Что такое ИТ-инфраструктура и как собственнику понять, в каком она состоянии

от автора

Эта статья для собственников или директоров компании, у которых ИТ вроде работает, но что там внутри на самом деле, они не знают. Разберем, по каким признакам понять, что ИТ-системы требуют внимания, во что обходится привычка «не трогай пока работает», какие объекты охватывает аудит ИТ-инфраструктуры и с какого первого шага начать, чтобы не платить сразу за дорогую процедуру. Если для вас ИТ — черный ящик, то эта статья поможет вам разобраться в базе и понять как действовать дальше.

Как собственник понимает, что с ИТ что-то не так

За обследованием собственник обращается обычно не в день аварии. Зовут, когда он вдруг ловит себя на мысли: «А я ведь вообще не понимаю, что у меня там с ИТ». Оплачивает счета за поддержку, видит, что почта и 1С работают, — и на этом картина заканчивается. Все крутится, никто не жалуется. Значит порядок?

Вот тут и ловушка. «Работает» и «в порядке» — разные вещи. Машина ведь тоже едет, пока не кончится масло, которое никто не доливал три года. ИТ-инфраструктура умеет годами держаться на честном слове: один сервер, один админ, бэкап, который вроде бы делается, но развернется ли он — не проверял никто. Снаружи тишина. Внутри — единая точка отказа, после которой бизнес встанет.

Собственнику не надо становиться инженером и лезть в серверную. Ему надо другое: увидеть эти точки заранее, перевести их на язык денег и рисков и решить, что делать. Ровно для этого и нужен аудит ИТ-инфраструктуры.

Характерный случай — на одной из встреч, где мы проводили аудит, рядом сидели и собственник, и его ИТ-руководитель. В ходе диалога выяснилось, что время восстановления систем после сбоя совсем не то, что собственник держал в голове. Заодно всплыло, что пароли ключевых систем жили только в голове у одного админа.

Что такое ИТ-инфраструктура простыми словами

Если совсем просто, ИТ-инфраструктура — это весь набор технологий и систем, на которых держится работа компании: оборудование, программное обеспечение, сетевые компоненты, данные и процессы. Собственник саму инфраструктуру обычно не видит, как не видит проводку в стене, но именно от ее состояния зависит, встанет завтра бизнес или нет.

Из чего она складывается: аппаратное обеспечение — серверы, рабочие станции, системы хранения данных; сетевые компоненты — маршрутизаторы, точки доступа, каналы связи; программное обеспечение — от 1С и CRM до систем мониторинга и защиты; данные и их обработка — файлы, базы, резервные копии; процессы и люди — регламенты, доступы, поддержка, документация.

По тому, где физически живут эти ресурсы, инфраструктуру делят на три типа: локальную (все серверы и системы хранения — в своей серверной), облачную (мощности и сервисы арендуют у провайдера) и гибридную (часть систем держат у себя, часть выносят в облако). У малого и среднего бизнеса чаще встречается локальный или гибридный вариант.

Функция у всей этой конструкции одна — обеспечивать бесперебойную и безопасную работу бизнеса: дать сотрудникам рабочие системы, сохранить данные без потерь и защитить все это от сбоев и атак. Хорошо выстроенная инфраструктура работает незаметно. Плохо выстроенная — годами выглядит так же, но ровно до первого сбоя.

Что такое аудит ИТ-инфраструктуры

Аудит ИТ-инфраструктуры — это независимая проверка того, как устроены и в каком состоянии ИТ компании: оборудование, софт, сетевое оборудование, информационная безопасность, обработка данных, процессы. Смысл не в оценке, а в том, чтобы найти слабые места и подсказать, за что браться в первую очередь.

Грамотно спроектированная инфраструктура снижает риск финансовых и репутационных потерь и повышает эффективность работы. Аудит особенно к месту на двух поворотах: при внедрении новых систем и при росте бизнеса, когда меняются задачи и нагрузка на ИТ.

