====== Коммерческое предложение по аудиту информационных систем и разработке ====== ===== Аудит ===== ИТ-аудит или аудит информационных систем — это изучение и экспертная оценка всей ИТ-инфраструктуры компании и отдельных ее частей. Не рекомендуется проводить внутренними сотрудниками предприятия. Основные цели аудита информационной системы предприятия: * оценить эффективность расходуемого на ИТ-задачи бюджета (включает в себя анализ затрат на зарплаты специалистов, капитальных затрат на оборудование (в год), переменных затрат на лицензии, подписки в сервисах, хостинги, сервера и т.д.; * оценить эффективность работы ИТ-отдела, а также общий уровень подготовки кадров; * определить места в инфраструктуре и бизнес-процессах, где ИТ-системы используются недостаточно эффективно, выработать рекомендации по повышению эффективности, перераспределению нагрузки; * оценить работу систем и процессов, которые обеспечивают безопасность данных компании; * оценить риски для информационных активов компании, определить методы минимизации этих рисков; * обеспечить, чтобы все связанные с ИТ-системой процессы соответствовали законам и стандартам отрасли; * инвентаризация оборудования, обследование элементов IT-инфраструктуры, оценка надёжности программного и антивирусного обеспечения, оценка возможных рисков (уязвимости, потенциально сбойные участки, неоптимальное использование вычислительных ресурсов и т.п.) и проблемных частей в процессе эксплуатации; * разработать дорожную карту устранения проблем. Результатом проведения аудита является предоставление итогового отчёта с результатами обследования, найденными проблемами, способам их решения, затратам и предполагаемой выгоде по результатам проведения всех необходимых изменений. ==== Стоимость ==== Стоимость проверки определяется заранее, до начала работ, на этапе планирования аудита и зависит от объема работ в часах. Стоимость одного часа работы специалиста составляет 20 000 рублей. Глубина проводимого исследования, а, значит, и степень соответствия практической значимости подобранных решений поставленным целям напрямую зависит от объема проведенных работ. Количество часов, необходимых для осуществлении работ, зависит от количества задействованных помещений, количества сотрудников, количества информационных систем. В стоимость одного часа специалиста не включаются командировочные расходы до места проведения аудита. Примерная продолжительность и ориентировочная стоимость работ представлены в таблице ниже. ^Наименование работ ^Примерная длительность проведения работ ^Стоимость (руб) ^ |Экспресс-обследование | месяц | 500 000 - 1 500 000 | |Бизнес-процессы |от полугода |от 3 000 000| |Информационная безопасность |от полугода |от 3 000 000| |Пользовательские интерфейсы |от месяца |от 500 000| |Квалификация сотрудников при использовании IT-систем |от месяца на одно подразделение |от 500 000| |Финансовый аудит IT-систем |от месяца |от 500 000| |Аудит по заданному критерию |от месяца |от 1 000 000| === Экспресс-обследование === В ходе обследования собираются и структурируются общие данные о текущем состоянии ИТ-инфраструктуры. Отчет, в котором зафиксировано общее описание ИТ-инфраструктуры как она есть на данный момент, чаще всего с поверхностным анализом и набором минимальных рекомендаций. Выделяются все основные информационные системы предприятия. На основе экспресс-обследования можно составить план глубокого обследования предприятия. === Бизнес-процессы === Проводится реверс-инжиниринг бизнес-процессов. Проводится анализ ИТ-инфраструктуры для каждого из выбранных бизнес-процессов — аудит компьютерной техники, ПО, аудит ИТ персонала, задействованного в бизнес-процессе, аудит ит-процессов. Оценивается, как улучшить отдельные элементы ИТ-структуры, задействованные в этом бизнес-процессе, как привести их к соответствию стандартам и лучшим практикам, проводится оценка рисков. Составляется список IT-процессов, интегрированных в общую структуру бизнес-процессов. Для каждого ИТ-процесса определяются: * роли участников процесса; * метрики процесса; * состав процедур; * ответственные за реализацию процесса. === Информационная безопасность === Оценка работы систем хранения данных и резервного копирования, работа антивирусных программ), оценка работы систем связи (интернет, телефония). Работа пользовательского ПО (серверных, прикладных и пользовательских программ). Техническое состояние оборудования (диагностика компьютеров, систем внутренних коммуникаций и СКС). Проверка отказоустойчивости ИТ-системы, сетевые политики безопасности, разграничение доступа к конфиденциальным данным, защиту системы от взлома извне, защиту от вирусов и спама, систему обработки персональных данных. Проверку персонала на склонность к атакам с использованием социальной инженерии. Аудит ИТ-безопасности вовремя обнаруживает уязвимости в системе, помогает выявить и оценить риски. Сетевая инфраструктура, используемые программные решения и каналы связи, в том числе сюда может входить анализ работы корпоративной телефонии, почты, мессенджеров по различным критериям. Инвентаризация серверного и сетевого оборудования, рабочих мест оргтехники, мобильных устройств, установленного программного обеспечения, а также обследование и анализ состояния всего перечисленного. Этот технический аудит позволит понять, какое аппаратное и программное обеспечение сетевой инфраструктуры в наличии, как оно работает, где могут быть потенциальные точки отказа, как устроена и защищена корпоративная сеть, все ли используемое ПО лицензионное и достаточно ли текущего количества лицензий. Проверяется соответствие законодательным нормам, правилам, требованиям государственных регулирующих органов. === Пользовательские интерфейсы, взаимодействие с пользователями === UI/UX аудит юзабилити позволяет выявить сложности интерфейса, отсутствие целевых действий посетителей. Юзабилити дизайна напрямую влияет на посещаемость и продажи, поэтому для повышения функциональности