Пропущенный шанс: почему в России игнорируется аудит ИТ-инфраструктуры и как это наносит ущерб

My English Blogs

  • Data Recovery Techniques

    Free Stellar Data Recovery

    Recovers lost or deleted data, photos, videos, PPT, PDF, DOCX & many more
    from recycle bin, HDDs, SSDs & any other external storage media.

    – Recove…

  • Collection of Web Freebies

    PhotoRoom – Magic photo studio on the go

    PhotoRoom is the all-in-one app that edits, designs and optimizes great
    visual content that helps you run your business from your phone. Remove or
    era…

  • All about Menopause: Well-being and Symptoms Relief

    Welcome to the Goddess Phase: Menopause

    When you think of menopause, you may picture a woman ripping off layers of
    clothing mid-hot flash or power-walking the neighborhood wearing ankle
    weig…

  • Alzheimer’s disease: Causes, Symptoms, Treatment

    Limbic-predominant Dementia (LATE-NC)

    Limbic-predominant age-related TDP-43 encephalopathy (or LATE-NC) is the
    most recently identified form of dementia, noted for its close similarity
    to …

  • Clinical Depression: Symptoms and Treatment

    Paganism views on depression

    Paganism is not a single, centralized religion but rather an umbrella term
    that encompasses a wide variety of nature-based, polytheistic, and
    animisti…

  • Interpersonal Communication, Relations, and Compatibility

    Compatibility in small work groups

    Compatibility in small work groups is a crucial factor for the group’s
    success and productivity. When team members are compatible, they can
    collaborat…

  • Pancreatic Cancer: Risk Factors and Prevention

    Huachansu Toad Venom in Pancreatic Cancer Treatment

    *For decades, the traditional Chinese medicine preparation, Huachansu
    Capsule (HCS), has been applied to a variety of solid tumors and leukemias
    with …

  • Andropause: Dealing With Male Menopause

    History of Andropause Research

    Andropause, also known as male menopause or late-onset hypogonadism, refers
    to the age-related decline in testosterone levels in men, typically
    occurr…

  • Should You Quit Tobacco Smoking?

    Cannabis therapy to quit smoking

    Cannabis therapy, specifically using products containing CBD (cannabidiol)
    or THC (tetrahydrocannabinol), has been explored as a potential aid to quit …

  • Best Hoaxes and Pranks

    Sexist Joke with USA Historical Significance

    Susanna “Dora” Salter was doing her laundry when she got the news: She had
    just been elected mayor of Argonia, Kansas. Just like that, the 29-year-old …

  • Blogging for Good in the Modern World

    Simplified Content Generation

    *What is Simplified?*

    Simplified is an AI that can generate content for you. This software does
    it all: produce content, communicate with your team…

  • Free Utilities Evaluation and Reviews

    Thunderbird – Free Alternative for MS Outlook

  • Popular Google Searches

    Eastern philosophy says there is no “self.” Science agrees

    *“Why are you unhappy? Because 99.9 percent of everything you think, and of
    everything you do, is for yourself — and there isn’t one.”*

    The brain-powe…

Показать 5

Показать все

Сравнительный анализ по данным ФНС

Организация: ООО “АУДИТОР-ИТ”
ИНН: 7703622061 (Москва)
Отрасль: 69.20 Деятельность по оказанию услуг в области бухгалтерского учета, по проведению финансового аудита, по налоговому консультированию (Микропредприятие)
Организационно-правовая форма: 12300 – Общества с ограниченной ответственностью
Выручка за 2022 год: 2,05 млн. руб. (-54.5% за год)
Активы на 31 декабря 2022: 1,67 млн. руб. (+7.5% за год)
Чистые активы на 31 декабря 2022: 974 тыс. руб. (+5.8% за год)
Чистая прибыль за 2022 год: 53 тыс. руб. (-91% за год)
Среднесписочная численности работников по данным ФНС за 2022 год: 3 чел.
Является аудиторской фирмой (численность аудиторов: 4 чел.)
Организация использует специальный налоговый режим: УСН
Задолженность по налогам и сборам на 01.10.2021: 217 руб., в том числе:
  • Страховые и другие взносы на обязательное пенсионное страхование, зачисляемые в Пенсионный фонд Российской Федерации

    Пеня – 199 руб.