Если перевести с инженерного на человеческий, аудит отвечает на те самые вопросы, что постоянно крутятся в голове собственника. И, что характерно, обычно без ответа.

  • Потеряем ли мы данные, если упадет сервер?

  • Законно ли храним персональные данные клиентов и защищены ли они вообще?

  • А что будет, если завтра уволится единственный, кто понимает, как тут все устроено?

  • И, главное, не переплачиваем ли мы за это?

Аудит превращает тревогу в перечень: вот риск, вот чем он грозит, вот с чего начать.

Чек-лист самодиагностики. 7 зон, по которым ИТ проверяют в первую очередь

Прежде чем заказывать проверку, прикиньте сами. Вот семь зон, на которые при обследовании небольших компаний смотрят в первую очередь. Они те же, что и в типовом чек-листе «7 симптомов, что ИТ работает на честном слове». Полная версия идет с разбором, но и беглого прохода хватит, чтобы увидеть картину в первом приближении. Правило одно: нет уверенного ответа хоть по одной зоне — значит, ИТ пора показать специалисту.

7 зон, по которым проверяют ИТ-инфраструктуру при обследовании СМБ

1. Резервные копии. Делаются ли копии ключевых данных регулярно? И, главное, пробовали ли вы хоть раз развернуть их? Ни разу не проверенный бэкап — как шлем, надетый впервые уже после аварии: может, спасет, а может, окажется не того размера. Отдельная подлость — когда копии лежат на том же сервере, что и рабочие данные. Сгорел сервер — сгорело все разом, вместе с бэкапом.

2. Резервный интернет-канал. Что будет, если основной интернет отвалится в час пик? Есть ли второй канал — от другого провайдера или через 4G? И пробовали ли вы хоть раз на него переключиться? Для офиса или магазина пара часов без сети — это не «потерпим». Это вставшие продажи и мертвые кассы.

3. Доступы и пароли. Где живут административные пароли — в защищенном менеджере, к которому есть доступ у нескольких ответственных? Или «в голове у Сергея» и в файлике на его рабочем столе? Отключаются ли доступы, когда человек увольняется? Когда все завязано на одном, в ИТ это называют bus factor: сколько ключевых людей должны внезапно и надолго выпасть, чтобы все встало. Ответ «один» — это не экономия на штате. Это большой риск.

Часто в ходе аудита вскрывается ситуация, когда все ключевые знания, доступы и архитектура держатся на одном системном администраторе. В компании нет ни документации, ни второго человека с теми же правами. При уходе или болезни администратора бизнес рискует остаться без управления инфраструктурой и без доступа к собственным системам.

4. Антивирус и обученные люди. Обновляется ли защита сама на всех машинах, а не «когда вспомнили»? И узнают ли сотрудники фишинговое письмо в лицо? Хитрые защитные системы злоумышленнику взламывать чаще всего и не нужно. Достаточно, чтобы кто-то в бухгалтерии открыл вложение. Самое слабое звено — человек, а не сервер.

5. Реакция на сбои. Когда что-то падает, есть ли понятный порядок — кто фиксирует инцидент, кто чинит, за какое время? Или каждый раз импровизация и метания «а кому вообще звонить»? Без процедуры один и тот же сбой будет возвращаться, и разбираться в нем будут заново, с нуля.

6. Документация и учет. Есть ли карта сети и описание, как все устроено? Или это знание живет только в головах? Ведется ли актуальный список программ и лицензий? По данным исследования «Инферит ИТМен» (февраль 2026, 1116 респондентов), 73% российских компаний не представляют, какое ПО у них реально установлено, а 82% не имеют актуального перечня программ. Отсюда и лишние траты на лицензии, и дыры, через которые заходят злоумышленники, и риск потерять знание вместе с уволившимся.

