Лента новостей
сент 16

Универсальное и надежное решение для организации электронной почты.

Подробнее



июля 10
ИТ-Штат – партнер Телфина

Компания «ИТ-Штат» заключила официальный договор о партнерском сотрудничестве с одним из ведущих провайдеров облачной телефонии в России компанией «Телфин».



июня 10
ИТ-Штат – сертифицированный партнер Dr.Web

Компания «ИТ-Штат» получила статус сертифицированного партнера Dr.Web.



ИТ-аудит. Доверяй, но проверяй!

Многие предприятия недооценивают перспективность ИТ-аудита и не используют его. На деле оказывается, что компании живут в информационном вакууме, а руководство не имеет объективной картины по ИТ-инфраструктуре предприятия.

Логичным следствием такой ситуации является, либо «технологический застой», что сказывается на общем уровне конкурентоспособности компании (скорость работы, методы и т.д.), либо постоянные форс-мажоры, которые в итоге могут привести к серьезным потерям (утечка данных, простои и т.д.).

Как обезопасить себя от такой ситуации? Читайте в нашей статье.

 

Общие критерии аудита

ИТ-аудит является процессом получения объективных качественных и количественных оценок состояния информационной безопасности предприятия. Он должен проходить в соответствии с определенными ранее критериями и показателями безопасности. Фактически, это постоянный контроль над прохождением информации в корпорации, а также применение мер по предотвращению утечки секретной информации.

Стоит обратить внимание на основные позиции осуществления того или иного типа аудита:

  • План проведения аудита необходимо согласовывать с руководящими людьми в том или ином предприятии.
  • В правилах о проведении аудита необходимо отметить, что специалисты на предприятии в обязательном порядке должны содействовать человеку, проводящему аудит, а также предоставлять все необходимые данные.
  • Аудитор перед проведением аудита должен ознакомиться с организационной структурой компании.
  • Результатом проведенных анализа должен быть либо анализ рисков, либо стандарт, основанный на выполнении требований к безопасности.
  • Результатом проведения аудита является отчет, в котором должны содержаться такие пункты, как: цель проведения исследований, специфика обследуемого предприятия, грани проведения исследований, применяемые методы анализа, выводы, в которых обобщаются результаты, и дается оценка анализа защищенности. Помимо этого, должны приводиться рекомендации касательно состояния защищенности системы.

Что такое ИТ-аудит?

Ни для кого не будет удивлением, если мы скажем, что в нашей стране не существует одного определения понятию ИТ-аудит. Впрочем, как и многим другим. После логичных рассуждений можно сделать вывод, что ИТ-аудит – это независимая оценка экспертов, целью которой является определение соответствия существующих показателей ИТ общепринятым нормам. Помимо этого, в мировой практике проведения именно ИТ аудита существует большое количество стандартов и методологических решений по определению этой оценки.

Основным параметром является именно оценочный характер данной проверки. Фактически, если говорить понятным языком, аудитом нельзя считать подсчет количества используемых технических средств и наличия лицензий на программное обеспечение. Это является лишь одним пунктом из всего перечня целей, которые преследует ИТ аудит. Потому стоит остерегаться тех компаний, которые предоставляют услуги по инвентаризации под видом аудита.

Суть аудита состоит в широком оценивании, то есть анализе всех характеристик ИТ-инфраструктуры компании, а также вынесение экспертной оценки по принципам их устройства и состоянию.

ИТ-аудит для малого и среднего бизнеса

В отличие от сложного комплексного аудита с применением сложных методологий, сегмент малого и среднего бизнеса может ограничиться только техническим аудитом.

В большинстве случаев, он состоит из следующих направлений:

  • Инвентаризация ИТ-комплектующих, которая уже упоминалась ранее. Учет программного обеспечения, оборудования, систем безопасности и так далее. При таком масштабе предпринимательства деление инфраструктуры не происходит, однако стоит оговорить отдельные нюансы. Например, определиться с ответами, которые необходимо получить после его проведения, а также сроки и планы проводимых работ.
  • Сбор статистики по нагрузке системы. Что он собой представляет и как его проводить является темой для более обширной статьи. Потому здесь стоит только принять как должное тот факт, что данный этап является необходимым и важным.
  • Анализ систем. Фактически является сбором всех показателей от предыдущих этапов с дальнейшим их сопоставлением с нормативными показателями. В том случае, если данный этап будет пропущен, то выданные рекомендации будут основаны на интуиции, а удачный его исход является делом случайным.
  • Разбор рекомендаций. Иными словами говоря, это то, что необходимо сделать для достижения нормативных показателей. Понятным является тот факт, что специалисты предприятия могут действовать, только основываясь на данных рекомендациях, и ни в коем случае не следовать им безоглядно. Однако ознакомление с новым взглядом является достаточно полезным.

Зачем проводить аудит, если есть штатный специалист?

Помимо этого, может возникнуть хороший вопрос: зачем оплачивать услуги внешнего специалиста, если есть штатный сотрудник? И для кого это все будет делаться?

Здесь необходимо выделить следующих заказчиков:

  • Внешний. Им может являться учредитель предприятия, собственник бизнеса, либо лицо, управляющее компанией. Цели здесь предельно просты – проверить укомплектованность и добросовестность сотрудников.
  • Внутренний при инициативе со стороны руководства. Целью может быть организация максимально эффективной работы компании, а также определение с направлениями и средствами для дальнейшего развития соответственно с задачами компании
  • Внутренний при инициативе от службы ИТ. Такое также встречается, однако в преимущественном большинстве случаев касается исключительно технического аудита. Иными словами, привлечение дополнительных специалистов к работе.

Вывод

Регулярное проведения ИТ-аудита позволяет уберечь компанию от потерь, а также развивать ее в соответствии с современными технологическими возможностями.

 

Смотрите также