Server Admin Авторский блог системного администратора
Долгое время у меня лежал черновик документа по ИТ аудиту информационной системы. Последнее время я немного занимался этой темой, поэтому решил его опубликовать и обсудить с вами. Аудит писался как план действий и одновременно предложение для организаций. Думаю, он многим будет полезен, а я рассчитываю его дополнить и подредактировать с вашей помощью.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.
Введение
Информационная система является важной и неотъемлемой частью организации. Качество ее работы может прямо или косвенно влиять на доходы и расходы компании. Своевременное обслуживание и аудит ИТ системы позволяет снижать издержки и увеличивать уровень надежности и безопасности.
Простым примером роста издержек может служить распространенная в последнее время ситуация с договором на телекоммуникационные услуги в долларах или у.е. При росте курса растут расходы. В таких случаях нужно своевременно среагировать на ситуацию и изменить условия договора или поменять поставщика услуг.
Ненадлежащее качество хранения резервных копий коммерческой информации может привести к прямым финансовым потерям в случае выхода из строя оборудования. Регулярная проверка доступности системы архивирования поможет избежать потерь в будущем.
Уволенный нелояльный сотрудник с административными правами может серьезно нарушить работу информационной системы, если ему своевременно не отключить доступ.
Медленная работа базы данных может увеличивать нагрузку на менеджеров, работающих с клиентами, что косвенно увеличивает расходы организации на содержание штата сотрудников.
Эти и многие другие моменты требуют постоянной качественной работы по обслуживанию информационной системы. Для проверки текущего состояния, я предлагаю провести ИТ аудит организации. Данная работа проводится по следующей схеме.
Инвентаризация объектов аудита
На данном этапе выбирается цель аудита. В зависимости от цели обозначается круг исследуемых объектов в информационной системе. Примером объектов могут служить:
- серверное и пользовательское оборудование;
- программное обеспечение;
- телефония;
- системы передачи данных и д.р.
Определение внешних точек доступа в информационную систему и их защищенность
Производится анализ всех возможных подключений из интернета для доступа к ресурсам локальной сети организации. Примером таких ресурсов может быть доступ:
- к почтовым ящикам пользователей;
- rdp доступ для управления компьютером или сервером;
- доступ к файлам на сетевых ресурсах и др.
Проверка всех типов используемой информации и способы ее архивирования
Анализируется вся информация организации, которая представляет ценность. Составляется ее каталог и схемы резервного копирования. Примером такой информации могут служить:
- письма в почтовых ящиках пользователей;
- базы данных CRM систем;
- личные файлы пользователей;
- информация на общих сетевых дисках и др.
Составляется схема архивирования информации, на которой будет отражена глубина и полнота архивов, возможность восстановления информации и сроки этого процесса.
Анализ производительности серверов и каналов связи
На основе реальной загрузки серверной инфраструктуры проверяется соответствие используемых ресурсов для выполнения поставленных задач. Ресурсы могут быть как излишними, что ведет к повышению затрат на поддержку, так и недостаточными, что приводит к снижению быстродействия работы информационной системы и удорожанию ее обслуживания.
Оценка надежности оборудования и времени восстановления в случае сбоя
Оценивается качество оборудования и его функциональные возможности по предотвращению или восстановлению в случае сбоя в работе. К таким качествам, к примеру, относится
- наличие рейд-контроллера и настроенного рейда для хранения информации;
- возможность горячей замены жестких дисков или блоков питания на серверах;
- подключение оборудования к источникам бесперебойного питания и др.
На основе этой информации и полученных ранее данных о схеме бэкапа оценивается примерное время восстановление работоспособности информационной системы в случае выхода из строя различных узлов.
Аудит учетных записей
Проверка всех учетных записей с обычным и административным доступом к ресурсам информационной системы. Это могут быть данные для получения административных прав на контроллере домена, сервере баз данных, для доступа к серверу видео наблюдения, системы контроля доступа в помещения, обычный доступ к общим сетевым дискам и д.р.
Анализ способов хранения и передачи учетных данных.
Проверка лицензионного ПО
Аудит установленного программного обеспечения в информационной системе. Проверка соответствия установленного ПО количеству приобретенных лицензий. Выявление нарушений в установке и использовании ПО. Оценка стоимости для легализации всего использующегося ПО.
Аудит телефонной связи
Анализ направлений звонков и их сопоставление с текущими тарифными планами. Рассмотрение подключения дополнительных линий для снижения затрат на звонки по определенным направлениям. Проверка возможности перевода телефонии на IP протокол для автономности от локального оператора связи.
Анализ системы мониторинга
Проверка работы существующей системы мониторинга информационной системы. На основе собранных ранее данных, выполняется оценка качества мониторинга с учетом выявленных критических узлов в системе и регламентному времени реагирования на события.
Проверка работы ИТ отдела
Анализируется имеющая документация ИТ отдела, такая как:
- инструкции по работе с пользователями и ресурсами сети;
- план действий на случай нештатных ситуаций или аварий;
- должностные инструкции сотрудников;
- регламенты обслуживания;
- схемы информационных систем и т.д.
