

Аудит IT-инфраструктуры предприятия
Современная бизнес-среда все больше опирается на цифровизацию и онлайн-услуги, которые обеспечиваются надежной и эффективной работой IT-инфраструктуры предприятия. Она представлена комплексом аппаратных и программных средств, сетевыми решениями, системами хранения и обработки данных, сопутствующими услугами облачных сервисов, применением современных технологий искусственного интеллекта и машинного обучения. Слаженная бесперебойная работа комплекса для цифровизации предприятия напрямую влияет на результативность бизнеса, поэтому проводятся дополнительные мероприятия, обеспечивающие его стабильность. Одним из них является аудит IT-инфраструктуры. Поговорим об этой теме в статье Falcongaze.
План статьи:
1. Составляющие IT-инфраструктуры
2. Что такое аудит IT-инфраструктуры?
5. Как выбрать аудитора для проверки IT-инфраструктуры?
6. Проведение аудита IT-инфраструктуры с использованием DLP-системы Falcongaze SecureTower
7. Аудит с помощью привлеченных аудиторов
Составляющие IT-инфраструктуры
Что же такое IT-инфраструктура и что входит в это понятие? В общем, это все различные компоненты, которые обеспечивают работу IT-систем предприятия на всех уровнях, начиная от сетевых решений, заканчивая программным обеспечением для безопасности информации. В ее состав входят элементы:
Аппаратное обеспечение. Это все физические устройства, на которых хранится или обрабатывается информация. Сюда входят персональные компьютеры, сервера, мобильные рабочие станции, системы хранения данных и другое.
Сетевые решения. Это все сетевые ресурсы, обеспечивающие взаимодействие предприятия с объектами внутри и за его пределами. Сюда входят маршрутизаторы, коммутаторы, брандмауэры, аппаратные VPN-системы и другое.
Системы хранения данных. Сюда входят все используемые для безопасного бесперебойного хранения информации устройства и сервисы.
Программное обеспечение, состоящее из используемых на предприятии операционных систем, ПО и бизнес-приложений, поддерживающих жизненно важные процессы компании.
Облачные технологии. Это специализированные арендуемые у третьих лиц или создаваемые свои силами удаленные вычислительные мощности и решения для хранения и обработки данных, повышающие гибкость IT-систем.
Чем важна IT-инфраструктура для предприятия? На самом деле она оказывает значительное влияние на эффективность бизнеса и для многих является ключевым фактором обеспечения конкурентоспособности, производительности, цифровой устойчивости компании в общем цикле существования:
- Благодаря эффективно реализованной современной IT-системе предприятие может автоматизировать и упростить многие бизнес-задачи, в том числе те, которые требуют точности и многоразового повторения действий. При этом значительно сокращается время выполнения операций, минимизируются ошибки и влияние человеческого фактора, что в общем положительно влияет на итоговую производительность.
- Использование IT-инфраструктуры помогает в получении более точной и достоверной аналитической информации, что особенно актуально при использовании большого объема входных данных. Благодаря IT-инфраструктуре появились новые возможности применения поведенческой аналитики, выявления трендов и прогнозирования будущего развития бизнеса, что способствует принятию более обоснованных решений.
- Правильно спроектированная IT-инфраструктура обладает достаточной гибкостью и масштабируемостью, что позволяет компании быстрее наращивать производственные мощности, вводить в эксплуатацию новые сервисы или расширять свое присутствие на новых рынках, что в итоге влияет на конечную коммерческую эффективность.
- IT-инфраструктура помогает повысить общий уровень безопасности и надежности компании, так как включает в себя инструменты защиты от цифровых атак, утечек конфиденциальных данных и сбоев ПО.
- Обеспечивается улучшение внешних и внутренних коммуникаций между членами команды и партнерами компании.
- Продвинутая IT-инфраструктура помогает компании стать более конкурентной в своей среде, поскольку значительно увеличивается скорость реагирования на запрос клиентов и адаптивность к изменяемым рыночным условиям.
- Возможность применения большего количества аналитических данных повышает клиентоориентированность услуг или продукции, помогает расширить базу потенциальных пользователей и делает обращение к ним более персонализированным.