  • Страховые взносы на обязательное медицинское страхование работающего населения, зачисляемые в бюджет Федерального фонда обязательного медицинского страхования

    Пеня – 14 руб.

  • Страховые взносы на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством

    Пеня – 4 руб.

Дополнительные данные ФНС (2022 год)

Уплачено налогов и сборов за 2022 г., всего 292 тыс. руб., в том числе:

  • Страховые и другие взносы на обязательное пенсионное страхование, зачисляемые в Пенсионный фонд Российской Федерации 152 тыс. руб.
  • Налог, взимаемый в связи с применением упрощенной системы налогообложения 73,2 тыс. руб.
  • Страховые взносы на обязательное медицинское страхование работающего населения, зачисляемые в бюджет Федерального фонда обязательного медицинского страхования 56,2 тыс. руб.
  • Страховые взносы на обязательное социальное страхование на случай временной нетрудоспособности и в связи с материнством 10,7 тыс. руб.
  • Налог на прибыль руб.
  • Задолженность и перерасчеты по ОТМЕНЕННЫМ НАЛОГАМ и сборам и иным обязательным платежам (кроме ЕСН, страх. Взносов) руб.
  • НЕНАЛОГОВЫЕ ДОХОДЫ, администрируемые налоговыми органами руб.

Как выбирают аудитора

В ситуациях, подобных описанной выше, первая мысль, которая возникает у руководства — провести аудит. На рынке аудиторских услуг представлены 3 типа сервисных компаний, которые отличаются ценниками.

  • Представители «большой четверки»: Deloitte Touche Tohmatsu, PricewaterhouseCoopers, Ernst & Young, KPMG. Аудиты ИТ-систем здесь стоят соответствующих денег. Эти компании, как правило, используют подрядчиков, потому что ИТ — не основное их направление. Главное преимущество в том, что они говорят с бизнесом на одном языке. Впрочем, нанимаемые подрядчики здесь подобающего уровня, с международными сертификатами типа CISA и COBIT.
  • Компании, для которых ИТ, в том числе аудит ИТ-систем, — это основное направление. У этих специалистов зачастую нет международных сертификатов, но зато есть многолетний профильный опыт. С бизнесом им, возможно, сложнее найти общий язык, но они знают, как должна работать ИТ-инфраструктура и почему. У таких компаний цены на аудит могут начинаться с 200 тыс. руб. и доходить до 1 млн и выше, в зависимости от объема работы.
  • Компании, которые обещают проведение аудита (на сайте) за 30 тыс. руб. Либо компании, которые пытаются привлечь клиента низкой стоимостью аудита, рассчитывая впоследствии заключить с ним контракт на обслуживание. А затем, за счет повышения ежемесячных рекуррентных платежей, окупить для себя стоимость проведения аудита.

NetWrix USB Blocker

NetWrix USB Blocker обеспечивает централизованный контроль доступа, предотвращая несанкционированное использование сменных носителей, подключаемых к USB-портам компьютера (карты памяти, внешние жесткие диски, устройства iPod и др.). Независимо от возможностей антивируса и межсетевого экрана, контроль доступа через USB-порты — важный аспект защиты компьютеров сети. Блокировка USB-устройств защищает сеть от вредоносного ПО, предотвращает кражу секретной корпоративной информации

Решение основывается на встроенных механизмах групповых политик и легко интегрируется в существующую среду. Одним из преимуществ программы является ее простота в установке и настройке.

Скачать: netwrix.com/ru/usb_blocker_freeware.html

NetWrix Network Infrastructure Change Reporter

Network Infrastructure Change Reporter — инструмент для аудита и составления отчетов по сетевым устройствам, отслеживающий изменения для всех сетевых устройств и их параметров. Решение автоматически находит новые устройства в заданных IP-диапазонах и контролирует изменения в их настройках — модификации в таблицах IP-маршрутов, правилах межсетевых экранов, настройках безопасности, параметрах протоколов. С помощью решения Network Configuration Change Reporter сетевые администраторы могут автоматически фиксировать все до единого изменения в управляемых устройствах, а также распознать неуправляемые и неконтролируемые устройства. Данные аудита изменений могут использоваться для анализа безопасности, решения проблем и аудита соответствия требованиям информационной безопасности.