и эффективности юнит-экономики необходим взгляд со стороны. Неотъемлемой частью аудита пользовательских интерфейсов является также выявление и анализ ошибок работы сайта, анализ ошибок на ключевых страницах, в том числе влияющих на ранжирование сайта в поисковых системах, анализ адаптивности на различных устройствах и браузерах. В ходе аудита пользовательских веб-интерфейсов собираются и изучаются данные из веб-аналитики, оценивается конверсия разных маркетинговых активностей. Оцениваются схемы интеграции web-приложений и ресурсов с внутренними системами компании. Возможные результаты: * увеличение конверсии без повышения рекламного бюджета; * уменьшение количество ошибок работы сайта; * анализ адаптивности на различных устройствах и браузерах; * повышение конкурентоспособности. Разрабатываются методики защиты веб-ресурсов, защиты call-центра, оптимизации нагрузки, а со стороны бизнес процессов — может быть построена сквозная аналитика, предложены улучшения на сайте и в рекламных кампаниях. Внедрены новые методы автоматизации — чат-боты, автоматизация распределения чатов, подключен искусственный интеллект для автоматизации обработки типичных запросов. === Квалификация сотрудников при использовании IT-систем === Может оцениваться квалификация сотрудников с точки зрения эффективности и корректности использования имеющихся программных продуктов, например, относительно скорости получения результата, качества результата или безопасности процесса. === Финансовый аудит IT-систем === Оценка финансовых затрат при использовании тех или иных информационных систем или решений. === Аудит по иным критериям === Собираются и анализируются сведения о конкретной ИТ-системе только в разрезе какого-либо выбранного критерия: * удобство использования; * производительность; * адаптируемость; * масштабируемость; * отказоустойчивость; * стоимость поддержки и развития. Результат – с оценкой соответствия или несоответствия работы ИТ-системы выбранному критерию. В случае несоответствия анализируются причины этого и даются рекомендации по улучшению. ===== Разработка ===== ==== Стоимость ==== Стоимость разработки определяется заранее, до начала работ, на этапе планирования разработки или на этапе аудита и зависит от объема работ в часах. Стоимость одного часа работы специалиста варьируется в зависимости от вида произведенных работ. Количество часов зависит от сложности реализуемой системы и объема создаваемой документации. В стоимость одного часа специалиста не включаются командировочные расходы до места проведения работ в случае, если работы не представляется возможным провести удаленно. ^Наименование ^Примерная длительность ^Примерная стоимость (руб) ^ |Разработка политики безопасности |От 2 месяцев при условии проведенного аудита |По результатам обследования действующих документов | |Разработка регламентов функционирования систем |От месяца на систему при условии проведенного аудита |По результатам обследования действующих документов| |Разработка должностных инструкций специалистов в сфере IT |От месяца на подразделение | По результатам обследования действующих документов| |Разработка должностных инструкций персонала при взаимодействии с IT системами | От месяца на подразделение | По результатам обследования действующих документов | |Проектирование и документирование бизнес-процессов | От месяца на документ при условии проведенного аудита | По результатам обследования | |Написание технических заданий для внедрения новых бизнес-процессов в деятельность организации | От месяца на документ при условии проведенного аудита |По результатам обследования | === Политика безопасности === Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации. Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации. === Регламенты функционирования систем для обеспечения информационной безопасности === Регламент представляет собой свод правил принятия решений исполнителями в определенных ситуациях. Регламенты могут быть двух типов: * верхнего уровня – описывают общие принципы, цели и границы принятия решений; * нижнего уровня – устанавливают варианты готовых решений (совокупности определенных действий). Внедрение типовых сценариев снижает нагрузку на исполнителя и способствует концентрации внимания на нештатных ситуациях в ИБ. Стандартизация действий позволяет повысить оперативность реагирования на инциденты ИБ, а также минимизировать влияние человеческого фактора на эффективность процессов ИБ. Еще одним преимуществом регламентации является то, что регламентированный процесс ИБ легче контролируется (можно провести внутренний аудит ИБ). А наличие информации о достигнутых результатах (в том числе промежуточных) и о ходе процесса позволяет принимать обоснованные управленческие решения. Регламентация дает и косвенные положительные эффекты: появляется возможность тиражирования и масштабирования процессов; в процессы легче вовлечь необходимый персонал и обучить его. Кроме того, организация демонстрирует прозрачность своей работы при проведении внешнего аудита и проверки. === Должностные инструкции специалистов в сфере IT === Составление и уточнение должностных инструкций всех специалистов предприятия, занимающихся разработкой и обслуживанием IT-решений на предприятии. === Должностные инструкции персонала при взаимодействии с IT системами === Составление и уточнение должностных инструкций всех специалистов предприятия, взаимодействующих с информационными системами предприятия как пользователи. === Проектирование и документирование бизнес-процессов === Результат выполнения работы – подробная документация с описанием всех бизнес-процессов предприятия (как имеющихся, так и требующих доработки или создания). === Написание технических заданий для внедрения новых бизнес-процессов в деятельность организации === Результат выполнения работы – подробные технические задания на разработку и доработку систем для обеспечения функционирования спроектированных бизнес-процессов.