Услуги

Кейс: IT-аудит музейно-выставочного центра

Слово «музей» обычно ассоциируется со стариной и консерватизмом. Однако существуют музеи, которые подобных ассоциаций не вызывают. Именно таким оказался музейно-выставочный центр (МВЦ), руководство которого обратилось к нам по поводу IT-аудита. 

Это был не архаичный музей из прошлого века, а современный, прекрасно оснащенный и цифровизированный музейный комплекс, активно развивающийся сразу в нескольких направлениях. Помимо организации выставок, в том числе «путешествующих», МВЦ ведет мультимедийную онлайн-экспозицию, занимается научной деятельностью, имеет собственный дизайнерский центр, фотостудию, интернет-магазин. Все это требует поддержания, регулярной модернизации, а главное – серьезного подхода к вопросам физической и информационной безопасности. 

Устроители МВЦ старались использовать лучшие технические и технологические инновации, появляющиеся на рынке: обновляли оборудование, внедряли передовые системы охраны и видеонаблюдения, системы управления, digital-технологии, другие новинки. Но предприятие развивалось, возникали новые потребности, приходили молодые IT-специалисты – в музее расти некуда, они меняются часто, и каждый привносит что-то свое. Со временем стремление к прогрессу обернулось для МВЦ обратной стороной. 

Музей оказался в ситуации, в которую рано или поздно попадает любая компания, старающаяся адаптироваться к меняющимся условиям, но не уделяющая достаточно внимания IT-менеджменту. За 20 лет существования в информационной инфраструктуре МВЦ накопились столько багов и «плохих» решений, что она превратилась в неоднородную, плохо организованную систему, которая начала создавать проблемы и грозила нарушить нормальное функционирование всего музейного комплекса.

Когда клиент обратился к нам, IT-среда музея представляла собой ядерную смесь из разных операционных системы (ОС) и их версий, множества не связанных друг с другом сервисов, массы программных продуктов с разной логикой работы. Часть имеющихся ресурсов использовалась нерационально, приводя к финансовым потерям и подвергая риску все подсистемы. Многое устарело и требовало модификации. 

Клиенту важно было выявить все существующие проблемы в hard и soft и получить четкий план, позволяющий быстро и с минимальным бюджетом устранить недостатки.

Перед нами стояла сложная задача. Необходимо было:

  • проанализировать все компоненты по отдельности и инфраструктуру в целом;
  • разобраться в том, как все это взаимодействует;
  • определить точки риска; 
  • дать рекомендации по исправлению и сформулировать экспертное заключение.  

Особенности процесса IT-аудита

Работа шла в два этапа. Сначала мы приехали на объект и провели осмотр физического оборудования (серверы, как они подключены, за что отвечают, сетевые устройства, ИБП и т. д.). Потом получили удаленный доступ, согласования и перешли к анализу программного обеспечения (ПО). Каждый обследуемый объект мы тщательно изучали, смотрели настройки, нагрузку процессоров, бэкапы, узкие места, критические уязвимости, необходимость обновлений и т. д. Таким образом, нам удалось диагностировать все проблемные точки как в аппаратной (железо), так и в программной (софт) частях. 

Вместе с исследованием программно-аппаратного комплекса в аудитах мы дополнительно проверяем каждую из подсистем на соответствие стратегическим планам предприятия на ближайшие 3–5 лет. МВЦ не стал исключением: мы выяснили, что клиент планирует по серверам, видеонаблюдению, системе контроля и управления доступом (СКУД), какие внедрения/апдейты предполагает реализовать. 

Результаты оценки для наглядности оформили doc-файлом, который включал подробные рекомендации по каждому пункту, с таблицами, протоколами, схемами, скринами и пояснительными записками.

Комплексный аудит для музейно-выставочного комплекса 

Условно работы по аудиту информационных технологий можно разделить на 11 блоков, каждый из которых затрагивает отдельный аспект IT-среды или подсистему. Следуя заданному алгоритму, мы поочередно проанализировали все составляющие.

Серверная часть

Создали общую спецификацию серверов с набором параметров, ролей, ОС, данными по загруженности процессора и оперативной памяти, объему и заполненности дискового пространства, сетевым параметрам, установленному ПО, инструментам резервного копирования, антивирусной защите.

Инфраструктура

Исследовали существующую ИТ-инфраструктуру. Детально рассматривали каждый сервер на предмет потенциально проблемных точек, которые мешают решать текущие и планируемые задачи. 

В результате анализа установлено:

  • Практически все серверы используют устаревшую ОС, что повышает их уязвимость, а также имеют в системе остатки уже удаленных или неиспользуемых сервисов, из-за чего выделяемые ресурсы тратятся впустую. Почти на каждом сервере есть отдельная база данных под конкретный сервис такая схема значительно снижает отказоустойчивость системы (целесообразнее создать выделенный сервер со всеми базами и еще один для хранения бэкапов).
  • Развертывание Linux производилось без стратегии, о чем свидетельствует отсутствие документации по настройкам и реальная картина. В итоге на одной виртуальной машине присутствуют несовместимые приложения и остатки удаленного ПО, непонятно, какой сервис развернут, для чего и за что отвечает. Это создает проблемы для всей системы в целом.

Локальные сети

Обследовали компьютерную сеть. Всего по сетевому оборудованию было обнаружено 12 проблемных точек, 8 из которых – критические уязвимости, требующие немедленного решения. Например, отсутствует гостевая сеть: и пользователи, и сервера находятся в общей иерархии. В виртуальных локальных сетях серверов (VLAN) не должно быть рабочих станций, доступ к таким VLAN должен быть только у администраторов. 

Таблица 1. Обследования компьютерной сети

№ п/пПроблемыРекомендации
1Сеть не структурирована — разделение на VLAN не произведено, на роутере отсутствует фильтрация VLANРазбить сеть на VLAN (серверы, сеть сетевого оборудования, рабочая сеть, гостевая, если нужно по отделам предприятия)
2В VLAN серверов обнаружены рабочие станцииИз сети серверов убрать все, кроме серверов. Доступ к этой сети ограничить
3На менеджмент VLAN работает протокол DHCPСетевому оборудованию дать статические адреса. Доступ к этому VLAN должен быть только у администраторов.
4Роутер Mikrotik RB1100AHx4 имеет 3 адреса из одной сетиОставить статический адрес, сеть VPN вынести в другую адресацию
5Отсутствует гостевая сетьСоздать гостевую сеть, доступ только интернет
6На роутере включены ненужные сервисыОставить только то, чем надо пользоваться
7Сомнительная настройка IP FirewallПересмотреть все правила, подписать, что они делают. Правила NAT — по возможности оптимизировать
8МаршрутизацияПересмотреть таблицу, удалить или фильтровать ненужные маршруты, убрать из анонса сети серверов. Уточнить, нужен ли BGP? Такое количество можно и статикой
9DHCP-серверПеренести DHCP-server на роутер или настроить на нем DHCP-relay
10Bridge не включен rstp протоколВключить протокол, назначить root вручную, не в коем случае не полагаться на автоматическую настройку
11Нет схем L1, L2, L3Составить схемы L1, L2, L3, сделать IP-план, нагрузку по портам
12System-роутер не обновлен до последней версии, версия routerboard отличается от версии пакетовОбновить пакеты и сам routerboard до последней версии

Бэкапы

Выполнили анализ схемы резервного копирования и архивирования, дали рекомендации для более надежного хранения копий. 

Выявлено 2 главных проблемы: 

  1. По всем серверам отсутствует четкое расписание создания бэкапов – полные резервные копии создаются всегда в разное время.
  2. Выбран обратный инкрементальный режим, то есть в резервную копию добавляются только измененные в последнюю сессию блоки. Поскольку полный бэкап создается раз в неделю, восстановить данные на любую другую дату невозможно.   

Риски

Проанализировали IT-систему на риски сбоев, выхода из строя отдельных элементов, вероятность потери информации. Анализ рисков показал еще 9 проблем, которые могли повлечь выход из строя виртуальных машин, поломку физического оборудования, а также разрушение файлов, содержащих важную информацию. 

Вот некоторые из обнаруженных ошибок: 

  1. Антивирус Kaspersky приобретен на 50 устройств, используется только на 26. Это влечет почти двукратный перерасход бюджета, при этом не обеспечивает надежную защиту всех компьютеров, что явно свидетельствует о недоработках в системе безопасности. 
  2. На одном из критичных серверов осталось меньше 10 % места, из-за чего падает производительность всей системы. 
  3. ИБП подключены к серверам без установки ПО и без мониторинга. При отключении питания произойдет аварийное завершение работы серверов, что может привести к повреждению и потере данных. 

Пример ИТ-аудита для музейно-выставочного центра

«Разношерстность» инфраструктуры осложняет процесс управления информационными ресурсами. С развитием компании обслуживание системы будет требовать все больше времени и вложений. Такой подход не оптимален как с точки зрения IT-менеджмента, так и с финансовой точки зрения.

Эффективность используемых решений

Составили экспертные рекомендации по целесообразности используемых решений в разрезе задач бизнеса. Среди выявленных проблем оказалось несколько критичных:

  1. Несмотря на важность и объем хранимой информации, установлено оборудование некорпоративного уровня. 
  2. Используется не оптимальная файловая система. 
  3. Анализ звонков за последние полгода по детализации, полученной  от провайдера, показал, что 50 % исходящих вызовов совершается на платной основе. Чтобы уменьшить расходы, рекомендовали выбрать оптимальный тариф / пакет услуг у действующего провайдера или перейти к другому. 

В IT-аудит обязательно входит анализ используемых приложений, решений, сервисов и оценка эффективности их применения. Для чего это необходимо? Чтобы не получалось таких ситуаций, как у одного из наших клиентов, когда на купленном за 1 млн рублей сервере работало всего 3 пользователя. Это бессмысленное расточительство ресурсов – такое оборудование нужно использовать под совершенно другие задачи. 

В этом кейсе мы столкнулись с тем, что заказчик тратил на интернет внушительные суммы. При том что канал был избыточен – графики оператора демонстрировали неполную загрузку. Перейдя на подходящий тарифный план, компания могла ежемесячно экономить в среднем 15 000–20 000 руб.     

Лицензирование

Это очень важный этап аудита. Дело в том, что отсутствие лицензий является уголовно наказуемым деянием. Статья 146 УК РФ «Нарушение авторских и смежных прав» предусматривает для нарушителей серьезные наказания: 

  • принудительные работы сроком до 5 лет;
  • лишение свободы на срок до 6 лет без штрафа или со штрафом в размере до 500 000 руб. (либо в размере дохода за 3-летний период).

Ответственность несет не только директор компании, который санкционировал установку и пользование нелицензионным ПО, но и системный администратор, установивший софт. При обнаружении подобных проблем к предприятию могут быть применены и другие меры, в частности конфискация компьютеров и серверов. 

Мы проанализировали существующую систему защиты информации, инсталлированных программных продуктов, выгрузили все лицензионные ключи. Выяснилось, что стоимость набора ПО, не имеющего или требующего подтверждения лицензий, превышает 1 млн рублей. Компания сильно рискует, и лицензирование должно стать первоочередной задачей. 

Физическая структура задействованных в работе серверов и сервисов

При анализе схемы развертывания виртуальных серверов обнаружилась одна из самых серьезных уязвимостей, подвергающих риску всю IT-инфраструктуру МВЦ. 

У заказчика была установлена крутая кластерная система ESXI High Availability, которая позволяет запускать виртуальные машины с вышедшего из строя хоста на другом хосте группы. Вместе с дисковой полкой (она обычно дублируется двумя контроллерами), кластер решает очень серьезную задачу. Если один сервер вышел из строя, остающиеся в оперативной памяти данные автоматически перемещаются на второй, после чего виртуальные машины перезапускаются или переходят бесшовно на другой физический сервер. В данном случае все располагалось на одной машине, вторая была выключена и больше месяца находилась на обслуживании. Чем это опасно? При поломке физического сервера все компьютерные системы музейного комплекса оказались бы недоступны – до того момента, пока оборудование не починят или не купят новое. А это значит остановка бизнес-процессов, простой и убытки. 

Сервисы

Выполнили анализ развертывания сервисов. Обнаружили возможность удалить избыточные серверы и сэкономить на лицензировании более 150 000 руб.  

Аппаратные ресурсы

С помощью нашей системы мониторинга Zabbix проверили аппаратные ресурсы: настройки, нагрузку, правильность распределения.  Здесь проблем у заказчика не было.

Экспертное заключение

Выполнив работы, составили документ с техническими параметрами аудита и списком развернутых рекомендаций (в общей сложности – более 50) по улучшению IT-инфраструктуры. Также указали самые критичные места, требующие решения в срочном порядке, примерный бюджет и трудозатраты, которые необходимы для устранения проблем. 