7. Управление и кадры. Прописаны ли понятные сроки на все виды заявок — документ (SLA), где черным по белому написано, за какое время чинят поломку, что считается критичным сбоем, кто за что отвечает? Если такого документа нет, то нет и предсказуемости, а есть зависимость от настроения исполнителя. И второй вопрос: хватает ли вообще людей? Тянет ли один то, на что нужна команда, — и проверяете ли вы на это хотя бы раз в год.

Сколько стоит бизнесу «авось пронесет»

Почему собственник тянет с разбором ИТ-инфраструктуры, понятно: вроде работает, незачем трогать. Загвоздка в том, что цену этого «авось» платят не по частям, а разом и не вовремя.

Сначала про простои. Чем сильнее бизнес завязан на ИТ, тем дороже обходится каждый час, а устаревшее железо и софт, которые «пока работают», делают сбои чаще и длиннее. По итогам 2024-го, как показало исследование «Монк Диджитал Лаб», средний простой в российских компаниях длился четыре часа, а значимый инцидент обходился в среднем в 2 млн рублей.

Вторая статья риска — атаки. В 2025-м, по данным Positive Technologies, успешными оказались 47% атак на российские компании (годом раньше — 31%), и работа после них вставала. Для малого и среднего бизнеса выкуп за зашифрованные данные доходил от 240 тыс. до 4 млн рублей.

Чаще всего злоумышленнику не приходится взламывать хитрые неприступные системы защиты. Он просто входит через доступ, который забыли закрыть, или через пароль, который не меняли годами. Это частая и дешевая для злоумышленника лазейка — и именно ее аудит безопасности закрывает на этапе анализа доступов.

Показательный случай: при переезде грузчики уронили сервер старше десяти лет. Беда оказалась не в самом сервере, а в резервных копиях — они лежали на том же дисковом массиве, что и рабочие данные. Потеряли все разом: почту, документы, 1С, архивы. Восстановление заняло четверо суток, а базу 1С подняли только из копии месячной давности. Аудит резервного копирования вскрыл бы эту точку отказа за пару дней — вместо четырех суток восстановления.

Что именно проверяет аудит. Оборудование, ПО, безопасность, процессы

Аудит проходит по той же территории, что и чек-лист самодиагностики выше, но группирует ее по четырем направлениям: оборудование и сети, программное обеспечение, информационная безопасность, процессы. В каждом из них аудит ищет слабые места.

Аппаратное обеспечение и оборудование. Серверы, рабочие станции, сетевое оборудование, системы хранения данных. Аудитор оценивает возраст и состояние оборудования, запас производительности, что пора менять или модернизировать, учет ИТ-активов и запас ресурсов на рост. Если часть систем в облаке — смотрят, верно ли выстроена облачная или гибридная схема и не переплачивает ли компания за аренду мощностей.

Программное обеспечение. Какой софт установлен, лицензионный ли, обновляется ли, нет ли забытых программ-дыр и работает ли контроль в реальном времени. С инвентаризации ПО начинается и безопасность, и экономия — часто именно тут находят первые возможности снизить затраты.

Информационная безопасность. Как устроены доступы и пароли, чем защищены данные, какие инструменты используют для защиты и мониторинга, верно ли настроено резервное копирование. Отдельно — буква закона: компания обрабатывает персональные данные клиентов и сотрудников, а значит, подпадает под 152-ФЗ «О персональных данных», требования к защите информации задает регулятор, ФСТЭК России.

Процессы. Есть ли документация, регламенты, SLA, выстроена ли система управления ИТ-инфраструктурой, или все держится на одном человеке. Ориентиры международные: ISO/IEC 27001 по информационной безопасности, ГОСТ Р ИСО/МЭК 20000-1-2021 «Менеджмент сервисов», библиотека ITIL, методология COBIT — планка, по которой отличают выстроенный процесс от ручного героизма. На выходе собственник получает конкретику: где системы уязвимы, что настраивать, за что браться первым.

Как читать симптомы и на что смотреть

Представленный ниже чек-лист отвечает на вопрос «есть ли повод копать». Если повод появился, несколько проверок собственник или его админ может сделать сам, без аудитора, — и уже они часто вскрывают точки отказа.

