Аудит и документация ИТ-инфраструктуры: карта вместо догадок
ИТ-аудит — это структурное обследование инфраструктуры, процессов и рисков компании, на выходе которого появляется документация: схемы сети, перечень серверов и сервисов, владельцы, лицензии, договоры, риски, план развития. Звучит скучно, но без этого слоя любые крупные изменения — миграция, M&A, смена подрядчика, реагирование на инцидент — превращаются в долгое расследование.
Зачем это нужно бизнесу
Типичная картина в среднем бизнесе: ИТ-инфраструктура накапливалась годами, что-то ставил один админ, что-то — подрядчик, что-то — сам собственник «на коленке». В голове картина у нескольких человек, и каждая голова знает только свой кусок. Когда один из них уходит — компания теряет знания. Когда происходит инцидент — на сбор информации уходит больше времени, чем на починку. Когда заходит новый подрядчик — он первые месяцы «понимает, как тут всё устроено».
Аудит даёт три вещи. Первая — карта. Перечень оборудования, серверов, сервисов, лицензий, договоров с провайдерами и подрядчиками; схемы сети и обмена данными. Вторая — оценка рисков. Где нет бэкапов, где истекают лицензии, где торчат публичные порты, где роли совмещаются у одного человека, где зависимость от одного поставщика. Третья — план. Что надо сделать в первую очередь, что — в долгую, что можно отложить.
Это особенно важно перед крупными изменениями: миграция в облако, переход на новую ERP, внедрение Kubernetes, смена ИТ-аутсорсера, продажа или покупка компании (M&A, due diligence). Без аудита решения принимаются по ощущениям. С аудитом — по фактам.
Регуляторика добавляет вес. 152-ФЗ (персональные данные), 187-ФЗ (КИИ — критическая информационная инфраструктура), отраслевые требования банковского сектора, медицины, госсектора — все они предполагают наличие актуальной документации. Проверка без неё закончится предписанием.
Как это работает
Полный аудит делится на три этапа.
Этап 1 — обследование. Инвентаризация физической и виртуальной инфраструктуры (серверы, СХД, сетевое оборудование, рабочие места), сервисов (1С, почта, файловое хранилище, телефония, CRM, сайт), сетевой топологии, систем безопасности (антивирус, межсетевой экран, VPN, бэкап). Используются сканеры сети, агенты на хостах, ручные интервью с ответственными лицами, доступ к административным панелям. Параллельно описываются процессы: как подключаются новые сотрудники, как делаются бэкапы, как работает Service Desk, кто за что отвечает.
Этап 2 — анализ и оценка рисков. Каждый найденный объект и процесс оценивается с точки зрения рисков: безопасность, доступность, производительность, лицензионная чистота, зависимость от подрядчика, соответствие регуляторике. Риски ранжируются — высокие, средние, низкие — и описываются с конкретной формулировкой («устаревшее оборудование Cisco 28xx — нет вендорской поддержки, отсутствуют патчи безопасности, рекомендуется замена в течение 12 месяцев»).
Этап 3 — документирование и план. На выходе формируется набор документов:
- L1 — схема физической топологии сети и серверов (R-сеть, патч-панели, стойки, ИБП, кондиционеры).
- L2 — логическая схема сети (VLAN, маршрутизация, межсетевые экраны, политики).
- Перечень сервисов с владельцами и зависимостями (CMDB-минимум).
- Карта приложений: 1С, Битрикс24, Kubernetes, внутренние сервисы.
- Реестр лицензий и договоров со сроками и контактными лицами.
- Реестр рисков с приоритетом.
- План работ на 3 / 6 / 12 месяцев.
Документация хранится в живом формате — корпоративная вики, Confluence, BookStack, локальный Wiki.js. Бумажные «папки на полке» в современной практике не работают: они устаревают в день подписания. Документация в вики поддерживается актуальной в рамках ITIL Change Management: любое изменение в инфраструктуре требует апдейта схемы.
Когда нужно компании
Аудит и документирование нужны, когда:
- ИТ-инфраструктура копилась годами, ни у кого нет полной картины.
- Планируется крупное изменение: миграция в облако, переход на новую ERP, замена сетевого ядра, открытие филиалов.
- Меняется ИТ-подрядчик или ключевые сотрудники — нужно зафиксировать знания.
- Произошёл инцидент, в разборе которого выяснилось, что половина инфраструктуры не описана.
- Готовитесь к продаже или покупке бизнеса (due diligence требует ИТ-документацию).
- Подпадаете под 152-ФЗ, 187-ФЗ или отраслевые требования по документации.
- Внедряете ITIL и нужна стартовая CMDB.
Маленьким компаниям (до 10 рабочих мест и без сложной инфраструктуры) полноценный аудит обычно избыточен — достаточно базового реестра серверов и сервисов.
Что включает наша услуга
- Полевое обследование: посещение офисов и серверных, ручная инвентаризация, фотофиксация.
- Сетевое сканирование, сбор данных с агентов, интеграция с системами мониторинга и виртуализации.
- Интервью с ИТ-командой и владельцами бизнес-процессов.
- Анализ рисков и приоритизация по влиянию на бизнес.
- Формирование комплекта документации в живой системе (корпоративная вики на стороне заказчика или нашей).
- План работ на 3 / 6 / 12 месяцев с оценкой бюджета и приоритетов.
- Опционально — последующее сопровождение по SLA и переход к нам в режиме managed service.
Связанные термины
- ITIL и процессы IT-аутсорсинга
- SLA — соглашение об уровне сервиса
- DevOps и SRE
- Kubernetes
- 1С — Бухгалтерия, ERP, УНФ
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «Аудит и документация IT-инфраструктуры» и получите ориентир по цене. Финальная смета — после предварительного обследования масштаба и состояния инфраструктуры.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП