu toți angajații care au dreptul de acces la distanță. Implementarea procedurii de revizuire a listei de angajați poate fi verificată și în cadrul procedurii anuale de revizuire a drepturilor utilizatorilor. Dacă există un grup separat în AD cu aceste drepturi, pregătiți-vă pentru verificări încrucișate suplimentare.

4. Drepturi pentru instalarea locală a programelor – este indicat ca niciun angajat să nu fie administrator local pe computerul său.

5. Conexiuni externe – este indicat să blocați CD-ROM-ul, porturile USB, prizele LAN și punctele Wi-Fi. În plus, utilizați un sistem de urmărire și notificare a conexiunii.

6. Politica parolei – Trebuie să furnizați o captură de ecran a ecranului de setări a parolei pentru toate sistemele, precum și pentru AD. Cerințe minime privind parola:
o. lungime minimă 8 caractere
b. utilizarea diferitelor simboluri
c. schimbarea parolei după maximum 90 de zile, cel puțin o dată la două zile
d. salvarea istoricului parolelor pentru cel puțin 5 generații sau un an
e. nicio modalitate de a recupera parola
f. blocarea contului după maximum 5 încercări incorecte
g. Deblocarea contului de către administratorul de rețea (este recomandabil să nu folosiți resetarea automată a blocării)
Va fi verificată și data ultimei modificări a parolei în AD pentru toate conturile.

7. Firewall – captură de ecran a versiunii FW, lista de administratori FW, lista de avertisment de corespondență. De asemenea, pot solicita o revizuire periodică certificată a regulilor de către FW. În cazuri deosebit de grave, aceștia se vor uita la jurnal sau vor solicita un document care să ateste (!) că se efectuează o astfel de verificare.

8. Antivirus – captură de ecran a versiunii AV, lista de corespondență de avertizare, ecranul cu setările de actualizare a serverului AV și a clientului.

9. Securitatea laptopului – este destul de rar (încă) să se solicite o listă de angajați cu laptopuri. Sunt hard disk-urile criptate și, dacă da, cum?

10. Managementul incidentelor de urgență – fiecare companie ar trebui să mențină o listă cu astfel de incidente (încercări de hacking de rețea etc.). Este indicat să transmiteți rapoarte trimestriale către conducerea superioară.

Operarea sistemelor informatice

Ei bine, se pare că am rezolvat securitatea sistemelor informaționale. Să trecem direct la funcționarea lor.

1. Salvarea datelor este una dintre principalele verificări din această secțiune.
Ar trebui să furnizați o captură de ecran a versiunii programului de rezervă, a listei de corespondență cu starea finalizării sarcinii și a ecranului cu setările de rezervă. Deoarece, de regulă, fiecare sistem financiar este instalat pe propriul server virtual, iar cerințele de backup pot fi diferite (complete, diferențiate, incrementale), va fi necesar un număr adecvat de capturi de ecran. Continuitatea procesului de backup este verificată prin vizualizarea jurnalelor, de aceea este necesară stocarea jurnalelor de rezervă pentru ultimele trei luni, sau chiar mai bine, pentru întregul an testat. Aici căutăm probleme cu backup-urile de sistem care durează mai mult de 2-3 zile. În astfel de cazuri, rapoartele ar trebui reținute conducerii superioare, cel puțin sub formă de mesaje de e-mail.

2. Verificare de recuperare a datelor – trebuie să furnizați jurnalele de recuperare a datelor din casete. Un auditor cu experiență nu se va limita la câteva documente de pe un server de fișiere, așa că este indicat să efectueze recuperarea bazelor de date și a sistemelor financiare.

3. Casete de rezervă – politica de circulație și reînregistrare a casetelor trebuie să respecte următoarele reguli:
o. benzile zilnice trebuie păstrate cel puțin două săptămâni
b. casete săptămânale – cel puțin o lună
c. casete lunare – minim un an
d. casete anuale – minim șapte ani
Casetele trebuie depozitate într-un seif ignifug, cel puțin nu în camera serverelor, ci de preferință într-o altă clădire. În consecință, este necesar să existe o listă cu toți angajații cu acces la seif.

4. Acces la camera serverului – trebuie să furnizați o listă certificată a angajaților cu acces la camera serverului. Este necesar să se țină un jurnal al vizitelor, iar acest lucru se poate face prin instalarea unui sistem specializat de control al accesului. După părerea mea, este suficient un sistem obișnuit de acces folosind identificarea personală (etichetă de identitate). Vă sfătuiesc să vă revizuiți periodic jurnalul de vizite - în unele cazuri, vi se poate deschide o imagine interesantă.

5. Control mediuîn camera serverului - prezența fumului, a incendiilor, a senzorilor de inundații, a unui sistem independent de aer condiționat (din localurile din apropiere), prezența unui UPS și a unui generator, o listă a angajaților care primesc notificări în caz de urgență.

6. Backup DC – distanța față de sediul central, modalitatea de transfer al datelor, disponibilitatea unui plan BCM/DRP (departamentul IT trebuie să acorde atenție celei de-a doua părți a planului), implementarea de exerciții anuale (cel puțin) conform prevederilor plan.

7. Prelucrarea datelor în loturi – aceasta se referă la prelucrarea automată a datelor (realizată de obicei noaptea) care nu necesită intervenția operatorului. Aveți nevoie de o listă cu toți angajații cu drepturi de modificare a setărilor, de o listă de distribuție pentru starea prelucrării datelor. De asemenea, li se poate cere să furnizeze un jurnal și să-l examineze pentru erori, așa cum este cazul în cazul copiilor de rezervă.

8. Interfețe – în principiu, este interconectat cu punctul anterior, dar voi aminti în continuare acest control. Este recomandabil să aveți o diagramă a interfețelor tuturor sistemelor financiare (nu numai între ele, ci către și de la ele).

9. Rezolvarea problemelor de infrastructură – aici ne referim la un call center intern pentru înregistrarea și rezolvarea ulterioară a tuturor problemelor care apar în companie, într-o măsură sau alta legate de sistemele informaționale și infrastructura (un server a căzut, s-a oprit curentul, mouse-ul nu funcționează, două butoane „Start” etc.). Managementul incidentelor din secțiunea anterioară poate fi implementat în cadrul acestui control.

Managementul schimbarii in sistemele informatice

Două secțiuni în urmă, mai există una care necesită o atenție deosebită, deoarece finalizarea cu succes a auditului necesită de obicei schimbări în procesele de lucru în sine. Deci, managementul schimbării în sistemele informaționale.
Voi începe cu câteva comentarii. În primul rând, este necesar să existe proceduri de dezvoltare documentate și aprobate. În al doilea rând, este foarte, foarte de dorit să aibă sistem specializat pentru a gestiona dezvoltarea în care fiecare schimbare va fi documentată. În al treilea rând, dacă dezvoltarea se realizează externalizat sau dacă se utilizează versiuni de produse în cutie, auditul va fi ușor diferit.

1. Medii de lucru - foarte simplu: pentru fiecare sistem financiar, furnizați capturi de ecran cu cel puțin trei medii de lucru - dezvoltare, testare și producție. Pentru cazurile de mai sus, ultimele două capturi de ecran sunt suficiente (da, chiar și pentru versiunea în cutie trebuie să existe un mediu de testare).

2. Acces la medii de producție - liste de conturi pentru fiecare mediu, listă de nume de dezvoltatori și testeri. Se efectuează verificarea încrucișată pe care o știm deja, a cărei semnificație este următoarea: dezvoltatorilor și testerilor li se interzice accesul în mediul de luptă, utilizatorilor obișnuiți le este interzis să acceseze totul, cu excepția mediului de luptă. Dacă versiunea este în casetă, listele pentru mediile de testare și producție sunt suficiente. Acest lucru este foarte greu de realizat în companiile mici și mijlocii, așa că auditorii fac unele compromisuri.

3. Procesul de transfer al modificărilor – în mod ideal, angajatul responsabil cu transferul modificărilor din mediul de testare în mediul de producție nu are nicio legătură cu procesele de dezvoltare sau de afaceri. Din nou, auditorii pot face compromisuri în acest caz.

4. Modificări – trebuie să furnizați o listă cu toate modificările la sisteme financiare, implementat în anul testat. Nu au existat? Aceasta înseamnă o captură de ecran a folderului cu sistemul instalat, cu fișierele ordonate după data modificării. Ei bine, dacă există, vi se va cere să furnizați următoarea documentație:
o. Solicitare de modificări de la utilizator - formulare speciale sau un e-mail.
b. Termenii de referință pentru modificare - în funcție de tipul modificării (adăugați un câmp în formular sau dezvoltați un modul de la zero), va fi necesară documentația - dintr-o scrisoare obișnuită care descrie modificarea într-un document complet de mai multe pagini, certificate prin semnăturile diverșilor șefi și manageri.
c. Testarea unei modificări – cazuri de testare cu liste de verificare și permisiunea utilizatorului că această modificare îi satisface cererea.
d. Permisiunea de a transfera modificarea în mediul de luptă este semnată de managerul responsabil cu dezvoltarea în această direcție.

5. Managementul schimbării critice – în general, nu diferă de punctul anterior. Singura diferență este că modificările critice apar de obicei fără documente, deci este important să obțineți toate documentele retroactiv și să le salvați pentru viitor.