Скачать: netwrix.com/ru/network_device_audit.html

Для чего нужен аудит

Один из самых распространенных поводов для проведения аудита — когда руководство теряет доверие к ИТ-отделу. Обычно сценарий такой: в штат набирают ИТ-специалистов, формируют отдел, выделяют деньги на обслуживание железа, сервисов и пр. Затем количество задач у ИТ-отдела начинает расти, иногда в геометрической прогрессии. При этом айтишники не всегда могут внятно объяснить текущее положение дел. Часто ИТ-отдел начинает буксовать, накапливается legacy, технический долг — и в итоге просит увеличить финансирование.

Но для бизнеса любой расход — это инвестиция. Если деньги выделяются, причем в требуемом объеме, но ситуация особо не меняется — более того, ИТ-отдел просит еще денег, — здравомыслящему руководителю будет понятно, что наращивание финансирования ни к чему не приведет. В такие моменты возникает напряженность между ИТ и руководством, которое часто может доходить до полного недоверия.

Особый случай — когда штатные айтишники пытаются «залочить» на себе часть сервисов, компетенций и ответственности, не ведут никакой документации, доступы и пароли хранят непонятно где, в непонятном виде. То есть сотрудники повышают риски, которые вызовет их увольнение. В таких ситуациях MSP всю эту информацию приходится получать самостоятельно, что повышает вероятность простоя сервисов и, как следствие, убытков.

SharePoint Change Reporter

SharePoint Change Reporter: Программа ежедневно направляет автоматические отчеты, в которых отражены все изменения в конфигурации SharePoint, оповещает администраторов SharePoint о том, что изменилось, и фиксирует значения «до» и «после» по каждому изменению.

Скачать: netwrix.com/sharepoint_auditing.html

Не нашли того, что подошло именно Вам и Вашей компании?

Посмотрите полный список всех программ, которые предлагает NetWrix и скачивайте как триальные, так и бесплатные версии: netwrix.com/ru/products.html

Будем рады, если они помогут Вам в Вашей работе!

Опубликовано в рубрике Администрирование
Метки: active directory

NetWrix Inactive Users Tracker

Inactive Users Tracker автоматизирует управление неактивными учетными записями пользователей. Периодически проверяя все учетные записи в указанных доменах, программа сообщает обо всех учетных записях, бездействующих в течение определенного количества дней.

Основные функции:

  • Проверка всех пользователей и предоставление отчетов о неактивных в течение заданного количества дней учетных записях.
  • Автоматическое отключение неактивных учетных записей пользователей путем блокировки, установки случайного пароля, перемещения в другое подразделение или полного удаления таких учетных записей.
  • Отправка уведомлений менеджерам о неактивных учетных записях подчиненных.
  • Возможность отправки отчетов ИТ-аудиторам в соответствии с нормативными документами (SOX, HIPAA, SAS-70 и пр.).

Чтобы определить отсутствие активности, для каждой пользовательской учетной записи инструмент проверяет атрибуты “lastLogon” и “lastLogonTimestamp”, отображающие последнюю аутентификацию пользователя определенным контроллером домена. AD не копирует эти атрибуты, поэтому для каждого контроллера домена значения будут разными. Inactive Users Tracker корректно решает эту проблему, отправляя запросы всем контроллерам в домене и ориентируясь на самое позднее время входа в систему (“true last logon”).

Ссылка на продукт: netwrix.com/inactive_users_tracking.html

Non-owner Mailbox Access Reporter

Non-owner Mailbox Access Reporter: БЕСПЛАТНЫЙ инструмент NetWrix Non-owner Mailbox Access Reporter фиксирует все факты доступа администраторов и других пользователей к чужим почтовым ящикам.Кто получал доступ и к каким почтовым ящикам за последний день, месяц и год — решение предоставит точные данные, позволяя распознать несанкционированные действия со стороны пользователей с избыточными или неверно заданными правами. Потенциально подобная активность может быть связана с хищением конфиденциальной информации из почтовых ящиков директоров и руководителей компании. Аудит доступа к чужим почтовым ящикам с составлением отчетов — гарантия соблюдения корпоративных политик и требований информационной безопасности.

Скачать: netwrix.com/mailbox_access_auditing.html

Виды ИТ-аудита И результаты «на выходе» по каждому из них

Итак, ИТ-аудит – это всесторонний анализ ИТ-инфраструктуры компании. Однако формы и виды аудита сильно отличаются друг от друга в зависимости от поставленных задач.

