Как провести IT-аудит компании: чек-лист из 15 пунктов

IT-аудит — это не «проверка компьютеров». Это рентген вашего бизнеса через призму технологий: где деньги утекают в неэффективные процессы, где данные под угрозой, где инфраструктура не выдержит роста. И если вы ни разу не проводили IT-аудит — с вероятностью 90% вы теряете 10-20% бюджета на IT-костыли, которые никто не замечает.

Этот гайд — практический чек-лист из 15 пунктов, который можно использовать для самостоятельного аудита или как ТЗ для внешнего аудитора. Для компаний от 20 сотрудников с IT-инфраструктурой любой сложности.

пунктов чек-листа

2-4 нед

типичный срок аудита

от 100К

стоимость
внешнего IT-аудита

Зачем нужен IT-аудит

IT-аудит проводят не «для галочки», а когда нужно принять решение:

Перед автоматизацией. Прежде чем внедрять ERP, CRM или любую систему — поймите, что у вас есть сейчас. Иначе автоматизируете хаос. Это основа любого проекта автоматизации бизнеса.

При быстром росте. Инфраструктура, которая работала на 20 человек, ломается на 100. Аудит покажет, что нужно масштабировать заранее, а не в аврале.

После инцидента. Утечка данных, сбой сервера, потеря базы. Аудит выявит причину и предотвратит повторение.

При смене IT-руководства. Новый CTO должен понять, что досталось в наследство: где мины, где технический долг, где быстрые победы.

Перед привлечением инвестиций / M&A. Инвесторы и покупатели проверяют IT: безопасность, масштабируемость, зависимость от конкретных людей. Аудит заранее — меньше неприятных сюрпризов на due diligence.

Чек-лист IT-аудита: 15 пунктов

Блок 1: Инфраструктура (пункты 1-4)

Серверы и хостинг. Что проверяем: где физически расположены серверы (свои / облако / colocation), какие ОС и версии, загрузка CPU / RAM / диска (среднее и пиковое), наличие резервирования (что будет, если сервер умрёт?), стоимость инфраструктуры в месяц. Красные флаги: сервер под столом сисадмина, Windows Server 2012 в продакшне, загрузка CPU > 80% постоянно, нет резервного сервера

Сеть и коммуникации. Что проверяем: топология сети (физическая и логическая), пропускная способность и задержки, Wi-Fi покрытие (мёртвые зоны?), VPN для удалённых сотрудников, интернет-провайдер (резервный канал?). Красные флаги: один провайдер без резерва, нет VPN (сотрудники подключаются к 1С через RDP с домашнего Wi-Fi), Wi-Fi на роутере 2018 года для 50 человек

Рабочие станции. Что проверяем: возраст и конфигурация компьютеров, версии ОС (Windows 10/11, macOS), единообразие (стандартный набор ПО или «у каждого своё»), лицензии (нелицензионное ПО = юридический риск). Красные флаги: компьютеры старше 5 лет (замедляют работу сотрудников), нелицензионный Office / Photoshop, отсутствие антивируса

Резервное копирование (бэкапы). Что проверяем: что бэкапится (базы данных, файлы, почта, конфигурации), как часто (ежедневно — минимум), куда (отдельный сервер, облако, оффсайт), тестировалось ли восстановление (когда последний раз?). Красные флаги: нет бэкапов (20% компаний!), бэкапы на том же сервере (сервер умер — бэкапы тоже), никогда не тестировали восстановление (бэкап может быть битым)

Совет

Правило 3-2-1: три копии данных, на двух разных носителях, одна копия — вне офиса (облако или другой ЦОД). Если у вас не так — это первое, что нужно исправить после аудита. Потеря данных = потеря бизнеса.

Блок 2: Безопасность (пункты 5-8)

Управление доступом. Что проверяем: политика паролей (длина, сложность, ротация), двухфакторная аутентификация (2FA), ролевая модель (кто к чему имеет доступ), процедура увольнения (блокируются ли аккаунты?), общие аккаунты (admin/admin123). Красные флаги: нет 2FA для почты и корпоративных систем, уволенные сотрудники с активными аккаунтами, пароль «123456» на сервере

Защита периметра. Что проверяем: файрвол (есть ли, настроен ли), антивирус / EDR на рабочих станциях и серверах, обновления безопасности (когда последний раз?), защита от DDoS (если есть публичные сервисы), защита почты (антиспам, антифишинг). Красные флаги: нет файрвола, антивирус с истёкшей подпиской, обновления Windows не ставились 6+ месяцев

