Основные этапы проведения аудита
КОНТРОЛЬНАЯ РАБОТА
по дисциплине «ИТ инфраструктура предприятия»
Вариант 2
Студент :Долгалло А. Э.
Факультет: Менеджмента и
бизнес –информатики
Направление: Бизнес - информатика
Группа: № СМЛС13-1Б-БИ02
№ зачетной книжки: №100.25\131002
Руководитель: Морозов А.А.
Смоленск 2016
ОГЛАВЛЕНИЕ
ТЕОРЕТИЧЕСКАЯ ЧАСТЬ 3
ПРАКТИЧЕСКАЯ ЧАСТЬ 9
СПИСОК ЛИТЕРАТУРЫ 13
ТЕОРЕТИЧЕСКАЯ ЧАСТЬ
Вопрос:
Полезная эффективность ИТ-инфраструктуры организации как соответствие технических и аппаратных средств предприятия реальным целям, задачам и потребностям бизнеса.
Ответ:
IT-инфраструктура предприятия – это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и/или моральный ущерб.
В современных условиях рынка полнота информации, ее достоверность, скорость получения и обработки данных, эффективность информационного обмена между структурными подразделениями организации, оперативность принятия решений и реализации возложенных на каждое из таких подразделений задач, становятся одними из наиболее значимых факторов успешности предприятия: его рентабельности, прибыльности, конкурентоспособности.
Функцию обеспечения вышеперечисленных задач берет на себя информационная система организации, состоящая, как правило, из компьютерного парка, системы автоматизации производства, систем безопасности (видеонаблюдение, охранно-пожарная сигнализация, СКУД и проч.), коммуникационных систем (мини-АТС, локальные и/или корпоративные сети) и т. д.
Двумя наиболее значимыми, на наш взгляд, факторами эффективности функционирования информационной системы, состоящей из перечисленных подсистем, являются:
- Полезная эффективность IT-инфраструктуры организации (соответствие технических и программных средств предприятия реальным целям, задачам и потребностям бизнеса)
- Информационная безопасность IT-инфраструктуры предприятия (включая устойчивость технических средств к всевозможным отказам и сбоям, а также обеспечение сохранности важной информации: пресечение ее утечки и/или уничтожения и защита от несанкционированного доступа)
Одним из способов обеспечения полезной эффективности и информационной безопасности предприятия является аудит IT-инфраструктуры организации, направленный на оптимизацию информационной системы предприятия и выявление явных и/или скрытых угроз ее нормального функционирования.
Аудит IT-инфраструктуры представляет собой системный процесс, заключающийся в получении и оценке объективных данных о текущем состоянии IT-систем организации:
- Серверов и рабочих станций, задействованных в IT-инфраструктуре предприятия
- Активного сетевого оборудования
- Системного программного обеспечения
- Физической и логической структуры корпоративной локальной сети
- Периферийного оборудования
- Телекоммуникационных систем
- Систем безопасности
- Систем электроснабжения
- Каналов передачи данных
- и.т.д.
Как правило, при аудите IT-инфраструктуры применяются следующие методы исследования:
- Проведение инвентаризации компонентов IT-инфраструктуры
- Анкетирование сотрудников организации, проводящееся по опросным листам
- Анализ программного обеспечения, файлов и системных событий серверов и рабочих станций, входящих в IT-инфраструктуру организации
- Проверка сетевой безопасности серверов и рабочих станций с целью исключения возможного несанкционированных проникновений через сеть Интернет и/или по другим каналам связи
- Мониторинг состояния активного сетевого оборудования
- Диагностика системы электроснабжения, кабельных сетей и пассивных компонентов IT-инфраструктуры предприятия
Целью создания любой компьютерной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Информация является конечным «продуктом потребления» и выступает в виде центральной компоненты системы.
Именно поэтому одним из ключевых вопросов при проведении аудита IT-инфраструктуры организации является оценка этой инфраструктуры с точки зрения информационной безопасности. Эта проблема может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.
Безопасность (защищенность) информации, в данном случае, - это такое состояние всех компонентов компьютерной (информационной) системы, при котором обеспечивается защита информации от всех возможных угроз на требуемом уровне. При этом, под системой защиты информации понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в компьютерной системе в соответствии с принятой политикой безопасности.
С позиции обеспечения безопасности информации, IT-инфраструктуру организации целесообразно рассматривать в виде единства трех компонентов, оказывающих взаимное влияние друг на друга:
- Информация
- Технические и программные средства
- Обслуживающий персонал и пользователи
Основные этапы проведения аудита
В обобщенном виде ИТ-аудит проводится в два этапа:
-этап "Планирование ИТ-аудита".
-этап "Проведение ИТ-аудита".
На этапе "Планирования ИТ-аудита":
Анализируются:
структура бизнес-процессов;
платформы и структура информационных систем, поддерживающих бизнес-процессы;
структура ролей и распределения ответственности, включая аутсорсинг;
бизнес-риски и бизнес-стратегия.
Определяются информационные критерии, наиболее значимые для существующих бизнес-процессов.
Идентифицируются ИТ-риски.
Оценивается общий уровень контроля рассматриваемых бизнес-процессов.
На основе полученной информации осуществляется выбор границ и объектов исследования: ИТ-процессов и связанных с ними ИТ-ресурсов.
На этапе "Проведения ИТ-аудита" выполняются следующие виды работ:
Идентификация существующих механизмов управления и документирование процедур (сбор и первичный анализ информации);
Оценка эффективности существующих механизмов управления при выполнении задач управления, их целесообразность и пригодность;
Тест соответствия (получение гарантий пригодности существующих механизмов управления для решения задач управления);
Детальное тестирование с целью выполнения корректирующих действий для улучшения состояния системы управления ИТ.