Аудит по заданному критерию. Проводится такой аудит следующим образом: владелец бизнеса выдвигает определенный критерий, а эксперты собирают сведения об ИТ-инфраструктуре на его основе. Таким образом ИТ-инфраструктуру можно проинспектировать на отказоустойчивость, быстродействие, эффективность, безопасность и по другим критериям. На выходе заказчик аудита получает отчет с выводами, насколько инфраструктура соответствует критерию проверки. Если аудитор выявляет те или иные несоответствия, им будут даны рекомендации по их устранению.

Аудит по выделенному направлению. В этом варианте ИТ-аудита эксперты анализируют только отдельный сегмент инфраструктуры. Например, работу программного обеспечения, серверного или сетевого оборудования, бухгалтерии, каналов связи и телефонии, веб-сайта, интернет-маркетинга и любых других информационных процессов, имеющих ключевое воздействие на бизнес. Результатом такого аудита служит отчет с итогами исследования соответствующего сегмента. В этом отчете содержатся описание действий, которые помогут владельцу бизнеса добиться наилучших результатов, экспертная оценка рисков и рекомендации по улучшению ИТ-процессов и приведению их к соответствию действующим стандартам.

Экспресс-аудит. В процессе экспресс-аудита эксперты собирают и структурируют общие сведения об актуальном состоянии ИТ-инфраструктуры. В результате владелец бизнеса получит подробный отчет, который опционально может быть дополнен краткими рекомендациями по улучшению инфраструктуры и общими аналитическими выводами.

Комплексное обследование. Этот вариант проведения ИТ-аудита отображает полную картину функционирования ИТ-инфраструктуры компании. Эксперты всесторонне и досконально изучают ИТ-инфраструктуру компании или его подразделения и предоставляют отчет с глубокой аналитикой. В отчете содержится подробная информация о соответствии текущей инфраструктуры потребностям бизнеса, о возможностях ее масштабирования, о наиболее острых проблемах в ее работе. Также в результате такого аудита владелец бизнеса получает рекомендации по повышению отказоустойчивости ИТ-инфраструктуры, ее надежности, эффективности, решения по устранению «узких» мест, а также план стратегического развития.

NetWrix Active Directory Object Restore Wizard

NetWrix AD Object Restore позволяет оперативно восстановить удаленные и модифицированные объекты в службе Active Directory Windows 2003 и 2008 без перезагрузки контроллера домена. Программа не ограничивается обычными функциями объектов tombstone в Active Directory, сохраняет больше информации по сравнению с типовыми объектами AD tombstone и этим превосходит решения, основанные на стандартных интерфейсах Microsoft Tombstone Reanimation. Ни одно решение не сможет восстановить модифицированные и некорректно добавленные объекты, ориентируясь исключительно на tombstone.

Скачать: netwrix.com/ru/active_directory_recovery_software.html

РАЗВИТИЕ КОМПЕТЕНЦИЙ КОМАНДЫ ВНУТРЕННЕГО АУДИТА

Важность профессионального развития сотрудников подчеркивалась всеми спикерами конференции. Александр Московкин, директор департамента внутреннего аудита компании Sitronics Group, рассказал, на чем стоит сфокусироваться в этом вопросе

Руководителю внутреннего аудита для определения направления профессионального развития команды нужно учитывать общие аудиторские навыки, знание отрасли и бизнеса компании, специфичные для функции задачи. При этом развитие профессионализма должно быть направлено на команду в целом. Здесь следует руководствоваться принципами баланса между привлечением новых игроков, обладающих необходимыми знанием и опытом, и развитием имеющихся членов команды, оценкой команды (формальной и неформальной), составленными планами развития, а для обучения, требующего финансовых затрат, необходим «спонсор»: совет директоров или высший менеджер, которые осознали полезность внутреннего аудита и готовы согласовать финансирование профессионального развития функции. Александр Московкин отметил, что степень формализации и детализации оценки команды зависит от ее численности и применяемой в СВА методологии: чем малочисленнее функция аудита, тем более многогранными знаниями и навыками должен обладать каждый из аудиторов и тем менее формальными будут оценка и планы развития. Для достаточно крупных функций аудита остро стоит вопрос индивидуализации планов развития каждого работника, чтобы не попасть в ситуацию наличия работников с единым профилем компетенции, которые взаимозаменяемы, но не синергичны.

