2021/11/01 10:47:40

Чек-лист: Всё, что нужно знать об аудите ИТ-инфраструктуры

Современный бизнес невозможен без развитой ИТ-инфраструктуры. Даже в небольших компаниях сегодня применяются системы управления корпоративным контентом и электронным документооборотом (ЕСМ/СЭД), всё чаще внедряются ERP-системы, отвечающие за все стороны деятельности предприятия. Растет значение ИТ-инфраструктуры, которая должна соответствовать как требованиям программного обеспечения, так и требованиям безопасности. Чтобы понять, удовлетворяет ли ИТ-инфраструктура этим условиям, получить рекомендации по ее совершенствованию и обновлению, требуется провести аудит. Разобраться, когда и зачем требуется такой аудит, что в него входит, помогал Евгений Платов, руководитель отдела корпоративных облачных сервисов «1С-Рарус».

Чтобы понять, удовлетворяет ли ИТ-инфраструктура требованиям, получить рекомендации по ее совершенствованию и обновлению, требуется провести аудит (фото - indistry.ru)

Необходимость аудита ИТ-инфраструктуры

Потребность аудита ИТ-инфраструктуры возникает при планировании оптимизации, модернизации или внесении радикальных изменений в инфраструктуру, например, при переходе на новую ERP-систему или при миграции в облако. Также рекомендуется проводить аудит при смене ИТ-команды:

«
Первое, что стоит сделать новому ИТ-директору, когда в компании меняется состав ИТ-команды — это провести аудит. Результатом аудита станет описание объектов инфраструктуры и их состояния, а в подобных ситуациях это имеет высокую ценность для бизнеса, - Евгений Платов, руководитель отдела корпоративных облачных сервисов «-Рарус»
»

Кроме того, аудит необходим, если начались сбои в работе инфраструктуры:

«
Часто специалисты сталкиваются с компаниями двух типов: первые проводят обследование ИТ несколько раз в год, а вторые приходят уже с имеющейся проблемой. В нашей стране нет такой предупредительной меры, как `ИТ-диспансеризация`, поэтому к первому типу чаще относятся зарубежные компании. Финансовый аудит в российских компаниях уже стал системной и простой вещью, которую средний бизнес активно перенимает у крупного. А вот с ИТ-аудитом сложнее: в 8-ми случаях из 10-ти об аудите инфраструктуры задумываются только тогда, когда появляются проблемы в ИТ. Поэтому часто аудит проходит уже не как плановая проверка и предупреждение ошибок на будущее, а как решение инцидентов прошлого, — рассказывает Евгений Платов.
»

Как выбрать аудитора ИТ-инфраструктуры

Если планируется переход на новую систему, стоит обратиться в аудиторскую компанию. Независимый аудитор даст объективную оценку, какую систему выбрать под конкретные задачи.

Если система уже внедрена и нужно проанализировать ее работу, как она функционирует в ИТ-архитектуре, лучше обратиться к вендору программного обеспечения или оборудования. Вендор больше знает о системе и ее особенностях, у него больше проектного опыта, чем у независимого аудитора.

«
Рекомендую внимательно подходить к выбору аудитора, так как цель аудита связана с прогнозированием инвестиций в ИТ-инфраструктуру и удовлетворением потребностей пользователей в ИТ, — подчёркивает Евгений Платов. — Обратите внимание на компании, имеющие экспертизу по проектированию и эксплуатации крупных инфраструктур с программным обеспечением того же вендора. В таких компаниях накоплен опыт и экспертиза для решения подобных задач.
»

Что входит в состав аудита ИТ-инфраструктуры

В рамках аудита ИТ-инфраструктуры проводятся: мониторинг и проверка серверного и сетевого оборудования мониторинг и проверка системного и прикладного программного обеспечения проверка бизнес-процессовРоссийский рынок облачных ИБ-сервисов только формируется 2.1 т проверка рабочих мест пользователей

«
Подходы и компоненты аудита у каждой аудиторской компании или вендора отличаются. Опыт «1С-Рарус» показывает, что лучше проводить аудит, начиная с уровней физического оборудования и постепенно двигаясь к уровню приложения. Это позволяет выбрать оптимальный путь решения проблемы и гарантирует поиск всех узких мест.
»

Проведение аудита ИТ-оборудования

В аудит ИТ-оборудования входит анализ: Серверов, сетевого оборудования и систем хранения данных Параметрических данных об объемах и распределении нагрузки Уровня производительности систем «1С» Средств резервирования и методов обеспечения отказоустойчивости

«
Архитектура системы всегда должна учитывать связь между приложением и оборудованием», — отмечает Евгений Платов. — Частая ошибка при реализации проектов — найм разных подрядчиков, не знакомых между собой, один из которых отвечает за оборудование, а другой — за приложение. В таких ситуациях, как правило, начинаются проблемы, потому что комфортная работа пользователей в приложении требует конкретной конфигурации оборудования, и, соответственно, разных наборов ресурсов. Для сервера приложений подходит один набор `железа`, для сервера СУБД — другой. У каждого вендора свои рекомендации, например, требования к оборудованию для приложений `1C` и СУБД абсолютно разные. Поэтому в аудит `1С-Рарус` всегда входит проверка конфигурации на соответствие рекомендаций от вендоров.
»

Также в состав работ при аудите обязательно входит установка системы мониторинга аппаратного обеспечения:

«
Нужно проанализировать, как ИТ-инфраструктура ведет себя под конкретным приложением. Для каждого приложения есть свой набор метрик для мониторинга: процессорные мощности, время задержки процессора. Для баз данных особое внимание уделяется дисковым массивам: измерить время отклика, проверить способ организации, сайзинг, размер сектора.

»

Проведение аудита программного обеспечения

В аудит программного обеспечения входит анализ: Используемого программного обеспечения Программы «1С» с использованием системы APDEX Смежного программного обеспечения (при необходимости) SQL-сервера MS Active Directory Терминальных серверов Системы резервного копирования

«
Между приложением и инфраструктурной частью должна быть архитектурная связь. Поэтому у программного обеспечения нужно проверять архитектуру. Например, в архитектуре сервера баз данных часто используется один логический массив. На нём хранятся база данных, бэкапы, временное хранилище, системная база данных. Это означает, что не выдержана архитектура приложения. Этот сервер мог остаться от веб-сервера, у которого нет стольких составляющих, а только два небольших раздела. Так что начинаем с архитектуры: проверяем, как логическая часть `ложится на железо`. Дальше смотрим, какие должны быть операционные системы, как они настроены, совпадают ли с требованиями приложения, — приводит пример Евгений Платов.
»

Особое внимание уделяется соответствию аппаратных мощностей требованиям используемого программного обеспечения:

«
При правильной настройке системы мониторинга можно определить узкие места при взаимодействии приложения и мощностей. Нет смысла оценивать процессорные мощности только по их загрузке, потому что приложение может долго ожидать ответа от дисковых массивов, а процессор будет ждать данных, будет недогружен. Частая ситуация: клиент изменил какую-то часть у оборудования, и производительность приложения снизилась. Допустим, узким местом был дисковый массив — он медленно, но работал, и пользователей это устраивало. Затем пришел ИТ-специалист и предложил поставить вместо старых HDD дисков новые SSD. Массив стал работать хорошо, а в это время нагрузка распределилась на процессор, который перестал с ней справляться. Из-за этого деградировало приложение. И если раньше приложение работало медленно, но верно, то теперь сломалось полностью.
»

Важная часть аудита — проверка безопасности ИТ-инфраструктуры:

«
Два года назад провели аттестацию облачных сервисов по ISO ISO/IEC 27001:2013. Опыт по приведению нашей архитектуры и процессов в соответствие с требованиями этого стандарта отразился и на составе услуги аудита. В частности, мы проверяем группы доступа: кто из пользователей является администратором, а кто обладает исключительным набором прав. Изучаем минимальные настройки сервисов, которые связаны с администрированием веб-серверов, и серверов приложений на наличие некорректных параметров, влияющих напрямую либо на доступность, либо на конфиденциальность данных. Блоку безопасности уделена четверть всей проверки.
»

По итогам аудита заказчик получает: Отчет с заключением о состоянии ИТ-инфраструктуры Рекомендации по модернизации и обновлению Систему мониторинга для дальнейшего использования

«
Рекомендации — это не перечень, а практически roadmap, подробный план улучшений. Мы стараемся следовать циклу Деминга (PDCA): планирование, внедрение, проверка, действие и снова планирование. С этим как раз помогут регулярные аудиты: проводится один курс, в результате которого определяется текущая ситуация и точки роста, вносятся улучшения, а затем начинается следующий виток анализа происходящего. В некоторых случаях выясняется, что основную часть проблем можно решить силами собственной ИТ-команды предприятия, даже не привлекая внешнего подрядчика. Если у клиента большой технический ландшафт, мы оставляем настроенную систему мониторинга в качестве бонуса, чтобы можно было и дальше следить за состоянием системы, настраивать метрики.

»


Стоимость аудита ИТ-инфраструктуры

Стоимость ИТ-аудита зависит от объема и типов услуг. Цена самых популярных видов аудита находится в диапазоне от 150 до 400 тысяч рублей.

«
Занимаясь направлением аудитов в компании «1С-Рарус» и анализируя рынок, я обнаружил, что большинство компаний, предоставляющие подобные услуги, скрывают их стоимость. — рассказывает Евгений Платов, — Ни в публичных офертах, ни в рекламных материалах — нигде нет стоимости аудита. Мы посчитали, что открытая информация о стоимости поможет потенциальным заказчикам определиться с возможностью проведения аудита в своей компании. У нас на сайте представлен калькулятор услуг. Стоимость не окончательная, есть определенные нюансы, но в целом можно понять порядок цен.

Читателям TAdviser в течение 6 месяцев мы предложим скидку 30% на услуги по промокоду auditTAdviser.

»