Acum ați terminat de colectat toată documentația necesară, ce să faceți în continuare? Auditorul vă va cere documentele colectate și le va analiza. Pentru unele controale, vor fi solicitate documente suplimentare, deoarece auditorul trebuie să-și mențină independența față de auditurile interne (dintr-o dată aveți doar 10 solicitări de deschidere de conturi pentru noi angajați, deși sunt mai mult de 50 de angajați; sau ați șters contul din captură de ecran). a grupului de administratori de domenii director general). Și apoi tabelul de riscuri și controale va fi completat cu rezultatele testelor și prezentat spre discuție șefului departamentului IT și director financiar companie (din moment ce el este responsabil pentru situatii financiare).

Concluzie

Sarcina auditorului este de a găsi defectele și punctele slabe ale proceselor și controalelor. Chiar dacă totul funcționează perfect, auditorul poate prinde un detaliu minor și îl poate transforma într-un defect grav. O mică digresiune: deficiențele se împart în trei categorii - deficiență (defect), deficiență gravă și deficiență materială, aceasta din urmă fiind inclusă în situațiile financiare anuale și pot afecta valoarea companiei. Un manager de departament IT cu experiență poate folosi această nuanță pentru a solicita alocare bugetară suplimentară pentru nevoile departamentului. Faptul că nu există un seif ignifug sau un sistem de control al accesului în camera serverului pentru al doilea an consecutiv este ridicat la nivelul comisiei de audit formată din membri ai consiliului de administrație, care, dacă este abordată corect, permite obținerea bugetul necesar pentru remedierea deficienței.

În opinia mea, această descriere oferă o perspectivă suficientă asupra procesului de audit extern al unui departament IT, dar cred că întrebarea principală este după cum urmează: este posibilă pregătirea independentă pentru un audit extern al departamentului IT fără a apela la ajutorul intermediarilor? Pe baza experienței mele, spun că se poate, deși necesită ceva efort, dar pe termen lung te va economisi o sumă decentă de bani în fiecare an. Cu toate acestea, dacă vă pregătiți pentru un audit pentru prima dată și nu aveți încredere în abilitățile și cunoștințele dvs., aș recomanda totuși angajarea unui firma de consultanta. Cu toate acestea, este recomandabil să se aloce un angajat care să ajute la pregătirea auditului, astfel încât pe viitor să-și asume această responsabilitate.

Sper că informațiile prezentate vor fi utile atât celor implicați direct în audit, cât și publicului larg.
Voi fi bucuros să răspund la orice întrebări ați putea avea.


Specialiștii noștri vor audita infrastructura IT din Moscova și Sankt Petersburg: vor găsi toate vulnerabilitățile infrastructurii tale IT și vor identifica riscuri posibileși calculați consecințele acestora. Ca urmare, veți primi recomandări cuprinzătoare pentru optimizarea infrastructurii IT și managementul riscurilor - acestea sunt informații care vă vor permite să evitați posibile pierderi.

La ce întrebări răspunde un audit IT?

  • La ce riscuri este expusă infrastructura IT a companiei dumneavoastră?
  • Dacă există defecțiuni ale sistemului, informațiile importante vor rămâne în siguranță?
  • Cât de repede vor fi operaționale din nou serviciile IT cheie?
  • Cât de bine se descurcă infrastructura IT a companiei dvs. sarcinilor sale?
  • Sunt angajații departamentului IT plătiți corespunzător?
  • Cât de profesionist este personalul departamentului IT?
  • Pot angajații departamentului IT să provoace prejudicii companiei dvs.?

În ce cazuri este deosebit de important un audit IT?

Există trei situații în care un audit IT devine o necesitate. Acest:

1. Demiterea administratorului de sistem al companiei

Un audit IT va ajuta:

  • Înțelegeți starea actuală a infrastructurii IT a companiei dvs.
  • Evaluați nivelul real de profesionalism al dumneavoastră administrator de sistemși verificați dacă nivelul de plată îi corespunde.
  • Efectuează concedieri justificate în cazul în care salariatul nu este apt pentru postul ocupat.
  • Spuneți ce este important pentru finalizare relaţiile de muncă criterii.
  • Verificați dacă acțiunile administratorului de sistem cauzează daune companiei dvs.

2. Angajarea unui administrator de sistem

Un audit IT va ajuta:

  • Formulează pentru un angajat plan profesional fabrică
  • Stabiliți criterii importante și complet transparente pentru ca un angajat să treacă de perioada de probă.
  • Snap motivație financiară la îndeplinirea cu succes a sarcinilor importante pentru companie.
  • Oferiți candidatului o evaluare cu adevărat obiectivă a stării infrastructurii IT a companiei.
  • Faceți transferul către noul administrator de sistem cât mai ușor posibil.

3. Avarii frecvente, pierderea de informații importante

Un audit IT va ajuta:

  • Aflați cum să minimizați pierderile și la ce să vă așteptați în viitor.
  • Stabiliți cât timp va dura serviciile IT ale companiei dvs. pentru a se recupera de la posibile eșecuri.
  • Evaluați riscurile și amenințările asociate cu infrastructura IT pentru afacerea dvs.
  • Află ce rezerve are infrastructura IT a companiei tale și stabilește dacă acestea vor fi suficiente (ținând cont de dezvoltarea afacerii).