При необходимости поиска источника средств на обучение работников СВА внутри компании — поиске «спонсора» — руководитель ВА попадает в некий парадокс: чтобы обеспечить расходы компании на профессиональное развитие СВА, он уже должен иметь профессионально развитую команду, чтобы обеспечить ее высокую эффективность. В противном случае получить средства на развитие и убедить в его необходимости не получится. Поэтому на ранних этапах жизненного цикла службы внутреннего аудита, да и для большинства функций в изменившихся экономических условиях следует задуматься о профессиональном развитии, не требующем значительных расходов. Сюда можно отнести, например, самообразование аудиторов, развитие методологии функции. Также одним из способов повышения профессионализма служб, не требующих финансовых затрат, может являться наставничество.

Московкин Александр, директор департамента внутреннего аудита компании Sitronics Group

В продолжение темы Леонид Душатин, директор департамента внутреннего аудита ПАО «Аэрофлот», перечислил инструменты для постоянного развития компетенций команды внутреннего аудита компании:

  1. карта компетенций, в которой установлены требования к уровню владения компетенциями в разрезе должностей: управленческие, профессиональные, корпоративные;
  2. получение профессиональных сертификатов и прохождение программ обучения;
  3. участие в профессиональных конкурсах;
  4. оценка по результатам каждого аудита, для которой используются опросные листы и анкеты;
  5. институт наставничества (практика шефства над новыми сотрудниками), по результатам которого формируется отчет с дальнейшими рекомендациями по улучшению отдельных компетенций внутреннего аудитора;
  6. составление индивидуальных планов развития, в которых устанавливаются цели на очередной год, планируются внутренние обучающие мероприятия и самостоятельная теоретическая подготовка для улучшения имеющихся компетенций и получения профессиональных сертификатов.

Душатин Леонид, директор департамента внутреннего аудита ПАО «Аэрофлот»

NetWrix Password Expiration Notifier

NetWrix Password Expiration Notifier предназначен для автоматического напоминания о смене пароля для всех пользователей Active Directory, в том числе работающих удаленно. Программа периодически проверяет всех пользователей заданного подразделения либо домена AD, находит тех, у кого срок действия пароля истекает через определенное число дней, и рассылает им по электронной почте настраиваемые уведомления.

Итоговые отчеты направляются по электронной почте системным администраторам (посмотреть пример отчета). Таким образом, с помощью данного продукта администраторы в проактивном режиме решают проблемы с истекающими сроками действия паролей для конечных пользователей и сервисных учетных записей.

Дополнительная функция Plan & Test позволяет проверить конфигурацию и узнать, сколько пользователей будет затронуто при запланированных изменениях в политике паролей. Для этого не придется ни отвлекать пользователей, ни менять настройки AD.

Скачать: netwrix.com/ru/password_change_reminder.html

О методике анализа

Выше приведен сравнительный анализ финансового положения и результатов деятельности организации.
В качестве базы для сравнения взята официальная бухгалтерская отчетность организаций Российской Федерации за 2021,
представленная в базе данных ФНС (2.2 млн. организаций).
Сравнение выполняется по 9 ключевым финансовым коэффициентам (см. таблицу выше).
Сравнение финансовых коэффициентов организации производится с медианным значением показателей всех организаций РФ и организаций в рамках отрасли,
а также с квартилями данных значений. В зависимости от попадания каждого значения в квартиль присваивается
балл от -2 до +2 (-2 – 1-й квартиль, -1 – 2-й квартиль, +1 – 3-й квартиль; +2 – 4-й квартиль;
0 – значение отклоняется от медианы не более чем на 5% разницы между медианой и квартилем, в который попало значение показателя).
Для формирования вывода по результатам анализа баллы обобщаются с равным весом каждого показателя,
в итоге также получается оценка от -2 до +2:

значительно лучше (+1 – +2вкл)
лучше (от 0.11 до +1вкл)
примерно соответствует (от -0.11вкл до +0.11вкл)
хуже (от -1вкл до -0.11)
значительно хуже (от -2вкл до -1)

Изменение за год вычисляется путем сравнения итогового балла финансового состояния в рамках отрасли за текущий год с баллом за предыдущий год.
Результат сравнения может быть следующим:

значительно улучшилось (положительное изменение более чем на 1 балл).
улучшилось (положительное изменение менее чем 1 балл);
не изменилось (балл не изменился или изменился незначительно, не более чем на 0,11);
ухудшилось (ухудшение за год менее чем на 1 балл);
значительно ухудшилось (ухудшение за год более чем на 1 балл);

Источник исходных данных: При анализе использованы официальные данные Росстата и ФНС,
публикуемые в соответствии с законодательством Российской Федерации. Если вам доступен оригинал бухгалтерской отчетности,
рекомендуем сверить его с отчетностью ООО “АУДИТОР-ИТ” по данным ФНС, чтобы исключить опечатки и неточности возможные при занесении отчетности в электронную базу налогового ведомства.

