Коммерческое предложение по аудиту информационных систем и разработке

Аудит

ИТ-аудит или аудит информационных систем — это изучение и экспертная оценка всей ИТ-инфраструктуры компании и отдельных ее частей. Не рекомендуется проводить внутренними сотрудниками предприятия. Основные цели аудита информационной системы предприятия:

оценить эффективность расходуемого на ИТ-задачи бюджета (включает в себя анализ затрат на зарплаты специалистов, капитальных затрат на оборудование (в год), переменных затрат на лицензии, подписки в сервисах, хостинги, сервера и т.д.;
оценить эффективность работы ИТ-отдела, а также общий уровень подготовки кадров;
определить места в инфраструктуре и бизнес-процессах, где ИТ-системы используются недостаточно эффективно, выработать рекомендации по повышению эффективности, перераспределению нагрузки;
оценить работу систем и процессов, которые обеспечивают безопасность данных компании;
оценить риски для информационных активов компании, определить методы минимизации этих рисков;
обеспечить, чтобы все связанные с ИТ-системой процессы соответствовали законам и стандартам отрасли;
инвентаризация оборудования, обследование элементов IT-инфраструктуры, оценка надёжности программного и антивирусного обеспечения, оценка возможных рисков (уязвимости, потенциально сбойные участки, неоптимальное использование вычислительных ресурсов и т.п.) и проблемных частей в процессе эксплуатации;
разработать дорожную карту устранения проблем.

Результатом проведения аудита является предоставление итогового отчёта с результатами обследования, найденными проблемами, способам их решения, затратам и предполагаемой выгоде по результатам проведения всех необходимых изменений.

Стоимость

Стоимость проверки определяется заранее, до начала работ, на этапе планирования аудита и зависит от объема работ в часах. Стоимость одного часа работы специалиста составляет 20 000 рублей. Глубина проводимого исследования, а, значит, и степень соответствия практической значимости подобранных решений поставленным целям напрямую зависит от объема проведенных работ.

Количество часов, необходимых для осуществлении работ, зависит от количества задействованных помещений, количества сотрудников, количества информационных систем.

В стоимость одного часа специалиста не включаются командировочные расходы до места проведения аудита. Примерная продолжительность и ориентировочная стоимость работ представлены в таблице ниже.

Наименование работ	Примерная длительность проведения работ	Стоимость (руб)
Экспресс-обследование	месяц	500 000 - 1 500 000
Бизнес-процессы	от полугода	от 3 000 000
Информационная безопасность	от полугода	от 3 000 000
Пользовательские интерфейсы	от месяца	от 500 000
Квалификация сотрудников при использовании IT-систем	от месяца на одно подразделение	от 500 000
Финансовый аудит IT-систем	от месяца	от 500 000
Аудит по заданному критерию	от месяца	от 1 000 000

Экспресс-обследование

В ходе обследования собираются и структурируются общие данные о текущем состоянии ИТ-инфраструктуры. Отчет, в котором зафиксировано общее описание ИТ-инфраструктуры как она есть на данный момент, чаще всего с поверхностным анализом и набором минимальных рекомендаций. Выделяются все основные информационные системы предприятия. На основе экспресс-обследования можно составить план глубокого обследования предприятия.

Бизнес-процессы

Проводится реверс-инжиниринг бизнес-процессов. Проводится анализ ИТ-инфраструктуры для каждого из выбранных бизнес-процессов — аудит компьютерной техники, ПО, аудит ИТ персонала, задействованного в бизнес-процессе, аудит ит-процессов. Оценивается, как улучшить отдельные элементы ИТ-структуры, задействованные в этом бизнес-процессе, как привести их к соответствию стандартам и лучшим практикам, проводится оценка рисков.

Составляется список IT-процессов, интегрированных в общую структуру бизнес-процессов. Для каждого ИТ-процесса определяются:

роли участников процесса;
метрики процесса;
состав процедур;
ответственные за реализацию процесса.

Информационная безопасность

Оценка работы систем хранения данных и резервного копирования, работа антивирусных программ), оценка работы систем связи (интернет, телефония). Работа пользовательского ПО (серверных, прикладных и пользовательских программ). Техническое состояние оборудования (диагностика компьютеров, систем внутренних коммуникаций и СКС). Проверка отказоустойчивости ИТ-системы, сетевые политики безопасности, разграничение доступа к конфиденциальным данным, защиту системы от взлома извне, защиту от вирусов и спама, систему обработки персональных данных. Проверку персонала на склонность к атакам с использованием социальной инженерии.

Аудит ИТ-безопасности вовремя обнаруживает уязвимости в системе, помогает выявить и оценить риски. Сетевая инфраструктура, используемые программные решения и каналы связи, в том числе сюда может входить анализ работы корпоративной телефонии, почты, мессенджеров по различным критериям.

Инвентаризация серверного и сетевого оборудования, рабочих мест оргтехники, мобильных устройств, установленного программного обеспечения, а также обследование и анализ состояния всего перечисленного. Этот технический аудит позволит понять, какое аппаратное и программное обеспечение сетевой инфраструктуры в наличии, как оно работает, где могут быть потенциальные точки отказа, как устроена и защищена корпоративная сеть, все ли используемое ПО лицензионное и достаточно ли текущего количества лицензий. Проверяется соответствие законодательным нормам, правилам, требованиям государственных регулирующих органов.

Пользовательские интерфейсы, взаимодействие с пользователями

UI/UX аудит юзабилити позволяет выявить сложности интерфейса, отсутствие целевых действий посетителей. Юзабилити дизайна напрямую влияет на посещаемость и продажи, поэтому для повышения функциональности и эффективности юнит-экономики необходим взгляд со стороны. Неотъемлемой частью аудита пользовательских интерфейсов является также выявление и анализ ошибок работы сайта, анализ ошибок на ключевых страницах, в том числе влияющих на ранжирование сайта в поисковых системах, анализ адаптивности на различных устройствах и браузерах.

В ходе аудита пользовательских веб-интерфейсов собираются и изучаются данные из веб-аналитики, оценивается конверсия разных маркетинговых активностей. Оцениваются схемы интеграции web-приложений и ресурсов с внутренними системами компании.

Возможные результаты:

увеличение конверсии без повышения рекламного бюджета;
уменьшение количество ошибок работы сайта;
анализ адаптивности на различных устройствах и браузерах;
повышение конкурентоспособности.

Разрабатываются методики защиты веб-ресурсов, защиты call-центра, оптимизации нагрузки, а со стороны бизнес процессов — может быть построена сквозная аналитика, предложены улучшения на сайте и в рекламных кампаниях. Внедрены новые методы автоматизации — чат-боты, автоматизация распределения чатов, подключен искусственный интеллект для автоматизации обработки типичных запросов.

Квалификация сотрудников при использовании IT-систем

Может оцениваться квалификация сотрудников с точки зрения эффективности и корректности использования имеющихся программных продуктов, например, относительно скорости получения результата, качества результата или безопасности процесса.

Финансовый аудит IT-систем

Оценка финансовых затрат при использовании тех или иных информационных систем или решений.

Аудит по иным критериям

Собираются и анализируются сведения о конкретной ИТ-системе только в разрезе какого-либо выбранного критерия:

удобство использования;
производительность;
адаптируемость;
масштабируемость;
отказоустойчивость;
стоимость поддержки и развития.

Результат – с оценкой соответствия или несоответствия работы ИТ-системы выбранному критерию. В случае несоответствия анализируются причины этого и даются рекомендации по улучшению.

Разработка

Стоимость

Стоимость разработки определяется заранее, до начала работ, на этапе планирования разработки или на этапе аудита и зависит от объема работ в часах. Стоимость одного часа работы специалиста варьируется в зависимости от вида произведенных работ. Количество часов зависит от сложности реализуемой системы и объема создаваемой документации.

В стоимость одного часа специалиста не включаются командировочные расходы до места проведения работ в случае, если работы не представляется возможным провести удаленно.

Наименование	Примерная длительность	Примерная стоимость (руб)
Разработка политики безопасности	От 2 месяцев при условии проведенного аудита	По результатам обследования действующих документов
Разработка регламентов функционирования систем	От месяца на систему при условии проведенного аудита	По результатам обследования действующих документов
Разработка должностных инструкций специалистов в сфере IT	От месяца на подразделение	По результатам обследования действующих документов
Разработка должностных инструкций персонала при взаимодействии с IT системами	От месяца на подразделение	По результатам обследования действующих документов
Проектирование и документирование бизнес-процессов	От месяца на документ при условии проведенного аудита	По результатам обследования
Написание технических заданий для внедрения новых бизнес-процессов в деятельность организации	От месяца на документ при условии проведенного аудита	По результатам обследования

Политика безопасности

Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации. Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации.

Регламенты функционирования систем для обеспечения информационной безопасности

Регламент представляет собой свод правил принятия решений исполнителями в определенных ситуациях. Регламенты могут быть двух типов:

верхнего уровня – описывают общие принципы, цели и границы принятия решений;
нижнего уровня – устанавливают варианты готовых решений (совокупности определенных действий).

Внедрение типовых сценариев снижает нагрузку на исполнителя и способствует концентрации внимания на нештатных ситуациях в ИБ. Стандартизация действий позволяет повысить оперативность реагирования на инциденты ИБ, а также минимизировать влияние человеческого фактора на эффективность процессов ИБ.

Еще одним преимуществом регламентации является то, что регламентированный процесс ИБ легче контролируется (можно провести внутренний аудит ИБ). А наличие информации о достигнутых результатах (в том числе промежуточных) и о ходе процесса позволяет принимать обоснованные управленческие решения.

Регламентация дает и косвенные положительные эффекты: появляется возможность тиражирования и масштабирования процессов; в процессы легче вовлечь необходимый персонал и обучить его. Кроме того, организация демонстрирует прозрачность своей работы при проведении внешнего аудита и проверки.

Должностные инструкции специалистов в сфере IT

Составление и уточнение должностных инструкций всех специалистов предприятия, занимающихся разработкой и обслуживанием IT-решений на предприятии.

Должностные инструкции персонала при взаимодействии с IT системами

Составление и уточнение должностных инструкций всех специалистов предприятия, взаимодействующих с информационными системами предприятия как пользователи.

Проектирование и документирование бизнес-процессов

Результат выполнения работы – подробная документация с описанием всех бизнес-процессов предприятия (как имеющихся, так и требующих доработки или создания).

Написание технических заданий для внедрения новых бизнес-процессов в деятельность организации

Результат выполнения работы – подробные технические задания на разработку и доработку систем для обеспечения функционирования спроектированных бизнес-процессов.