Защита данных. Что проверяем: шифрование данных (at rest и in transit), соответствие 152-ФЗ (если обрабатываете персональные данные), политика работы с конфиденциальной информацией, DLP-система (предотвращение утечек), журналирование доступа к критичным данным. Красные флаги: персональные данные хранятся без шифрования, нет политики обработки ПД, базу клиентов можно скачать на флешку

Инцидент-менеджмент. Что проверяем: есть ли план действий при инциденте (кибератака, утечка, сбой), кто ответственный, как уведомляются заинтересованные стороны, проводились ли учения. Красные флаги: нет плана (70% компаний), ответственный — сисадмин в отпуске, последний инцидент «решили героически» без анализа причин

Блок 3: Программное обеспечение (пункты 9-11)

Инвентаризация ПО. Что проверяем: полный список используемого ПО (корпоративное, облачное, SaaS), лицензии и их стоимость, дублирование (два инструмента для одной задачи), неиспользуемые подписки («забытые» SaaS по 5-10К/мес). Типичная находка: компания платит за 3-5 SaaS, которые никто не использует (50-200К/год впустую)

Бизнес-системы (ERP, CRM, 1С). Что проверяем: версии и актуальность обновлений, степень использования (какой % функций реально работает), интеграции между системами (ручной перенос данных?), производительность (тормозит ли при пиковой нагрузке), кастомизации (документированы ли). Красные флаги: 1С на версии 2018 года, CRM используется как записная книжка (10% функций), данные переносят из системы в систему вручную

Веб-ресурсы. Что проверяем: сайт (актуальность CMS, SSL-сертификат, скорость загрузки, мобильная адаптация), домены (продление, DNS-записи), хостинг (стабильность, бэкапы). Красные флаги: сайт на WordPress 5.x с 20 устаревшими плагинами (уязвимости), нет SSL, время загрузки > 5 секунд, домен зарегистрирован на личный email бывшего сотрудника

Блок 4: Процессы и люди (пункты 12-15)

IT-команда. Что проверяем: структура (штат vs аутсорс), компетенции (закрывают ли текущие потребности), bus factor (если ключевой человек уйдёт — что сломается), загрузка (постоянный аврал = нехватка людей или неэффективные процессы). Красные флаги: всё держится на одном сисадмине (bus factor = 1), IT-директор занимается и стратегией, и настройкой принтеров

Документация. Что проверяем: документирована ли архитектура, есть ли инструкции для пользователей, описаны ли процедуры восстановления, актуальна ли документация (обновляется при изменениях). Красные флаги: нет документации (60% компаний), документация 3-летней давности (не соответствует реальности), знания — в голове одного человека

IT-бюджет. Что проверяем: структура расходов (оборудование, ПО, люди, облака, поддержка), ROI от IT-инвестиций за последний год, «скрытые» расходы (тень-IT: сотрудники покупают SaaS на корпоративную карту без согласования), бенчмаркинг (сколько тратят конкуренты схожего размера). Типичная находка: 15-25% IT-бюджета тратится неэффективно

Соответствие бизнес-стратегии. Что проверяем: поддерживает ли текущая IT-инфраструктура планы роста бизнеса (масштабирование, новые продукты, выход на новые рынки), есть ли IT-стратегия (или «тушим пожары»), приоритеты IT-проектов (соответствуют ли бизнес-целям). Красные флаги: IT-отдел не знает стратегию компании, приоритеты определяются тем, кто громче кричит

Как провести аудит: самостоятельно или с подрядчиком

Самостоятельный аудит

Когда подходит: компания до 50 человек, простая инфраструктура, есть IT-директор или опытный сисадмин.

Как провести: используйте чек-лист выше. По каждому пункту: текущее состояние (зелёный / жёлтый / красный), что нужно исправить, приоритет, ориентировочный бюджет. Срок: 1-2 недели при полной занятости.

Ограничения: внутренний аудитор «замылен» — не видит привычных проблем. Нет бенчмаркинга (не с чем сравнить). Может не хватить экспертизы в узких областях (безопасность, архитектура).

Внешний аудит

Когда нужен: компания 50+ человек, сложная инфраструктура, планируется крупный IT-проект (ERP, цифровая трансформация), требуется объективная оценка.