- Оптимизированная IT-инфраструктура позволяет быстрее выводить новые продукты и услуги на рынок. Например, разработка, тестирование и развертывание новых программных решений через облачные сервисы и DevOps-практики сокращает цикл разработки и минимизирует задержки.
- Современная IT-инфраструктура предприятия позволяет использовать в работе инновационные технологии, такие как искусственный интеллект, интернет вещей (IoT), машинное обучение и блокчейн, которые могут открывать новые возможности для бизнеса.
Таким образом, цифровая инфраструктура в значительной степени влияет на всю работу предприятия и делает его напрямую зависящим от ее состояния.
Что такое аудит IT-инфраструктуры?
Это процесс анализа текущего состояния всех систем, обеспечивающих цифровизацию бизнеса, направленный на выявление проблемных зон IT-инфраструктуры и формирование рекомендаций по их оптимизации.
Для чего нужен аудит IT-инфраструктуры?
Поскольку потребность предприятия в бесперебойном эффективном существовании IT-инфраструктуры крайне высока, аудит позволяет обеспечивать это постоянство, параллельно предлагая новые возможности для оптимизации процесса цифровизации предприятия. Проведение аудита IT-инфраструктуры позволяет предприятию решать сразу несколько ключевых задач:
- Обеспечение информационной безопасности. IT-системы необходимо проверять на регулярной основе на наличие программных ошибок, вредоносного ПО и других уязвимостей, которые могут повлиять на общую эффективность работы предприятия.
- Снижение производственных издержек. Аудит помогает обнаружить неиспользуемые или неэффективно используемые программные или материальные ресурсы, что в итоге минимизирует общие затраты предприятия.
- Модернизация. Аудит может определить уровень соответствия применяемых систем и механизмов современным потребностям бизнеса, а также подготовить аргументы для модернизации и внедрения новых IT-технологий.
- Создание предложений по использованию. Аудит может выявить неэффективность использования имеющихся цифровых систем, сервисов и оборудования, обеспечить их перераспределение на другие процессы, сформировать предложения по улучшению их использования.
Что включает аудит IT-инфраструктуры?
Поскольку само понятие IT-инфраструктуры достаточно обширное и включает в себя большое количество наименований оборудования и программного обеспечения, аудит необходимо разделить на несколько этапов:
- Подготовительный этап.
- Проверка аппаратного обеспечения, то есть всех устройств, обеспечивающих цифровизацию. Сюда входят компьютеры, сетевые устройства, серверы, системы хранения данных. Оценка производится на предмет их производительности, износа и соответствия текущим требованиям бизнеса.
- Проверка программного обеспечения на версионность ПО, лицензионность и общую безопасность использования.
- Проверка сетевой инфраструктуры по параметрам пропускной способности, уязвимости к внешнему воздействию и общей надежности работы сети.
- Проверка систем хранения данных по параметрам безопасности использования, физической целостности, наличии резервных копий и других общих эксплуатационных свойствах.
- Проверка облачных сервисов на предмет целесообразности использования и общей кибербезопасности IT-инфраструктуры.
Поговорим подробнее про каждое направление.
Подготовительный этап
На этом этапе компания определяет главные цели, преследуемые аудитом. К ним могут относятся: обеспечение проверки безопасности IT-инфраструктуры, оценка существующей производительности для дальнейшей оптимизации применяемых объектов инфраструктуры, минимизация затрат на поддержку цифрового контура предприятия, оценка соответствия стандартам качества по информационной безопасности предприятия.
В зависимости от определенной цели, зона охвата аудита может распространяться на все системы, оборудование, программное обеспечение и сопутствующие процессы или только на локализованные физически в одном структурном подразделении.
В рамках подготовительного этапа также определяется, какими силами будет проводиться аудит: с привлечением аудиторских компаний или силами самого предприятия. Если выбор останавливается на аудите собственными силами, необходимо заранее определиться с ответственной командой, в которую стоит включить администраторов сетей, инженеров по безопасности, системных администраторов и разработчиков. Важно, чтобы каждый сотрудник имел опыт работы с проверяемыми системами.
