Аудит IT-инфраструктуры: цели, этапы, пример отчета

Аудит IT-инфраструктуры — это мероприятия, предназначенные для оценки состояния информационной системы предприятия, насколько она соответствует задачам бизнеса, используемым цифровым технологиям и подходам к работе. Важно оценивать рекомендации производителей к используемому программному обеспечению.

Когда проводится аудит сетевой инфраструктуры

Главная причина — оценка стратегии развития, приспособленность к целям развития бизнеса. Поэтому необходимо получить доступ к данным и проанализировать бизнес-стратегию компании, оценить перспективы развития и сопоставить текущее состояние IT-инфраструктуры с бизнес-планом предприятия.

Объекты аудита

• информационная безопасность (оценка работы систем хранения данных, работа антивирусных программ);
• оценка работы систем связи (интернет, телефония);
• работа пользовательского ПО (серверных, прикладных и пользовательских программ);
• техническое состояние оборудования (диагностика компьютеров, систем внутренних коммуникаций и СКС). 

Рис. 1 Пример схемы проведения IT-аудита на отдельном предприятии

Основные этапы проведения аудита

1. Инвентаризация оборудования, обследование элементов IT-инфраструктуры, оценка надёжности программного и антивирусного обеспечения, оценка возможных рисков и проблемных частей. Классификация найденных проблем и определение методов их решения.
2. Детальная оценка найденных проблем и поиск вариантов их решений.
3. Оценка «узких мест» в текущих IT-решениях, составление рекомендаций по их оптимизации.
4. Объединение выводов, предоставление рекомендаций по решениям каждой найденной проблемы.
5. Предоставление итогового отчёта с результатами обследования, найденными проблемами, способам их решения, затратам и предполагаемой выгоде по результатам проведения всех необходимых изменений.

Проблемы при проведении IT-аудита инфраструктуры

• отсутствие или недостаток источников информации (нет квалифицированных сотрудников);
• нечеткое понимание руководством целей и задач проведения аудита, невозможность объяснить необходимые требования;
• проблемы с документацией, её недостаточность или полное отсутствие. Минимум доступной информации по всей инфраструктуре. Например: отсутствует карта ЛВС, нет маркировки на кабелях;
• отсутствие документации на программное обеспечение,  сведений о регистрациях, лицензиях;
• отсутствие базы паролей, необходимость сбора паролей;
• отсутствие всей указанной выше информации об удалённых офисах, трудности с дистанционным получением данной информации;
• аудитор обязан правильно оценивать финансовые и прочие возможности обследуемой компании и не озвучивать невыполнимых предложений, для этого нужна корректная входная информация;
• аудит должен всегда обеспечить оценку рисков по предлагаемым решениям, так как окончательное решение будет принимать топ-менеджмент компании.

Рекомендации при проведении аудита аппаратной части  IT-инфраструктуры

• проведение инвентаризации оборудования сразу следует проводить по выделенным категориям (серверы, рабочие станции, периферия, активное сетевое оборудование, пассивное сетевое оборудование, вспомогательное сервисное оборудование);
• самостоятельное составление схем СКС, не доверяя предоставленным данным, которые нередко могут быть ошибочными и вводить в заблуждение;
• детальная оценка аппаратной части (по срокам работы — на основании данных из бухгалтерии), оценка соответствия применяемого оборудования поставленным задачам;
• оценка мощностей серверов с принятием решений об их объединении, модернизации или ликвидации;
• виртуализация серверов в случае необоснованного роста их количества. Ежегодно всё большее число задач не требует аппаратных серверов. При этом не стоит виртуализировать критичные к стабильности работы аппаратные составляющие инфраструктуры: VPN-сервера, роутеры, сервера баз данных и бухгалтерии;
• при организации связи с филиалами необходимо приглашать системных интеграторов для консультаций; они же помогут с выгодными решениями по бюджету проекта;
• максимально документировать все изменения, которые были проведены для необходимости проведения аудита, все полученные схемы, данные, конфигурации и пароли.

Рис. 3 Пример инвентарной ведомости оборудования.

Пример структуры отчёта

Пример выдаваемых рекомендаций после проведения аудита IT-инфраструктуры

1. Используемые сервера обладают низкой производительностью. Надёжность их работы невысокая. Отсутствует отказоустойчивость дисковой системы. Это может грозить потерей информации и полной остановкой работы сервера при отказе одного из элементов дисковой системы сервера.
2. В настоящие время доступа к управлению маршрутизатором Cisco нет, что мешает при необходимости быстро внести изменения в его настройку.
3. Глубина резервного копирования файлового сервера — 1 неделя. Если пропадёт или случайно будет удалена важная информация с дисков сервера и это обнаружится позднее, чем через неделю, данные будут потеряны безвозвратно.
4. Глубина резервного копирования почтового сервера — 1 неделя, и это делается раз в неделю. При этом копирования почтового хранилища нет. В случае сбоя удастся лишь восстановить копию за прошлую неделю. Журналы транзакций Exchange не копируются и не удаляются, в результате чего они копятся на диске. Это существенно замедляет работу Exchange и без того работающего медленно на маломощном сервере.
5. Резервное копирование делается на жёсткие диски, установленные в том же сервере, что не является надёжным решением.
6. Использование почты у внешнего провайдера при наличии своего почтового сервера не оправдано. При сбоях интернет-подключения пользователи получают ошибки и не могут пользоваться почтой.

Рис. 4 Пример схемы ЛВС и расположения рабочих мест

Системный интегратор ВИСТЛАН проведёт аудит IT-инфраструктуры любой сложности в краткие сроки и с выдачей квалифицированного заключения.