Казалось бы, бессмертному произведению Гоголя уж скоро 200 лет, а фраза «К вам едет ревизор!» до сих пор вгоняет в ступор многих руководителей. Причина проста: в бесконечной круговерти дел они зачастую утрачивают контроль над элементарными вещами. То же относится и к департаменту информационных технологий. В этой статье мы рассмотрим элементы проведения ревизии с помощью продукта Kaspersky Endpoint Security для бизнеса 10. Уже давно стоит принимать во внимание, что антивирус KESB 10 — инструмент для работы не только администратора безопасности, но и ИТ-аналитика.
Проверка программных средств
Попробуйте уточнить у начальника подразделения ИТ, какое программное обеспечение установлено в организации на рабочих станциях. Вероятно, вы либо не узнаете ничего, либо услышите в ответ стандартные фразы. Как дело обстоит на самом деле, как правило, не знает никто. Почему?
Программное обеспечение часто устанавливается службой технической поддержки, администраторами, а в случае, если пользователь имеет права локального администратора, то и самим пользователем. Естественно, порядка при таком раскладе просто не может быть. Так как же правильно ответить на вопрос о составе имеющегося в наличии программного обеспечения?
РЕВИЗИЯ
Для точного ответа необходимо провести инвентаризацию установленных программ. Учтите, что это процесс небыстрый, даже если вы сумеете его правильно автоматизировать. Так как инвентаризация требует значительных ресурсов, то проводить ее, естественно, нужно маленькими шагами.
На сегодня в Kaspersky Security Center 10 представлены три набора функций: антивирусная защита, компоненты контроля и шифрование. Доступность компонентов зависит от типа лицензии. Так как компоненты контроля не входят в базовый набор функций, их настройки по умолчанию не отображаются в консоли администрирования (см. экран 1).
.jpg) |
| Экран 1. Интерфейс консоли администрирования |
Для того чтобы изменить настройки компонентов контроля в политике, вы должны активировать соответствующие элементы интерфейса консоли администрирования. Для этого необходимо в окне настроек интерфейса щелкнуть ссылку «Настроить функциональность, отображаемую в пользовательском интерфейсе», расположенную в разделе «Сервер администрирования» на экране «Начало работы». В окне настроек интерфейса следует установить флаг «Отображать компоненты контроля программ и устройств». После этого нужно перезапустить консоль администрирования.
Задача инвентаризации
По умолчанию такая задача не создается. Это означает, что в список исполняемых файлов попадут только те, которые запускались на компьютерах, а следовательно, может пройти немало времени, пока нужная вам программа станет доступной в списке на сервере администрирования. Чтобы долго не ждать, следует создать и запустить задачу инвентаризации (см. экран 2).
Ревизия. В чем отличие от инвентаризации. Как сделать.
.jpg) |
| Экран 2. Реестр программ |
Эту задачу решает продукт Kaspersky Endpoint Security для бизнеса, и она относится как к групповым задачам, так и к задачам для наборов компьютеров. В случае стандартных настроек задача выполняет поиск исполняемых файлов в каталогах:
- %SysytemRoot%
- %ProgramFiles%
- %ProgramFiles (x86)%
Этот список проверяемых папок можно изменять или дополнять. Информация о найденных файлах доступна в контейнере «Исполняемые файлы сервера администрирования». С помощью данной задачи вы можете обнаружить исполняемые файлы внутри архивов и установочных пакетов (см. экран 3).
.jpg) |
| Экран 3. Управление программами |
Следует учесть, что поиск исполняемых файлов сопровождается вычислением их контрольных сумм, что, естественно, снижает быстродействие компьютеров. Для экономии ресурсов можно отключить проверку файлов, которые не изменялись. Информация об изменениях поставляется в рамках технологии iSwift и не требует почти никаких вычислений.
В результате продолжительной работы вы получите полный список установленного в вашей компании программного обеспечения, причем не только по названию и производителю, но и с учетом используемых версий. Я не удивлюсь, если этот список вас немало озадачит, и более того, скорее всего, выяснится, что далеко не все установленное у вас программное обеспечение вам действительно необходимо (см. экран 4).
.jpg) |
| Экран 4. Категории программ |
Ревизия аппаратного обеспечения
На самом деле ревизия аппаратного обеспечения в департаменте ИТ, как правило, если и проводится, то достаточно формально. В лучшем случае учитывается объем оперативной памяти и свободное место на жестком диске. Реальная же картина состояния аппаратного обеспечения чаще всего отсутствует, так как для ее формирования нужно приложить немало усилий.
