Це аудит аудитор. Аудит інформаційних технологій

Оскільки в сучасних компаніяхвсе більше операцій автоматизуються, проведення ІТ-аудиту необхідно, щоб переконатися, що всі пов'язані з інформацією процеси працюють належним чином.

Дивіться також:

Як захистити електронну пошту компанії

Безпека електронної пошти користувача - співробітника компанії часто є вразливим місцем, яким користуються зловмисники. Розповідаємо, що необхідно зробити для захисту від вірусів, спаму, фішингових атак та ін.

Як налаштовувати WhatsApp для консультантів та менеджерів

Ділимося досвідом як налаштувати консультації щодо WhatsApp через месенджери, полегшити долю онлайн-консультантів, зберігати все листування у зручному та зрозумілому вигляді, захистити себе від втрати потенційних клієнтівта "злива" контактів.

Аудит сайту

Пошукові системи "не помічають" ваш сайт, незважаючи на всі зусилля щодо його просування? Seo аналіз допоможе зрозуміти, у чому проблема та як її усунути.

Аудит ІТ-інфраструктури логістичної компанії

ІТ-фахівцями ДК "Інтегрус" проведено комплексний аудит ІТ-інфраструктури логістичної компанії, що входить до складу холдингу та має спільну ІТ-систему.

Аудит телефонії та пропозиція оптимізації витрат на дзвінки

Проведено аудит аналогової телефонії у великій будівельної компанії- Витрати на дзвінки, обладнання та його утримання. Керівництву компанії надано розгорнутий звіт про можливості економії до 30% бюджету під час впровадження IP-телефонії. Переваги переходу бізнесу на послуги IP-телефонії – значна економія на вартості дзвінків простота та зручність впровадження та підтримки, легко модернізувати та розширювати. немає необхідності в телефонній…

Аудит серверного обладнання

Підписано договір на комплексний аудит 1С між компанією Інтегрус (виконавець) та компанією-замовником, що займається комплексним оснащенням салонів краси в Петербурзі, Ленінградської областіта по всій Росії. У найближчих планах укладання договору з цією компанією на комплексний аудит серверів (фізичні blade-сервера) а також аудит системи зберігання даних, аудит SQL-серверів, термінальних серверів та серверів додатків даної компанії. Після…

Підготовка IT інфраструктури для роботи офісу великої будівельної компанії

Виконано комплекс робіт з підготовки та розгортання IT-інфраструктури для роботи офісу великої будівельної компанії після переїзду до нового Бізнес-центру в Санкт-Петербурзі.

Аудит 1С

Впровадження, автоматизація, створення ефективної системи управлінського обліку 1С. Розробка автоматизованої системиуправлінського обліку на підприємстві у програмах 1С 8 УПП, УП (ERP), УТ

Добридень!

Я хотів би висвітлити питання дотримання вимог управління ІТ відділу в рамках зовнішнього фінансового аудиту компанії. Мета статті полягає не в описі супутніх законів, а в їхньому конкретному впливі на управління ІТ відділу.

Ймовірно, багато хто з вас вже стикався з цими вимогами у вигляді або щоденної рутини, або авралів наприкінці календарного року(більше схиляюся до другого), але особисто я, крім згадок таких понять як SOX, HIPAA, SAS 70 (замінений на SSAE 16) і ITGC, не зустрічав скільки-небудь вичерпного опису цього питання.

Нещодавно, в рамках своєї роботи я підготував презентацію для нових співробітників, яка дає мінімальне уявлення про цей вид діяльності нашої фірми. Власне, сама презентація і спонукала мене на написання цієї статті. Тут я хочу зауважити, що мій досвід роботи на території країн СНД є дуже обмеженим – я більше працюю з міжнародними компаніями.

Якщо вас цікавить це питання, Ласкаво просимо.

Вступ

Проведу короткий екскурс в історію виникнення цих вимог: внаслідок фінансових махінацій у кількох великих компаніяхна початку 2000-х, президентом США було затверджено закон SOX, що стосується прямої відповідальності вищої ланкименеджерів за достовірність фінансової звітності Оскільки фінансова звітність нині ведеться над коморних книгах, а спеціалізованих інформаційних системах, виникла необхідність переконатися в тому, що на фінансові дані, що зберігаються в цих системах, можна покластися.

У кожного з вас може виникнути питання, як це стосується компанії, де ви працюєте? Якщо компанія котирується на фондовому ринку в США, або є дочірньою для однієї з таких компаній, необхідно створити внутрішній механізм контролю за роботою ІТ відділу. Зрозуміло, що необхідне створення подібного механізму і в інших відділах, але тут я повторюся, що метою цієї статті є ІТ-відділ.

Отже, як створюється такий механізм контролю? Як правило, компанія звертається до консалтингової фірми, яка виступає представником цієї компанії у переговорах з аудиторською фірмою, причому у ролі консультанта може виступити й інша аудиторська фірма. Консалтингова компаніявикористовує свої напрацювання, підганяючи їх тією чи іншою мірою під кожну конкретну компанію.

Що ж це за напрацювання? По суті, це звичайна таблиця в Excel, що містить ризики та контролі, скомпоновані на теми, які я опишу надалі. Звідки взялися ці ризики та контролі? Залежно від ступеня самовідданості співробітників консалтингових фірм, починаючи з ретельного вивчення різних стандартів (COBIT, ITIL, COSO), їх подальшого аналізу та побудови своєї власної «бібліотеки» ризиків та контролів і закінчуючи простим плагіатом, як правило, колишніми співробітниками великих фірм, що вирушили у вільне плавання.

