Помощь по Теле2, тарифы, вопросы

IT-инфраструктура предприятия - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации. Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и/или моральный ущерб.

В современных условиях рынка полнота информации, ее достоверность, скорость получения и обработки данных, эффективность информационного обмена между структурными подразделениями организации, оперативность принятия решений и реализации возложенных на каждое из таких подразделений задач, становятся одними из наиболее значимых факторов успешности предприятия: его рентабельности, прибыльности, конкурентоспособности.

Функцию обеспечения вышеперечисленных задач берет на себя информационная система организации, состоящая, как правило, из компьютерного парка, системы автоматизации производства, систем безопасности (видеонаблюдение, охранно-пожарная сигнализация, СКУД и проч.), коммуникационных систем (мини-АТС, локальные и/или корпоративные сети) и т. д.

Двумя наиболее значимыми, на наш взгляд, факторами эффективности функционирования информационной системы, состоящей из перечисленных подсистем, являются:

• - полезная эффективность IT-инфраструктуры организации (соответствие технических и программных средств предприятия реальным целям, задачам и потребностям бизнеса);
• - информационная безопасность IT-инфраструктуры предприятия (включая устойчивость технических средств к всевозможным отказам и сбоям, а также обеспечение сохранности важной информации: пресечение ее утечки и/или уничтожения и защита от несанкционированного доступа);

Одним из способов обеспечения полезной эффективности и информационной безопасности предприятия является аудит IT-инфраструктуры организации, направленный на оптимизацию информационной системы предприятия и выявление явных и/или скрытых угроз ее нормального функционирования.

Аудит IT-инфраструктуры представляет собой системный процесс, заключающийся в получении и оценке объективных данных о текущем состоянии IT-систем организации:

• - серверов и рабочих станций, задействованных в IT-инфраструктуре предприятия;
• - активного сетевого оборудования;
• - системного программного обеспечения;
• - физической и логической структуры корпоративной локальной сети;
• - периферийного оборудования;
• - телекоммуникационных систем;
• - систем безопасности;
• - систем электроснабжения;
• - каналов передачи данных;

Как правило, при аудите IT-инфраструктуры применяются следующие методы исследования:

• - проведение инвентаризации компонентов IT-инфраструктуры;
• - анкетирование сотрудников организации, проводящееся по опросным листам;
• - анализ программного обеспечения, файлов и системных событий серверов и рабочих станций, входящих в IT-инфраструктуру организации;
• - проверка сетевой безопасности серверов и рабочих станций с целью исключения возможного несанкционированных проникновений через сеть Интернет и/или по другим каналам связи;
• - мониторинг состояния активного сетевого оборудования;
• - диагностика системы электроснабжения, кабельных сетей и пассивных компонентов IT-инфраструктуры предприятия;

Целью создания любой компьютерной системы является удовлетворение потребностей пользователей в своевременном получении достоверной информации и сохранении ее конфиденциальности. Информация является конечным «продуктом потребления» и выступает в виде центральной компоненты системы.

Именно поэтому одним из ключевых вопросов при проведении аудита IT-инфраструктуры организации является оценка этой инфраструктуры с точки зрения информационной безопасности. Эта проблема может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

Безопасность (защищенность) информации, в данном случае, - это такое состояние всех компонентов компьютерной (информационной) системы, при котором обеспечивается защита информации от всех возможных угроз на требуемом уровне. При этом, под системой защиты информации понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в компьютерной системе в соответствии с принятой политикой безопасности.

С позиции обеспечения безопасности информации, IT-инфраструктуру организации целесообразно рассматривать в виде единства трех компонентов, оказывающих взаимное влияние друг на друга:

• - информация;
• - технические и программные средства;
• - обслуживающий персонал и пользователи.

Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. Все множество потенциальных угроз безопасности информации в компьютерных системах может быть разделено на два класса:

• - преднамеренные угрозы
• - непреднамеренные (случайные) угрозы

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными. Реализация угроз этого класса приводит к наибольшим потерям информации. При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию. К непреднамеренным (случайным) угрозам, в частности, относятся:

• - стихийные бедствия и/или аварии;
• - сбои и отказы оборудования;
• - ошибки пользователей и/или обслуживающего персонала.