Ce este inclus într-un audit IT?

Angajații noștri:

  • Ei vă vor intervieva pe dumneavoastră și, dacă este necesar, cu departamentul IT și alți angajați ai companiei dumneavoastră.
  • Serverele, software-ul și echipamentele de rețea vor fi examinate amănunțit.
  • Aceștia vor pregăti și prezenta un raport detaliat care conține recomandări pentru îmbunătățirea infrastructurii IT.

Dacă este necesar, un audit IT poate fi efectuat în mod confidențial, inclusiv orele nelucrătoare. Tot ce ne trebuie sunt parolele de acces de bază.

Efectuăm audituri IT utilizând un program standard care a fost testat și testat de multe ori în practică. Desigur, ajustându-l pentru a se potrivi sarcinilor tale. Acestea ar putea fi:

  • Aflarea cauzelor unui eșec sau incident (de exemplu, un „atac” asupra serverului unei companii).
  • Organizarea accesului de la distanță la serverele companiei - diferențierea drepturilor de acces, verificări de securitate etc.
  • Evaluarea riscurilor dependenței de personalul actual al departamentului IT (verificarea dacă aveți parole de bază, gradul de documentare a infrastructurii IT etc.).

Cât va dura un audit IT?

De la două până la cinci zile lucrătoare - termenii specifici depind de amploarea infrastructurii IT a companiei dvs. În cazuri urgente, suntem gata să începem lucrul direct în ziua solicitării dumneavoastră.

Garantam:

  • Confidențialitate strictă.
  • Abordare integrată pentru a efectua un audit IT.
  • Calificarea înaltă a specialiștilor noștri.
  • Atenție maximă la sarcinile care vi se încredințează.


Program standard de audit IT

Include următoarele secțiuni și acțiuni:

1. Identificarea problemelor și potențialelor zone cu probleme din punct de vedere al securității:

1.1 Analiza politicilor de securitate:

Verificarea politicilor locale de securitate rezultate pe servere. Evaluat:

  • Politica de audit.
  • Setări de securitate.
  • Atribuirea drepturilor utilizatorului.
  • Setări fișier jurnal.
  • Setări Windows Firewall.
  • Servicii la pornire.

Verificarea politicilor de domeniu aplicate stațiilor de lucru. Evaluat:

  • Setări de securitate.
  • Atribuirea drepturilor utilizatorului.
  • Instalare software de rețea.
  • Setări Windows Firewall.
  • Scripturi care sunt executate la pornirea/oprirea stației de lucru.
  • Restricții de aplicare.

Verificarea politicilor de actualizare software. Evaluat:

  • Disponibilitatea serverului WSUS.
  • Sincronizare WSUS.
  • Distribuirea actualizărilor.

1.2 Analiza rețelei și a serviciilor accesibile extern pentru vulnerabilități:

Verificarea listei de servicii care sunt disponibile din rețele externe. Evaluat:

  • Drepturile cu care sunt lansate serviciile accesibile extern.

Verificarea procedurii de asigurare a accesului la diverse servicii din exterior. Evaluat:

  • Opțiuni pentru acordarea accesului și stocarea istoricului permisiunilor.
  • Restricții privind accesul extern.

Verificarea controlului accesului din rețeaua externă. Evaluat:

  • Disponibilitatea fișierelor jurnal/stocarea istoricului cererilor.
  • Abilitatea de a bloca rapid accesul la un anumit angajat sau la toți utilizatorii.

1.3 Analiza protecției antivirus, a politicii de parole și a permisiunilor utilizatorului:

Verificarea functionarii software-ului antivirus, evaluarea produsului ales pentru protejarea infrastructurii IT.

Verificarea politicilor aplicate serverelor. Evaluat:

  • Acces la antivirus (cine îl poate opri să ruleze pe server?).
  • Limitări ale fișierelor scanate.

Verificarea politicilor aplicate stațiilor de lucru. Sunt evaluați aceiași parametri ca în paragraful anterior.

Verificarea drepturilor de acces la statisticile antivirus.

Verificarea alertelor atunci când apare o amenințare de virus.

2. Diagnosticarea funcționării echipamentelor server la niveluri hardware și software:

Testarea echipamentelor serverului și a surselor de alimentare neîntreruptibile:

  • Inspecție externă a stațiilor server (fără oprire).
  • Verificarea dacă puterea UPS-ului corespunde cu durata de viață a bateriei estimată a serverelor.
  • Verificarea setărilor software ale surselor de alimentare neîntreruptibile.
  • Inspecție internă a stațiilor server (cu oprire).
  • Testarea capacității de încărcare a surselor de alimentare neîntreruptibile (cu oprire).

Analiza intrărilor stocate în jurnalele de evenimente:

  • Căutați evenimente care sunt asociate cu defecțiuni hardware care au avut loc.
  • Căutați evenimente care sunt asociate cu repornirea serviciilor.

Analiza setărilor serviciului server:

  • Verificarea drepturilor cu care încep serviciile.
  • Căutați erori legate de rularea serviciilor.

3. Identificarea problemelor și potențialelor zone cu probleme în ceea ce privește performanța:

  • Analiza încărcării pe stațiile server în timpul orelor de activitate de vârf.
  • Verificarea disponibilității spațiului liber pe hard disk.
  • Analiza distribuției sarcinii între stațiile server.
  • Identificați aplicațiile care consumă cel mai mult resurse.

4. Diagnosticarea rețelei și a echipamentelor active:

  • Verificarea vitezei canalului de internet.
  • Estimarea pierderilor de pachete în rețelele interne și externe.
  • Verificarea politicilor de securitate și a parametrilor de funcționare ai echipamentelor active.
  • Verificarea sarcinii pe canalele interne care conectează echipamentele active.

5. Verificarea corectitudinii setărilor utilizatorului (mai multe stații de lucru din care să alegeți):

  • Corespondența setărilor reale cu cele de referință.
  • Verificarea stării software-ului antivirus.
  • Verificarea programelor malware (keylogger, sniffer, programe de ghicire a parolelor etc.).
  • Se verifică software fără licență.

6. Audit politicile de backup

  • Verificarea disponibilității backup-urilor pentru serviciile importante.
  • Verificarea politicilor de backup setate pentru serviciile importante.
  • Efectuarea de teste aleatorii a backup-urilor stocate.
  • Diagnosticarea dispozitivelor pe care sunt stocate copiile de rezervă.

7. Analiza structurii rețelei, analiza aspectului soluțiilor de rețea, identificarea vulnerabilităților

  • Verificarea metodei de acces la echipamentul de rețea și server activ.
  • Analiza sistemului de răcire a stațiilor server.
  • Identificarea stațiilor de server supraîncărcate.
  • Verificarea conformității caracteristicilor curente ale rețelei de alimentare și a puterii electrice a serverelor.
  • Verificarea conexiunilor alternative ale stațiilor server la sursa de alimentare.

8. Identificarea problemelor și a zonelor cu probleme potențiale în ceea ce privește fiabilitatea:

  • Identificați blocajele comune de performanță între două sau mai multe servicii.
  • Identificați punctele comune de eșec pentru două sau mai multe servicii.

9. Analiza situațiilor în care echipamentele de rețea sau server se defectează:

Experții noștri vor face o prognoză a pierderii de date și a timpului de nefuncționare atunci când stațiile de server individuale eșuează.

10. Analiza solicitărilor utilizatorilor și a incidentelor care au avut loc anterior:

  • Verificarea disponibilității unui sistem de înregistrare a aplicațiilor de la utilizatori.
  • Analiza aplicațiilor cele mai frecvent întâlnite.
  • Analiza incidentelor majore anterioare și a consecințelor la care au condus.

Avantajele noastre

Audit profesional al infrastructurii IT: verificare cuprinzătoare a funcționării sistemelor informaționale

Orice întreprindere modernă Pur și simplu nu poate exista pe deplin fără un sistem informatic dezvoltat. În plus, orice eșecuri echipamente informatice, software poate duce la o serie de probleme grave. Printre acestea se numără și cheltuielile ineficiente resurse financiareîntreprinderilor și scurgerea de date importante și oprirea completă a tuturor proceselor.

Dacă doriți să optimizați funcționarea unui sistem informațional de întreprindere, comandați un audit al infrastructurii IT la Moscova de la compania Hands from Shoulders. Face posibilă identificarea promptă a problemelor emergente și eliminarea promptă a acestora.

Scopurile unei astfel de lucrări includ și detectarea vulnerabilităților în sistemul informațional, defecte care au un impact negativ asupra funcționării întreprinderii. De asemenea, auditul face posibilă elaborarea unui set de măsuri eficiente pentru a reveni la funcționarea normală.

Ce servicii oferă compania noastră?

Noastre firma de externalizare oferă servicii complete pentru verificarea performanței sistemelor informaționale, care includ:

  • evaluarea infrastructurii IT, stare tehnica echipamente de retea, computer si server;
  • verificarea funcționalității software-ului, îndeplinirea acestuia a funcțiilor de bază care asigură funcționarea coordonată a tuturor departamentelor întreprinderii;
  • evaluarea stării sistemului de cablare structurată;
  • sisteme de verificare care asigură securitatea completă a informațiilor transmise prin rețea.

Ce vei obține contactându-ne?

Auditurile infrastructurii IT sunt efectuate de auditori cu experiență, care înțeleg nu numai specificul echipamente moderneși software, dar și în nuanțele specifice întreprinderilor implicate într-un anumit domeniu de activitate.