Также во время подготовки к аудиту необходимо осуществить сбор документации о текущем состоянии инфраструктуры, а конкретно:
- схемы сетевой инфраструктуры предприятия;
- документацию по конфигурациям серверов и оборудования;
- схему осуществления резервного копирования информации;
- существующие политики безопасности.
Аудит аппаратного обеспечения и IT-оборудования
Аудит IT-оборудования как часть общей стратегии аудита можно разделить на несколько этапов. Для начала проводится общая инвентаризация оборудования, где сверяется согласно общим учетным данным физическое наличие и соответствие моделей применяемых аппаратных средств. На этом этапе могут быть выявлены:
- физические недостачи оборудования, что влечет дальнейшее внутрикорпоративное расследование причин;
- несоответствие моделей оборудования из-за умышленной или непредумышленной халатности, кражи.
Далее необходимо провести оценку производительности используемого оборудования, с замерами загрузки и эффективности работы. Данный этап направлен на выявление устаревших и неработающих моделей, которые подлежат дальнейшему списанию и утилизации. Также может быть выявлено несоответствие мощности оборудования и поставленных функциональных целей. Выявленные недочеты должны использоваться для:
- планирования модернизации устаревшего оборудования и внесения необходимых затрат в бюджет компании в будущем;
- перемещения моделей с меньшей мощностью на менее загруженные участки работы.
Параллельно с физической сверкой и оценкой производительности необходимо провести анализ состояния оборудования, на каком уровне общий износ, позволяет ли это выполнять требуемые функции, разрешено ли в соответствии с принятой корпоративной политикой компании использовать данное оборудование в этом состоянии.
Еще один этап аппаратной части аудита IT-инфраструктуры — проверка физической безопасности. Также важный этап, поскольку недостатки в оборудовании могут негативно сказаться на общей безопасности предприятия и привести к серьезным инцидентам.
- Сбоям в аппаратных средствах безопасности, что может привести к неисправностям устройств шифрования данных с сопутствующими ошибками и неэффективностью; к неисправностям в системах распознавания доверенных лиц и допуску несанкционированного доступа.
- Выходу из строя оборудования, что может привести к частичной или полной потере критически важных данных.
- Снижению эффективности защиты от несанкционированного доступа и предоставления возможности злоумышленникам для манипуляций и получения конфиденциальных данных.
- Снижению эффективности компонентов питания и охлаждения, что может привести к повышенному износу оборудования и сбоям в источниках бесперебойного питания (ИБП) с перспективой потери данных и повышения уязвимостей для атак.
- Манипуляций с оборудованием типа подмены устройств, что позволит внедрить шпионское ПО или реализовать злоумышленниками контроль трафика сети.
- Компрометации периферийных устройств (принтеры, камеры, клавиатуры), которые могут стать точкой входа для атак.
Аудит программного обеспечения
Аудит программного обеспечения проводится для оценки программной части IT-инфраструктуры, которая зачастую выполняет ключевые операционные, учетные, кадровые действия на предприятии. Этот тип аудита проходит в несколько этапов.
Во-первых, необходимо провести анализ всех используемых лицензий программного обеспечения с целью выявления нарушения лицензионных соглашений или несоответствия сроков их использования.
Во-вторых, сверить версии используемых программ и выявить неустановленные обновления, особенно те которые закрывают выявленные критические уязвимости.
В-третьих, провести инвентаризацию совместимости ПО, проверить насколько корректно работают разные цифровые продукты в одной системе.
В-четвертых, провести полный аудит программ для безопасности на предмет наличия уязвимостей, использования устаревшего или ненадежного ПО.
Аудит программного обеспечения в итоге должен обеспечить минимизацию рисков внедрения в контур безопасности предприятия через цифровые средства коммуникации и ПО.
Как выбрать аудитора для проверки IT-инфраструктуры?
Проведение аудита IT-инфраструктуры возможно собственными силами предприятия или с помощью привлечения сторонних аудиторов.
Аудит собственными силами
Выбор такого типа аудита обусловлен несколькими параметрами:
- возможностью органичного согласования аудита с производственными процессами, без специализированной остановки деятельности или с минимальной остановкой из-за подбора оптимального времени для аудита;
- минимизацией стоимости проведения аудита за счет средств компании с помощью привлечения собственных специалистов и мощностей;
- сохранением высокого уровня конфиденциальности информации компании за счет неразглашения ее третьим сторонам, даже на условии привлечения сторонних аудиторов и подписания соглашения о неразглашении с ними.
Аудит можно проводить как ручным, так и автоматизированным способом. Ручной способ предусматривает физическую сверку всего оборудования, программного обеспечения и систем. У этого способа есть существенный недостаток: значительные временные затраты на проведение аудита. Как правило, специалисты безопасности применяют специализированное программное обеспечение. Это может быть квалифицированное ПО либо комплексные программные решения, где аудит — это часть всего функционала.
Предлагаем рассмотреть применение DLP-системы для аудита ИТ-инфраструктуры на примере программного комплекса Falcongaze SecureTower.
Проведение аудита IT-инфраструктуры с использованием DLP-системы Falcongaze SecureTower
DLP-система Falcongaze SecureTower — это известный программный комплекс для обеспечения безопасности цифрового пространства предприятия. SecureTower предотвращает возможные риски утечки информации на предприятии через постоянный перехват трафика по большинству популярных каналов коммуникации и применение заранее установленных правил реагирования на инциденты безопасности (политики безопасности). Также DLP-система применима для мониторинга активности сотрудников выполнения трудового распорядка и обязанностей.
Функционал аудита IT-инфраструктуры доступен не во всех DLP-системах, но у Falcongaze SecureTower он реализован в виде одного из модулей Консоли пользователя — Оборудование и программы.
В этом модуле в режиме онлайн можно увидеть статус и модификации единиц оборудования IT-инфраструктуры предприятия:
- мониторов;
- дисковых накопителей;
- процессоров;
- системных плат;
- системной памяти;
- звуковых устройств;
- видеокарт;
- сетевых устройств;
- модемов;
- блоков питания;
- USB-устройств;
- накопителей на флоппи-дисках, CD/DVD дисках;
- портативных устройств;
- устройств хранения информации;
- мультимедиа;
- периферийной оборудование (клавиатура, мыши, принтеры) и прочего инвентаря.
По каждой учетной единице отображается фактический статус: используется, не используется, на обслуживании, что позволяет в режиме онлайн видеть актуальное состояние всего учитываемого оборудования.
Каждый компьютер описан и опционально может быть прикреплен к сотруднику, отделу, с возможностью просмотра журнала событий. Также для удобства инвентаризации реализована функция Карта офиса, которая позволяет визуализировать техническое оснащение предприятия и наглядно отражает оборудование и устройства в соответствии с их физическим положением в реальном офисе.
Подробнее о применении DLP-системы Falcongaze SecureTower можно узнать в презентации или связаться с представителями компании.
Важно! Тестовая версия предоставляется на 30 дней, что позволит применить программный комплекс конкретно к запросам компании.
Далее рассмотрим возможности проведения аудита сторонними исполнителями.
Аудит с помощью привлеченных аудиторов
В этом случае компания нанимает квалифицированных сторонних исполнителей для проведения аудита IT-инфраструктуры. При выборе необходимо учитывать следующие факторы, влияющие на работу подрядчика.
- Репутация и опыт работы на рынке аудита IT-инфраструктуры.
- Квалификацию команд специалистов-аудиторов и опыт в области IT-безопасности.
- Методологию проведения аудита и структурированность подхода к оценке безопасности.
- Комплекс рекомендаций по устранению выявленных недостатков системы, обратная связь по итогам аудита.
- Итоговая стоимость услуг и возможные дополнительные затраты во время аудита.
Услуги по аудиту IT-инфраструктур предлагают десятки компаний, например:
- ГК Интегрус — услуги полного аудита IT-инфраструктуры с фокусом на оценку безопасности и соответствие нормативным требованиям.
- NIXYS — аудит с акцентом на модернизацию и оптимизацию работы IT-систем предприятия.
- K2 Cloud — компания специализируется на аудитах облачных решений и их интеграции с локальными системами.
- IT Global — предоставляет комплексные услуги по оценке IT-инфраструктуры, уделяя внимание масштабируемости и защите данных.