Ошибочные операции или действия могут вызываться отказами аппаратных и программных средств, а также ошибками пользователей и обслуживающего персонала. Некоторые ошибочные действия могут привести к нарушениям целостности, доступности и конфиденциальности информации. Ошибочная запись в оперативную память и на внешнее запоминающее устройство, нарушение разграничения памяти при мультипрограммных режимах работы ЭВМ, ошибочная выдача информации в канал связи, короткие замыкания и обрыв проводников - вот далеко не полный перечень ошибочных действий, которые представляют реальную угрозу безопасности информации в информационной системе организации.

Для блокирования (парирования) случайных угроз безопасности информации в компьютерных системах должен быть решен комплекс задач:

• - дублирование информации;
• - повышение надежности системы;
• - создание отказоустойчивых систем;
• - минимизация ущерба от аварий и стихийных бедствий;
• - блокировка ошибочных операций;
• - оптимизация взаимодействия человека и компьютерной системы.

Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. В зависимости от ценности информации, особенностей построения и режимов функционирования компьютерной системы могут использоваться различные методы дублирования, которые классифицируются по различным признакам. По степени пространственной удаленности носителей основной и дублирующей информации методы дублирования могут быть разделены на методы:

• - сосредоточенного дублирования;
• - рассредоточенного дублирования.

Для определенности целесообразно считать методами сосредоточенного дублирования такие методы, для которых носители с основной и дублирующей информацией находятся в одном помещении. Все другие методы относятся к рассредоточенным. Рассредоточенное копирование достаточно распространенный и достаточно эффективный способ обеспечения сохранности информации в компьютерных сетях; кроме того, рассредоточенное копирование является практически единственным способом обеспечения целостности и доступности информации при стихийных бедствиях и крупных авариях.

Для блокировки ошибочных действий используются технические и аппаратно-программные средства. К таким средствам относятся блокировочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записи на внешние (портативные) источники информации. Аппаратно-программные средства используются для блокирования выдачи информации в неразрешенные каналы связи, запрета выполнения операций, доступных только в определенных режимах, при помощи специализированных ключей защиты позволяют блокировать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти, запись в определенные области внешних запоминающих устройств и другие операции.

Важным условием функционирования IT-инфраструктуры организации является ее надежность и отказоустойчивость. Под надежностью понимается свойство системы выполнять возложенные на нее задачи в определенных условиях эксплуатации. Если при наступлении отказа компьютерная система способна выполнять заданные функции, сохраняя значения основных характеристик в пределах, установленных технической документацией, то она находится в работоспособном состоянии. Для решения этой задачи необходимо обеспечить высокую надежность функционирования алгоритмов, программ и технических (аппаратных) средств. Кроме того, необходимо предусмотреть систему бесперебойного электроснабжения, состоящую из одного или нескольких источников бесперебойного питания (ИБП), а на отдельных объектах и дизель-генераторной установки (ДГУ).

Отказоустойчивость - это свойство компьютерной системы сохранять работоспособность при отказах отдельных устройств, блоков, схем. Известны три основных подхода к созданию отказоустойчивых систем:

• - простое резервирование;
• - помехоустойчивое кодирование информации;
• - создание адаптивных систем.

Одним из наиболее простых и действенных путей создания отказоустойчивых систем является простое резервирование. Простое резервирование основано на использовании дополнительных устройств, блоков, узлов, схем в качестве резервных. При отказе основного элемента осуществляется переход на использование резервного. Резервирование осуществляется на различных уровнях: на уровне устройств, средств передачи информации, блоков, узлов и т. д. Резервирование отличается также и глубиной. Для целей резервирования могут использоваться один резервный элемент и более.

Помехоустойчивое кодирование основано на использовании информационной избыточности. Рабочая информация в информационной системе дополняется определенным объемом специальной контрольной информации. Наличие этой контрольной информации (контрольных двоичных разрядов) позволяет путем выполнения определенных действий над рабочей и контрольной информацией определять ошибки и даже исправлять их. Так как ошибки являются следствием отказов средств IT-инфраструктуры предприятия, то, используя исправляющие коды, можно парировать часть отказов. Исправляющие возможности кодов для конкретного метода помехоустойчивого кодирования зависят от степени избыточности. Чем больше используется контрольной информации, тем шире возможности кода по обнаружению и исправлению ошибок.