De aceea, rezultatul contactării noastre va fi:

  • operarea eficientă a serverelor și calculatoarelor;
  • securitate maximă a stocării și transmiterii datelor, protecția acestora împotriva oricăror situații neprevăzute;
  • reducerea costurilor pentru consumabile pentru echipamente de birou;
  • protecție eficientă împotriva programelor spion și viruși;
  • instalate pe toate computerele și alte echipamente sunt licențiate sisteme de operareși aplicații care vor fi actualizate automat la cele mai recente versiuni;
  • implementarea unor sisteme concepute pentru stocarea, backupul și recuperarea eficientă a datelor.

Contactarea noastră este o oportunitate nu numai de a verifica infrastructura IT, ci și de a o adapta la caracteristicile specifice ale întreprinderii dumneavoastră și de a crește semnificativ eficiența muncii.

Auditul IT este studiul și evaluarea infrastructurii IT a unei companii și a părților sale individuale. Cu ajutorul unui audit poți înțelege situația actuală, precum și să planifice pași suplimentari pentru dezvoltarea și optimizarea rețelei. Acest proces complex, formată din mai multe etape și adaptate fiecăreia întreprindere specifică. În plus, fiecare etapă poate fi implementată în moduri diferite.

Audit expres

Auditul rapid este cel mai comun tip de audit IT. De obicei, se realizează înainte de a prelua o companie pentru service. Un astfel de audit constă în mai multe etape:

  • colectarea de informații: sondajul managerului și angajaților, studiul serviciilor etc.;
  • inspecția echipamentelor, serverelor, echipamentelor de rețea și stațiilor de lucru.

Principalul avantaj al unui audit expres este viteza. Informații despre starea infrastructurii IT a companiei și recomandări pentru modernizarea acesteia pot fi obținute literalmente în câteva minute. Cele mai frecvente probleme ale întreprinderilor mici și mijlocii includ:

  • backup;
  • securitate antivirus;
  • securitate bancare prin internet;
  • rezervare echipament;
  • accesul utilizatorului la rețea.

În timpul auditului, se acordă o atenție deosebită aducerii infrastructurii în conformitate cu standardele, care includ nivelul corespunzător de securitate și toleranță la erori. Etapa finală a unui audit IT este un raport privind rezultatele auditului.

Audit IT direcționat al unei rețele de calculatoare

Auditul IT direcționat este efectuat pentru a rezolva sarcini specifice și probleme locale. Există destul de multe situații în care merită să comandați un audit IT direcționat, inclusiv:

  • modernizarea echipamentelor;
  • optimizarea functionarii serviciilor;
  • identificarea și rezolvarea problemelor de securitate;
  • imbunatatirea activitatii departamentului IT;
  • introducerea de noi sisteme informatice;
  • automatizarea proceselor de afaceri.

Costul unui studiu țintit al unui sistem informatic este mai mic decât al unuia complet. În acest caz, problema nu este doar identificată, ci și rezolvată. Clientul primește consultații și recomandări cuprinzătoare, documentate, care îl vor ajuta să depaneze singur problemele data viitoare.

Principalul avantaj al unui studiu țintit al infrastructurii IT a unei întreprinderi este documentarea completă a procesului, adică se elaborează un plan de acțiune, care indică calendarul, etapele și persoanele responsabile. Toate problemele identificate și rezultatele cercetării sunt înregistrate într-un raport. Se poate face digital sau pe hârtie.

Cercetare completă a rețelei

O investigație cuprinzătoare a rețelei de calculatoare face de obicei parte dintr-un audit complet al companiei. Scopul său este de a face schimbări în activitatea departamentului IT. Un audit cuprinzător al infrastructurii unei întreprinderi este un proces complex în mai multe etape, al cărui rezultat depinde de respectarea standardelor internaționale stabilite. Următoarele domenii sunt supuse auditului:

Rezultatul unei verificări cuprinzătoare a sistemului este un raport care conține informații despre cât de bine rețeaua respectă standardele, ce probleme au fost identificate și modalități de a le elimina.

Rezultatul cercetării sistemelor

Pe baza rezultatelor cercetării sistemului, clientul primește un raport privind starea actuală a rețelelor IT și o propunere de îmbunătățire a funcționării acestora.

Programul „Audit IT: Auditor”

Programul " Audit IT: Auditor” este un designer pentru dezvoltarea metodologiei de audit, oferind auditorilor un instrument flexibil pentru a ajuta la efectuarea unui audit. Programul " Audit IT: Auditor” asigură automatizarea activităților unei firme de audit legate de efectuarea auditurilor entităților comerciale.

Programul " Audit IT: Auditor” a fost elaborat ținând cont de cerințele standarde internaționale activități de audit (Rezoluția Guvernului Federației Ruse din 23 septembrie 2002 nr. 696).