Процес аудиту ІТ відділу можна поділити на два відрізки часу. Перший, як правило, протікає пізньої весни або на початку літа, він включає опис ІТ процесів і контролів (заповнення матриць) і вимагає надати мінімум один документований приклад для кожного ключового контролю. За своїм досвідом можу заявити, що цей етап надзвичайно важливий для ІТ відділу – за відсутності ретельної перевірки описаних ІТ процесів і контролів, можливі неточності можуть дорого обійтися в майбутньому. Друга частина аудиту випадає на осінь, і включає тестування всіх ключових контролів за допомогою збору документації з цих контролів.

Тут потрібно невелике пояснення різниці між звичайним і ключовим контролем: звичайний контроль вноситься в матрицю у вигляді опису, а ключовий, крім опису, необхідно протестувати. Як дізнатися, де необхідно надати документацію з контролю, а де можна обмежитися лише згадкою? Ніяк. Це обговорюється між посередником та аудитором, на підставі розміру компанії, результатів першої частини аудиту тощо. Разом з тим, за більшістю наведених нижче контролів, необхідно надати документацію.

Перед початком опису процесу аудиту я хотів би згадати тему наказів та процедур – необхідно задокументувати усі ключові робочі процеси ІТ відділу. Ці документи мають бути затверджені керівництвом компанії, періодично переглядатися та оновлюватись у разі істотних зміну процесах чи технологіях.
І ще одне зауваження: по можливості надайте списки у форматі Excel – цим ви полегшите життя і аудиторам, і собі (повторні вимоги з проханнями надати те саме, але в іншому вигляді можуть змусити вас понервувати).

Перейдемо до опису контролю. Таблиця ризиків та контролів поділяється на три частини:
1. Логічний та фізичний доступ
2. Експлуатація інформаційних систем
3. Управління змінами в інформаційних системах
Четверта частина «Розробка інформаційних систем», як правило, перевіряється в рамках управління змінами, оскільки фокусується на документуванні змін.

Логічний та фізичний доступ

Перший розділ – Логічний та фізичний доступ до всіх інформаційних систем, на яких фокусується аудит.

1. Адміністратори систем – тут потрібно надати список адміністраторів у кожній системі, включаючи мережу компанії (Administrators, Domain, Enterprise та Scheme Admins) та бази даних. Список має бути або експортований із системи, або наданий у вигляді скріншотів, причому перше краще.
Для кожного співробітника з правами адміністратора системи має існувати наказ щодо затвердження. Також необхідно знати кожну сервісну обліковий записз аналогічними правами.

2. Права доступу співробітників – проводиться тестування кількох підпунктів:
a. Співробітники, які розпочали роботу у тестованому році, потрібно надати список таких співробітників, найпростіше з бухгалтерської програми (виходячи з факту, що немає співробітника, який не отримує зарплату).
b. Співробітники, які закінчили роботу в цьому році – аналогічно, список таких співробітників.
c. Співробітники, які змінили посаду, – список співробітників.
d. Додатково слід надати повні списки користувачів у всіх системах, включаючи мережу компанії та бази даних
За запитом аудиторів (повний перелік чи вибірка), слід надати заповнені і засвідчені бланки найму та звільнення співробітників.
Буде проведено перехресну перевірку даних: чи є співробітники, які отримали права доступу до будь-яких систем без відповідного дозволу, чи є звільнені/звільнені співробітники відкритими правамидоступу, чи є відкриті облікові записи, що не використовуються (вхід до системи більше 90-180 днів тому).
Також перевіряється виконання щорічної процедури ревізії прав користувачів – необхідно надати завірений список користувачів та їх прав у кожній системі. До речі, за допомогою цієї перевірки можна виявити не закриті вчасно облікові записи звільнених/звільнених співробітників.

3. Права віддаленого доступу – необхідно надати список усіх працівників, які мають право на віддалений доступ. Також може перевірятись виконання процедури ревізії списку співробітників у рамках щорічної процедури ревізії прав користувачів. Якщо у AD існує окрема група з цими правами – готуйтеся до додаткової перехресної перевірки.

4. Права для локальної інсталяції програм – бажано, щоб жоден співробітник не був локальним адміністратором на своєму комп'ютері.

5. Зовнішні підключення – бажано заблокувати CD-ROM, USB-порти, LAN-розетки та Wi-Fi-точки. Плюс використовувати систему стеження та оповіщення за підключеннями.

6. Політика паролів – необхідно надати скріншот екрану параметрів пароля для всіх систем, а також AD. Мінімальні вимоги до паролю:
a. довжина щонайменше 8 символів
b. використання різних символів
c. зміна пароля максимум через 90 днів, мінімум через день
d. збереження історії паролів мінімум 5 поколінь, або рік
e. відсутність можливості відновити пароль
f. блокування облікового запису максимум після 5 неправильних спроб
g. розблокування облікового запису адміністратором мережі (бажано не використовувати автоматичне скидання блокування)
Також буде проведено перевірку дати останньої зміни пароля AD у всіх облікових записів.

7. Міжмережевий екран – скріншот версії FW, списку адміністраторів FW, списку розсилки попереджень. Також можуть вимагати завірену періодичну перевірку правил FW. В особливо важких випадках переглянуть лог або вимагатимуть документ, що засвідчує (!), що така перевірка виконується.

8. Антивірус – скріншот версії AV, списку розсилки попереджень, екрану налаштувань оновлень сервера AV та клієнтів.

9. Безпека ноутбуків - досить рідко (поки що) вимагають надати список співробітників з ноутбуками. Чи шифруються жорсткі диски, якщо так, то яким чином.

10. Управління надзвичайними подіями – кожна компанія має вести список таких подій (спроби злому мережі тощо). Бажано передавати щоквартальні звітивищому керівництву.