Нужен официальный отчет? Если вам требуется письменное заключение по результатам сравнительного анализа,
пишите нам, мы подготовим детальный отчет аудиторской фирмы (услугу оказывают аттестованные аудиторы на платной основе).

Внимание: Представленный анализ не свидетельствует о плохом или хорошем финансовом состоянии организации,
а дает его характеристику относительно других российских предприятий. Для детального финансового анализа воспользуйтесь
программой “Ваш финансовый аналитик”
– загрузить данные в программу >>

Password Manager

NetWrix Password Manager дает пользователям сети возможность безопасного управления паролями их учетных записей без участия системного администратора. Это позволяет организациям внедрять жесткую политику паролей в средах Active Directory, добиваться соответствия требованиям информационной безопасности и решать проблемы управления идентификационными данными. Основные функции программы: сброс забытых паролей, поиск и устранение неисправностей блокировки учетных записей, ручная блокировка учетной записи как через защищенный веб-интерфейс, так и через приложение Windows и многое другое. Новая бесплатная версия поддерживает интеграцию с процедурой входа в Windows, Google Apps работает на русском языке.

Скачать: netwrix.com/ru/password_manager.html

С чего всё начинается (и чем обычно заканчивается)

Первая мысль managed-services-провайдера (MSP), который приходит к новому клиенту: «Здесь точно нужен аудит». Мысль возникает чуть реже, чем всегда. Начинаешь объяснять клиенту, что хорошо бы — перед тем как разворачивать сервис — сделать обследование, оценить состояние инфраструктуры. Иначе сейчас всё запустим, а потом всплывет что-нибудь такое, от нас не зависящее — вам же дороже будет. «А зачем? — отвечает обычно клиент. — У нас вроде бы всё нормально работает».

Заказчику бывает трудно втолковать, что аудит помогает понять количество и качество ресурсов и сервисов, которые он использует, после чего — оптимизировать инфраструктуру и, в конечном итоге, начать экономить. Потому что это логично только для провайдера

Ведь даже для сознательных клиентов — сколько бы те не говорили про своевременность, важность и нужность аудита, — как правило, всё заканчивается ничем

NetWrix Group Policy Change Reporter

NetWrix Group Policy Change Reporter делает предельно простой и ясной задачу аудита изменений групповых политик. Программа ежедневно отправляет отчеты с детальной информацией по каждому изменению в конфигурации групповых политик. В отчете отображаются вновь созданные и удаленные объекты групповой политики (GPO), изменения связей GPO, политик аудита и паролей, развертывания ПО, изменение конфигурации пользовательских рабочих станций и других настроек. Программа фиксирует значения до и после изменения, предоставляя информацию о том, КТО, ЧТО и КОГДА изменил.

Основные функции:

  • Аудит всех регулярных задач управления групповыми политиками и отчетность;
  • Создание отчетов по соответствию нормативным документам, в т.ч. для аудиторов SOX, GLBA и HIPAA;
  • Обзор всех процессов управления групповыми политиками для ИТ-менеджеров;
  • Автоматическое резервное копирование и восстановление объектов групповой политики;
  • Интеграция с Microsoft System Center Operations Manager.

Решение фиксирует все изменения групповых политик и архивирует их для статистической отчетности. Программа позволяет получить объединенную информацию по изменениям групповой политики за любой период для детального анализа. Так, например, можно узнать, кто добавил для развертывания на клиентских компьютерах новое ПО, кто изменил настройки межсетевого экрана и блокировки для рабочих станций и многое другое.

Скачать: netwrix.com/ru/group_policy_auditing.html

Репозитории ИТ-аудита

Существуют разные репозитории, такие как:

  • CobiT  : цели управления для информационных и связанных технологий. Это главный репозиторий для ИТ-аудиторов,
  • Val IT позволяет оценить создание стоимости по проекту или по портфелю проектов,
  • Risk IT направлена ​​на улучшение контроля рисков, связанных с ИТ (см. Страницу на английском языке Risk IT ),
  • CobiT и управление приложениями .

