Кейс: IT-аудит музейно-выставочного центра

Слово «музей» обычно ассоциируется со стариной и консерватизмом. Однако существуют музеи, которые подобных ассоциаций не вызывают. Именно таким оказался музейно-выставочный центр (МВЦ), руководство которого обратилось к нам по поводу IT-аудита.

Это был не архаичный музей из прошлого века, а современный, прекрасно оснащенный и цифровизированный музейный комплекс, активно развивающийся сразу в нескольких направлениях. Помимо организации выставок, в том числе «путешествующих», МВЦ ведет мультимедийную онлайн-экспозицию, занимается научной деятельностью, имеет собственный дизайнерский центр, фотостудию, интернет-магазин. Все это требует поддержания, регулярной модернизации, а главное – серьезного подхода к вопросам физической и информационной безопасности.

Устроители МВЦ старались использовать лучшие технические и технологические инновации, появляющиеся на рынке: обновляли оборудование, внедряли передовые системы охраны и видеонаблюдения, системы управления, digital-технологии, другие новинки. Но предприятие развивалось, возникали новые потребности, приходили молодые IT-специалисты – в музее расти некуда, они меняются часто, и каждый привносит что-то свое. Со временем стремление к прогрессу обернулось для МВЦ обратной стороной.

Музей оказался в ситуации, в которую рано или поздно попадает любая компания, старающаяся адаптироваться к меняющимся условиям, но не уделяющая достаточно внимания IT-менеджменту. За 20 лет существования в информационной инфраструктуре МВЦ накопились столько багов и «плохих» решений, что она превратилась в неоднородную, плохо организованную систему, которая начала создавать проблемы и грозила нарушить нормальное функционирование всего музейного комплекса.

Когда клиент обратился к нам, IT-среда музея представляла собой ядерную смесь из разных операционных системы (ОС) и их версий, множества не связанных друг с другом сервисов, массы программных продуктов с разной логикой работы. Часть имеющихся ресурсов использовалась нерационально, приводя к финансовым потерям и подвергая риску все подсистемы. Многое устарело и требовало модификации.

Клиенту важно было выявить все существующие проблемы в hard и soft и получить четкий план, позволяющий быстро и с минимальным бюджетом устранить недостатки.

Перед нами стояла сложная задача. Необходимо было:

  • проанализировать все компоненты по отдельности и инфраструктуру в целом;
  • разобраться в том, как все это взаимодействует;
  • определить точки риска;
  • дать рекомендации по исправлению и сформулировать экспертное заключение.

Особенности процесса IT-аудита

Работа шла в два этапа. Сначала мы приехали на объект и провели осмотр физического оборудования (серверы, как они подключены, за что отвечают, сетевые устройства, ИБП и т. д.). Потом получили удаленный доступ, согласования и перешли к анализу программного обеспечения (ПО). Каждый обследуемый объект мы тщательно изучали, смотрели настройки, нагрузку процессоров, бэкапы, узкие места, критические уязвимости, необходимость обновлений и т. д. Таким образом, нам удалось диагностировать все проблемные точки как в аппаратной (железо), так и в программной (софт) частях.

Вместе с исследованием программно-аппаратного комплекса в аудитах мы дополнительно проверяем каждую из подсистем на соответствие стратегическим планам предприятия на ближайшие 3–5 лет. МВЦ не стал исключением: мы выяснили, что клиент планирует по серверам, видеонаблюдению, системе контроля и управления доступом (СКУД), какие внедрения/апдейты предполагает реализовать.

Результаты оценки для наглядности оформили doc-файлом, который включал подробные рекомендации по каждому пункту, с таблицами, протоколами, схемами, скринами и пояснительными записками.

Комплексный аудит для музейно-выставочного комплекса

Условно работы по аудиту информационных технологий можно разделить на 11 блоков, каждый из которых затрагивает отдельный аспект IT-среды или подсистему. Следуя заданному алгоритму, мы поочередно проанализировали все составляющие.

