Close

IT Аудит

IT аудит

Що таке IT аудит?

IT аудит – це незалежна перевірка, експертиза, аналіз, оцінювання поточного стану IT-середовища або IT-інфраструктури, її сильних та слабких сторін з точки зору ефективності, цілісності, захищеності, стабільності, надійності, результативності та інших критеріїв.

В результаті IT-аудиту аудитор формує чесні та компетентні висновки і рекомендації, спираючись на зібрані факти і джерела, документи, нормативно-правову базу, міжнародні і державні стандарти, довідники, програмне забезпечення та численні правила, фреймворки, протоколи, положення тощо.

Основна мета IT-аудиту полягає в тому, щоб допомогти власнику зрозуміти, як працює його інформаційна система (ІС), як її можна покращити та як знизити ризики інформаційної безпеки.

Аудит включає такі методи і техніки як: аналіз, синтез, індукція, дедукція, аналогія, конкретизація, моделювання, абстрагування, критичне мислення, опитування, сканування, валідація, системний аналіз. Найвідомішими стандартами в галузі IT-аудиту є: ISACA, ISO/IEC 27001, ITILv3, COBIT5, PRINCE2, PMBOK, NIST, PCI-DSS, SOC-2, SOX, HIPAA, OWASP та інші.

Слово “аудит” походить від латинського “audio” – чути, слухати. У давнину першими аудиторами (“auditor”) ставали грамотні та освічені люди, які заслуховували різну інформацію та формували усні висновки, проводили опитування, ревізії господарств, розслідували різні випадки, контролювали ділові відносини, писали звіти. Згадки про найдавніших аудиторів знаходимо в джерелах Стародавньої Греції, Риму, Єгипту, Вавилону. Прийнято вважати, що аудитор як професія склалась у Великобританії XVIII-XIX століття.

Концепція та практика аудиту інформаційних технологій зародилися ще у 1960-х роках. В США існує Інститут Внутрішніх Аудиторів (The Insitute of Internal Auditors, IAA) – це міжнародна професійна асоціація, котра проводить освітні конференції та розробляє стандарти, інструкції та сертифікати для проведення внутрішнього аудиту. В Україні IT аудит почав проводитися на початку 1990-х, з поступовою популяризацією комп’ютерних та мобільних пристроїв, розвитком IT-індустрії. У 1992 році була заснована Спілка Аудиторів України (САУ), а у 1993  – Аудиторська палата України (АПУ).

ІТ Аудит за характером виконанням умовно можна класифікувати на наступні типи:

  1. Зовнішній аудит – це аудит, при якому аудитор здійснює перевірку конкретної цілі, спираючись на дані з відкритих джерел та отримані відомості від власника/замовника. Допуск до внунтрішнього середовища/інфраструктури не обов’язковий. Зовнішніми аудиторами виступають, зазвичай, незалежні IT-фахівці, консалтингові компанії.
  2. Внутрішній аудит – це аудит, при якому аудитор отримує допуск до внутрішнього середовища/інфраструктури компанії, установи чи організації з метою повномасштабної перевірки усіх IT-процесів та персоналу. Внутрішніми аудиторами можуть також виступати штатні працівники компанії.
  3. Частковий аудит – це аудит, при якому об’єктом стає не вся система, а лише якась одна окрема його частина, наприклад SSH-служба, VPN, VoIP або інше.
  4. Локальний аудит – це аудит, при якому перевіряється робота одного із пристроїв чи обладнання ІТ-інфраструктури, наприклад робочої станції, маршрутизатора, IP-камери і т.д.
  5. Технічний аудит – це перевірка технічних вузлів, апаратних і програмних засобів, характеристик і специфікації досліджуваної системи. Зазвичай, має вузьку технічну спеціалізацію.
  6. Аудит безпеки – це аудит, який проводиться з метою отримання загальної оцінки рівня безпеки, пошуку вразливих місць досліджуваного електронного ресурсу, інформаційної системи або електронно-обчислювального пристрою.
  7. Аудит відповідності – це аудит, який проводиться з метою проаналізувати відповідність досліджуваної системи, сайту чи компанії міжнародним та державним практикам, ліцензіям, стандартам, регламентам.
  8. Аудит бізнес-процесів – це аудит, при якому проводиться оцінка якості та ефективності усіх бізнес та фінансових процесів, програм, політик контролю та якості.
  9. Обстеження і експертиза – це аудит експерта з інформаційних технологій з метою виявлення фактів і причин тих чи інших обставин, ситуацій, операцій. Включає оцінку та рекомендації. Може бути використаний для пошуку шляхів виправлення, оптимізації або модернізації IT-системи. Побудовані у ході цього аудиту висновки можуть бути застосовані для проведення будь-яких інших робіт або в інших сферах.
  10. Комплексний аудит – це повномашстабний аудит, який має всеохоплюючу спеціалізацію – від аудиту апаратної частини до аудиту безпеки. Проводиться вивчення повністю усіх зв’язків, структури, архітектури досліджуваного об’єкту.

IT Аудит це не разова процедура, він повинен проводитися на регулярній основі, адже середовище інформаційних систем змінне – регулярно наповнюється, оновлюється, вдосконалюється. Постійно з’являються нові стандарти та ризики безпеки.

Компанія KR. Laboratories є професіоналами у сфері проведення IT аудиту. Застосовуємо більше 20-ти фреймворків та стандартів безпеки. У своїй роботі використовуємо ризик-орієнтований підхід. Зарекомендували себе як надійні партнери. Більше 10 років проводимо якісні аудити різних типів та видів. Фаховість наших спеціалістів підтверджується сертифікатами ISO 27001, CEH, OSCP та іншими. Нижче пропонуємо ознайомитись з повним переліком наших послуг з IT аудиту.

Послуги IT аудиту

Аудит Linux

Аудит операційної системи Linux (Ubuntu, Debian, Arch, Mint, Manjaro, OpenSUSE та інших дистриб'ютивів). Збір технічних апаратних і програмних характеристик, системних логів (journalctl, auditd). Сканування вразливостей засобами Lynis, NixAuditor, Acunetix, OpenVAS, Tenable Nessus. Перевірка файлової системи і накопичувачів. Перевірка і аналіз мережевих інтерфейсів, пристроїв. Перевірка служб, репозиторіїв. Аналіз захищеності Linux, перевірка файєрволів: CSF, Fail2Ban, IPtables, ClamAV та інших.

Аудит Windows

Аудит операційної системи Windows. Аналіз технічних засобів захисту інформації, безпека і контроль доступу, управління сервісами, службами, драйверами, додатками. Аналіз політик і правил брандмауера, збір технічних характеристик, виявлення підозрілої вірусної активності. Інвентаризація облікових записів. Аналіз системних подій (Event Log Manangement) та журналів помилок. Моніторинг змін в системі.

Аудит Android

Аудит мобільних пристроїв і систем на базі операційної системи Android. Аналіз безпеки, шифрування, захисту ОС Android. Збір технічних характеристик, сканування вразливостей, перевірка дозволів. Аналіз APK та SDK компонентів. Аналіз процесів. Пошук витоків даних та шпигунських програм - троянів, бекдорів, рукткітів. Аудит каналів зв'язку (месенджерів). Аудит SMS/MMS, GPS, Wi-Fi, NFC, IMEI. Аналіз файлів конфігурації та системних журналів.

Аудит сайтів і веб-додатків

Аудит безпеки (Security Audit) сайтів і веб-додатків, технічний IT аудит, перевірка відповідності міжнародним стандартам. SAST і DAST сканування вразливостей. Аналіз шкідливого коду. Перевірка безпеки популярних CMS: WordPress, Joomla, Drupal, phpBB, OpenCart, Majento та інших. Аудит інтернет-магазинів, платформ, онлайн-сервісів. Підбір плагінів, модулів, компонентів та інших рішень для покращення захищеності і продуктивності сайтів і веб-додатків.

Аудит серверів

Аудит серверів Linux, файлових (FTP/WebDAV), поштових (MAIL), баз даних (MySQL), хмарних Cloud-платформ. Аналіз захисту серверної інфраструктури від DDOS-атак, BruteForce, ін'єкцій, спуфінгу. Аналіз конфігурації веб-серверів Apache, Nginx, LiteSpeed. Перевірка актуальності серверного програмного забезпечення, хостинг-панелей. Оцінка стану мережевих служб та інтерфейсів (DNS, TCP/IP). Сканування вразливостей на всіх рівнях OSI-моделі, підбір патчів. Аналіз відмовостійкості і ефективності серверів при навантаженнях. Рекомендації щодо оптимізації і модернізації серверної інфраструктури.

Аудит програмного забезпечення

Аудит та інвентаризація програмного забезпечення компаній, організацій, робочих місць, персональних ком'ютерів, серверів. Аудит навчального, офісного, ігрового, системного, прикладного ПЗ. Аналіз відповідності законодавству і галузевим стандартам. Облік інсталяцій, перевірка ліцензій та оновлень, дострупів і дозволів. Опис та комплектація ПЗ Аналіз розробників і постачальників ПЗ. Виявлення неавторизованого ПЗ та перевірка вихідного коду. Розробка плану закупівель та оновлення ПЗ, підготовка списку рекомендованих програм.

Аудит IoT-пристроїв та IT обладнання

Перевірка робочих станцій і серверів на підприємствах, організаціях, в продуктових і торгових компаніях, навчальних закладах. Аудит безпеки систем розумного дому (Smart House), бездротових Wi-Fi пристроїв, локальних LAN-мереж, роутерів, мікротіків, маршрутизаторів, модемів. Аудит систем відеоспостереження, дистанційного GPS--керування. Перевірка роботи офісної, комп'ютерної техніки. Аудит безпеки IoT пристроїв.

Аудит вихідного коду

Автоматизований, статичний, ручний аналіз вихідного коду HTML, CSS, Python, JavaScript, PHP, C/C++/C#, Perl, Go, Java. Аудит фреймворків: Laravel, Bootrstrap, Symphony. Аудит фронтенду і бекенду. Перевірка синтаксису, пошук логічних помилок, застарілих змінних, бібліотек, контролерів. Сканування і виявлення вкраплень шкідливого коду. Дослідження комп'ютерних вірусів, бекдорів, троянів. Моніторинг вихідного коду, відстеження змін. Валідація веб-коду, надання рекомендацій з безпеки, очищення та покращення якості коду. Аналіз Git-репозиторіїв. Аудит безпеки API-додатків.

Аудит кібербезпеки

Комплексний аудит безпеки IT. Перевірка конфіденційності, цілісності, доступності підприємств, об'єктів інфраструктури, сайтів, серверів. Пошук внутрішніх та зовнішніх кіберзагроз, інформаційних витоків, точок компрометації, несанкціонованого доступу. Сканування Backend та Fronted, виявлення вразливостей (Malware Analysis), реверс інженерія (Reverse Engineering). Інвентаризація програмних і апаратних засобів. Складання карти програмних та апаратних засобів. Оцінка захищеності, визначення відповідності галузевим державним та міжнародним стандартам, підготовка рекомендацій та звіту з кібербезпеки.

Аудит інформаційної безпеки

Аудит безпеки інформаційних систем (ІС). Локалізація слабких місць, пошук та виявлення недоліків в системах управління інформаційною безпекою (СУІБ). Аудит технічного захисту інформації (ТЗІ). Аналіз і перевірка алгоритмів шифрування даних. Аналіз політик конфіденційності, політик зберігання даних. Проведення розвідки з відкритих джерел (OSINT). HUMINT-аналіз персоналу. Моделювання загроз інформаційної безпеки. Підготовка рішень з контролю доступу і передачі інформації.

Аудит відповідності стандартам

Оцінка відповідності інформаційних систем кращим міжнародним стандартам. Перевірка відповідності регламенту з обробки персональних даних (GDPR). Аудит захисту медичних даних та аналіз впливу на здоров'я (HIPAA). Аудит захищеності фінансових операцій, кредитних карток, платіжних систем, POS-терміналів (PCI-DSS). Аудит згідно міжнародного стандарту ISO (27001, 9001, 17799). Аудит відповідності OWASP Top 10 та SANS Top 25. Аудит технологічної безпеки згідно NIST SP-800.

Аудит смарт-контрактів і Blockchain

Аудит безпеки розумних смарт-контрактів в системі децентралізованих фінансів (DeFi). Аналіз безпеки криптовалют та Blockchain-транзакцій. Огляд вихідного коду розумних контрактів та перевірка їх надійності. Аудит і оцінка захищеності криптовалютних бірж і технологій. Виявлення підроблених ідентифікаторів. Аудит безпеки криптографічних протоколів. Захист однорангових мереж від несанкціонованих майнерів та Sybil-атак. Дослідження децентралізованих програм і середовищ, криптоалгоритмів.

Етапи IT аудиту

01

Ініціювання і погодження аудиту

Замовник надсилає заявку, проходить опитування та підтверджує право власності на об'єкт дослідження. Підставою для проведення аудиту є двосторонній договір, у якому узгоджуються та фіксуються - мета, цілі і межі, формат і тип аудиту, всі необхідні доступи, відповідальність і обов'язки сторін, вартість та терміни виконання, а також будь-які інші організаційні та юридичні аспекти. Договір є основним документом, який засвідчує факт домовленості між замовником і аудитором.

02

Планування і підготовка

Підготовка необхідних ресурсів, інструментів, підбір методології. Вибір необхідного програмного забезпечення. Складання переліку цілей і необхідних доступів.Впорядковується наявна вихідна інформація по проєкту. Формується детальний покроковий план проведення аудиту. Чітко визначаються масштаби аудиту та будь-які інші особливості.

03

Збір та обробка даних

Підготовка необхідних ресурсів, інструментів, підбір методології. Вибір необхідного програмного забезпечення. Складання переліку цілей і необхідних доступів.Впорядковується наявна вихідна інформація по проєкту. Формується детальний покроковий план проведення аудиту. Чітко визначаються масштаби аудиту та будь-які інші особливості.

04

Оцінка ризиків та вразливостей

Експертний аналіз та оцінювання. Формування рекомендацій, висновків, гіпотез і обгрунтувань. Формується доказова база: документи, таблиці, графіки, файли, скріншоти. Аудитор готує професійні висновки та оціночні судження, базуючись на накопиченому фактажі і IT-методологіях.

05

Створення звіту

Останній етап аудиту. Звіт включає опис цілей та меж, в рамках яких проводився аудит безпеки, опис структури інформаційної системи замовника, методології і інструменти, які використовувалися аудитором, опис виявлених вразливостей і недоліків, включаючи рівень їх ризику, рекомендації та пропозиції щодо вдосконалення інформаційної системи. Звіт створюється у потрібному для замовника форматі (PDF, HTML, XLSX, DOC). Файл звіту захищений паролем та пересилається замовнику по захищеним каналам електронного зв'язку або передається особисто в руки. Після приймання звіту - замовник ставить свій підпис. Звіт є кінцевим документом, який свідчить про факт виконання аудиторської перевірки.

Переваги IT аудиту

Виявлення слабких місць, помилок, вразливостей
Покращення стабільності, ефективності, відмовостійкості та продуктивності
Покращення якості продуктів та послуг
Зменшення ризиків та мінімізація втрат

Покращення репутації і довіри користувачів

Оптимізація технічних процесів
Відповідність міжнародним стандартам та нормативним актам
Налагодження управліня ІТ-ресурсами
Нові шляхи вдосконалення та розвитку інфраструктури

Безпека і захист даних

Наші сертифікати

Ціна на IT аудит

Вартість IT аудиту може варіюватись та залежить від багатьох факторів, таких як: тип і масштаб аудиту, кількість цілей та етапів, кількість та обсяг перевірок, витрачений час і розходи на підготовку, наявність додаткових послуг, тип індустрії, у якій працює організація чи компанія, її розмір та галузь. Тому, зазвичай, ціна IT аудиту розраховується індивідуально для кожного замовника.

До прикладу, середня ціна аудиту веб-сайтів в Україні становить від 2000-15000 грн. Для серверів, робочих місць ця ціна може коливатись в межах 15000-50000 грн. Для IT-інфраструктури та інформаційних систем - 50000-100000 грн. Від чого залежить ціна? По суті, аудитор мусить перевірити річну роботу Вашого розробника, дизайнера, менеджера, адміністратора за максимально стислий термін. Окрім того, аудитор регулярно проходить курси підвищення кваліфікації та міжнародні сертифікації, відвідує науково-практичні конференції, купує літературу і програмне забезпечення за свій рахунок, вкладаючи кошти у розвиток. Тому професійний та якісний IT аудит не може бути дешевим. Остаточна ціна встановлюється попереднім обстеженням та закріплюється договором.

Найчастіші питання

Аудит і Тестування на проникнення – це різні види перевірки IT-інфраструктури, які мають різні стратегії, методології, концепції і виконують різні завдання. Аудит – це перевірка і оцінка інформаційної системи. Тестування на проникнення (Пентест) – це техніка етичного хакінгу, грубо кажучи “злам”, моделювання атак. Послуга тестування на проникнення надається нами окремо.

У 1993 році був прийнятий Закон України “Про аудиторську діяльність”, у якому визначені правові засади здійснення аудиторської діяльності. Також важливе значення мають документи і сертифікації Аудиторської Палати України (АПУ), міжнародні стандарти проведення аудиту (ISO/IEC, HIPAA, PCI-DSS, OWASP, NIST, COBIT, ITIL та інші).

Ні. Аудит – це строго регламентована процедура, яка включає лише збір інформації, перевірку та оцінку. Виправлення технічних помилок і несправностей, підтримка IT і системне адміністрування виходять за межі обов’язків аудитора та надаються як окремі послуги.

Зв'язатись з нами

Напишіть, обговоримо ваш проєкт.

Оформити заявку
Отримати комерційну пропозицію
Замовити консультацію
Замовити дзвінок

Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!