ИТ-аудит или аудит информационных систем — это изучение и экспертная оценка всей ИТ-инфраструктуры компании и отдельных ее частей. Не рекомендуется проводить внутренними сотрудниками предприятия. Основные цели аудита информационной системы предприятия:

• оценить эффективность расходуемого на ИТ-задачи бюджета (включает в себя анализ затрат на зарплаты специалистов, капитальных затрат на оборудование (в год), переменных затрат на лицензии, подписки в сервисах, хостинги, сервера и т.д.;
• оценить эффективность работы ИТ-отдела, а также общий уровень подготовки кадров;
• определить места в инфраструктуре и бизнес-процессах, где ИТ-системы используются недостаточно эффективно, выработать рекомендации по повышению эффективности, перераспределению нагрузки;
• оценить работу систем и процессов, которые обеспечивают безопасность данных компании;
• оценить риски для информационных активов компании, определить методы минимизации этих рисков;
• обеспечить, чтобы все связанные с ИТ-системой процессы соответствовали законам и стандартам отрасли;
• инвентаризация оборудования, обследование элементов IT-инфраструктуры, оценка надёжности программного и антивирусного обеспечения, оценка возможных рисков (уязвимости, потенциально сбойные участки, неоптимальное использование вычислительных ресурсов и т.п.) и проблемных частей в процессе эксплуатации;
• разработать дорожную карту устранения проблем.

Результатом проведения аудита является предоставление итогового отчёта с результатами обследования, найденными проблемами, способам их решения, затратам и предполагаемой выгоде по результатам проведения всех необходимых изменений.

Стоимость проверки определяется заранее, до начала работ, на этапе планирования аудита и зависит от объема работ в часах. Стоимость одного часа работы специалиста составляет 20 000 рублей. Глубина проводимого исследования, а, значит, и степень соответствия практической значимости подобранных решений поставленным целям напрямую зависит от объема проведенных работ.

Количество часов, необходимых для осуществлении работ, зависит от количества задействованных помещений, количества сотрудников, количества информационных систем.

В стоимость одного часа специалиста не включаются командировочные расходы до места проведения аудита. Примерная продолжительность и ориентировочная стоимость работ представлены в таблице ниже.

В ходе обследования собираются и структурируются общие данные о текущем состоянии ИТ-инфраструктуры. Отчет, в котором зафиксировано общее описание ИТ-инфраструктуры как она есть на данный момент, чаще всего с поверхностным анализом и набором минимальных рекомендаций. Выделяются все основные информационные системы предприятия. На основе экспресс-обследования можно составить план глубокого обследования предприятия.

Проводится реверс-инжиниринг бизнес-процессов. Проводится анализ ИТ-инфраструктуры для каждого из выбранных бизнес-процессов — аудит компьютерной техники, ПО, аудит ИТ персонала, задействованного в бизнес-процессе, аудит ит-процессов. Оценивается, как улучшить отдельные элементы ИТ-структуры, задействованные в этом бизнес-процессе, как привести их к соответствию стандартам и лучшим практикам, проводится оценка рисков.

Составляется список IT-процессов, интегрированных в общую структуру бизнес-процессов. Для каждого ИТ-процесса определяются:

• роли участников процесса;
• метрики процесса;
• состав процедур;
• ответственные за реализацию процесса.

Оценка работы систем хранения данных и резервного копирования, работа антивирусных программ), оценка работы систем связи (интернет, телефония). Работа пользовательского ПО (серверных, прикладных и пользовательских программ). Техническое состояние оборудования (диагностика компьютеров, систем внутренних коммуникаций и СКС). Проверка отказоустойчивости ИТ-системы, сетевые политики безопасности, разграничение доступа к конфиденциальным данным, защиту системы от взлома извне, защиту от вирусов и спама, систему обработки персональных данных. Проверку персонала на склонность к атакам с использованием социальной инженерии.

Аудит ИТ-безопасности вовремя обнаруживает уязвимости в системе, помогает выявить и оценить риски. Сетевая инфраструктура, используемые программные решения и каналы связи, в том числе сюда может входить анализ работы корпоративной телефонии, почты, мессенджеров по различным критериям.

