Лекция: Методы и средства аудита ИТ-инфраструктуры
IT-инфраструктура предприятия – это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации.
Двумя наиболее значимыми факторами эффективности функционирования информационной системы являются:
— полезная эффективность IT-инфраструктуры организации (соответствие технических и программных средств предприятия реальным целям, задачам и потребностям бизнеса)
— информационная безопасность IT-инфраструктуры предприятия (включая устойчивость технических средств к всевозможным отказам и сбоям, а также обеспечение сохранности важной информации: пресечение ее утечки и/или уничтожения и защита от несанкционированного доступа)
Одним из способов обеспечения полезной эффективности и информационной безопасности предприятия является аудит IT-инфраструктуры организации, направленный на оптимизацию информационной системы предприятия и выявление явных и/или скрытых угроз ее нормального функционирования.
Аудит ИТ-инфраструктуры необходим в следующих случаях:
— Приобретение бизнеса, либо объединение предприятий (формальное или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
— Перед проведением модернизации ИТ-инфраструктуры предприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
— Когда рост бизнеса опережает развитие ИТ. В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
— Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита – оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению.
Аудит IT-инфраструктуры бывает внутренним (проводится своими силами) и внешним (привлекаются внешние эксперты) и представляет собой системный процесс, заключающийся в получении и оценке объективных данных о текущем состоянии IT-систем организации:
— серверов и рабочих станций, задействованных в IT-инфраструктуре предприятия
— активного сетевого оборудования
— системного программного обеспечения
— физической и логической структуры корпоративной локальной сети
— периферийного оборудования
— телекоммуникационных систем
— систем безопасности
— систем электроснабжения
— каналов передачи данных
— и проч.
Как правило, при аудите IT-инфраструктуры применяются следующие методы исследования:
— проведение инвентаризации компонентов IT-инфраструктуры
— анкетирование сотрудников организации, проводящееся по опросным листам
— анализ программного обеспечения, файлов и системных событий серверов и рабочих станций, входящих в IT-инфраструктуру организации
— проверка сетевой безопасности серверов и рабочих станций с целью исключения возможного несанкционированных проникновений через сеть Интернет и/или по другим каналам связи
— мониторинг состояния активного сетевого оборудования
— диагностика системы электроснабжения, кабельных сетей и пассивных компонентов IT-инфраструктуры предприятия