Стоимость: от 100К за экспресс-аудит (инфраструктура + безопасность, 1-2 недели), 200-500К за полный аудит (все 15 пунктов, 2-4 недели), 500К-1 млн за комплексный аудит с рекомендациями и дорожной картой.

Что получаете: отчёт с приоритизированными рекомендациями, дорожная карта (что делать в первую очередь), бенчмаркинг (как вы выглядите на фоне отрасли), объективная оценка (без «так исторически сложилось»).

Хороший IT-аудит окупается в 5-10 раз. Типичная экономия после аудита компании на 100 человек: 200-500К/год на неиспользуемых подписках, 300К-1 млн на предотвращённых инцидентах, 500К-2 млн на оптимизации инфраструктуры. Вложение 300К в аудит даёт 1-3 млн экономии.

Что делать после аудита

Приоритизация: матрица «Влияние x Сложность»

Все найденные проблемы оцените по двум осям: влияние на бизнес (1-5) и сложность/стоимость исправления (1-5). Начинайте с квадранта «высокое влияние + низкая сложность» (quick wins). Это типично: обновить пароли, настроить бэкапы, отключить неиспользуемые подписки. Быстро, дёшево, ощутимый эффект.

Дорожная карта

Месяц 1-2: Критичная безопасность. Пароли, 2FA, бэкапы, обновления безопасности. Бюджет: 0-50К (в основном трудозатраты).

Месяц 2-4: Инфраструктура. Миграция на актуальные версии ПО, оптимизация сети, резервирование. Бюджет: 100-500К.

Месяц 4-8: Процессы и автоматизация. Интеграция систем, автоматизация документооборота, внедрение новых инструментов. Бюджет: 300К-2 млн.

Месяц 8-12: Стратегические проекты. ERP, новая CRM, корпоративный портал, переход в облако. Бюджет: 1-10 млн.

Наш подход к IT-аудиту

В March Code мы проводим IT-аудиты как отдельную услугу и как часть подготовки к проектам автоматизации. Формат: 2-3 недели работы, отчёт с приоритизированными рекомендациями и дорожной картой на 12 месяцев.

от 100К

экспресс IT-аудит

2-3 нед

срок проведения

5-10x

типичный ROI
от рекомендаций

FAQ

Как часто нужно проводить IT-аудит?

Полный аудит: раз в 1-2 года. Экспресс-проверка безопасности: раз в 6 месяцев. Внеплановый: при смене IT-руководства, после инцидента, перед крупным проектом, при кратном росте компании. Для регулируемых отраслей (финтех, медицина): аудит безопасности обязателен ежегодно.

Что делать, если аудит выявил критичные проблемы?

Не паниковать, а приоритизировать. Критичные проблемы безопасности (нет бэкапов, открытые порты, уволенные с доступом) — исправить в течение 1-2 дней. Инфраструктурные проблемы — план на 2-4 недели. Процессные проблемы — план на 1-3 месяца. Главное — начать, а не ждать «идеального момента».

Сколько стоит IT-аудит для компании из 100 человек?

Экспресс (инфраструктура + безопасность): 100-200К. Полный (все 15 пунктов): 300-500К. С дорожной картой и сопровождением реализации: 500К-1 млн. Стоимость зависит от сложности инфраструктуры: 2 сервера + облако — проще, чем 20 серверов + 3 ЦОД + 5 филиалов.

Можно ли провести аудит удалённо?

Инфраструктура и ПО: на 80% — да (удалённый доступ, сканирование сети, анализ конфигураций). Безопасность: частично (нужен доступ к логам и конфигурациям, но не обязательно физическое присутствие). Процессы и люди: требуют интервью (можно по Zoom). Физическая инфраструктура (серверная, сеть, кабели): нужен визит. Для компаний в Москве мы проводим смешанный формат: 70% удалённо, 30% на месте.

Какие инструменты используются для IT-аудита?

Сеть: Nmap (сканирование портов), Wireshark (анализ трафика). Безопасность: Nessus / OpenVAS (сканирование уязвимостей), OWASP ZAP (веб-безопасность). Инфраструктура: Zabbix / Grafana (мониторинг), Ansible (инвентаризация). ПО: Snow / Lansweeper (инвентаризация ПО и лицензий). Процессы: интервью + опросники + анализ документации.

КакпровестиIT-аудиткомпании:чек-листиз15пунктов