Кейс: IT-аудит музейно-выставочного центра
Слово «музей» обычно ассоциируется со стариной и консерватизмом. Однако существуют музеи, которые подобных ассоциаций не вызывают. Именно таким оказался музейно-выставочный центр (МВЦ), руководство которого обратилось к нам по поводу IT-аудита.
Это был не архаичный музей из прошлого века, а современный, прекрасно оснащенный и цифровизированный музейный комплекс, активно развивающийся сразу в нескольких направлениях. Помимо организации выставок, в том числе «путешествующих», МВЦ ведет мультимедийную онлайн-экспозицию, занимается научной деятельностью, имеет собственный дизайнерский центр, фотостудию, интернет-магазин. Все это требует поддержания, регулярной модернизации, а главное – серьезного подхода к вопросам физической и информационной безопасности.
Устроители МВЦ старались использовать лучшие технические и технологические инновации, появляющиеся на рынке: обновляли оборудование, внедряли передовые системы охраны и видеонаблюдения, системы управления, digital-технологии, другие новинки. Но предприятие развивалось, возникали новые потребности, приходили молодые IT-специалисты – в музее расти некуда, они меняются часто, и каждый привносит что-то свое. Со временем стремление к прогрессу обернулось для МВЦ обратной стороной.
Музей оказался в ситуации, в которую рано или поздно попадает любая компания, старающаяся адаптироваться к меняющимся условиям, но не уделяющая достаточно внимания IT-менеджменту. За 20 лет существования в информационной инфраструктуре МВЦ накопились столько багов и «плохих» решений, что она превратилась в неоднородную, плохо организованную систему, которая начала создавать проблемы и грозила нарушить нормальное функционирование всего музейного комплекса.
Когда клиент обратился к нам, IT-среда музея представляла собой ядерную смесь из разных операционных системы (ОС) и их версий, множества не связанных друг с другом сервисов, массы программных продуктов с разной логикой работы. Часть имеющихся ресурсов использовалась нерационально, приводя к финансовым потерям и подвергая риску все подсистемы. Многое устарело и требовало модификации.
Клиенту важно было выявить все существующие проблемы в hard и soft и получить четкий план, позволяющий быстро и с минимальным бюджетом устранить недостатки.
Перед нами стояла сложная задача. Необходимо было:
- проанализировать все компоненты по отдельности и инфраструктуру в целом;
- разобраться в том, как все это взаимодействует;
- определить точки риска;
- дать рекомендации по исправлению и сформулировать экспертное заключение.
Особенности процесса IT-аудита
Работа шла в два этапа. Сначала мы приехали на объект и провели осмотр физического оборудования (серверы, как они подключены, за что отвечают, сетевые устройства, ИБП и т. д.). Потом получили удаленный доступ, согласования и перешли к анализу программного обеспечения (ПО). Каждый обследуемый объект мы тщательно изучали, смотрели настройки, нагрузку процессоров, бэкапы, узкие места, критические уязвимости, необходимость обновлений и т. д. Таким образом, нам удалось диагностировать все проблемные точки как в аппаратной (железо), так и в программной (софт) частях.
Вместе с исследованием программно-аппаратного комплекса в аудитах мы дополнительно проверяем каждую из подсистем на соответствие стратегическим планам предприятия на ближайшие 3–5 лет. МВЦ не стал исключением: мы выяснили, что клиент планирует по серверам, видеонаблюдению, системе контроля и управления доступом (СКУД), какие внедрения/апдейты предполагает реализовать.
Результаты оценки для наглядности оформили doc-файлом, который включал подробные рекомендации по каждому пункту, с таблицами, протоколами, схемами, скринами и пояснительными записками.
Комплексный аудит для музейно-выставочного комплекса
Условно работы по аудиту информационных технологий можно разделить на 11 блоков, каждый из которых затрагивает отдельный аспект IT-среды или подсистему. Следуя заданному алгоритму, мы поочередно проанализировали все составляющие.
Серверная часть
Создали общую спецификацию серверов с набором параметров, ролей, ОС, данными по загруженности процессора и оперативной памяти, объему и заполненности дискового пространства, сетевым параметрам, установленному ПО, инструментам резервного копирования, антивирусной защите.
Инфраструктура
Исследовали существующую ИТ-инфраструктуру. Детально рассматривали каждый сервер на предмет потенциально проблемных точек, которые мешают решать текущие и планируемые задачи.