Бэкап: важен не факт создания, а факт восстановления. Сам факт, что копия пишется, ничего не гарантирует. Значение имеет тест восстановления: берется свежая копия и разворачивается на отдельной, изолированной машине — поднимется ли база, откроются ли файлы, целы ли они. Полезно зафиксировать два параметра в часах: RPO (сколько данных потеряем — глубина последней копии) и RTO (сколько времени займет поднять систему). Если копии лежат на том же сервере или дисковом массиве, что и рабочие данные, правило резервирования «3-2-1» (три копии, два носителя, одна вне площадки) уже нарушено — это первое, что стоит проверить.

Доступы: инвентаризация прав, а не пароля. Смотреть надо не на сложность пароля, а на список тех, у кого есть административный доступ, и на то, отзывается ли он при увольнении. Простой тест — попросить выгрузить перечень учетных записей с правами администратора домена и сверить с актуальным штатом. Учетки уволившихся, общие пароли «на отдел», доступ подрядчика, который давно не работает, — типовые находки. Здесь же проверяется, есть ли вообще менеджер паролей или все живет в файле на рабочем столе.

ПО и учет активов: что реально установлено. Без инвентаризации компания не видит ни лишних лицензий, ни забытых программ с известными уязвимостями. Минимальный шаг — собрать перечень установленного софта с версиями хотя бы по серверам и ключевым рабочим станциям и сверить с тем, что реально используется. Расхождение почти всегда есть, и оно стоит денег: и на лишних лицензиях, и на дырах, которые никто не закрывает, потому что не знает об их существовании.

Процессы: проверка по журналу инцидентов. Зрелость процессов видна не из регламента на бумаге, а из истории: что за последние полгода падало, как фиксировалось, за какое время чинилось, повторялось ли. Если журнала инцидентов нет совсем, а сбои разбираются по памяти и в переписке, — это и есть ответ про зрелость. Здесь же проверяется, есть ли SLA с измеримыми сроками реакции и восстановления, или порядок держится на энтузиазме конкретного человека.

Эти четыре проверки не заменяют аудит, но дают собственнику и админу честную точку отсчета: где именно инфраструктура держится на честном слове и насколько глубоко придется копать.

С чего начать собственнику. Чек-ап или полный аудит

Вот тут собственник обычно и стопорится. Глубокий аудит — дело серьезное: специалисты с админ-доступом неделями копаются в серверах, логах, архитектуре. Стоит он, как правило, от 200 до 800 тыс. рублей, занимает от двух до восьми недель. Заказывать такое «на всякий случай», пока даже неясно, есть ли вообще проблема, — дорого и рано.

Поэтому начинать разумнее не с тяжелого решения, а с легкого первого шага — экспресс-аудита, или, как его еще называют, ИТ чек-ап. Это короткая проверка состояния ИТ без доступа к серверам, и устроена она просто. Команда говорит с собственником и с ИТ-специалистом, смотрит, как живут поддержка, бэкапы, доступы, сильно ли все завязано на людей, не устарело ли ПО. Бизнес при этом не останавливается, в инфраструктуру никто не лезет. Стоит чек-ап порядка 50 000 рублей, идет 3–5 рабочих дней, а на выходе — отчет на 3–5 страниц, написанный на языке бизнеса: что нашли, какие риски ключевые, чем грозят, что чинить первым.

Логика тут простая. Чек-ап — это ответ на «что-то не так, а что — непонятно», и он показывает масштаб трагедии. К полному аудиту прибегают, когда проблема уже названа («тормозит 1С», «непонятная архитектура информационных систем») или впереди большая стройка: миграция, новые системы, филиалы, рост в разы. Чек-ап аудит не заменяет. Но чаще всего его хватает, чтобы понять, нужен ли дорогой разбор вообще и где именно.

