Экспресс-аудит
Для малого бизнеса или первичной оценки
Старт- Интервью с ответственным за ИТ
- Базовая инвентаризация
- Проверка резервного копирования
- Проверка удалённого доступа
- Базовая оценка ИБ-рисков
- Краткий отчёт и первоочередные рекомендации
АНБИТ · независимая оценка ИТ + ИБ
Аудит и инвентаризация ИТ‑инфраструктуры
Проверяем серверы, сеть, резервное копирование, права доступа, внешний периметр и базовые меры безопасности. Показываем, что есть в инфраструктуре, что работает неправильно и что нужно исправить в первую очередь.
AS‑ISФактическое состояние инфраструктуры
ИТ + ИБТехнические и безопасностные риски
План действийЧто исправить срочно, важно и планово
Когда нужен аудит
Когда стоит провести аудит ИТ‑инфраструктуры
Аудит помогает снизить неопределённость: понять, какие ресурсы реально используются, где есть слабые места и какие действия нужны для повышения надёжности и безопасности.
Нет актуальной схемы сети Схема сети и перечень оборудования отсутствуют или устарели — непонятно, что реально работает в инфраструктуре.
Неизвестно, что реально используется Нет понимания, какие серверы, сервисы и ПО активны, а что — давно забытый балласт.
Частые сбои и простои Регулярно возникают инциденты с доступом, производительностью или отказами оборудования.
Планируете изменения в ИТ Предстоит модернизация, миграция, переход на отечественное ПО или импортозамещение.
Нужно проверить резервное копирование Backup настроен, но непонятно, работает ли восстановление и укладывается ли оно в RPO/RTO.
Обрабатываете персональные данные Компания работает с ПДн и хочет понять технические риски в контексте требований 152-ФЗ.
Нужна независимая оценка ИТ Требуется взгляд со стороны на работу собственной ИТ-службы или внешнего подрядчика.
Нужен план устранения проблем Замечания известны, но нет чёткого приоритизированного плана действий с понятными сроками.
Какие проблемы выявляем
Проверяем не только наличие оборудования, но и реальные эксплуатационные риски
В ходе обследования выявляются технические, эксплуатационные и базовые ИБ‑риски, которые могут привести к простоям, потере данных, несанкционированному доступу или дополнительным затратам на восстановление.
Нет реестра активов
Неизвестно, какие серверы, сервисы, рабочие станции и сетевые устройства фактически используются.
Backup есть только формально
Резервные копии создаются, но не проверяется возможность восстановления и не определены RPO/RTO.
Удалённый доступ без контроля
VPN, RDP, SSH или панели администрирования могут быть доступны без достаточной защиты и журналирования.
Избыточные права
У пользователей, администраторов или сервисных учётных записей могут быть лишние привилегии.
Нет журналирования
Действия пользователей и администраторов не фиксируются или не анализируются централизованно.
Открытый внешний периметр
Снаружи могут быть доступны лишние порты, устаревшие сервисы, VPN, админки или тестовые ресурсы.
Устаревшее ПО
Используются неподдерживаемые ОС, сервисы или приложения с повышенным эксплуатационным риском.
Риски для ИСПДн
Не определено, какие системы обрабатывают персональные данные и какие технические меры для них реализованы.
Что проверяем
ИТ‑инфраструктура, эксплуатация и базовые меры безопасности
Проверка строится вокруг реальной инфраструктуры заказчика: от рабочих станций и серверов до прав доступа, журналов, резервного копирования, внешнего периметра и сетевой сегментации.