Безопасность и хранение данных

По просьбе заказчика мы дополнили аудит еще двумя блоками: сделали расчет по видеорегистраторам и дали рекомендации по расширению дискового пространства. 

В музее много ценных экспонатов, и технические средства охраны – это mission critical, то есть критически важная составляющая IT-комплекса, которая должна работать в режиме «боевого дежурства». За безопасность единиц хранения в первую очередь отвечают СКУД и система видеонаблюдения (СВН). Поэтому мы изучили состояние охранной системы, выслушали требования заказчика и полностью рассчитали новый комплекс СВН на 85 камер для всех помещений музейно-выставочного центра. В расчет включили:

  • список необходимого оборудования;
  • модули (включая детекторы, использующие биометрические методы идентификации);
  • лицензии;
  • интеграции;
  • стоимость поставки и т. д. 

Аналогичные расчеты сделали для СКУД.

Еще один большой блок был посвящен созданию решения для хранения данных. Мы проанализировали ресурсы, в которых нуждается дисковая подсистема, подобрали модель NAS-сервера, диски, составили таблицу сравнения производительности, план поэтапной миграции.

Результаты IT-аудита МВЦ

Заказчик получил продуманную стратегию с конкретными действиями и порядком их выполнения по приоритету.

После IT-аудита у руководства МВЦ есть четкое понимание:

  • как выглядит информационная структура предприятия сейчас;
  • какие уязвимости в ней имеются;
  • что с этим делать;
  • какие из перечисленных проблем необходимо решить в первую очередь;
  • сколько будет стоить модернизация IT-инфраструктуры (прямые инвестиции + трудозатраты). 

Наша команда провела колоссальную работу, чтобы дать клиенту комплексное решение, которое позволяет усилить безопасность, упростить IT-менеджмент и сократить затраты на содержание информационных ресурсов.

Такой аудит занимает 160–240 часов. В зависимости от сложности к работе привлекаются от 4 до 6 специалистов. 

Таблица 2. Рекомендации по улучшению IT инфраструктуры и устранению проблем (пример отчета по ИТ аудиту)

№ п/пВид проблемыПрямые затраты, руб.Трудозатраты (ориентировочно), часы
1Лицензирование программных продуктов~ 2 000 000–3 000 00060–90
2Корректировка резервного копирования*~ 1 000 00080–120
3Замена/настройка ИБП для серверов*~500 000 16–24
4Удалить лишние роли серверов терминалов, перенести данные, ПО~ экономия от 150 00040
5Усиление ИТ-безопасности~250 000 60–120
6Ревью внутренних ИТ-расходов по бухгалтерскому/управленческому учету внутренними силамивнутренними силами
7Обновление Mission critical серверов на брендовые сервера с сервисным контрактом*от 900 000 40–60
8Стандартизация закупок конфигурации ПК на ближайшие 3–5 летвнутренними силамивнутренними силами
9Стандартизация сетиот 1 000 000от 80
10Провайдер – снизить затраты (примерно в 3–4 раза), уменьшив скорость до 100 Mбит внутренними силамивнутренними силами
Итого:~4 750 000–6 750 000300–422

* Пункты со звездочкой должны выполняться в нерабочее или длительное праздничное время, поэтому стоимость часа тарифицируется по увеличенной ставке в соответствии с прайс-листом.

Когда требуется IT-экспертиза

Самые распространенные случаи, в которых желательно провести IT-аудит:

  • неоднородность информационной системы предприятия;
  • чрезмерно большие расходы на содержание IT-инфраструктуры в целом или отдельных подсистем; 
  • внедрение CRM и другого специализированного ПО;
  • частые нарушения в работе серверов, локальных компьютерных сетей, сетевого оборудования, АТС, других компонентов программно-аппаратного комплекса;
  • устаревшее железо, программы, приложения;
  • инфраструктура перестала соответствовать актуальным потребностям предприятия;
  • необходимо повысить уровень безопасности;
  • в компании планируется смена руководства, реорганизация. 

Экспертиза помогает провести глубокую диагностику состояния IT-системы, выявить слабые места, целесообразность применения тех или иных решений, предоставляет способы оптимизации информационной инфраструктуры. 

Если вам нужна экспертная оценка общего состояния IT-структуры предприятия или отдельных подразделений, оставьте заявку на сайте.