В действительности эта задача довольно просто решается с помощью Kaspersky Endpoint Security для бизнеса. Единственное, что вам потребуется, — это лицензия на использование компонента System Management, которая входит в состав Kaspersky Endpoint Security для бизнеса уровня Расширенный.
Основная задача реестра аппаратного обеспечения — предоставить администратору информацию об аппаратном обеспечении компьютера. Используя эту информацию, администратор может находить компьютеры, на которых мало оперативной памяти или недостаточный объем жесткого диска. Также администратору будет полезна информация, например, о компьютерах со старой версией операционной системы
Сведения об аппаратном обеспечении на клиентских компьютерах собирает агент администрирования; он передает ее серверу. Просмотреть информацию об аппаратном обеспечении можно в свойствах каждого компьютера в разделе «Информация о системе, Реестр оборудования».
Для получения сводной информации об аппаратном обеспечении на всех клиентских компьютерах необходимо воспользоваться шаблоном отчета — отчетом о реестре оборудования. По каждому компьютеру в таблице отображается детальная информация, а также есть сводка по всем устройствам. В отчете, как и в свойствах компьютера, отображается такой немаловажный параметр, как свободное место на диске.
Утилита глобального поиска компьютеров на сервере администрирования позволяет искать компьютеры по наличию устройств определенного типа, производителя, по объему оперативной памяти или размеру диска, а также по версиям драйверов устройств и еще ряду параметров; также можно искать по версии операционной системы. Это делается на закладках «Оборудование» и «Операционная система». Для этих же целей можно использовать окно «Выборки компьютеров».
Таким образом вы сможете вовремя понять, на каких компьютерах нужно обновить драйверы или заменить определенные компоненты. А, возможно, и заменить компьютер целиком. Главное, что у вас будет постоянно обновляемый реестр аппаратного обеспечения.
Реестр оборудования
Следующим шагом в проведении ревизии является использование реестра оборудования. Фактически реестр оборудования — это централизованный реестр всех устройств, подключенных к корпоративной сети. Вся информация об обнаруженных устройствах отображается в контейнере «Оборудование» в узле «Хранилища» (см. экран 5).
.jpg) |
| Экран 5. Реестр оборудования |
Я не сомневаюсь, что у вас на предприятии существует и постоянно актуализируется карта корпоративной сети; при этом данные могут поступать из различных источников. В случае использования Kaspersky Endpoint Security для бизнеса это:
- Подсистема обнаружения компьютеров — сканирование сети Microsoft, сканирование Active Directory, сканирование IP-подсетей. Таким образом вы сможете обнаруживать компьютеры, сетевые принтеры и другие сетевые устройства.
- Управление мобильными устройствами — передает информацию о мобильных устройствах, подключенных к серверам мобильных устройств (см. экран 6).
- Контроль устройств в составе Kaspersky Endpoint Security для бизнеса — предоставляет информацию об устройствах, подключенных к клиентским компьютерам.
.jpg) |
| Экран 6. Управление мобильными устройствами |
Фактически в контейнере «Оборудование» отображаются:
- компьютеры;
- мобильные устройства (см. экран 7);
- сетевые устройства;
- периферийные устройства;
- сменные носители;
- IP-телефоны;
- сетевые хранилища.
.jpg) |
| Экран 7. Мобильные устройства |
Как видите, решение задачи проведения ревизии существует, и более того, выполнение таких ревизий — совсем не сложное дело.
Источник: www.osp.ru
7.2.6 Процесс ревизии программных средств
«ГОСТ Р ИСО/МЭК 12207-2010. Национальный стандарт Российской Федерации. Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств» (утв. и введен в действие Приказом Росстандарта от 30.11.2010 N 631-ст)
7.2.6 Процесс ревизии программных средств
Цель процесса ревизии программных средств заключается в поддержке общего понимания с правообладателями прогресса относительно целей соглашения и того, что именно необходимо сделать для помощи в обеспечении разработки продукта, удовлетворяющего правообладателей. Ревизии программных средств применяются как на уровне менеджмента проекта, так и на техническом уровне и проводятся в течение всей жизни проекта.
В результате успешного осуществления процесса ревизии программных средств:
a) выполняются технические ревизии и ревизии менеджмента на основе потребностей проекта;
b) оцениваются состояние и результаты действий процесса посредством ревизии деятельности;
c) объявляются результаты ревизии всем участвующим сторонам;
d) отслеживаются для закрытия позиции, по которым необходимо предпринимать активные действия, выявленные в результате ревизии;
e) идентифицируются и регистрируются риски и проблемы.
7.2.6.3 Виды деятельности и задачи
При реализации проекта необходимо осуществлять следующие виды деятельности в соответствии с принятыми в организации политиками и процедурами в отношении процесса ревизии программных средств.
7.2.6.3.1 Реализация процесса
. Порядок составления программы ревизии.
Программа разрабатывается на основе действующего инструктивного материала и опыта, накопленного ревизующим органом. Программу утверждает начальник ревизующего органа или заказчик.
В разделе «Цель ревизии» формулируются главные задачи ревизии, например: анализ финансового состояния акционерного общества,; проверка законности и эффективности использования внеоборотных активов. Перечисляются объекты ревизии, например: акционерное общество; его дочерние предприятия и ‘филиалы. Часто в данном разделе приводится перечень структурных подразделений организации.
В разделе «Вопросы, подлежащие проверке» перечисляются направления финансово-хозяйственной деятельности организации, например, могут быть перечислены внеоборотные активы: основные средства; капитальные вложения; ценные бумаги; вложения в уставный капитал; оборудование к установке.
В разделе «Средства и условия, необходимые для проведения ревизии» содержатся перечень оргтехники, средств связи и доставки, условия проживания, время работы и др.
В разделе «Сроки и место исполнения» указываются время начала и окончания ревизии,промежуточные контрольные сроки, место расположения объектов ревизии.
В разделе «Состав участников ревизии» дается перечень лиц, допущенных к проведению ревизии. Отдельно может быть составлен перечень лиц, имеющих допуск к конфиденциальной информации.
Состав участников ревизии оформляется постановлением государственного органа или приказом по организации, который устанавливает также срок ревизии.
Подготовка ревизоров к ревизии завершается инструктивным совещанием, которое проводит руководитель ревизии.
В разделе «Формы документального оформления ревизии» приводятся образцы описей, актов, ведомостей, форма итогового акта ревизии.
Оптимальным сроком проведения ревизии и аудита следует считать 15-20-30 дней. Руководителю бригады он может быть продлен для завершения подготовки материалов проверки и принятия участия в его обсуждении. Для тематических проверок, во время которых проверяются лишь некоторые участки работ, сроки проведения целесообразно устанавливать короче. Это окажет положительное влияние на деятельность проверяемой компании, а также будет способствовать повышению производительности труда и позволит при таком же количестве проверяющих провести больше проверок и с лучшим их качеством.
Вопросы, включенные в программу, излагаются в определенной последовательности, обеспечивающей не только, всестороннюю проверку деятельности ревизуемого учреждения или компании, но и их системность, способствующую выявлению фактов нарушений, причин, определения их последствий. В этом случае перечисленные нарушения являются следствием производства и отгрузки недоброкачественной, нестандартной и некомплектной продукции. При обеспечении последовательности проведения проверок, аналогичной ходу производственной и финансово-хозяйственной деятельности, согласованности действия всех проверяющих, ибо. Как правило, разобщенные, разрозненные, несогласованные с контрольным аппаратом действия специалистов далеко не всегда достигают цели.
План ревизии. На основе программы составляется план ревизии, который привязан к специфике конкретной организации, структуре ее управления, географическому расположению имущества, графику работы. Поэтому план составляется на месте ревизии.
В рабочем плане указываются перечень работ, подлежащих выполнению во время проведения ревизии, способ проверки (сплошной или выборочный) и сроки выполнения.
План ревизии должен обладать определенными характеристиками.
Действенность. В плане должны содержаться точные указания на исполнителей, сроки ревизионных мероприятий. Такой план позволяет контролировать эффективность работы ревизоров.
Конкретность. Вопросы программы, подлежащие проверке, в плане конкретизируются «до такого вида, чтобы можно было определить срок выполнения и назначить исполнителей. Например, программой предусмотрено проверить состояние хранения готовой продукции; вопрос программы в плане может быть отражен следующим образом.
1. Проверить обеспеченность организации складскими помещениями и их состояние.
2. Выявить нарушения в движении первичных документов и заполнении регистров бухгалтерского учета.
3. Проверить соблюдение установленного порядка складирования готовой продукции.
- Выявить факты порчи готовой продукции на складах.
- Выявить факты хранения готовой продукции вне складов.
- Выявить факты хранения неучтенной продукции.
Реальность. План выверяется с точки зрения реальных возможностей выделенных для ревизии людей и материальных ресурсов.
В нем предусматривается возможность привлечения к ревизии дополнительных ресурсов.
Например, нельзя провести инвентаризацию крупного склада без привлечения рабочих, по мере пересчета переносящих ценности в помещении.
Гибкость и мобильность. В ходе ревизии план совершенствуется, дополняется, уточняется. Если бы план, составленный в начале ревизии, оставался неизменным и не корректировался по мере выявления фактов нарушений и злоупотреблений, ревизия не могла бы быть успешной.
Источник: studfile.net