Проверяется структура отдела и распределение ролей сотрудников.
Заключение
Буду рад комментариям, замечания дополнениям. Текст составлен полностью мной, нигде и ни у кого не копировал, не подсматривал. Основывался только на своем опыте, поэтому мог что-то упустить или забыть. Я работаю только с малым и среднем бизнесом, поэтому материал актуален только для них.
Если кого-то заинтересовал подобный аудит, и вы хотите провести его у себя в компании, обращайтесь ко мне.
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.
Может стоит ещё раз напомнить об этой статье? Чтобы коллективно доработать план? Согласен с человеком который писал про ITIL. Но тут главное знать меру нет смысла собирать как положено по нему CMDB и SD если в компании два сервака на одном базы учётной системы на другой сома приложение..
Зависит от того какой аудит проводить, на сколько глубоко, что заслуживает внимание.
Если, только технический, на предмет работает или нет и где поломается (личный список угроз), то я бы начал с аудита используемых/поддерживаемых сервисов (например, еще есть СКУД, печать, видеонаблюдение, вебинары, кассы, терминалы оплат .... и т.п. Они могут по разному влиять на бизнес). Относительно этого, список того, на что стоит обратить внимание может сильно измениться.
Если есть возможность, то лучше начать с анализа структуры платежей по ИТ договорам, много интересного можно обнаружить.
Про ITIL писали в предыдущих комментах, очень полезный "пиратский Кодекс", можно идти прямо по процессам, со стандартными требованиями.
Целиком и полностью согласен про платежи к IT договорам. У нас в компании так и было при проведении аудита после смены высшего руководства.
Слишком много рекламы
Все же начать лучше с аудита мониторинга. Там можно и загрузку текущую проверить и ± понять что есть.. Ну или второй шаг после того как проверенно, что по факту есть в наличии.
В целом да, проверять мониторинг нужно как можно раньше. У меня случалось и так, что для аудита поднимался отдельный параллельный мониторинг, так как установленный не отвечал на поставленные вопросы. Нужен был независимый контроль со стороны.
Было подобное, системы компании кошмарило.. Весь ИТ тушит пожары,а системы мониторинга просто нет. Не знаю как они вообще спать ложились. Вот и началось с аудита факта потом все в мониториг.
куцо и весьма обще. Напоминает попытку сделать универсальный чек-лист
Так это он и есть. Делалось для внутреннего использования изначально.
Статья, IMHO, заслуживает большего, best practic, практические нюансы и вот это всё
в Аудит учетных записей я бы добавил актуальность учеток. Уволеных заблочить. Или это и так подразумевалось, но не описано?
В Объекты аудита я бы добавил схемы прокладки сетей, нумерации розеток и их актуальность.
В бэкапы добавил бы частоту проверки возможности развернуть бэкап. А то бывали случаи, что "бэкапы делаются и разворачиваются, мы проверяли", а потом оказывается, что софтина обновилась и бэкап сделаный по прежней схеме не разворачивается.
В целом понял замечание. Все перечисленное уже подразумевается в описанных разделах, просто не очень подробно. Это по сути краткий план. Имеет смысл писать и более развернутый с примерами отчетов, но пока у меня не готово. Большой труд это оформить, так как начал часть делать и осознал объем. Не уверен, что это в одиночку вообще можно и имеет смысл тянуть. Нужно разделение труда.
Так вроде большая часть всего этого в методологии ИТИЛя подразумевается?!
разве что там не про аудит, а про практику организации ИТ отдела
Я не знаком подробно с ИТИЛ, но подозреваю, что это оверскилл для малого и среднего бизнеса. Там его никто не изучает.
http://wikiitil.ru/itilrus.html - тут несколько книг по ИТИЛ
ИТИЛ - это не закон, а свод правил (прямо как пиратский Кодекс)
на 100% вряд ли где вообще используется, но учитывать его стоит и в малом и в среднем бизнесе. Да и в целом просто задает порядок в плане ИТ. Читал про использование методологии в других сферах связанных с сервисом.
на счёт оверскил можно тоже поспорить. Когда у SOHO частый случай бардак и хаос - утраченный пароль (хорошо ещё, если забит в браузер), полуживые хабы, шлюз и роутер, железо и ПО, настроенные и работающие не оптимально - вот это всё сказывается на ТСО и как следствие - на эффективности, прибыльности. Тому же серверу или ПК всё равно, где он - в многоаухиардном холдинге или конторке в 1,5 землекопа, эксплуатация ПО и железа стоит денег, их надо уметь считать и видеть
Я это понимаю, но отталкиваюсь от практики. В большинстве своем, малый и средний бизнес не могут взять к себе хорошего специалиста на полную ставку. А частичная занятость сильно сужает круг кандидатов на должность, так как не все хотят работать по совместительству в нескольких местах. Плюс, руководство не всегда готово брать кого-то на неполный день. Поэтому по факту получается так, что в основном я вижу бардак и хаос.