Инвентаризация активов
- Серверы, виртуальные машины, рабочие станции и сетевые устройства
- Операционные системы, прикладное ПО и ключевые сервисы
- Используемые лицензии, устаревшие версии и неподдерживаемые решения
- Критичные бизнес‑сервисы и зависимости между компонентами
Сеть, VPN и внешний периметр
- Схема сети, маршрутизация, VLAN, VPN и межсетевые правила
- Открытые порты, внешние сервисы и удалённые подключения
- Базовая проверка внешнего периметра без эксплуатации уязвимостей
- SSL/TLS, DNS, публичные админки, RDP/SSH/VPN и тестовые ресурсы
Резервное копирование и отказоустойчивость
- Наличие и регулярность резервного копирования
- Охват критичных серверов, баз данных и файловых ресурсов
- Проверка возможности восстановления
- Оценка RPO/RTO и единых точек отказа
AD, учётные записи и права доступа
- Пользователи, администраторы и сервисные учётные записи
- Избыточные права и устаревшие группы доступа
- Парольная политика и блокировки после неудачных входов
- MFA для удалённого доступа и критичных систем
Журналирование и мониторинг
- Сбор событий ОС, сетевых устройств, серверов и средств защиты
- Централизованное хранение логов и контроль действий администраторов
- Базовые сценарии мониторинга сбоев и событий безопасности
- Рекомендации по Wazuh, Zabbix, Grafana, Loki или иным решениям
Техническая оценка ИСПДн
- Определение систем, где обрабатываются персональные данные
- Сегментация, удалённый доступ, права, backup и журналы для ИСПДн
- Антивирусная защита, обновления и базовые меры безопасности
- Рекомендации по техническому усилению с учётом 152‑ФЗ и приказа ФСТЭК №21
Пакеты услуг
Пакеты услуг
Выберите формат аудита под масштаб инфраструктуры и задачу: от быстрой первичной оценки до комплексной проверки ИТ, ИБ и технических мер защиты ИСПДн.
Комплексный аудит ИТ-инфраструктуры
Для компаний с серверами, виртуализацией, 1С, VPN, удалёнными пользователями
Полный- Инвентаризация серверов, ВМ, АРМ, сети, ПО
- Анализ архитектуры и внешнего периметра
- Анализ серверной инфраструктуры
- Проверка AD и учётных записей
- Проверка резервного копирования и RPO/RTO
- Проверка отказоустойчивости
- Проверка базовых настроек ИБ
- Анализ прав доступа
- Проверка журналирования и мониторинга
- Отчёт с рисками и дорожной картой
ИТ-аудит + ИБ + техническая оценка ИСПДн
Для компаний, обрабатывающих персональные данные и имеющих требования 152-ФЗ
Расширенный- Всё из Пакета 2
- Выявление и описание ИСПДн
- Оценка технических мер защиты ПДн
- Анализ сегментации ИСПДн
- Проверка удалённого доступа к системам с ПДн
- Проверка антивирусной защиты
- Проверка журналирования событий безопасности
- Анализ использования внешних сервисов
- Рекомендации по 152-ФЗ и приказу ФСТЭК №21
Результаты
Что получает заказчик
Итоговые материалы можно использовать для управления инфраструктурой, планирования бюджета, постановки задач ИТ-службе, контроля подрядчика и повышения уровня информационной безопасности.
01
Реестр ИТ-активов
Оборудование, серверы, рабочие станции, ПО и сервисы с описанием конфигурации и назначения.
02
Схема сети
Основные сегменты, связи, VPN, внешние подключения и точки входа.
03
Описание текущего состояния
Фактическая картина инфраструктуры: что используется, как работает, какие есть зависимости.
04
Перечень проблем и рисков
Выявленные технические, эксплуатационные и ИБ-риски с описанием возможных последствий.
05
Оценка критичности
Каждое замечание классифицировано: критично, важно или планово — для правильной расстановки приоритетов.
06
Рекомендации по устранению
Конкретные меры по настройке, модернизации и усилению защиты с оценкой трудоёмкости.
07
План действий по приоритетам
Что сделать срочно, что запланировать и что вынести в отдельный проект.
08
Карта рисков
Связка: проблема → риск → рекомендация → приоритет — в виде матрицы для управленческого контроля.
09
Оценка уровня зрелости
Понятная оценка общего состояния инфраструктуры и базовых мер безопасности по уровням L1–L4.
10
Резюме для руководства
Краткие выводы и управленческие рекомендации без технической перегрузки.
Итоговый отчёт
По результатам работ заказчику предоставляется отчёт о текущем состоянии ИТ-инфраструктуры, включающий результаты инвентаризации оборудования, серверов, рабочих станций, сетевых устройств, программного обеспечения и ключевых ИТ-сервисов, описание выявленных технических недостатков и рисков, рекомендации по их устранению, а также дорожную карту мероприятий по повышению надёжности, управляемости и информационной безопасности инфраструктуры.