Инвентаризация серверного и сетевого оборудования, рабочих мест оргтехники, мобильных устройств, установленного программного обеспечения, а также обследование и анализ состояния всего перечисленного. Этот технический аудит позволит понять, какое аппаратное и программное обеспечение сетевой инфраструктуры в наличии, как оно работает, где могут быть потенциальные точки отказа, как устроена и защищена корпоративная сеть, все ли используемое ПО лицензионное и достаточно ли текущего количества лицензий. Проверяется соответствие законодательным нормам, правилам, требованиям государственных регулирующих органов.

UI/UX аудит юзабилити позволяет выявить сложности интерфейса, отсутствие целевых действий посетителей. Юзабилити дизайна напрямую влияет на посещаемость и продажи, поэтому для повышения функциональности и эффективности юнит-экономики необходим взгляд со стороны. Неотъемлемой частью аудита пользовательских интерфейсов является также выявление и анализ ошибок работы сайта, анализ ошибок на ключевых страницах, в том числе влияющих на ранжирование сайта в поисковых системах, анализ адаптивности на различных устройствах и браузерах.

В ходе аудита пользовательских веб-интерфейсов собираются и изучаются данные из веб-аналитики, оценивается конверсия разных маркетинговых активностей. Оцениваются схемы интеграции web-приложений и ресурсов с внутренними системами компании.

Возможные результаты:

• увеличение конверсии без повышения рекламного бюджета;
• уменьшение количество ошибок работы сайта;
• анализ адаптивности на различных устройствах и браузерах;
• повышение конкурентоспособности.

Разрабатываются методики защиты веб-ресурсов, защиты call-центра, оптимизации нагрузки, а со стороны бизнес процессов — может быть построена сквозная аналитика, предложены улучшения на сайте и в рекламных кампаниях. Внедрены новые методы автоматизации — чат-боты, автоматизация распределения чатов, подключен искусственный интеллект для автоматизации обработки типичных запросов.

Может оцениваться квалификация сотрудников с точки зрения эффективности и корректности использования имеющихся программных продуктов, например, относительно скорости получения результата, качества результата или безопасности процесса.

Оценка финансовых затрат при использовании тех или иных информационных систем или решений.

Собираются и анализируются сведения о конкретной ИТ-системе только в разрезе какого-либо выбранного критерия:

• удобство использования;
• производительность;
• адаптируемость;
• масштабируемость;
• отказоустойчивость;
• стоимость поддержки и развития.

Результат – с оценкой соответствия или несоответствия работы ИТ-системы выбранному критерию. В случае несоответствия анализируются причины этого и даются рекомендации по улучшению.

Стоимость разработки определяется заранее, до начала работ, на этапе планирования разработки или на этапе аудита и зависит от объема работ в часах. Стоимость одного часа работы специалиста варьируется в зависимости от вида произведенных работ. Количество часов зависит от сложности реализуемой системы и объема создаваемой документации.

В стоимость одного часа специалиста не включаются командировочные расходы до места проведения работ в случае, если работы не представляется возможным провести удаленно.

Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации. Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации.

Регламент представляет собой свод правил принятия решений исполнителями в определенных ситуациях. Регламенты могут быть двух типов:

• верхнего уровня – описывают общие принципы, цели и границы принятия решений;
• нижнего уровня – устанавливают варианты готовых решений (совокупности определенных действий).

Внедрение типовых сценариев снижает нагрузку на исполнителя и способствует концентрации внимания на нештатных ситуациях в ИБ. Стандартизация действий позволяет повысить оперативность реагирования на инциденты ИБ, а также минимизировать влияние человеческого фактора на эффективность процессов ИБ.

Еще одним преимуществом регламентации является то, что регламентированный процесс ИБ легче контролируется (можно провести внутренний аудит ИБ). А наличие информации о достигнутых результатах (в том числе промежуточных) и о ходе процесса позволяет принимать обоснованные управленческие решения.

Регламентация дает и косвенные положительные эффекты: появляется возможность тиражирования и масштабирования процессов; в процессы легче вовлечь необходимый персонал и обучить его. Кроме того, организация демонстрирует прозрачность своей работы при проведении внешнего аудита и проверки.

Составление и уточнение должностных инструкций всех специалистов предприятия, занимающихся разработкой и обслуживанием IT-решений на предприятии.

Составление и уточнение должностных инструкций всех специалистов предприятия, взаимодействующих с информационными системами предприятия как пользователи.

Результат выполнения работы – подробная документация с описанием всех бизнес-процессов предприятия (как имеющихся, так и требующих доработки или создания).

Результат выполнения работы – подробные технические задания на разработку и доработку систем для обеспечения функционирования спроектированных бизнес-процессов.