Также существенную угрозу безопасности информации в компьютерной системе представляет несанкционированная модификация алгоритмической, программной и технической структур системы. Несанкционированная модификация структур может осуществляться на любом жизненном цикле IT-инфраструктуры предприятия. Проведение аудита IT-инфраструктуры предприятия позволяет выявить потенциальные возможности несанкционированной модификации компонентов системы и, соответственно, предотвратить ее осуществление.

Резюме по теме

Подводя итог вышесказанному, необходимо отметить, что комплексный аудит IT-инфраструктуры предприятия, анализ всех ее систем и подсистем, эффективности их взаимодействия и использования - задача достаточно трудоемкая, требующая достаточных финансовых и производственных затрат, но, несмотря на это, необходимая. В условиях стремительного развития бизнеса, IT-инфраструктура предприятия представляет собой сложный и разветвленный организм. Построение грамотной структуры управления организацией в значительной степени зависит от возможности IT-подразделения организовать управление предприятием с помощью информационных технологий. Внедрение системы управления предприятием, закупка нового оборудования, инсталляция новых программных продуктов чаще всего проходят без видения целостной картины развития IT-инфраструктуры организации. Это вызывает проблемы полноценного функционирования программных продуктов, проведения дополнительных работ или закупок, что приводит к срывам сроков внедрения проектов, усложняет развитие бизнеса, требует дополнительных инвестиций. IT-аудит - это комплексный анализ информационной структуры, который позволяет решить возникшие сложности, определить качество IT-инфраструктуры предприятия и привести ее возможности в соответствие с целями и задачами бизнеса.

Вопросы для повторения

• 1. Этапы проведения ИТ-аудита.
• 2. Что анализируется на этапе «Планирования ИТ-аудита»?
• 3. Опишите жизненный цикл четырех доменов COBIT
• 4. Понятие модели зрелости COBIT
• 5. Что представляет собой аудит ИТ- инфраструктуры?

Проведение комплексного аудита позволяет получить наиболее полную, систематизированную и достоверную информацию о состоянии ИТ-инфраструктуры заказчика. Проведение аудита необходимо для оценки ИТ, принятия решений, прогнозирования развития ситуации, управления ИТ.

Когда (в каких случаях) эта услуга востребована?

1. Приобретение бизнеса, либо объединение предприятий (формальное, или неформальное) в холдинговою структуру. Возникает необходимость интеграции ИТ-инфраструктуры купленной компании с собственной инфраструктурой. Проведение независимого аудита позволит снизить затраты и ускорить сроки проведения работ по интеграции.
2. Перед проведением модернизации ИТ-инфраструктуры предприятия. Необходимо оптимизировать затраты на модернизацию и выработать стратегию развития.
3. Когда рост бизнеса опережает развитие ИТ . В этом случае наблюдается отсутствие, либо недостаток у руководства предприятия управленческой информации о составе и состоянии ИТ-инфраструктуры.
4. Если ИТ-инфраструктура работает неудовлетворительно на данный момент. Проведение аудита - это самый оптимальный способ выявить проблемные места инфраструктуры и получить необходимые рекомендации по их устранению

Какие преимущества эта услуга дает заказчику?

1. Упрощение модернизации ИТ-инфраструктуры за счет получения наиболее полной и актуальной информации об имеющихся ИТ-ресурсах.
2. Получение оценки затрат по модернизации ИТ-инфраструктуры. Знание отражаемых в отчетной документации степени необходимости и прогнозируемых объемов работ, позволяет заказчику принимать обоснованное решение.
3. Повышение эффективности использования имеющихся ИТ-ресурсов, после учета результатов аудита, и минимизация бизнес-рисков, связанных с использованием информационных технологий.
4. Повышение управляемости ИТ предприятия. Руководство получает необходимую управленческую информацию, необходимую для принятия решений, прогнозирования развития ситуации, управления ИТ. Возрастает эффективность работы ИТ-службы предприятия, сокращается время простоев и количество нештатных ситуаций.
5. Получение практических рекомендаций по используемым технологиям, оборудованию и его настройкам. Все рекомендации связаны с конкретными проблемами, обнаруженными при проведении аудита, поэтому реализация каждой рекомендации приносит исключительно пользу для компании.

