Eksploatacja zasobów informatycznych przedsiębiorstwa

Diagnozowanie stanu obecnego Audyt systemu

Audyt systemu informacyjnego Proces gromadzenia informacji na temat funkcjonowania i zasobów komputerowych Przegląd, kontrola i wykrywanie działań bezprawnych Proces, w którym niezależna jednostka gromadzi i ocenia dowody o różnicach między wartością wskaźników mierzalnych a ustalonymi kryteriami [Bruce, Dempsey 1997]

Kroki postępowania w procesie kontrolnym Ustalenie stanu obowiązującego (wzorce kontrolne), Ustalenie stanu rzeczywistego, Porównanie stanu rzeczywistego ze stanem pożądanym, Badanie przyczyn, źródeł i warunków, które wywołały odchylenia, Wskazanie dróg usprawnienia, Wykorzystanie pozytywnych rozwiązań dla usprawnienia podobnych działań w innych komórkach organizacyjnych.

Porównywanie Stanu środków z ewidencją, Czynności z zapisami, Wykonania zadań z obowiązującymi przepisami, Zachowań z ustalonymi i unormowanymi zachowaniami, Wartości cech zjawisk z ustaleniami i normami.

Uzasadnienie przeprowadzenia audytu informatycznego Ze względu na wysokie koszty systemu, W celu rozpoznania ogólnego poziomu zabezpieczeń w przedsiębiorstwie, W celu wpajania zdyscyplinowanego podejścia do zabezpieczeń, W celu ułatwienia identyfikacji aplikacji i systemów krytycznych.

Zakres audytu Dane,Oprogramowanie,Procedury, Technika informatyczna, Personel działu informatycznego, Dokumentacja.

Poziomy prowadzenia audytów Zalecenia: ISACF (Information Systems Audit and Control Foundation): Poziom I – zadań, które generują mierzalne efekty, Poziom II – procesów (serii połączonych zadań), Poziom III – domeny obejmujące grupy procesów.

Domeny funkcjonalne Planowanie strategii informatyzacji, Akwizycja i wprowadzanie rozwiązań techniki informatycznej, Dostarczanie i instalowanie systemów, Monitorowanie systemów i ocena zastosowań techniki informatycznej.

Techniki przeprowadzania audytów Testy zgodności – dla weryfikacji poprawnego wykonania procedur przetwarzania lub procesów rejestracji danych, Testy uzasadniające – dla analizy rzeczywistych danych.

Kontrola typowych procedur Wykorzystania oprogramowania i praw autorskich, Zakupu oprogramowania, Instalowania oprogramowania, Przeprowadzania szkoleń, Indywidualnego wykorzystania oprogramowania, Wymiany i likwidacji oprogramowania.

Audyt jako narzędzie identyfikacji finansów IT Elementów (aktywów) systemów informacyjnych, które są użyteczne, przydatne i w pełni funkcjonalne, Elementów, które są niezbędne, ale wykorzystywane są poniżej standardu i wymagają częściowej odnowy, Elementów, które stanowią nadwyżki i muszą być usunięte, Brakujących elementów, które muszą zostać zakupione.

Cechy poprawnych audytów Stosowność,Bezstronność, Obiektywizm oceny, Powtarzalność,Niezależność:  Od audytowanego podmiotu,  Od zespołu odpowiedzialnego za system,  Od decydenta/sponsora informatyzacji.

Inwentaryzacja oprogramowania Wykorzystywane oprogramowanie, Oprogramowanie kluczowe w przedsiębiorstwie, Zarządzanie licencjami, Procesy doskonalenia (zakupów, wymiany, itp.) wykorzystywanego oprogramowania, Zabezpieczenia, autoryzacja itd. Zabezpieczenia, autoryzacja itd.

Inwentaryzacja oprogramowania - przykład Krok 1 – klasyfikacja oprogramowania:  Oprogramowanie wspomagające procesy biznesowe,  Oprogramowanie systemowe i narzędziowe, Krok 2 – opis oprogramowania:  Szczegółowy opis głównych aplikacji: producent, zastosowanie, funkcjonalność, informacje techniczne,  Opis zastosowania biznesowych aplikacji dodatkowych,  Zestawienie oprogramowania systemowego i narzędziowego, Krok 3 – zarządzanie licencjami:  Zestawienie ilości posiadanych licencji oprogramowania z podziałem zgodnym z klasyfikacją,  Zestawienie (wstępne) potrzeb w zakresie zakupu (odnowienia) licencji.

Inwentaryzacja oprogramowania - przykład cd. Przykładowe zestawienie informacji o oprogramowaniu Lp.GrupaNazwaPrzeznaczenieAutorJęz. Program 1.AASImportAplikacja do wymiany danych pomiędzy bazą danych Synergy oraz Exact Globe 2003; dane w formacie XML. ExactC++ 2.DHurtWystawianie faktur, WZ, potwierdzanie zamówienia, rejestracja płatności, projektantów i kojarzenie ich z zamówieniami (prowizje). Opracowanie wewnętrzneDelphi

Inwentaryzacja oprogramowania - przykład cd. Systemy operacyjne użytkowane w przedsiębiorstwie:  Serwery: Windows 2003 Serwer, Windows 2000 Serwer, Windows NT 4.0 Serwer,  Stacje robocze: Windows XP Professional, Windows NT 4.0, Używane oprogramowanie narzędziowe:  Check Point SecurePlatform – firewall VPN,  8e6 Xstop – oprogramowanie filtrujące dla sieciowego ruchu z internetu,  Kaspersky Anti-Virus for Checkpoint Firewall-1 – oprogramowanie filtrujące przeciwwirusowe,  Trend Micro ScanMail Suite dla Microsoft Exchange – oprogramowanie przeciwwirusowe dla MS Exchange,  Computer Associates InOculateIT (e-Trust) – oprogramowanie przeciwwirusowe dla komputerów użytkowników,  Veritas Backup – oprogramowanie do wykonywania zapasowych kopii danych.

Inwentaryzacja oprogramowania - przykład cd. Przykładowe zestawienie informacji o posiadanych licencjach Lp.NazwaProducentIlość posiadanych licencji Ilość wykorzystywana UWAGI 1. Windows XP Professional Microsoft Planowany zakup 20 licencji – styczeń Norton AntywirusSymantec Na pozostałych stacjach MKS-vir – planowana wymiana na NAV grudzień AutoCAD 2004Autodesk510 5 instalacji próbnych 30 dniowych – planowany zakup 5 licencji

Inwentaryzacja sprzętu Użytkowany sprzęt:  Serwery,  Stacje robocze,  Drukarki,  Urządzenia pomocnicze, Infrastruktura:  Urządzenia sieciowe,  Okablowanie,  Urządzenia pomocnicze.

Inwentaryzacja sprzętu - przykład Podstawowe informacje o serwerach Wszystkie serwery zbudowane są w technologii rack mount. Większość wyposażona jest w dwa procesory, na ogół Intel Xeon-A (2400 MHz), ewentualnie Pentium IIIE (933 MHz). Podsystemy dyskowe serwerów łączu SCSI w technologii hot-swap, w najważniejszych serwerach dyski w macierzach RAID. Pamięć operacyjna serwerów ma kontrolę i korekcję błędów (ECC). Podstawowe informacje o stacjach roboczych Pentium III 1,5 GHz, 254 MB RAM, 60 GB HDD – standard (90%), pozostałe stacje bardzo zróżnicowane, Informacje o urządzeniach dodatkowych Drukarki HP laserowe (seria LJ2200) 80% - pozostałe, plotery atramentowe HP.

Inwentaryzacja sprzętu - przykład cd. Opis ogólny infrastruktury XXXXX Sp. z. o.o. ma dwie sąsiadujące lokalizacje: w NNNN oraz ZZZZ. Połączone są one w jedną sieć lokalną. Pozostałe jednostki organizacyjne łączą się z centralą poprzez stałe łącza internetowe. Centrum sieci stanowi centrum przetwarzania danych w NNNN. Połączenia pomiędzy budynkami w NNNN oraz pomiędzy lokalizacją w YYYY i ZZZZ zbudowane są na światłowodach o przepływności 1 Gbps. Łącza światłowodowe tworzą gigabitowy szkielet sieci lokalnej. Do szkieletu podłączone są serwery poprzez przełączniki Intel 530-T, 535-T oraz D-Link 3226 i 3326S. Cały ruch internetowy z i do systemu przechodzi przez jeden punkt wejścia do sieci wewnętrznej, gdzie jest ściśle kontrolowany. Połączenie systemu IT Internetem odbywa się poprzez dwa radiowe łącza o przepływności 2 Mbps każde. Ponadto na stałe zestawione jest łącze VPN do firmy AAAA, która na zasadzie outsourcingu świadczy usługi zdalnego nauczania dla użytkowników systemu PRODUCENT.

Inwentaryzacja sprzętu - przykład cd. Przykładowe zestawienie informacji o wykorzystywanym sprzęcie Nazwa serweraSerwer1 PrzeznaczenieAplikacja Inżynier Producent płyty głównejIntel BIOSAMI (03/13/03) ChipsetIntel Plumas-533 E7501 Procesor/yDual Intel Xeon-A, 2400 MHz Pamięć RAM3840 MB (2x 1024 MB/266 MHz ECC, Zainstalowane dyskiSEAGATE ST336607LC SCSI Disk Device (34 MB) Organizacja dyskówRAID-1 Partycje C: (NTFS) MB (7576 MB free) D: (NTFS) MB (32172 MB free) Zainstalowane karty siecioweIntel(R) Advanced Network Services Prędkość połączenia z siecią100 Inne urządzeniaATI RAGE XL PCI Family (8 MB) System operacyjnyMicrosoft Windows Server 2003, Standard Edition OS Service PackNone Inne