Експлуатація інформаційних систем

Ну що ж, з безпекою інформаційних систем начебто розібралися. Перейдемо безпосередньо до їхньої експлуатації.

1. Резервне копіювання даних – одне з основних перевірок у розділі.
Слід надати скріншот версії програми бекапу, списку розсилки статусу виконання завдань, а також екрана налаштувань бекапу. Оскільки, як правило, кожна фінансова система встановлюється на свій віртуальний сервер, та й вимоги до бекапу можуть бути різними (повний, диференціальний, інкрементальний), буде потрібно відповідна кількість скріншотів. Безперервність процесу резервного копіювання перевіряється переглядом логів, тому необхідно зберігати логи бекапу за три попередні місяці, а ще краще - за весь рік, що тестується. Тут шукаються проблеми з бекапом систем, що тривають понад 2-3 дні. У таких випадках слід зберігати звіти вищому посібнику, хоча б у вигляді повідомлень електронною поштою.

2. Перевірка відновлення даних – необхідно надати логи відновлення даних із касет. Досвідчений аудитор не обмежиться кількома документами з файлового сервера, тому бажано виконувати відновлення баз даних та фінансових систем.

3. Касети для резервного копіювання – політика кругообігу та перезапису касет має відповідати таким правилам:
a. щоденні касети повинні зберігатися щонайменше два тижні
b. тижневі касети – мінімум місяць
c. місячні касети – мінімум рік
d. річні касети – щонайменше сім років
Касети необхідно зберігати у вогнетривкому сейфі, як мінімум, не в серверній кімнаті, а краще в іншій будівлі. Відповідно, необхідно мати список усіх співробітників із доступом до сейфа.

4. Доступ до серверної кімнати – слід надати завірений список співробітників із доступом до серверної кімнати. Необхідно вести журнал відвідувань, а зробити це за допомогою встановлення спеціалізованої системи контролю доступу. На мій погляд, досить звичайна система доступу за особистими посвідченнями (ID tag). Я б порадив періодично переглядати журнал відвідувань – у деяких випадках вам може відкритися цікава картина.

5. Контроль довкілляу серверній кімнаті – наявність датчиків диму, вогню, затоплення, незалежна система кондиціювання (від прилеглих приміщень), наявність UPS та генератора, список співробітників, які отримують повідомлення в екстрених випадках.

6. Резервний ДЦ – відстань від головного офісу, спосіб передачі, наявність плану BCM/DRP (ІТ відділу слід звернути увагу до другу частину плану), здійснення щорічних (як мінімум) навчань по плану.

7. Пакетна обробка даних - тут мається на увазі автоматична обробка даних (як правило, що виконується в нічний час), що не потребує втручання операторів. Необхідний список усіх співробітників із правами зміни налаштувань, список розсилки статусу виконання обробки даних. Також можуть вимагати надати лог і досліджувати його на предмет помилок, як у випадку з бекапами.

8. Інтерфейси – в принципі взаємопов'язане з попереднім пунктом, але все ж таки згадаю цей контроль. Бажано мати схему інтерфейсів всіх фінансових систем (не лише між ними, а до них та від них).

9. Вирішення проблем інфраструктури – тут мається на увазі внутрішній кол-центр для реєстрації та подальшого вирішення всіх проблем, що виникають у компанії, тією чи іншою мірою пов'язаних з інформаційними системами та інфраструктурою (упав сервер, відключили електрику, не працює миша, дві кнопки «Пуск» і т.д.). Управління надзвичайними подіями з попереднього розділу може здійснюватись у рамках цього контролю.

Управління змінами в інформаційних системах

Два розділи позаду, залишився один, що вимагає пильної уваги, оскільки для успішного проходження аудиту, як правило, необхідні зміни у самих робочих процесах. Отже, керування змінами в інформаційних системах.
Почну з кількох зауважень. Перше – необхідно мати задокументовані та затверджені процедури розробки. Друге – дуже і дуже бажано мати спеціалізовану системудля управління розробкою, в якій буде задокументовано кожну зміну. Третє – за умови ведення розробки в аутсорсингу, або використання коробкових версій продуктів, аудит буде дещо відрізнятися.

1. Робочі середовища – дуже просто: для кожної фінансової системи надати скріншоти як мінімум трьох робочих середовищ – розробки, тестування та бойового. Для вищезгаданих випадків, достатньо двох останніх скріншотів (так-так, навіть для коробкової версії має бути середовище тестування).

2. Доступ до робочих середовищ – списки облікових записів для кожного середовища, список імен розробників та тестувальників. Виконується вже відома нам перехресна перевірка, сенс якої полягає в наступному: розробникам та тестувальникам заборонено доступ до бойового середовища, звичайним користувачам заборонено доступ до всього, крім бойового середовища. Якщо версія коробкова, достатньо списків до тестованого та бойового середовища. Це дуже проблематично зробити в компаніях малих та середніх розмірів, тож аудитори йдуть на деякі компроміси.

3. Процес перенесення змін – в ідеалі, співробітник, який відповідає за перенесення змін із тестованого середовища до бойового, не має відношення ні до розробки, ні до бізнес-процесів. Знову ж таки, у цьому випадку аудитори теж можуть піти на компроміс.

4. Зміни – необхідно надати список усіх змін фінансових системах, запроваджених у тестованому році. Чи не було таких? Значить, скріншот папки з встановленою системою, з файлами, впорядкованими за датою змін. Ну а якщо були, то буде вам вибірка з проханням надати таку документацію:
a. Запит на зміни від користувача – спеціальні бланки або лист електронною поштою.
b. Технічне завдання зміни – в залежності від типу зміни (додати поле в бланку або розробити модуль з нуля) буде потрібно документація - від звичайного листа з описом зміни до повноцінного багатосторінкового документа, завіреного підписами всіляких начальників та керівників.
c. Тестування зміни – тест-кейси з чек-листами та дозвіл користувача, що ця зміна задовольняє його запит.
d. Дозвіл на перенесення зміни до бойового середовища – за підписом керівника, відповідального за розробку у цьому напрямку.