Аудит информационной безопасности можно проводить как силами штатного персонала (внутренний аудит), так и привлекая независимых специалистов (внешний аудит). Ценность внешнего аудита информационной безопасности для потенциальных клиентов заключается в следующем:

1. Аудит представляет собой независимое исследование, что повышает степень объективности результатов.
2. Эксперты, проводящие аудит, имеют более высокую квалификацию и больший опыт подобной работы, нежели штатные сотрудники организации.
3. Дешевле поручить выполнение работ по аудиту специализированной организации, чем организовывать их самостоятельно.

Описание услуги

Проведение комплексного аудита включает три основных этапа:

• Сбор данных

Постановка задачи и уточнение границ работ

На этапе постановки задачи проводятся организационные мероприятия по подготовке проведения аудита:

• Уточняются цели и задачи аудита
• Формируется рабочая группа
• Подготавливается и согласовывается техническое задание (ТЗ) на проведение аудита

Иногда для проведения аудита необходим доступ к информации, которую заказчик считает конфиденциальной. В этом случае параллельно с ТЗ разрабатывается соглашение о конфиденциальности и организуется взаимодействие со службой безопасности заказчика.

Сбор данных

На этом этапе проводят интервьюирование персонала заказчика, осмотр и инвентаризацию оборудования, сбор конфигурационной информации. Детальный перечень выполняемых работ определяется в ТЗ на аудит.

Выполняется обследование всех технических и организационных составляющих ИТ-инфраструктуры:

• Оборудование — аппаратное обеспечение, создающие и поддерживающие информационные технологии: сетевое оборудование, сервера и рабочие станции, системы хранения и др.;
• Средства поддержки — вспомогательные ресурсы, оборудование, помещения, необходимые для поддержки функционирования ИТ-инфраструктуры;
• Технологии — операционные системы, системы управления базами данных, интеграции приложений и прочее;
• Приложения — прикладное программное обеспечение, используемое в работе предприятия;
• Данные — в самом широком смысле - документооборот, внешние и внутренние, структурированные и неструктурированные, справочная, мультимедийная и др.;
• Трудовые ресурсы — персонал, его навыки: исследуются навыки, понимание задач и производительность их работы.

По окончании этапа сбора данных компания, проводящая аудит, владеет набором документов, детально описывающих ИТ-инфраструктуру.

Анализ данных и подготовка отчета

На этом этапе выполняются следующие работы:

• проверка и анализ собранных данных
• подготовка эксплуатационной документации
• выработка рекомендаций
• подготовка отчета об аудите

Проводится проверка собранных данных на полноту и корректность, анализ полученной информации, формирование выводов и рекомендаций, оформление и презентация результатов. В ходе анализа может быть принято решение о сборе дополнительных данных.

На основе собранных данных подготавливается эксплуатационная документация, содержащая детализированные данные об ИТ-инфраструктуре предприятия. Вырабатываются рекомендации по улучшению качества работы и повышению эффективности функционирования ИТ-инфраструктуры

Аналитический отчет является основным отчетным документом об аудите. Он включает описание текущего состояния ИТ-инфраструктуры,эксплуатационную документацию, перечень обнаруженных проблем, рекомендации по модернизации и развитию ИТ-инфраструктуры.

Этап завершается передачей заказчику разработанных документов.

Результат

Результатом аудита является создание пакета документов, содержащего детализированные данные об ИТ-инфраструктуре, а так же рекомендации по улучшению качества работы и повышению эффективности функционирования.

Основным отчетным документом является отчет об аудите. Его структура, как правило, согласуется еще на этапе разработки ТЗ. Он включает описание текущего состояния ИТ-инфраструктуры, выводы о соответствии ИТ-инфраструктуры решаемым задачам, рекомендации по модернизации и развитию.