ISACA (информационные системы аудит и контроля Ассоциация) является международной ассоциацией ИТ – аудиторов ( в том числе его свода стандартов и центр знаний ) и ФАФИА (Французская ассоциация аудита и ИТ – консалтинга), которая является французским глава ISACA, предоставляет множество опора .

Но мы также можем использовать другие репозитории, такие как:

  • ISO 27002, который представляет собой свод лучших практик в области управления безопасностью информационных систем,
  • CMMi  : интеграция модели зрелости возможностей, которая представляет собой процесс оценки качества управления ИТ-проектами,
  • ITIL, который представляет собой сборник передовых практик, касающихся уровней и поддержки ИТ-услуг.

Основные концепции ИТ-аудита

Концепция контроля лежит в основе процесса ИТ-аудита. Цель состоит в том, чтобы внедрить эффективные и действенные системы контроля, позволяющие эффективно контролировать ИТ-деятельность. Внутренний контроль – это процесс, осуществляемый по инициативе руководителей компании и призванный обеспечить разумную уверенность в достижении следующих трех целей:

  1. соблюдение законов и правил,
  2. надежность финансовой информации,
  3. выполнение и оптимизация операций ….

Очевидно, что ИТ-аудит в первую очередь интересует третья цель.

Процесс ИТ-аудита определяется на основе интересов лица, запрашивающего аудит, которым может быть генеральный менеджер, ИТ-директор, финансовый директор и т.д. или менее косвенно, к состоянию известных передовых практик в этой области

Это приводит к важному документу: письму-соглашению, которое определяет мандат, который необходимо выполнить, и который дает необходимые полномочия аудитору.

Последний затем попытается установить факты, а затем проведет интервью с заинтересованными сторонами. Затем он попытается сравнить свои наблюдения с широко признанными критериями. На основании этого он предложит рекомендации.

ИТ-аудитор будет использовать репозитории ИТ-аудита, что даст ему статус передового опыта в этой области. Базовый репозиторий – CobiT : Control Objectives for Information and related Technology. Но он также будет использовать другие стандарты, такие как: CobiT , ISO 27002 , CMMi , ITIL , Val IT , Risk IT и т. Д.

Сертификация ИТ-аудиторов

Можно представить себе сертификацию ИТ-отделов или ИТ-приложений. Нет такого. С другой стороны, есть сертификат качества ИТ-проектов: CMMI . Что касается качества услуг, предоставляемых производством, существует сертификация по стандарту ISO 20000, который является подмножеством ITIL.

С другой стороны, существует процедура сертификации для аутсорсеров: SAS 70, Положение о стандартах аудита №70. Этот стандарт был создан Американским институтом сертифицированных бухгалтеров (AICPA), чтобы избежать того, чтобы этим организациям пришлось последовательно проходить несколько ИТ-аудитов по связанным темам. Эти аудиты проводятся третьими сторонами и гарантируют, что внедренные процессы обеспечивают ожидаемое качество обслуживания.

С тех пор SAS 70 был заменен ISAE 3402 (Международные стандарты аудита), который вступил в силу15 июня 2011 г.. Это расширение стандарта SAS 70, который определяет стандарты, которым должен следовать аудитор для оценки договорных механизмов внутреннего контроля обслуживающей организации.

По ИТ-аудиту ИТ-аудиторы сертифицированы. Эталонная сертификация – это CISA, сертифицированный аудитор информационных систем. Это международная профессиональная сертификация. Он организован ISACA с 1978 года. Он работает во Франции с 1989 года. На сегодняшний день во всем мире 75 000 человек имеют CISA, в том числе более 1000 во Франции. Экзамен можно сдавать три раза в год: в июне, сентябре и декабре на 11 разных языках и в 200 городах по всему миру. За 4 часа необходимо ответить на 200 вопросов с множественным выбором по аудиту и ИТ. Экзамен охватывает 6 областей:

  1. процессы аудита информационных систем,
  2. Управление ИТ,
  3. управление жизненным циклом систем и инфраструктуры,
  4. предоставление и поддержка услуг,
  5. защита ИТ-активов,
  6. план непрерывности и план резервного копирования ИТ

Также с 2003 года проводится вторая сертификация для эталонных ИТ-аудиторов. Это профессиональная сертификация для менеджеров по информационной безопасности: CISM (Certified Information Security Manager), также выдаваемая ISACA .

