 |
Что получает заказчик в результате аудита?
|
|
|
|
Московский Государственный Университет
Приборостроения и Информатики
_______________________________________________________________
_______________ /М. С. Крюков/
"___" ____________ 20____г.
Курсовая работа
по дисциплине «Безопасность сетей ЭВМ» на тему
«Разработка методики подготовки экспертного заключения по аудиту сетевой подсистемы компании»
| Студент: | Жуков П.С. |
| Кафедра: | ИТ-5 |
| Специальность: | 090900.1102 |
Москва 2014 г.
Оглавление:
1. Введение.
2. Методики аудита.
3. Что получает заказчик в результате аудита?
4. Кто является заказчиком аудита?
5. Почему аудит лучше заказывать внешней организации?
6. Проведения аудита телекоммуникационной инфраструктуры.
7. Порядок проведения аудита.
8. Технические средства аудита.
9. Методика аудита, предлагаемая компанией Cisco Systems.
10. Методики аудита, предлагаемые компанией Avaya.
11. Заключение.
Введение.
В последнее время структура компаний и их бизнес-процессы становятся все более сложными, соответственно, усложняются и технологии управления ими. Передачу и обработку информации уже невозможно представить без развитой информационной инфраструктуры.
Информационная инфраструктура (ИИ) — комплекс структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. ИИ включает совокупность информационных центров, банков данных и знаний, систем связи; обеспечивает доступ потребителей к информационным ресурсам.
Когда уровень информационных технологий перестает соответствовать потребностям бизнеса, возникают такие проблемы как несвоевременное получение, неадекватность или неудобная организация информации, необходимой для выработки управленческих решений.
Особая ситуация складывается в тех компаниях, основным бизнесом которых является передача информации — операторах связи, информационных агентствах. Здесь развитая информационная инфраструктура является важнейшим конкурентным преимуществом, а ее неадекватное функционирование может полностью уничтожить бизнес компании.
|
|
|
Для оценки состояния информационной инфраструктуры компании и выработки методов достижения соответствия этого состояния потребностям бизнеса служит аудит информационной инфраструктуры.
Периодический аудит информационной инфраструктуры дает представление о соответствии ее состояния и развития конкретным частным задачам и целям всего бизнеса. Кроме того, аудит помогает оценить состояние отдельных элементов инфраструктуры и связанные с ними риски, а значит, позволяет определить, какие элементы информационной инфраструктуры должны совершенствоваться в первую очередь. К настоящему времени разработаны различные методики аудита информационной инфраструктуры. Большинство из них ориентированы на оценку соответствия потребностей бизнеса предприятия состоянию его информационной инфраструктуры (см., например, методику COBIT на www.isaca.org).
Основным недостатком существующих стандартов является неполная детальность описания работ по аудиту отдельных элементов информационной инфраструктуры. Эти пробелы восполняются производителями оборудования, консалтинговыми компаниями и системными интеграторами.
Методики аудита
Производители сетевого и телекоммуникационного оборудования разрабатывают методики, позволяющие оценить готовность сети заказчика к внедрению тех или иных продуктов или комплексных решений, предлагаемых этими производителями. Например, компаниями Cisco Systems и Avaya Communications созданы методики, направленные на оценку готовности сети к внедрению систем IP-телефонии (см. врезки).
|
|
|
Крупные консалтинговые компании (например, входящие в так называемую "большую четверку") предлагают ИТ-аудит, позволяющий оценить риски, связанные с информационной инфраструктурой: недостаточной надежностью, безопасностью или функциональностью информационной инфраструктуры в целом либо ее отдельных элементов.
Системные интеграторы предлагают аудит, направленный на оценку качества сети, выявление проблем ее функционирования и выработку рекомендаций, обеспечивающих устранение этих проблем.
Что получает заказчик в результате аудита?
Кратко сформулировать цели аудита телекоммуникационной инфраструктуры можно следующим образом.
- Оценка качества ТИ. Заказчику предоставляются данные о соответствии ТИ его деловым потребностям, решаемым задачам, стандартам (межгосударственным, национальным, международным и внутрикорпоративным), рекомендациям производителей оборудования и общим принципам создания аналогичных систем. Может быть оценена интегральная стоимость ТИ и совокупная стоимость владения.
- Инвентаризация и документирование ТИ. Заказчик получает комплект эксплуатационной документации, облегчающей решение задач текущей эксплуатации (добавление и удаление пользователей, внедрение новых приложений и т. п.), а также поиск и устранение проблем.
О необходимости аудита ТИ заставляют задуматься конкретные проблемы, препятствующие повседневной деятельности персонала. Например, крайне медленная загрузка приложений, нужных для работы, или файлов с данными. Частые сбои в работе ТИ создают угрозу своевременному выполнению каких- либо важных текущих задач (это может быть сдача баланса бухгалтерией или проведение важных платежей).
Многие сети, развернутые в настоящее время во многих компаниях, развивались достаточно стихийно. Оборудование закупалось для удовлетворения сиюминутных потребностей, без какой-либо долговременной стратегии. Персонал, обслуживающий ТИ, менялся, при этом документирование конфигурации ТИ не проводилось или не поддерживалась актуальность документации. В результате потенциальный заказчик аудита оказался владельцем большой, сложной, дорогой, но недостаточно надежной и производительной сети, к тому же и плохо управляемой. Желание навести здесь порядок становится вполне понятным. Например, при вступлении в должность нового руководителя службы информационных технологий аудит часто становится для него единственной возможностью получить адекватное представление о своей области ответственности.
|
|
|
Если компания пользуется услугами ИТ-аутсорсинга (например, заключает контракт на сервисное обслуживание сети в сторонней организации), то аудит, проведенный перед заключением контракта, даст обслуживающей организации четкое представление об объеме работ и позволит оценить риски, связанные с обслуживанием сети. Аудит поможет оптимально сформировать условия договора, выявить критически важные элементы ТИ, обслуживание которых должно быть приоритетным, определить необходимые режимы обслуживания (24x7, 8x5 и т. п.). При отработке сервисных запросов результаты аудита помогают ускорить выявление источника проблемы и, в конечном итоге, снизить время неработоспособности ТИ или элементов ТИ.
Периодическое проведение аудитов в ходе исполнения длительного контракта по обслуживанию сложной развивающейся сети позволит сохранять актуальность представлений о ней как у обслуживающей организации, так и у заказчика, что также способствует повышению качества обслуживания. Если для обслуживания сети предусмотрена сложная структура с разделением полномочий, то аудит может упростить управление такой структурой, сделав ее более прозрачной, выявив уровни ответственности и границы разделения полномочий. Перед глубокой модернизацией большой сложной ТИ целесообразно провести ее аудит. Это поможет оптимально спланировать модернизацию, сохранить инвестиции, обеспечить гладкое внедрение новых технологий. Результаты аудита в этом случае станут частью исходных данных для концепции, эскизного проекта, технического проекта модернизации ТИ.
Аудит может быть полезен и в ситуации, когда возникает необходимость внедрить новые сетевые приложения, пользуясь существующей ТИ (без ее изменений или с минимальными изменениями). Примерами таких приложений могут служить системы управления предприятием (SAP/R3, Oracle Applications), системы передачи мультимедийной информации (IP-телефония, видеоконференцсвязь) и т. п. В этом случае аудит обеспечит уверенность в достаточности ресурсов сети для работы новых приложений.
|
|
|
Иногда разработчики или подрядчики по внедрению каких-либо информационных систем требуют предварительных оценок параметров ТИ "в цифрах". Например, для внедрения IP-телефонии важно знать реально достижимую пропускную способность каналов связи и максимальную величину задержки прохождения IP-пакетов. Ответы на подобные вопросы тоже может дать аудит ТИ.
Кто является заказчиком аудита?
Как правило, заказчиком аудита ТИ является достаточно крупная компания с развитой телекоммуникационной инфраструктурой. В такой организации работает большое количество сотрудников, все используют ПК с сетевыми приложениями (почта, Интернет, IP-телефония, средства групповой работы, такие как Microsoft Exchange или Lotus Domino/Notes, ERP-системы, такие как SAP/R3). Наличие отделений или филиалов (возможно, расположенных в разных городах) усложняет структуру сети и создает дополнительные проблемы при эксплуатации. Их решению также может способствовать проведение аудита.
Совершенно необходимым становится аудит ТИ для компаний, чей бизнес напрямую зависит от бесперебойного функционирования ТИ. Примерами организаций, обладающих перечисленными признаками, можно назвать крупные государственные учреждения, операторы связи, крупные банки. Особым заказчиком работ по аудиту являются фирмы-разработчики прикладного ПО и подрядчики, внедряющие прикладное ПО. Многие разработчики прикладных информационных систем, использующих сеть, никак не учитывают возможности современных ТИ и не вырабатывают формализованные критерии оценки ТИ на применимость совместно с разрабатываемой системой. Это приводит к проблемам при внедрении таких ИС или при их расширении. Чтобы избежать проблем, разработчику на этапе разработки ПО целесообразно заказать аудит приложения для выявления его потребностей в сетевых ресурсах. Подрядчику по внедрению прикладного ПО весьма полезно заказать аудит ТИ заказчика уже при сборе исходных данных.
Аудит необходим и в ситуации конфликта между заказчиком и подрядчиком по внедрению прикладной системы, поскольку помогает выяснить, является ли ТИ источником проблем при внедрении приложения. В результате проведения аудита разработчик ИС получит данные, на основании которых сможет сформировать требования к ТИ.
|
|
|
С одной стороны, это снизит риски проблем при внедрении телекоммуникационной инфраструктуры, с другой — стимулирует заказчика к приведению ТИ в состояние, при котором указанные требования будут удовлетворяться. Выполнить данную работу можно как силами подрядчика, проводившего аудит, так и силами самого заказчика.
|
|
|