Как это выглядит на практике. Прежде чем спешно переводить сотню сотрудников на удаленку, производственная компания начала с экспресс-аудита ИТ. Он показал: имеющихся ресурсов и оборудования хватает. Удаленку для 100 человек запустили без лишних закупок, а 1С вынесли в облако.

Показательный пример того, что вскрывается уже на короткой диагностике: в двух независимых обследованиях резервные копии лежали на том же сервере, что и рабочие данные, — и в обоих случаях об этом риске никто из ИТ-команды не заявлял вслух, пока не спросили прямо.

Кто проводит аудит. Свой админ, штатный ИТ или внешняя команда

Вопрос резонный: зачем привлекать кого-то со стороны, если есть свой админ или ИТ-отдел? Ответ простой — самому себя не проверить. Человек, годами строивший инфраструктуру, ее слабых мест искренне не видит. Для него «вот эту штуку трогать нельзя» давно стало нормой, а не тревожным симптомом. Это не упрек админу. Это свойство любого взгляда изнутри.

У внешней команды есть то, чего штатному специалисту взять негде — независимость и насмотренность. Независимость: внешнему аудитору не приходится прикрывать собственные прошлые решения. Насмотренность: он видел десятки похожих инфраструктур в разных компаниях и узнает типовые грабли с ходу. В практике сервисных ИТ-компаний счет таким инфраструктурам идет на сотни — от розничных сетей до медицины и производства. После стольких кейсов типовой риск виден с порога. И есть решения, которые у кого-то уже сработали.

Внешний аудит не отменяет самопроверки штатными специалистами — наоборот, он им помогает. С хорошим отчетом админу проще получить у собственника бюджет на то, что давно пора было сделать.

По опыту типовых обследований СМБ чаще всего повторяются три находки: резервные копии лежат на том же сервере, что и рабочие данные, — при сбое пропадает и то, и другое разом; пароли от ключевых систем хранятся в текстовом файле или известны только одному человеку; и никто не считал, сколько часов бизнес может простоять, прежде чем это станет по-настоящему больно.

Что в отчете и что с ним делать дальше

Отчет аудита — это не стопка технических логов, а текст на языке бизнеса: не «обнаружена уязвимость в конфигурации», а «данные клиентов могут утечь вот так, грозит это вот чем, починить стоит вот столько». Внутри — найденные риски, их влияние на выручку и процессы, оценка последствий (простои, деньги, репутация) и рекомендации с приоритетами: что внедрять первым, а что подождет.

Приоритизация тут и есть главная ценность. Проблем аудит почти всегда находит больше, чем компания готова закрыть разом. Задача отчета не в том, чтобы напугать списком на тридцать пунктов. Она в том, чтобы показать: вот эти три-четыре риска горят прямо сейчас. Кстати, аудит нередко вскрывает скрытые резервы для экономии.

Дальше отчет превращают в план — и аудит начинает окупаться.

Если коротко — с чего собственнику начать уже сейчас

«Работает» еще не значит «в порядке». Пока вся инфраструктура держится на одном сервере, одном админе и непроверенном бэкапе, бизнес уже в зоне риска, просто этого не видно снаружи.

С чего начать прямо сейчас, не вкладывая денег:

  1. Пройдите чек-лист из семи симптомов и честно отметьте, сколько узнали про свои системы.

  2. Задайте ИТ-специалисту или подрядчику два вопроса: где хранятся резервные копии ваших данных и когда последний раз пробовали их развернуть.

  3. Оцените ваши риски: что встанет, если ключевой ИТ-человек завтра выйдет из строя.

Если по этим трем пунктам появилось ощущение «а ведь и правда непонятно», следующий разумный шаг — не сразу дорогой аудит, а легкая экспресс-диагностика. Она покажет масштаб и поможет решить, нужно ли копать глубже.

Материал подготовил: Авдей Мартынович, руководитель подразделения по работе с СМБ, ALP ITSM

ссылка на оригинал статьи https://habr.com/ru/articles/1054616/