Аудит ИТ инфраструктуры АО "Страховая компания Сентрас Эншуранс (TOO RealSoft)

Материал из IT KZ Association
Перейти к: навигация, поиск

Назначение

Проанализировать текущую ИТ инфраструктуру  и выдать рекомендации по оптимизации. Проанализировать текущую модель безопасности. 

Краткое описание

Серверная инфраструктура, Active Directory, почтовый сервер, доступ в Интернет и правила файрволлов, подключение филиалов, сервера 1С, корпоративный портал, серверное помещение, сетевая инфраструктура.

Проведены анализы внешней безопасности, путем сканирования портов на проникновение. Проведенный анализ выявил множественные открытые порты на внешних адресах компании. Удалось определить не только открытые порты, но и какие ОС установлены за каждым открытым портом, что характеризует общий уровень безопасности как низкий. Так же, открытые порты способствуют сильному трафику и нагрузке на сетевые интерфейсы сервера-шлюза. Замечание было учтено и на момент завершения аудита порты были заблокированы.

Проведен анализ технического состояния СКС на месте, все замечания были учтены и СКС, и, соответственно ЛВС, были переработаны на момент завершения аудита.

Основным документом - подтверждением по завершении аудита стал документ "План мероприятий УСА" который включал в себя исчерпывающие инструкции и план действий структурных подразделений АО «Страховая компания «Сентрас Иншуранс» в случае отказа основных магистралей связи и электромагистрали.

Среда функционирования и использованные инструменты

Windows 2008 R2 x64, ЛВС

Уровень казахстанского содержания

100%

Где внедрено/Заказчик

АО "Страховая компания Сентрас Эншуранс"

Год создания

2013

Область применения опыта

Аудит — это процедура независимой оценки деятельности организации, системы, процесса, проекта или продукта

Опираясь на общепринятые практики и методологии, можно сказать, что ИТ-аудит — это процесс, осуществляемый в интересах заказчика аудита (а они бывают разные), в рамках которого происходит следующее:

  • определение задач, границ, объектов, ресурсов обследования и формирование плана аудита;
  • определение критериев оценки и формирование программы оценки, направленной на устранение рисков для бизнеса;
  • запрос, получение, верификация и качественная оценка данных, собранных в процессе аудита;
  • формирование итоговой оценки в виде независимого аудиторского заключения;
  • выработка рекомендаций, направленных на снижение уровня рисков, зависящих от ИТ; повышение уровня зрелости системы процессного управления ИТ; повышение вклада ИТ в достижение бизнес-целей.

Таким образом, профессиональное решение вышеописанных задач и выражение компетентного мнения — оценка текущего состояния и рекомендации по усовершенствованию ИТ-инфраструктуры — является сутью ИТ-аудита. Описанный уровень аудита направлен на обследование процессной деятельности в ИТ и приемлем в организациях, имеющих достаточно развитую структуру управления в ИТ.

Резюмируя, аудит в ИТ происходит как на процессном так и на техническом уровне и позволяет оценить степень соответствия исследуемых объектов заданным критериям; выявить потенциальные риски, зависящие от ИТ; получить рекомендации по устранению этих рисков. Его не стоит бояться и его необходимо проводить — эффективно и с максимальной выгодой для своего бизнеса.

Способ поставки

Услуги

Разработчик

TOO "RealSoft"

Зарубежные аналоги