В результате анализа установлено:
- Практически все серверы используют устаревшую ОС, что повышает их уязвимость, а также имеют в системе остатки уже удаленных или неиспользуемых сервисов, из-за чего выделяемые ресурсы тратятся впустую. Почти на каждом сервере есть отдельная база данных под конкретный сервис – такая схема значительно снижает отказоустойчивость системы (целесообразнее создать выделенный сервер со всеми базами и еще один – для хранения бэкапов).
- Развертывание Linux производилось без стратегии, о чем свидетельствует отсутствие документации по настройкам и реальная картина. В итоге на одной виртуальной машине присутствуют несовместимые приложения и остатки удаленного ПО, непонятно, какой сервис развернут, для чего и за что отвечает. Это создает проблемы для всей системы в целом.
Локальные сети
Обследовали компьютерную сеть. Всего по сетевому оборудованию было обнаружено 12 проблемных точек, 8 из которых – критические уязвимости, требующие немедленного решения. Например, отсутствует гостевая сеть: и пользователи, и сервера находятся в общей иерархии. В виртуальных локальных сетях серверов (VLAN) не должно быть рабочих станций, доступ к таким VLAN должен быть только у администраторов.
Таблица 1. Обследования компьютерной сети
| № п/п | Проблемы | Рекомендации |
| 1 | Сеть не структурирована — разделение на VLAN не произведено, на роутере отсутствует фильтрация VLAN | Разбить сеть на VLAN (серверы, сеть сетевого оборудования, рабочая сеть, гостевая, если нужно по отделам предприятия) |
| 2 | В VLAN серверов обнаружены рабочие станции | Из сети серверов убрать все, кроме серверов. Доступ к этой сети ограничить |
| 3 | На менеджмент VLAN работает протокол DHCP | Сетевому оборудованию дать статические адреса. Доступ к этому VLAN должен быть только у администраторов. |
| 4 | Роутер Mikrotik RB1100AHx4 имеет 3 адреса из одной сети | Оставить статический адрес, сеть VPN вынести в другую адресацию |
| 5 | Отсутствует гостевая сеть | Создать гостевую сеть, доступ только интернет |
| 6 | На роутере включены ненужные сервисы | Оставить только то, чем надо пользоваться |
| 7 | Сомнительная настройка IP Firewall | Пересмотреть все правила, подписать, что они делают. Правила NAT — по возможности оптимизировать |
| 8 | Маршрутизация | Пересмотреть таблицу, удалить или фильтровать ненужные маршруты, убрать из анонса сети серверов. Уточнить, нужен ли BGP? Такое количество можно и статикой |
| 9 | DHCP-сервер | Перенести DHCP-server на роутер или настроить на нем DHCP-relay |
| 10 | Bridge не включен rstp протокол | Включить протокол, назначить root вручную, не в коем случае не полагаться на автоматическую настройку |
| 11 | Нет схем L1, L2, L3 | Составить схемы L1, L2, L3, сделать IP-план, нагрузку по портам |
| 12 | System-роутер не обновлен до последней версии, версия routerboard отличается от версии пакетов | Обновить пакеты и сам routerboard до последней версии |
Бэкапы
Выполнили анализ схемы резервного копирования и архивирования, дали рекомендации для более надежного хранения копий.
Выявлено 2 главных проблемы:
- По всем серверам отсутствует четкое расписание создания бэкапов – полные резервные копии создаются всегда в разное время.
- Выбран обратный инкрементальный режим, то есть в резервную копию добавляются только измененные в последнюю сессию блоки. Поскольку полный бэкап создается раз в неделю, восстановить данные на любую другую дату невозможно.
Риски
Проанализировали IT-систему на риски сбоев, выхода из строя отдельных элементов, вероятность потери информации. Анализ рисков показал еще 9 проблем, которые могли повлечь выход из строя виртуальных машин, поломку физического оборудования, а также разрушение файлов, содержащих важную информацию.
Вот некоторые из обнаруженных ошибок:
- Антивирус Kaspersky приобретен на 50 устройств, используется только на 26. Это влечет почти двукратный перерасход бюджета, при этом не обеспечивает надежную защиту всех компьютеров, что явно свидетельствует о недоработках в системе безопасности.
- На одном из критичных серверов осталось меньше 10 % места, из-за чего падает производительность всей системы.