5. Управління критичними змінами – за великим рахунком, не відрізняється від попереднього пункту. Єдина відмінність – критичні зміни зазвичай відбуваються без документації, тому важливо отримати всі документи ретроактивно та зберегти на майбутнє.

Ось ви й закінчили збирання всієї необхідної документації, що ж робити далі? Аудитор запросить у вас зібрані документи та проведе їх аналіз. За деякими контролами будуть запрошені додаткові документи, оскільки аудитору необхідно зберігати незалежність від внутрішніх перевірок (раптом у вас є лише 10 запитів на відкриття облікових записів для нових співробітників, хоча самих співробітників більше 50; або ви стерли зі скріншота групи адміністраторів домену обліковий запис генерального директора). А далі таблиця ризиків та контролів буде заповнена результатами тестів та представлена ​​на обговорення керівнику ІТ відділу та фінансовому директору компанії (оскільки він несе відповідальність за фінансову звітність).

Висновок

Робота аудитора полягає в тому, щоб знаходити дефекти та недоліки у процесах та контролю. Навіть якщо все працює ідеально, аудитор може зачепитися за незначну дрібницю та розкрутити її до серйозної нестачі. Невеликий відступ: недоліки поділяються на три категорії – недолік (дефект), серйозний недолік та суттєвий недолік, причому останній вноситься до річної фінансової звітності та може вплинути на вартість компанії. Досвідчений керівник ІТ відділу може використати цей нюанс для запиту на виділення додаткового бюджету під потреби відділу. Факт відсутності вогнетривкого сейфа або системи контролю доступу до серверної кімнати другий рік поспіль, піднімається до рівня комітету з аудиту, що складається з членів ради директорів, що за правильного підходу дозволяє отримати необхідний бюджет для усунення нестачі.

На мій погляд, цей опис достатньо дає уявлення про процес зовнішнього аудиту ІТ відділу, але я думаю, що головне питанняполягає в наступному: чи можна самостійно підготуватися до зовнішнього аудиту ІТ відділу, не вдаючись до допомоги посередників? На підставі свого досвіду, я заявляю, що можна, хоча це й вимагає докласти певних зусиль, але зрештою дозволить щорічно заощадити чималу суму. Разом з тим, якщо ви готуєтеся до аудиту вперше і не впевнені у своїх силах і знаннях, я все ж таки порекомендував би найняти хорошу консалтингову фірму. Щоправда, бажано виділити одного співробітника для допомоги у підготовці до аудиту, щоб надалі він узяв на себе цей обов'язок.

Сподіваюся, представлена ​​інформація буде корисною як безпосередньо тим, хто бере участь в аудиті, так і ширшій публіці.
З радістю відповім на всі питання.

Наші фахівці проведуть аудит it інфраструктури в Москві та Санкт-Петербурзі: знайдуть уразливі місця вашої IT інфраструктури, виявлять можливі ризикиі прорахують їхні наслідки. У результаті Ви отримаєте вичерпні рекомендації щодо оптимізації IT-інфраструктури та управління ризиками – це інформація, яка дозволить вам уникнути можливих збитків.

На які запитання відповідає IT-аудит?

• Які ризики мають IT-інфраструктура вашої компанії?
• Якщо збої в роботі системи, чи залишиться в схоронності важлива інформація?
• Як швидко запрацюють ключові IT-сервіси?
• Наскільки добре IT-інфраструктура вашої фірми справляється зі своїми завданнями?
• Чи адекватну оплату отримують працівники вашого IT-відділу?
• Наскільки професійними є співробітники вашого IT-відділу?
• Чи можуть співробітники вашого IT-відділу завдати шкоди вашій компанії?

У яких випадках проведення IT-аудиту особливо важливе?

Існує три ситуації, коли IT-аудит стає необхідністю. Це:

1. Звільнення системного адміністратора компанії

IT-аудит допоможе:

• Зрозуміти, в якому стані перебуває ІТ-інфраструктура вашої фірми на даний момент.
• Оцінити реальний рівень професіоналізму вашого системного адміністратората перевірити, чи відповідає йому рівень оплати.
• Здійснити обґрунтоване звільнення за невідповідності співробітника займаної посади.
• Сформулювати важливі для завершення трудових відносинкритерії.
• Перевірити, чи не завдають дії системного адміністратора шкоди вашій компанії.

2. Прийом працювати системного адміністратора

IT-аудит допоможе:

• Сформулювати для співробітника професійний планробіт.
• Встановити важливі та стовідсотково прозорі критерії проходження працівником випробувального терміну.
• Прив'язати матеріальну мотиваціюдо успішного виконання важливих для компанії завдань.
• Надати кандидату справді об'єктивну оцінку стану IT-інфраструктури фірми.
• Максимально полегшити передачу новому системному адміністратору.

3. Часті збої, втрата важливої ​​інформації

IT-аудит допоможе:

• Дізнатися, як мінімізувати втрати та чого чекати у майбутньому.
• Визначити, наскільки довго IT-сервіси вашої компанії відновлюватимуться після ймовірних збоїв.
• Оцінити пов'язані з IT-інфраструктурою ризики та загрози для вашого бізнесу.
• З'ясувати, які резерви має IT-інфраструктура вашої компанії, і визначити, чи буде їх достатньо (з урахуванням розвитку бізнесу).

Що входить до IT-аудиту?

Наші співробітники:

• Проведуть інтерв'ю з вами та, якщо це необхідно, з IT-відділом та іншими співробітниками вашої фірми.
• Ретельно вивчать Ваші сервери, програмне забезпечення та мережеве обладнання.
• Підготують та презентують детальний звіт, що містить у собі рекомендації щодо покращення IT-інфраструктури.

При необхідності, IT-аудит може бути проведений конфіденційно, в тому числі і в неробочий час. Все, що нам потрібно — це основні паролі доступу.

Ми проводимо IT-аудит за багаторазово відпрацьованою та перевіреною на практиці типовою програмою. Зрозуміло, коригуючи її під поставлені вами завдання. Це можуть бути:

• З'ясування причин збою чи інциденту (наприклад, «атаки» на сервер фірми).
• Організація віддаленого доступу до серверів фірми - розмежування прав доступу, перевірка безпеки тощо.
• Оцінка ризиків залежності від поточного персоналу IT-відділу (перевірка наявності у Вас основних паролів, ступеня документованості IT-інфраструктури тощо).

Скільки часу забере IT-аудит?

Від двох до п'яти робочих днів конкретні терміни залежать від масштабу IT-інфраструктури вашої компанії. У термінових випадках ми готові розпочати роботу безпосередньо у день звернення.

Ми гарантуємо:

• Сувору конфіденційність.
• Комплексний підхід до проведення ІТ-аудиту.
• Високу кваліфікацію наших спеціалістів.
• Максимальна увага до поставлених вами завдань.

Типова програма проведення IT-аудиту

Включає наступні розділи і дії:

1. Виявлення проблемних та потенційно проблемних місць з погляду безпеки:

1.1 Аналіз політик безпеки:

Перевірка результуючих локальних безпекових політик на серверах. Оцінюються:

• Політика аудиту.
• Параметри безпеки.
• Призначення прав користувача.
• Налаштування лог-файлів.
• Установки брандмауера Windows.
• Сервіси в автозавантаженні.

Перевірка доменних політик, які застосовуються до робочих станцій. Оцінюються:

• Параметри безпеки.
• Призначення прав користувача.
• Мережева установка ПЗ.
• Установки брандмауера Windows.
• Скрипти, які виконуються під час запуску/вимкнення робочої станції.
• Обмеження програм.

Перевірка політик оновлення програмного забезпечення. Оцінюються:

• Наявність сервера WSUS.
• Синхронізація WSUS.
• Розповсюдження оновлень.

1.2 Аналіз мережі та доступних ззовні сервісів на наявність уразливостей:

Перевірка списку сервісів, доступних із зовнішніх мереж. Оцінюються:

• Права, з якими запускаються доступні ззовні служби.

Перевірка порядку надання доступу до різних послуг ззовні. Оцінюються:

• Параметри надання доступу та збереження історії видачі дозволів.
• Обмеження доступу ззовні.

Перевірка контролю над доступом із зовнішньої мережі. Оцінюються:

• Наявність лог-файлів/зберігання історії звернень.
• Можливість швидко заблокувати доступ конкретному співробітнику чи всім користувачам.

1.3 Аналіз антивірусного захисту, політики паролів та дозволів користувача:

Перевірка роботи антивірусного програмного забезпечення, оцінка обраного для захисту IT-інфраструктури продукту.

Перевірка застосовуваних до серверів політик. Оцінюються:

• Доступ до антивірусу (хто може зупинити його роботу на сервері?).
• Обмеження файлів, що перевіряються.

Перевірка застосовуваних до робочих станцій політик. Оцінюються самі параметри, що у попередньому пункті.

Перевірка прав доступу до статистики антивірусу.

Перевірка сповіщень у разі виникнення вірусної загрози.

2. Діагностика роботи серверного обладнання на апаратному та програмному рівнях:

Тестування серверного обладнання та джерел безперебійного живлення:

• Зовнішній огляд серверних станцій (без вимкнення).
• Перевірка відповідності потужності ДБЖ очікуваному часу автономної роботи серверів.
• Перевірка настройок джерел безперебійного живлення.
• Внутрішній огляд серверних станцій (з вимкненням).
• Тестування здатності навантаження джерел безперебійного живлення (з відключенням).

Аналіз записів, що зберігаються в журналах подій:

• Пошук подій, пов'язаних з апаратними збоями.
• Пошук подій, пов'язаних із перезапуском служб.

Аналіз налаштувань серверних служб:

• Перевірка прав, із якими запускаються служби.
• Пошук помилок, пов'язаних із запущеними службами.

3. Визначення проблемних та потенційно проблемних місць з точки зору продуктивності:

• Аналіз навантаження на серверні станції у години пікової активності.
• Перевірте наявність вільного місця на жорстких дисках.
• Аналіз розподілу навантажень між серверними станціями.
• Виявляє додатки, які найбільш вимогливі до ресурсів.

4. Діагностика роботи мережі та активного обладнання:

• Перевірка швидкості інтернет-каналу.
• Оцінка втрат пакетів у внутрішній та зовнішній мережі.
• Перевірка політик безпеки та параметрів роботи активного обладнання.
• Перевіряє завантаження внутрішніх каналів, що з'єднують активне обладнання.

5. Перевірка коректності налаштувань користувача (кілька робочих станцій на вибір):

• Відповідність реальних налаштувань еталонним.
• Перевірка стану антивірусного програмного забезпечення.
• Перевірка наявності шкідливого ПЗ (кейлогери, сніфери, програми підбору паролів тощо).
• Перевірка наявності неліцензійного програмного забезпечення.

6. Аудит політик резервного копіювання

• Перевірте наявність резервних копій для важливих сервісів.
• Перевірка політик резервного копіювання, встановлених для важливих послуг.
• Проведення вибіркового тестування бекапів, що зберігаються.
• Діагностика пристроїв, у яких зберігаються бекапи.

7. Аналіз структури мережі, аналіз компонування мережевих рішень, виявлення вразливих місць

• Перевірка способу доступу до активного мережного та серверного обладнання.
• Аналіз системи охолодження серверних станцій.
• Виявлення перевантажених серверних станцій.
• Перевірка відповідності поточних характеристик мережі та електричної потужності серверів.
• Перевіряє альтернативне підключення серверних станцій до електроживлення.

8. Виявлення проблемних та потенційно проблемних місць з точки зору надійності:

• Визначення загальних "вузьких" місць продуктивності для двох або більше сервісів.
• Визначення загальних точок відмови двох або більше сервісів.

9. Аналіз ситуацій, у яких мережне чи серверне устаткування відмовляє:

Наші фахівці зроблять прогноз втрати даних та простою при виході з ладу окремих серверних станцій.

10. Аналіз заявок користувачів та інцидентів, що трапилися раніше:

• Перевірка наявності системи обліку заявок від користувачів.
• Аналіз найпоширеніших заявок.
• Аналіз великих інцидентів, що відбулися раніше, і наслідків, до яких вони привели.

Наші переваги

Професійний аудит ІТ-інфраструктури: комплексна перевірка роботи інформаційних систем

Будь-яке сучасне підприємствопросто може повноцінно існувати без розвиненої інформаційної системи. Крім того, будь-які збої комп'ютерного обладнання, програмного забезпеченняможуть призвести до низки серйозних проблем. Серед них і неефективне витрачання фінансових коштівпідприємства, і витік важливих даних, і повна зупинка всіх процесів.

Якщо ви хочете оптимізувати роботу інформаційної системи підприємства, замовте аудит ІТ інфраструктури в Москві в компанії Руки з плечей. Він дає можливість своєчасно виявити проблеми і оперативно усунути їх.

До цілей таких робіт можна віднести також виявлення вразливостей в інформаційній системі, недоліків, які негативно впливають на роботу підприємства. Також аудит дозволяє розробити комплекс ефективних заходів для її повернення до нормального режиму.

Які послуги пропонує наша компанія?

Наша аутсорсингова компанія виконує комплексні послуги з перевірки працездатності інформаційних систем, які включають:

• оцінку IT-інфраструктури, технічного станумережного, комп'ютерного та серверного обладнання;
• перевірку працездатності програмного забезпечення, виконання ним основних функцій, які забезпечують злагоджену роботу всіх підрозділів підприємства;
• оцінку стану структурованої кабельної системи;
• перевірку систем, що забезпечують повну безпеку інформації, що передається через мережу.

Що ви отримаєте, звернувшись до нас?

Проведенням аудиту ІТ інфраструктури займаються досвідчені аудитори, які знаються не тільки на особливостях сучасного обладнаннята програмного забезпечення, а й у специфічних нюансах підприємств, задіяних у тій чи іншій сфері діяльності.

Саме тому результатом звернення до нас буде:

• ефективна робота серверів та комп'ютерів;
• максимальна безпека зберігання та передачі даних, їх захист від будь-яких непередбачених ситуацій;
• зменшення витрат на витратні матеріалидля оргтехніки;
• ефективний захист від шпигунського та вірусного програмного забезпечення;
• встановлені на всі комп'ютери та інше ліцензійне обладнання Операційні системита програми, які автоматично оновлюватимуться до найактуальніших версій;
• впровадження систем, призначених для ефективного зберігання, резервування та відновлення даних.

Звернення до нас – це можливість не лише перевірити IT-інфраструктуру, а й адаптувати її до конкретних особливостей саме вашого підприємства, значно підвищити ефективність роботи.

ІТ аудит - це вивчення та оцінка IT інфраструктури компанії та її окремих частин. За допомогою аудиту можна зрозуміти поточну ситуацію, а також спланувати подальші кроки щодо розвитку та оптимізації мережі. Це складний процес, що складається з багатьох етапів і адаптований до кожного конкретному підприємству. У цьому кожен із етапів може бути реалізований різними способами.

Експрес аудит

Експрес-аудит – це найпоширеніший вид IT аудиту. Зазвичай він проводиться перед тим, як узяти компанію обслуговування. Такий аудит складається з кількох етапів:

• збір інформації: опитування керівника та співробітників, вивчення сервісів тощо;
• огляд техніки, серверів, мережевого обладнання та робочих станцій.

Головна перевага експрес-аудиту - це швидкість. Інформацію щодо стану IT інфраструктури компанії та рекомендації щодо її модернізації можна отримати буквально за лічені хвилини. До найпоширеніших проблем малого та середнього бізнесу належать:

• резервне копіювання;
• антивірусна безпека;
• безпека інтернет-банку;
• резервування обладнання;
• доступ користувачів до мережі.

Особлива увага при проведенні аудиту приділяється приведенню інфраструктури у відповідність до стандартів, які включають належний рівень безпеки та відмовостійкості. Завершальним етапом ІТ аудиту стає звіт за результатами перевірки.

Цільовий IT аудит комп'ютерної мережі

Цільовий ІТ аудит проводиться для вирішення конкретних завдань та локальних проблем. Ситуацій, коли варто замовити цільовий аудит ІТ, досить багато, серед них:

• апгрейд обладнання;
• оптимізація функціонування сервісів;
• виявлення та усунення проблем безпеки;
• покращення роботи відділу IT;
• запровадження нових інформаційних систем;
• автоматизація бізнес-процесів.

Вартість цільового дослідження комп'ютерної системи нижча, ніж повного. При цьому проблема не лише виявляється, а й вирішується. Замовник отримує консультації та комплексні рекомендації, зафіксовані документально, що допоможе наступного разу усунути неполадки самостійно.

Головна перевага цільового дослідження ІТ інфраструктури підприємства - це повна документованість процесу, тобто складається план заходів, де зазначені терміни, етапи та відповідальні особи. Усі виявлені проблеми та результати дослідження заносяться до звіту. Він може бути виконаний на цифровому чи паперовому носії.

Повне дослідження мережі

Комплексне дослідження комп'ютерної мережі є частиною повної перевірки компанії. Його метою є внесення змін до роботи відділу ІТ. Комплексна перевірка інфраструктури підприємства - це складний багатоступінчастий процес, результат якого залежить від дотримання напрацьованих міжнародних стандартів. Аудиту підлягають такі напрямки:

• інформаційні системи;
• інформаційна безпека;
• відділ ІТ;
• технологічна інфраструктура підприємства

Результатом комплексної перевірки системи є звіт, в якому міститься інформація про те, наскільки мережа відповідає стандартам, які виявлені проблеми та способи їх усунення.

Результат дослідження систем

За результатами досліджень системи замовник отримує звіт про поточний стан ІТ мереж та пропозицію щодо покращення їх роботи.

Програма "IT Audit: Аудитор"

Програма « IT Audit: Аудитор» є конструктором для розробки методики проведення аудиту, пропонуючи аудиторам гнучкий інструмент для допомоги в проведенні аудиту. Програма « IT Audit: Аудитор» забезпечує автоматизацію діяльності аудиторської фірми, пов'язаної з проведенням аудиторських перевірок суб'єктів господарювання.

Програма « IT Audit: Аудитор» розроблялася з урахуванням вимог міжнародних стандартіваудиторську діяльність (постанова Уряди РФ від 23 вересня 2002 р. № 696).

При проведенні аудиту невеликого підприємства (період перевірки – 5 днів) застосування програми « IT Audit: Аудитор» дозволяє якісно спланувати, провести та запротоколювати виконані аудиторські процедури та результат перевірки; при проведенні аудиту на середньому та великому підприємстві- скоротити час проведення аудиту на 10-30%.

Програма забезпечує:

1) ведення довідників з методології аудиту;

2) ведення обліку клієнтів;

3) ведення спілкування з клієнтами;

4) облік укладених договорів;

5) імпорт даних бухгалтерського обліку клієнтів;

6) планування аудиторських перевірок;

7) формування аудиторських перевірок;

8) складання плану аудиту;

9) складання програми аудиту;

10) опис господарських операцій клієнта;

11) розрахунок рівня суттєвості;

12) проведення вибірки та аналіз результатів;

13) форум аудиторів (спілкування аудиторів);

14) формування зведеної інформації про знайдені порушення;

15) формування альтернативної звітності;

16) контроль якості аудиту Ковальова О.В. Аудит. Навчальний посібник/ За ред. О.В. Ковальової, Ю.П. Костянтинова. – М.: ПРІОР, 2008. – с. 128..

Програма « IT Audit: Аудитор» дозволяє систематизувати інформацію щодо клієнтів аудиторської фірми (число не обмежене), зберігати інформацію про реквізити клієнта, фактичну та юридичну адресу, контактні особи, переговори з клієнтом, укладені договори, відповідальні за роботу з клієнтом осіб та ін. Програма допускає сортування клієнтів за різними параметрами, що характеризують їх.

Відомості про клієнтів зберігаються у відповідному Довідник клієнтів . До Довідника клієнтів також заноситься інформація про співробітників організації, що перевіряється.

Інформація про укладені з клієнтом договори також може бути занесена до інформаційної бази системи.

У програмі значне місце приділено методологічному супроводу аудиту, причому супровід може здійснюватися як розробниками, і аудиторської фірмою.

До складу програми « IT Audit: Аудитор» включені такі довідники:

1) об'єкти аудиту (розділи аудиту);

2) аудиторські процедури;

3) потенційні порушення;

4) типові операції.

Програма дозволяє встановити взаємозв'язок між аудиторськими процедурами та порушеннями, об'єктами (завданнями) аудиту та аудиторськими процедурами. Взаємозв'язок встановлюється з допомогою довідників.

Довідник об'єктів (розділів) аудиту є основним, а довідники аудиторських процедур, потенційних порушень та типових господарських операцій – підлеглими.

Довідник «Аудиторські процедури» використовується для формування програми аудиту і містить шаблони робочих документів аудитора, які заповнюються під час проведення аудиту. Значна частина робочих документів може бути заповнена автоматичними даними бухгалтерського обліку клієнта. З використанням цього довідника може бути встановлена ​​базова трудомісткість виконання відповідної аудиторської процедури. Аудиторська процедура - певний порядок та послідовність дій аудитора для отримання необхідних аудиторських доказів на конкретній ділянці аудиту (об'єкт аудиту).

Довідник «Потенційні порушення» містить найменування та опис потенційного порушення. При виявленні порушень на підприємстві, що аудується, довідник використовується при формуванні звіту аудитора.

Потрібно розглянути, як у програмі реалізуються основні вимоги федеральних законів.

Правило (стандарт) №2 "Документування аудиту".

Програма « IT Audit: Аудитор» дає аудитору широкі можливості щодо документального закріплення отриманих під час проведення аудиту доказів, формування необхідних робочих документів з метою виконання. федеральних правил(стандартів) аудиторської діяльності, забезпечення зберігання та резервного копіювання, перегляду та виведення на друк.

Наведені вимоги стандарту виконуються програмою внаслідок заповнення форм: "Планування аудиту", "План аудиту", "Програма аудиту", "Завдання на аудит", "Опис господарських операцій клієнта".

Отримана під час проведення аудиту інформація зберігається у розділах:

1) Загальна інформаціяза клієнтом;

2) інформація, що стосується укладеного договору;

3) інформація, що відноситься до періоду, за який буде сформовано висновок аудитора;

4) інформація, що стосується конкретного періоду проведення аудиту.

Програма передбачає розмежування права доступу до інформації у розрізі клієнтів, забезпечуючи надійне зберігання інформації щодо клієнта та етапів проведення аудиту.

Правило (стандарт) №3 "Планування аудиту".

В програмі " IT Audit: Аудитор» проводиться планування аудиту з його метою. ефективного проведенняу програмі аудиту та формі «Опис господарських операцій».

Сформувати детальний планаудиту можна в програмі аудиту, де враховуються застосовувані аудиторські процедури, їх розподіл між співробітниками та черговість виконання, встановлюються планова та фактична трудомісткість виконання аудиторських процедур, опис процедур контролю ходу проведення аудиту. При цьому допускається внесення змін протягом усього проведення аудиту.

Правило (стандарт) №4 "Суттєвість в аудиті".

Програма « IT Audit: Аудитор» дозволяє виконувати розрахунок суттєвості декількома способами: загалом за звітністю, розподіляти за рахунками бухгалтерського обліку в розрізі суттєвості:

1) за дебетом рахунку;

2) дебетового обороту рахунки;

3) кредитового обороту рахунки;

4) кредит рахунка.

Вибір аудиторських процедур проводиться у формах «Програма аудиту» та «Опис господарських операцій». Сукупність невиправлених спотворень узагальнюється у вигляді «Альтернативна звітність».

Правило (стандарт) №7 « Внутрішній контрольякості аудиту».

Керівнику перевірки надано можливість поточного контролю ходу проведення аудиту, формування завдання та зауважень у формах «Опис господарських операцій», «Програма аудиту», «Спілкування аудиторів».

У формах «Опис господарських операцій», «Програма аудиту», «Спілкування аудиторів» є можливість детального опису дій аудиторів та їх помічників під час виконання дорученої роботи, і навіть прикріплення робочих документів, що підлягають заповненню.

В даний час ведеться робота щодо включення до програми нових правил (стандартів).

У формі «Проведення вибіркового дослідження» аудитор на основі перевіреної (генеральної) сукупності може відбирати елементи, що перевищують рівень суттєвості, ключові елементи та формувати вибіркову сукупність у різний спосіб.

Аудитору також надано можливість аналізувати господарські операції клієнта, представлені у формі «Опис господарських операцій», встановлювати способи перевірки операцій (суцільна перевірка, вибіркова перевірка, непроведення перевірки, підтвердження низького рівня ризику).

Вбудовані у програму « IT Audit: Аудитор» засоби фільтрації (відбору) даних бухгалтерського обліку дозволяють виконувати стратифікацію даних за будь-якими критеріями з можливістю подальшого розвантаження даних для вибіркового дослідження або заповнення робочого документа аудитора.

Програма дозволяє аудитору провести екстраполяцію виявлених під час проведення аудиту помилок протягом усього генеральну сукупність.

Переваги застосування програми автоматизації аудиту:

· Програма продається і супроводжується безпосередньо розробниками (без посередників), що дозволяє скоротити витрати покупця на придбання програми та її наступний супровід;

· охоплює всі аспекти аудиторського бізнесу (зайнятість співробітників, організація договірної роботи, Облік клієнтів, планування аудиту, робота в «полі» і т.д.);

· дозволяє систематизувати всю інформацію за результатами аудиторської перевірки, можливість архівації та подальшого доступу до даних;

· Широко використовується сотнями аудиторських фірм (від компаній, що входять в першу десятку, до невеликих аудиторських компаній та індивідуальних аудиторів);

· є конструктором і дозволяє користувачам самостійно налаштовувати методологію аудиторської перевірки;

· Містить значну кількість шаблонів робочих документів аудитора;

· Забезпечує зручні засоби завантаження в програму з автоматизації аудиту даних бухгалтерського обліку з найбільш поширених бухгалтерських програм: 1С Підприємство 7.7 (8.1) і т.д.

· Дозволяє автоматично заповнювати робочі документи аудитора даними бухгалтерського обліку;

· Містить шаблони потенційних порушень, а також інструменти для її самостійного наповнення користувачами;

· Передбачені різні способи статистичного вибіркового дослідження: власне-випадковий (повторний та безповторний), механічний (систематичний), монетарний власне-випадковий (повторний та безповторний) спосіб;

· Виробляється автоматичне формування постійного (змінного) файлу за результатами аудиторської перевірки;

· має інтуїтивно зрозумілий інтерфейс, великий обсяг розробленої документації на програму та навчальні матеріали(Flash-ролики), що дозволяє швидко розпочати роботу Ковальова О.В. Аудит. Навчальний посібник/За ред. О.В. Ковальової, Ю.П. Костянтинова. – М.: ПРІОР, 2008. – с. 135..

Застосування програми автоматизації аудиту забезпечує:

· Систематизацію методологічної роботи;

· Організацію ефективного планування аудиту;

· Підвищення якості проведення аудиту;

· Підвищення оперативного та подальшого контролю за ходом проведення аудиту;

· Зниження трудомісткості проведення аудиту;

· Виконання стандартів аудиторської діяльності;

· Підвищення керованості компанії;

· Розмежування прав доступу до матеріалів аудиторських перевірок;

· Систематизацію та архівування інформації.