Привет, %username%! Готов поспорить, что рано или поздно все сисадмины относительно небольших компаний сталкиваются с такой волшебной задачей от руководства, как составление проекта развития ИТ-инфраструктуры компании. Особенно если тебе предложили должность и сразу же попросили составить план развития и бюджетирования. Вот и мне однажды поставили такую задачу. О всех подводных камнях, с которыми можно столкнуться, я и напишу. Всем заинтересовавшимся велкам под кат!

Сразу поясню, что вы тут не найдете советов о том, какое оборудование выбирать для тех или иных решений, какие программные продукты выбирать, open source или платное ПО, с какими интеграторами общаться стоит, а с какими нет. Это все полностью индивидуально и будет напрямую зависеть от вас и того, что в итоге вы хотите - залатать дыры в текущем корыте или построить ИТ-инфраструктуру таким образом, чтобы любая задача сводилась к нажатию кнопки “СДЕЛАТЬ ХОРОШО” (да я ленивый).

Данная статья больше нацелена на тех, кто совсем мало в этой сфере работает и от него требуют всего и сразу. Думаю молодым сисадминам небольших компаний будет полезно.

Вот собственно примерный список проблем, с которыми можно столкнуться при проведении аудита ИТ-инфраструктуры:

1. Отсутствие тех, у кого можно хоть что-то спросить - именно такая проблема встала передо мной, когда руководство поручило провести аудит с целью улучшения инфраструктуры в целом. На тот момент я являлся самым старым сотрудником отдела компании и поинтересоваться мне было просто не у кого. По этой причине времени на ковыряние и попытку понять “за каким же это хреном сделано” было затрачено не мало, ведь пока я был простым сисадмином меня почти не посвящали в тонкости организации ИТ-инфраструктуры.

2. Отсутствие четко поставленных хотелок со стороны руководства - все думаю согласятся с тем, что нам - айтишникам - по долгу службы приходится быть немного экстрасенсами, т.к. довольно много приходится додумывать и допонимать, опираясь на контекст поставленной задачи. В моем случае приходилось додумывать варианты направления развития бизнеса в целом.

3. Отсутствие четкого (документированного) описания текущей инфраструктуры - увы (! ) этого не было никогда ранее. Никто и никогда не составлял банальную карту сети офиса. Не описывал как организована связь между филиалами (коих более 10 штук по всей стране). Я уже не говорю про банальную маркировку кабелей на маршрутизаторах.

4. Полное отсутствие документации - вообще! Абсолютно никакой документации не велось в отделе никогда. И это категорически печально. Ведь банальные копии договоров (на телефонию, интернет, обслуживание 1С, аренду хостинга и прочее) хотя бы в электронном виде должны быть в отделе. И это одно из обязательных условий, ведь любой сотрудник отдела ИТ должен знать, к кому обратиться в случае если упал интернет в другом регионе (где время +3 к Москве).

5. Отсутствие общей базы паролей - все пароли были разные и менялись от случая к случаю. Весь этот ворох приходилось держать в голове, т.к. “все что записано однажды - может быть и считано”. Для того, чтобы предоставить новому сотруднику определенный доступ, необходимо переписать в почте (или на бумажке) все логины и пароли и передать их лично ему. А если ты еще не правильно пароль вспомнил… Ужас!

6. Отсутствие информации о том, как все организованно в регионах - имелась информация лишь о том, сколько там человек, кто руководитель и… всё! Т.е. имелась просто абстракция под названием “Региональное представительство в городе Мухосранске, где сидит 15 человек”. Никто никогда не задавался вопросом, как там устроена сеть, какие у нее слабые места, как происходит доступ сотрудников представительства в сеть Интернет, как организован доступ сотрудников к сетевым ресурсам центрального офиса.

И это еще не полный список, т.к. таких косяков просто огромное количество. И все они встретились мне на пути. Одним из тяжелейших моментов могу назвать тот факт, что я этим занимался впервые и ударить в грязь лицом не хотелось.

Понимая немного психологию в целом и учитывая, что огромная часть нас - айтишников - это интроверты, при составлении такого аудита в большинстве случаев побоятся обратиться к руководству компании с банальными вопросами. И мне было страшно. Но тем не менее я был вынужден переступить через свои страхи и задать те банальные вопросы, на которые мне способно дать ответ руководство.

Я не стану напоминать о том, что необходимо сделать инвентаризацию для того, чтобы понимать с чем работаешь, что является устаревшим, что можно заменить на более производительное. Это обязательное мероприятие. А вот о том, что после переписи всего оборудования надо все разделить всё на категории (активное сетевое, workstaion, bussiness-critical servers and service) напомню. При наличии доступа к административной панели сделать бэкапы конфигураций, описать “что”, “зачем” и “для чего” настроено в конкретной железке, переписать все сетевые адреса серверов, управляемых железок (да простят меня господа сетевики), сетевых хранилищ, принтеров и всего, что имеет доступ к сети (ну кроме рабочих станций).

Следующим этапом можно попытаться составить примерную схему того, как устроена сеть на план-схеме этажа, чтобы понимать где может быть бутылочное горлышко. В моем случае была проблема в том, что сеть этажа поделена на две части и в дальней от серверной части были проблемы с сетью, а оказалось все банально - не экранированная витая пара лежала вместе с силовой линией этажа бизнес-центра напряжением на 220 и 380 вольт - какая к черту сеть, ребята. После этого можно приступать к анализу железа.

Анализ железячной составляющей это одно из важных мероприятий. Необходимо понимать, насколько актуально на текущий момент времени используемое железо (как сетевое и серверное, так и пользовательские ПК). Обычно на этом этапе выясняется (с поддержкой от бухгалтерии, а так же коммерческих отделов), что вся bussiness-critical информация хранится в виде документов Excell на сервере, у которого жесткие диски работают уже третий гарантийный срок (! ) и все удивляются тому, что “файлы по сети медленно открываются” и сам сервер шумит дисками как больной психиатрии стучащий ложкой по кастрюле. А сетевые железки сняты с производства еще за год до того, как их купили в компанию и по отзывам они ужасны. Или например wi-fi в офисе поднят на точках доступа, которые по всем отзывам считаются такой дрянью, которую врагу не пожелаешь.

Далее, необходимо оценить текущие серверные мощности

Необходимо именно оценить серверные мощности. Т.е. необходимо оценить работу текущих серверов (физических и виртуальных, если в вашей организации присутствует виртуализация) и оценить то, насколько используются ресурсы. Может быть стоит какие-то сервера (или серверы?) ликвидировать вообще, т.к. необходимость в них отпала уже давно, а убрать их боялись. Какие-то сервисы может быть удобнее объединить, а какие-то наоборот разделить, потому что они несовместимы на одной машине и чрезмерно нагружают систему.

Виртуализируйте все!

Когда парк ваших серверов и сервисов достигает критической массы и вы вынуждены заходя в серверную смотреть, что это за систменик или тыкаться по KVM в поисках нужного сервера, то вам явно требуется виртуализация. Все системы, которые можно запустить на виртуалке необходимо перевести в виртуальную среду (всяческие СКУДы, сервер корпоративного портала, корпоративное облако, etc). Современных, а главное удобных инструментов для этого предостаточно (VMware, Proxmox, Xen, Hyper-V). Просто определитесь с тем, что вам нужно/нравится/можно купить и запускайте в работу.

Виртуализацию в топку! Даешь только хардвер!

Не виртуализируйте критичные вещи - такие как шлюзы, маршрутизаторы, VPN-сервера используемые для аварийного доступа в сеть, сервера 1С (тут в меня могу полететь тухлые помидоры). Важно здраво оценивать все факторы, руководствуясь которыми вы принимаете решение о том, что загонять в виртуальную среду, а что нет. Идеальных решений не существует.

Организация сетей между филиалами

Вопрос довольно обширный и имеет множество решений. От самого простого - выделять каждому удаленному сотруднику логин и пароль для VPN, дорогого - арендовать L2-сеть у одного провайдера и до безумного - наставить самых различных сетевых железок от разных вендоров, с помощью которых организовать доступ в сеть на местах и доступ к сетевым ресурсам внутри компании (сетевые хранилища и т.п.). Оцените все “за” и “против” и примите верное и лучшее решение в конкретно вашем случае. Для простоты и понимания “что делать” и “как делать” смело приглашайте системных интеграторов и консультируйтесь с ними. За спрос не дадут по шее, а дадут понять как можно решить одну и ту же проблему разными способами (дешево и дорого). Уже после пары-тройки таких встреч вы сможете более точно и более четко описать для себя самого все свои хотелки и возможные способы их решения.

После всех выше описанных работ можно приступить к составлению примерного бюджета. Для выбора конкретных моделей оборудования обращайтесь за помощью в специализированные чаты (сам использовал чаты в Телеграм, т.к. там всегда живой народ и больше шансов получить быстрый ответ; список можно загуглить). Все оборудование, которое вы выбираете рассчитывайте с запасом на перспективу и рост потребностей ваших прямых клиентов - сотрудников компании. Больше общайтесь с руководством на тему дальнейшего развития бизнеса компании. Возможно они сами вам подскажут ответ на то, на что вы не знали ответа.

Вместо заключения

Правильно организуйте работу вашего отдела, особенно когда вас в отделе больше двух человек. Никогда не создавайте такую ситуацию, в которой какие-то вещи завязаны на одно человека. Это ваша точка отказа!

Старайтесь максимально документировать все свои действия на серверах в процессе изменения конфигураций сервисов. Это поможет и вам в дальнейшем, и вашим коллегам, которые будут работать вместе с вами (или вместо вас, когда вы пойдете на повышение/другую работу/отпуск).

И запомните две вещи:

1. Идеальной инструкции не существует!
2. Идеальной защиты не существует!

P.S.: На этом все. Жду ваших комментариев и здравой критики.

Теги: Добавить метки

Все, что относится к рабочему процессу любого вида, требует тщательного изучения, систематизации, оптимизации и учета. Нельзя допускать халатности и неаккуратности в рабочих делах - это знают все. Но как организовать рабочий процесс наиболее эффективно и правильно?

Именно здесь и возникает понятие аудита. Аудит - это то же самое, что проверка, только вот проводится она, как правило, независимыми специалистами в сфере финансов или любой хозяйственно-экономической деятельности. Оценивается также отчетность, данные учета, данные деятельности той или иной организации (возможна и оценка деятельности проекта или продукта, системы, процесса).

В этой статье речь пойдет о совершенно другом виде аудита - об аудите ИТ-инфраструктуры. Каждая компания, которая обладает тем или иным потенциалом - техническим, финансовым и информационным - нуждается в аудите ИТ-инфраструктуры как в чем-то, что позволит компании максимально точно и четко оценить собственный потенциал, обнаружить прорехи в организации и составить план на будущее. В этих случаях аудит ит инфраструктуры играет незаменимую роль - он проверяет, оценивает, прогнозирует и позволяет составить план дальнейшего развития максимально точно и быстро.

Но давайте все же разберемся в том, что такое аудит ИТ-инфраструктуры, что он подразумевает и какие услуги представляют ИТ-аудиторы.

Что называют аудитом ИТ-инфраструктуры?

Как правило, под аудитом ит инфраструктуры подразумевают некий комплекс мероприятий:

Инвентаризация составных частей информационной системы;

Исследование составных частей информационной системы;

И, конечно же, анализ, как частей информационной системы, так и всей системы в целости.

При аудите ИТ-инфраструктуры оценка может производиться не только в общих чертах, но и, к примеру, на соответствие требованиям определенной компании. Также заказчики, ознакомившись с аудитом ИТ-инфраструктуры и его результатами, могут понять, насколько нуждается их информационная сеть в модернизации и обновлениях, и нуждается ли вообще.

Также при аудите ИТ-инфраструктуры автоматически определяется уровень безопасности той или иной системы, проверка на надежность. При аудите инфраструктуры также проверяется антивирусная защита предприятия, возможности архивирования, защиты от несанкционированного доступа.

Из чего состоит аудит ИТ-инфраструктуры?