La efectuarea unui audit întreprindere mică(perioada de verificare - 5 zile) aplicarea programului " Audit IT: Auditor” vă permite să planificați, să desfășurați și să înregistrați calitativ procedurile de audit efectuate și rezultatul auditului; la efectuarea unui audit în medie şi întreprindere mare- reducerea timpului pentru efectuarea unui audit cu 10-30%.

Programul oferă:

1) menținerea cărților de referință privind metodologia de audit;

2) ținerea evidenței clienților;

3) mentinerea comunicatiilor cu clientii;

4) contabilitatea contractelor încheiate;

5) import de date contabilitate clienti;

6) planificarea auditurilor;

7) formarea auditurilor;

8) întocmirea unui plan de audit;

9) întocmirea unui program de audit;

10) descrierea operațiunilor de afaceri ale clientului;

11) calculul nivelului de materialitate;

12) eșantionarea și analiza rezultatelor;

13) forumul auditorilor (comunicarea între auditori);

14) generarea de informații sumare despre încălcările constatate;

15) generarea de raportări alternative;

16) controlul calității auditului O.V. Audit. Tutorial/ Ed. O.V. Kovaleva, Yu.P. Constantinov. - M.: ANTERIOR, 2008. - p. 128..

Programul " Audit IT: Auditor” vă permite să sistematizați informații despre clienții unei firme de audit (numărul nu este limitat), să stocați informații despre detaliile clientului, adresele reale și legale, persoane de contact, negocieri cu clientul, contracte încheiate, persoane responsabile de lucrul cu clientul etc. Programul permite sortarea clienților în funcție de diverși parametri care îi caracterizează.

Informațiile despre clienți sunt stocate în spațiul corespunzător Director de clienți . Directorul clienților conține și informații despre angajații organizației inspectate.

Informațiile despre contractele încheiate cu clientul pot fi introduse și în baza de informații a sistemului.

Programul acordă o atenție semnificativă suportului metodologic pentru audit, iar suportul poate fi oferit atât de dezvoltatori, cât și de firma de audit însăși.

Programul " Audit IT: Auditor” include următoarele cărți de referință:

1) obiecte de audit (secții de audit);

2) proceduri de audit;

3) posibile încălcări;

4) operațiuni standard.

Programul vă permite să stabiliți relația dintre procedurile de audit și încălcări, obiectele de audit (sarcini) și procedurile de audit. Relația se stabilește folosind directoare.

Directorul obiectelor (secțiunilor) de audit este cel principal, iar directoarele procedurilor de audit, potențialele încălcări și tranzacțiile tipice de afaceri sunt subordonate.

Cartea de referință „Proceduri de audit” este utilizată la crearea unui program de audit și conține șabloane pentru documentele de lucru ale auditorului care trebuie completate în timpul auditului. O parte semnificativă a documentelor de lucru poate fi completată cu datele contabile automate ale clienților. Folosind acest ghid, se poate stabili intensitatea de bază a muncii pentru efectuarea procedurii de audit relevante. O procedură de audit este o anumită ordine și succesiune de acțiuni ale auditorului pentru a obține probele de audit necesare la un anumit loc de audit (obiect de audit).

Directorul de încălcări potențiale conține numele și descrierea potențialei încălcări. Când sunt detectate încălcări la întreprinderea auditată, cartea de referință este utilizată la generarea raportului auditorului.

Este necesar să se ia în considerare modul în care programul implementează cerințele de bază ale legilor federale.

Regula (standard) nr. 2 „Documentarea auditului”.

Programul " Audit IT: Auditor” oferă auditorului oportunități ample de a documenta probele obținute în timpul auditului, de a genera documentele de lucru necesare pentru a efectua reguli federale(standarde) pentru activitati de auditare, asigurarea stocarii si backup-ului, vizualizarii si tiparirii.

Cerințele de mai sus ale standardului sunt îndeplinite de program ca urmare a completării formularelor: „Planificare de audit”, „Plan de audit”, „Program de audit”, „Sarcina de audit”, „Descrierea operațiunilor de afaceri ale clienților”.

Informațiile obținute în timpul auditului sunt stocate în următoarele secțiuni:

1) Informații generale dupa client;

2) informații referitoare la contractul încheiat;

3) informații referitoare la perioada pentru care va fi generat raportul auditorului;

4) informații referitoare la o anumită perioadă a auditului.

Programul prevede diferențierea drepturilor de acces la informații de către client, asigurând stocarea fiabilă a informațiilor despre client și etapele auditului.

Regula (standard) nr. 3 „Planificarea auditului”.

În programul " Audit IT: Auditor" planificarea auditului se realizează în scopul de a implementare eficientăîn programul de audit și formularul „Descrierea operațiunilor de afaceri”.

Formă plan detaliat auditul poate fi realizat în cadrul programului de audit, care ia în considerare procedurile de audit utilizate, distribuția acestora între angajați și ordinea de implementare, se stabilește intensitatea de muncă planificată și reală a realizării procedurilor de audit, precum și o descriere a procedurilor de monitorizare a progresul auditului. Cu toate acestea, modificări pot fi făcute pe întreaga perioadă de audit.

Regula (standard) nr. 4 „Materialul într-un audit”.

Programul " Audit IT: Auditor" vă permite să calculați semnificația în mai multe moduri: în general, pentru raportare, distribuiți între conturile contabile după semnificație:

1) prin debitul contului;

2) rulaj debitor al contului;

3) rulajul credit al contului;

4) credit de cont.

Alegerea procedurilor de audit se face în formele „Program de audit” și „Descrierea operațiunilor de afaceri”. Totalitatea denaturărilor necorectate este rezumată în formularul „Raportare alternativă”.

Regula (standard) nr. 7” Control intern calitatea auditului”.

Șeful auditului are posibilitatea de a monitoriza evoluția auditului, de a formula sarcini și comentarii în formularele „Descrierea operațiunilor de afaceri”, „Program de audit”, „Comunicarea auditorilor”.

În formularele „Descrierea operațiunilor comerciale”, „Programul de audit”, „Comunicarea auditorilor”, este posibil să se descrie în detaliu acțiunile auditorilor și asistenților acestora atunci când efectuează lucrările atribuite, precum și atașarea documentelor de lucru care trebuie completate. afară.

În prezent, se lucrează pentru a include noi reguli (standarde) în program.

În formularul „Efectuarea unui studiu de eșantionare”, auditorul, pe baza populației (generale) auditate, poate selecta elemente care depășesc nivelul de semnificație, elemente cheieși să formuleze populația eșantion în diferite moduri.

De asemenea, auditorului i se oferă posibilitatea de a analiza tranzacțiile de afaceri ale clientului, prezentate în formularul „Descrierea tranzacțiilor de afaceri”, și de a stabili metode de verificare a tranzacțiilor (verificare completă, verificare la fața locului, neverificare, confirmarea unui nivel scăzut de risc) .

Încorporat în program " Audit IT: Instrumentele „auditor” pentru filtrarea (selectarea) datelor contabile vă permit să stratificați datele în funcție de orice criteriu, cu posibilitatea încărcării ulterioare a datelor pentru cercetare selectivă sau completare a unui document de lucru al auditorului.

Programul permite auditorului să extrapoleze erorile identificate în timpul auditului la întreaga populație.

Beneficiile utilizării unui program de automatizare a auditului:

· programul este vândut și susținut direct de dezvoltatori (fără intermediari), ceea ce permite cumpărătorului să reducă costurile de achiziție a programului și suportul ulterior al acestuia;

· acoperă toate aspectele activității de audit (angajarea angajaților, organizarea munca contractuala, contabilitate client, planificare audit, lucru în „domeniu” etc.);

· vă permite să sistematizați toate informațiile pe baza rezultatelor auditului, a posibilității de arhivare și accesul ulterior la date;

· utilizat pe scară largă de sute de firme de audit (de la primele zece companii până la firme de audit mici și auditori individuali);

· este un constructor și permite utilizatorilor să configureze independent metodologia de audit;

· conține un număr semnificativ de modele pentru documentele de lucru ale auditorului;

· oferă mijloace convenabile de încărcare a datelor contabile din cele mai comune programe de contabilitate în programul de automatizare a auditului programelor de contabilitate: 1C Enterprise 7.7 (8.1), etc.

· vă permite să completați automat documentele de lucru ale auditorului cu date contabile;

· conține șabloane pentru potențiale încălcări, precum și instrumente pentru ca utilizatorii să le completeze în mod independent;

· furnizate diverse moduri cercetare prin eșantionare statistică: metoda strict aleatorie (repetată și nerepetitivă), mecanică (sistematică), monetară pur aleatorie (repetată și nerepetitivă);

· generarea automată a unui fișier permanent (variabil) se realizează pe baza rezultatelor auditului;

· are o interfață intuitivă, o cantitate mare de documentație dezvoltată pentru program și materiale educaționale(Videoclipuri flash), care vă permite să începeți rapid să lucrați Kovaleva O.V. Audit. Manual / Ed. O.V. Kovaleva, Yu.P. Constantinov. - M.: ANTERIOR, 2008. - p. 135..

Utilizarea unui program de automatizare de audit oferă:

· sistematizarea muncii metodologice;

· organizarea eficientă a planificării auditului;

· îmbunătățirea calității auditului;

· creșterea controlului operațional și ulterior asupra progresului auditului;

· reducerea intensității muncii pentru efectuarea unui audit;

· respectarea standardelor de audit;

· creșterea manevrabilitatii companiei;

· diferențierea drepturilor de acces la materialele de audit;

· sistematizarea si arhivarea informatiilor.

Popular
Categorii

2024
newmagazineroom.ru - Declarații contabile. UNVD. Salariul si personalul. Tranzacții valutare. Plata taxelor. CUVĂ. Primele de asigurare