- ИБП подключены к серверам без установки ПО и без мониторинга. При отключении питания произойдет аварийное завершение работы серверов, что может привести к повреждению и потере данных.
«Разношерстность» инфраструктуры осложняет процесс управления информационными ресурсами. С развитием компании обслуживание системы будет требовать все больше времени и вложений. Такой подход не оптимален как с точки зрения IT-менеджмента, так и с финансовой точки зрения.
Эффективность используемых решений
Составили экспертные рекомендации по целесообразности используемых решений в разрезе задач бизнеса. Среди выявленных проблем оказалось несколько критичных:
- Несмотря на важность и объем хранимой информации, установлено оборудование некорпоративного уровня.
- Используется не оптимальная файловая система.
- Анализ звонков за последние полгода по детализации, полученной от провайдера, показал, что 50 % исходящих вызовов совершается на платной основе. Чтобы уменьшить расходы, рекомендовали выбрать оптимальный тариф / пакет услуг у действующего провайдера или перейти к другому.
В IT-аудит обязательно входит анализ используемых приложений, решений, сервисов и оценка эффективности их применения. Для чего это необходимо? Чтобы не получалось таких ситуаций, как у одного из наших клиентов, когда на купленном за 1 млн рублей сервере работало всего 3 пользователя. Это бессмысленное расточительство ресурсов – такое оборудование нужно использовать под совершенно другие задачи.
В этом кейсе мы столкнулись с тем, что заказчик тратил на интернет внушительные суммы. При том что канал был избыточен – графики оператора демонстрировали неполную загрузку. Перейдя на подходящий тарифный план, компания могла ежемесячно экономить в среднем 15 000–20 000 руб.
Лицензирование
Это очень важный этап аудита. Дело в том, что отсутствие лицензий является уголовно наказуемым деянием. Статья 146 УК РФ «Нарушение авторских и смежных прав» предусматривает для нарушителей серьезные наказания:
- принудительные работы сроком до 5 лет;
- лишение свободы на срок до 6 лет без штрафа или со штрафом в размере до 500 000 руб. (либо в размере дохода за 3-летний период).
Ответственность несет не только директор компании, который санкционировал установку и пользование нелицензионным ПО, но и системный администратор, установивший софт. При обнаружении подобных проблем к предприятию могут быть применены и другие меры, в частности конфискация компьютеров и серверов.
Мы проанализировали существующую систему защиты информации, инсталлированных программных продуктов, выгрузили все лицензионные ключи. Выяснилось, что стоимость набора ПО, не имеющего или требующего подтверждения лицензий, превышает 1 млн рублей. Компания сильно рискует, и лицензирование должно стать первоочередной задачей.
Физическая структура задействованных в работе серверов и сервисов
При анализе схемы развертывания виртуальных серверов обнаружилась одна из самых серьезных уязвимостей, подвергающих риску всю IT-инфраструктуру МВЦ.
У заказчика была установлена крутая кластерная система ESXI High Availability, которая позволяет запускать виртуальные машины с вышедшего из строя хоста на другом хосте группы. Вместе с дисковой полкой (она обычно дублируется двумя контроллерами), кластер решает очень серьезную задачу. Если один сервер вышел из строя, остающиеся в оперативной памяти данные автоматически перемещаются на второй, после чего виртуальные машины перезапускаются или переходят бесшовно на другой физический сервер. В данном случае все располагалось на одной машине, вторая была выключена и больше месяца находилась на обслуживании. Чем это опасно? При поломке физического сервера все компьютерные системы музейного комплекса оказались бы недоступны – до того момента, пока оборудование не починят или не купят новое. А это значит остановка бизнес-процессов, простой и убытки.
Сервисы
Выполнили анализ развертывания сервисов. Обнаружили возможность удалить избыточные серверы и сэкономить на лицензировании более 150 000 руб.
Аппаратные ресурсы
С помощью нашей системы мониторинга Zabbix проверили аппаратные ресурсы: настройки, нагрузку, правильность распределения. Здесь проблем у заказчика не было.
Экспертное заключение
Выполнив работы, составили документ с техническими параметрами аудита и списком развернутых рекомендаций (в общей сложности – более 50) по улучшению IT-инфраструктуры. Также указали самые критичные места, требующие решения в срочном порядке, примерный бюджет и трудозатраты, которые необходимы для устранения проблем.
Безопасность и хранение данных
По просьбе заказчика мы дополнили аудит еще двумя блоками: сделали расчет по видеорегистраторам и дали рекомендации по расширению дискового пространства.