1) С аудитом ит инфраструктуры вы получаете и аудит оборудования, что включает в себя как обследование организационной техники, исследование качества рабочих мест, обследование серверов, в частности того, в каком состоянии они находятся. Также в понятие аудита оборудования входит анализ разнообразных составляющих ИТ-инфраструктуры компании, таких, как активное и пассивное сетевое оборудование, кабельная система, серверное оборудование (в том числе его соответствие требованиям как компании, так и в общем). Аудит ИТ-инфраструктуры анализирует даже то, достаточно ли питания для тех или иных задач и их выполнения на аппаратуре.

2) Аудит программного обеспечения, получаемый с аудитом ит инфраструктуры, что включает в себя обследование всего программного обеспечения организации, что было установлено как на рабочих машинах, так и на серверах компании. Также по желанию все программное обеспечение могут проверить на предмет наличия лицензионных соглашений, прав на использование оборудования и так далее.

3) Получаемый с аудитом ит инфраструктуры аудит каналов связи и каналов коммуникации включает в себя обследование всех каналов передачи данных, анализ работы телефонии, настроек корпоративной электронной почты.

4) Анализ систем безопасности включает как обследование и проверку уже существующих в компании систем и протоколов информационной безопасности, проверку защиты электронных почт, антиспама и антивирусных программ, так и исследование систем защиты от взлома. Также анализ систем безопасности аудитом ИТ-инфраструктуры поможет с анализом вообще всех путей, по которым можно получить доступ к информации компании, с настройкой межсетевой безопасности, а также проанализирует то, настолько эффективным является способ вашего хранения данных.

Виды аудита ИТ-инфраструктуры

Сейчас, как правило, компании предоставляют услуги аудита по трем основным видам:

При экспресс - аудите ИТ-инфраструктуры, который подразумевает оценку сложности инфраструктуры, находит те или иные проблемные места в организации инфраструктуры, оценивает оптимальность использования оборудования, эффективность работы обеспечения той или иной организации. Экспресс-аудит проводится до трех дней;

При комплексном аудите ИТ-инфраструктуры, как правило, подразумевается полная проверка всего состояния ИТ-инфраструктуры компании целиком. Также составляется глобальный, долгоиграющий проект, ориентированный на достижение тех или иных показателей эффективности и модернизацию оборудования вообще;

Направленный ИТ-аудит инфраструктуры позволяет получить нужную информацию об отдельных элементах инфраструктуры ИТ в той или иной компании. Это может быть аудит серверов, аудит СКС, аудит сетевых служб.

Зачем нужен аудит ИТ-инфраструктуры?

Описания могут быть замечательными, но так ли он нужен, этот аудит? Зачем люди нанимают аудиторов и какую роль они играют в развитии компании и ее улучшении?

Прежде всего аудитом ИТ-инфраструктуры интересуются те компании, которые хотят оценить возможности и эффективность собственной инфраструктуры, своего оборудования и системы выполнения тех или иных задач. Только при аудите ИТ-инфраструктуры пользователь может понять, как эффективно использовать те ресурсы, которые уже имеются в компании, как максимально задействовать уже существующие возможности. Каждый пользователь может получить бесплатные советы по улучшению собственной ИТ-инфраструктуры с минимальным использованием денег и времени.

Без сведений об аудите ИТ-инфраструктуры с компанией вряд ли заключат контракт другие организации, ведь эти сведения считаются очень важными при оценке целесообразности того или иного сотрудничества. Аудит позволяет грамотно рассчитать стоимость тех или иных статей расхода - к примеру, того же аутсорсинга ИТ-компаний и обслуживания программного и аппаратного обеспечения.

Стоит ли доверять?

Конечно же, вам решать, пользоваться аудитом ИТ-инфраструктуры в организации вашего собственного бизнеса, или пока что не стоит. Не каждый может сразу же принять новые технологии и безоговорочно довериться им, не каждый может сразу же оценить преимущества и осмыслить недостатки.

Но помните, что с аудитом ИТ-инфраструктуры вы получаете повышение эффективности работы, оптимизацию любых инвестиций и дальнейшую разработку развития компании. Так стоит ли сомневаться?