gru 18, 2018 admin No Comments

Mówiąc o audycie informatycznym, w pierwszej kolejności musimy przytoczyć jego definicję:

„Audyt informatyczny jest to proces zbierania i oceniania dowodów w celu określenia czy system informatyczny i związane z nim zasoby właściwie chronią majątek, utrzymują integralność danych i dostarczają odpowiednich i rzetelnych informacji, osiągają efektywnie cele organizacji, oszczędnie wykorzystują zasoby i stosują mechanizmy kontroli wewnętrznej, tak aby dostarczyć rozsądnego zapewnienia, że osiągane są cele operacyjne i kontrolne, oraz że chroni się przed niepożądanymi zdarzeniami lub są one na czas wykrywane a ich skutki na czas korygowane”

Audyt jest przeprowadzany w celu pozyskania ogólnej informacji o stanie posiadanej infrastruktury informatycznej (bezpieczeństwie, legalności, zabezpieczaniu przed ewentualnymi awariami), który stanowi podstawę do oceny pracy działu informatycznego firmy, bądź w przypadku korzystania z outsourcingu informatycznego firmy, która te usługi świadczy.

Proponowany zakres audyt obejmować będzie kluczowe elementy infrastruktury informatycznej:

  • analizę architektury sieci:
    • Zabezpieczenie urządzeń sieciowych (switche, routery), weryfikacja złożoności haseł dostępowych oraz fizyczne zabezpieczanie przed nie autoryzowanym dostępem.
    • Odseparowanie od siebie sieci w poszczególnych działach w firmie poprzez VLAN.
    • Weryfikacja zdalnego dostępu przez VPN do zasobów firmy przez pracowników.
    • Weryfikacja posiadania schematu sieci.
  • analizę systemu backupowego:
    • Harmonogram wykonywania kopii bezpieczeństwa.
    • Fizyczne zabezpieczenie nośników, na których backup jest trzymany.
    • Weryfikacja zasobów objętych backupem.
    • Weryfikacja posiadania procedury wykonywania kopii bezpieczeństwa oraz procedury odzyskiwania środowiska w przypadku awarii.
  • analizę zabezpieczenia antywirusowego serwerów oraz stacji roboczych;
  • analizę środowiska serwerowego:
    • serwerownia,
    • wyposażenie (klimatyzacja, czujniki temperatury, systemy gaszenia etc.),
    • awaryjne zasilanie serwerów oraz zautomatyzowanie sposobu zarządzania serwerami w przypadku przerwy w dostawie prądu,
    • zabezpieczenie sprzętowe przed wystąpieniem awarii – redundancja sprzętowa,
  • analizę stacji roboczych:
    • weryfikacja uprawnień jakie użytkownik posiada na stacji roboczej,
    • łatwość dostępu do stacji przez osoby nieuprawnione (logowanie, złożoność i ważność haseł),

Następstwem przeprowadzenia audytu jest sporządzenie raportu. Raport przeznaczony jest dla osób zarządzających firmą.

Rekomendacje zmian.

  • Krytyczne (zmiany, które maja wpływ na bezpieczeństwo sieci, danych itp.) są to te zmiany, które powinny być wprowadzone natychmiast.
  • Opcjonalne – po zapoznaniu się ze sposobem działania firmy, można zaproponować rozwiązania wpływające na poprawienie wydajności pracy.

W ZWIĄZKU Z PROMOCJĄ AUDYT ORAZ RAPORT JEST CAŁKOWICIE DARMOWY