В музее много ценных экспонатов, и технические средства охраны – это mission critical, то есть критически важная составляющая IT-комплекса, которая должна работать в режиме «боевого дежурства». За безопасность единиц хранения в первую очередь отвечают СКУД и система видеонаблюдения (СВН). Поэтому мы изучили состояние охранной системы, выслушали требования заказчика и полностью рассчитали новый комплекс СВН на 85 камер для всех помещений музейно-выставочного центра. В расчет включили:
- список необходимого оборудования;
- модули (включая детекторы, использующие биометрические методы идентификации);
- лицензии;
- интеграции;
- стоимость поставки и т. д.
Аналогичные расчеты сделали для СКУД.
Еще один большой блок был посвящен созданию решения для хранения данных. Мы проанализировали ресурсы, в которых нуждается дисковая подсистема, подобрали модель NAS-сервера, диски, составили таблицу сравнения производительности, план поэтапной миграции.
Результаты IT-аудита МВЦ
Заказчик получил продуманную стратегию с конкретными действиями и порядком их выполнения по приоритету.
После IT-аудита у руководства МВЦ есть четкое понимание:
- как выглядит информационная структура предприятия сейчас;
- какие уязвимости в ней имеются;
- что с этим делать;
- какие из перечисленных проблем необходимо решить в первую очередь;
- сколько будет стоить модернизация IT-инфраструктуры (прямые инвестиции + трудозатраты).
Наша команда провела колоссальную работу, чтобы дать клиенту комплексное решение, которое позволяет усилить безопасность, упростить IT-менеджмент и сократить затраты на содержание информационных ресурсов.
Такой аудит занимает 160–240 часов. В зависимости от сложности к работе привлекаются от 4 до 6 специалистов.
Таблица 2. Рекомендации по улучшению IT инфраструктуры и устранению проблем (пример отчета по ИТ аудиту)
| № п/п | Вид проблемы | Прямые затраты, руб. | Трудозатраты (ориентировочно), часы |
| 1 | Лицензирование программных продуктов | ~ 2 000 000–3 000 000 | 60–90 |
| 2 | Корректировка резервного копирования* | ~ 1 000 000 | 80–120 |
| 3 | Замена/настройка ИБП для серверов* | ~500 000 | 16–24 |
| 4 | Удалить лишние роли серверов терминалов, перенести данные, ПО | ~ экономия от 150 000 | 40 |
| 5 | Усиление ИТ-безопасности | ~250 000 | 60–120 |
| 6 | Ревью внутренних ИТ-расходов по бухгалтерскому/управленческому учету | внутренними силами | внутренними силами |
| 7 | Обновление Mission critical серверов на брендовые сервера с сервисным контрактом* | от 900 000 | 40–60 |
| 8 | Стандартизация закупок конфигурации ПК на ближайшие 3–5 лет | внутренними силами | внутренними силами |
| 9 | Стандартизация сети | от 1 000 000 | от 80 |
| 10 | Провайдер – снизить затраты (примерно в 3–4 раза), уменьшив скорость до 100 Mбит | внутренними силами | внутренними силами |
| Итого: | ~4 750 000–6 750 000 | 300–422 | |
* Пункты со звездочкой должны выполняться в нерабочее или длительное праздничное время, поэтому стоимость часа тарифицируется по увеличенной ставке в соответствии с прайс-листом.
Когда требуется IT-экспертиза
Самые распространенные случаи, в которых желательно провести IT-аудит:
- неоднородность информационной системы предприятия;
- чрезмерно большие расходы на содержание IT-инфраструктуры в целом или отдельных подсистем;
- внедрение CRM и другого специализированного ПО;
- частые нарушения в работе серверов, локальных компьютерных сетей, сетевого оборудования, АТС, других компонентов программно-аппаратного комплекса;
- устаревшее железо, программы, приложения;
- инфраструктура перестала соответствовать актуальным потребностям предприятия;
- необходимо повысить уровень безопасности;
- в компании планируется смена руководства, реорганизация.
Экспертиза помогает провести глубокую диагностику состояния IT-системы, выявить слабые места, целесообразность применения тех или иных решений, предоставляет способы оптимизации информационной инфраструктуры.
Если вам нужна экспертная оценка общего состояния IT-структуры предприятия или отдельных подразделений, оставьте заявку на сайте.