Программа сертификации состоит из 5 разделов по информационной безопасности:

  1. Управление информационной безопасностью
  2. Управление информационными рисками
  3. Реализация программы информационной безопасности
  4. Управление программой информационной безопасности
  5. Управление инцидентами информационной безопасности.

К этим сертификатам, предлагаемым ISACA, в арсенал ИТ-аудитора могут быть добавлены другие сертификаты, в частности CISSP по ИТ-безопасности, сертификат ведущего аудитора ISO27001 , сертификаты по ITIL, Prince2 , CobIT и т. Д. Наконец, получение CISA позволяет вам воспользоваться модулем сертификации CIA Института внутренних аудиторов (IIA), администрируемого во Франции IFACI .

Процесс ИТ-аудита

Готовится миссия ИТ-аудита. Следует определить область исследования, чтобы разграничить область исследования. В этом смысле рекомендуется провести предварительную диагностику, чтобы уточнить вопросы, которые будут рассмотрены в ходе аудита. Это приводит к составлению письма-соглашения с подробным описанием основных моментов, подлежащих аудиту.

Для проведения ИТ-аудита рекомендуется выполнить следующие шесть шагов:

составление письма-обязательства. Этот документ составляется и подписывается лицом, запрашивающим аудит, и дает возможность аудитору быть уполномоченным. Он используется для определения списка вопросов, которые задает запрашивающий аудит. Очень часто в его составлении участвует аудитор.
Планирование миссии позволяет определить детальный подход, которого следует придерживаться. Результатом станет план аудита или коммерческое предложение. Данный документ подготовлен аудитором и подлежит проверке реквестером аудита. После достижения консенсуса можно переходить к третьему шагу,
сбор фактов, выполнение тестов и т. д

В большинстве аудитов это важная часть работы, выполняемой аудиторами
Важно уметь выявить определенное количество неоспоримых фактов,
Интервью с объектами аудита позволяют дополнить собранные факты, принимая во внимание информацию, имеющуюся у оперативного персонала. Этот шаг может быть непростым и сложным
Часто информация, полученная от оперативного персонала, больше похожа на мнение, чем на объяснение искомых фактов.
Составление аудиторского отчета – это длительный процесс, который позволяет выделить выводы, сделанные аудитором, и рекомендации, которые он предлагает,
представление и обсуждение аудиторского отчета заказчику аудита, руководству компании или руководству ИТ-службы.

Может случиться так, что после аудиторской миссии аудитора попросят составить план действий и, возможно, выполнить последующие действия по рекомендациям.

Несоблюдение этого подхода может привести к плохому внедрению и внедрению инструментов, которые не соответствуют реальным потребностям компании.

Этот процесс важен для аудитора, потому что он дает ему фундаментальные элементы для продвижения его миссии, но он даже более полезен для организации. Действительно, проверяемые актеры не пассивны. Их заставляют задуматься о своих методах работы и проявить интерес к работе других участников организации. Это ведет к сплоченности команды и организационному обучению . Это положительный фактор, потому что в случае изменения участники будут менее сопротивляться.

NetWrix VMware Change Reporter Freeware Edition

NetWrix VMware Change Reporter отслеживает все изменения и обеспечивает контроль внесения изменений модификаций в виртуальную среду. Программа ежедневно отправляет отчет с перечислением всех без исключения изменений, затронувших сервера ESX, папки, кластеры, пулы ресурсов, виртуальные машины и их аппаратное обеспечение. Для каждого из параметров конфигурации указываются значения «до» и «после».

NetWrix VMware Change Reporter может применяться для:

  • ежедневного обзора изменений в конфигурации с целью повышения уровня внутреннего ИТ-управления;
  • подготовки отчётов для аудита соответствия нормативным документам по ИТ (SOX, HIPPA, GLBA и др.);
  • аудита создания виртуальных машин для предотвращения бесконтрольного роста их количества;
  • поддержки платформ VMware VI3 и выше, vSphere, ESX, ESXi.

Скачать: netwrix.com/vmware_auditing_reporting.html

Like this post? Please share to your friends: