Аудит системы инвентаризации оборудования

Система инвентаризации включает в себя совокупность регламентов проводимых работ, технических средств и программного обеспечения. Такая система позволяет поддерживать ресурсы организации в актуальном виде и избежать лишних затрат. Инвентаризируется не только оборудование, но и применяемое в организации программное обеспечение. При проведении аудита системы инвентаризации осуществляется в первую очередь проверка ее целостности и непротиворечивости.

Необходимость проведения аудита заключается в признании процесса инвентаризации достоверным, полностью отображающим состояние ресурсов организации. В процессе инвентаризации участвует программное обеспечение. Например, 1С: Предприятие 8. Инвентаризация и управление имуществом, Total Network Inventory. Нарушение работоспособности или искажение данных такого ПО приводит к частичному или полному отказу возможности контроля состава и состояния оборудования, т.е. возникает сложность контролировать объекты информатизации. Это, как правило, приводит к приостановлению бизнес-процессов и финансовым потерям.

В качестве простейшего примера, требующего стороннего аудита, можно привести случай, когда осуществляется умышленное уменьшение количества оборудования материально ответственными лицами.

Для чего нужен аудит систем инвентаризации оборудования

Проведение аудита инвентаризации оборудования в конечном счете позволяет выработать отлаженную систему учета, элементы которой выполняют свои функции и позволяют осуществлять контроль описанных объектов. Этого можно добиться как доработкой текущей системы, так и внедрением новой. Отдельной задачей является защита данных и программного обеспечения.

Проведение инвентаризации (ведение учета объектов и ресурсов) необходимо осуществлять финансовым организациям, например:

• Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;

Необходимость проведения инвентаризации своего оборудования, а также программного обеспечения, имеется не только у финансовых организаций, которым выставлены особые требования, но и любым другим. Существуют общие правила для осуществления таких процессов:

• Приказ от 13 июня 1995 г. N 49 «Об утверждении методических указаний по инвентаризации имущества и финансовых обязательств»

Как проходит аудит

При проведении аудита системы инвентаризации, рассматриваются все элементы самой системы, а также сопровождающие факторы:

• ПО и устройства, применяемые в процессе инвентаризации (Total Network Inventory, Spiceworks, сканеры штрих-кодов, терминалы сбора данных);
• Документы, регламентирующие процесс и фиксирующие факт учета оборудования, а также действия сотрудников (инструкции, регламенты, журналы учета, акты);
• Сотрудники, ответственные за проведение инвентаризации и участие в перемещении оборудования (приказы о назначении);
• Источники поставки оборудования (договор, соглашение);
• Местоположение оборудования (офис, ЦОД, иное).

Сбор таких данных дает целостную картину системы инвентаризации, что позволяет провести более тщательную проверку системы.

Также определяется соответствие фактической деятельности тем действиям, которые регламентированы документацией. Осуществляется проверка действий лиц, проводящих инвентаризацию.

При проверке определяются недостатки в системе, препятствующие проведению контроля состава и состояния оборудования.

Основные этапы проведения

Для начала осуществляется сбор исходных данных для анализа архитектуры системы. Это позволяет увидеть структурные недостатки. Затем определяются детальные уязвимости в системе (недостающие документы, некорректная работа устройств и т.п.). Следующий этап представляет собой помощь в налаживании процесса. К примеру, разрабатывается пакет документов, соблюдение которых выстраивает порядок проведения учета оборудования. Это минимизирует потенциальные риски безопасности системы инвентаризации.

На основании проведенного аудита выносятся рекомендации по совершенствованию и налаживанию процесса инвентаризации.
Период выполнения аудита предполагает выполнение сроком 3-5 недель.

Результаты аудита

Результатом аудита является отчет о проделанной работе, включающий:

• Описание исходных данных;
• Определение уязвимостей в системе безопасности процесса инвентаризации;
• Рекомендации к совершенствованию и налаживанию процесса инвентаризации.

Почему RTM Group?

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности
• Аудиты проводятся экспертами обладающими большим опытом проведения оценки соответствия по 382-П, авторами профессиональных курсов по банковской безопасности, включая 382-П и ГОСТ 57580.1
• Мы обладаем лицензиями:
  • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
  • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
  • Лицензия ФСБ России на работу со средствами криптозащиты