Серверная часть

Создали общую спецификацию серверов с набором параметров, ролей, ОС, данными по загруженности процессора и оперативной памяти, объему и заполненности дискового пространства, сетевым параметрам, установленному ПО, инструментам резервного копирования, антивирусной защите.

Инфраструктура

Исследовали существующую ИТ-инфраструктуру. Детально рассматривали каждый сервер на предмет потенциально проблемных точек, которые мешают решать текущие и планируемые задачи.

В результате анализа установлено:

  • Практически все серверы используют устаревшую ОС, что повышает их уязвимость, а также имеют в системе остатки уже удаленных или неиспользуемых сервисов, из-за чего выделяемые ресурсы тратятся впустую. Почти на каждом сервере есть отдельная база данных под конкретный сервис – такая схема значительно снижает отказоустойчивость системы (целесообразнее создать выделенный сервер со всеми базами и еще один – для хранения бэкапов).
  • Развертывание Linux производилось без стратегии, о чем свидетельствует отсутствие документации по настройкам и реальная картина. В итоге на одной виртуальной машине присутствуют несовместимые приложения и остатки удаленного ПО, непонятно, какой сервис развернут, для чего и за что отвечает. Это создает проблемы для всей системы в целом.

Локальные сети

Обследовали компьютерную сеть. Всего по сетевому оборудованию было обнаружено 12 проблемных точек, 8 из которых – критические уязвимости, требующие немедленного решения. Например, отсутствует гостевая сеть: и пользователи, и сервера находятся в общей иерархии. В виртуальных локальных сетях серверов (VLAN) не должно быть рабочих станций, доступ к таким VLAN должен быть только у администраторов.

Таблица 1. Обследования компьютерной сети

№ п/п Проблемы Рекомендации
1 Сеть не структурирована – разделение на VLAN не произведено, на роутере отсутствует фильтрация VLAN Разбить сеть на VLAN (серверы, сеть сетевого оборудования, рабочая сеть, гостевая, если нужно по отделам предприятия)
2 В VLAN серверов обнаружены рабочие станции Из сети серверов убрать все, кроме серверов. Доступ к этой сети ограничить
3 На менеджмент VLAN работает протокол DHCP Сетевому оборудованию дать статические адреса. Доступ к этому VLAN должен быть только у администраторов.
4 Роутер Mikrotik RB1100AHx4 имеет 3 адреса из одной сети Оставить статический адрес, сеть VPN вынести в другую адресацию
5 Отсутствует гостевая сеть Создать гостевую сеть, доступ только интернет
6 На роутере включены ненужные сервисы Оставить только то, чем надо пользоваться
7 Сомнительная настройка IP Firewall Пересмотреть все правила, подписать, что они делают. Правила NAT – по возможности оптимизировать
8 Маршрутизация Пересмотреть таблицу, удалить или фильтровать ненужные маршруты, убрать из анонса сети серверов. Уточнить, нужен ли BGP? Такое количество можно и статикой
9 DHCP-сервер Перенести DHCP-server на роутер или настроить на нем DHCP-relay
10 Bridge не включен rstp протокол Включить протокол, назначить root вручную, не в коем случае не полагаться на автоматическую настройку
11 Нет схем L1, L2, L3 Составить схемы L1, L2, L3, сделать IP-план, нагрузку по портам
12 System-роутер не обновлен до последней версии, версия routerboard отличается от версии пакетов Обновить пакеты и сам routerboard до последней версии

Бэкапы

Выполнили анализ схемы резервного копирования и архивирования, дали рекомендации для более надежного хранения копий.

Выявлено 2 главных проблемы:

  1. По всем серверам отсутствует четкое расписание создания бэкапов – полные резервные копии создаются всегда в разное время.
  2. Выбран обратный инкрементальный режим, то есть в резервную копию добавляются только измененные в последнюю сессию блоки. Поскольку полный бэкап создается раз в неделю, восстановить данные на любую другую дату невозможно.

Риски

Проанализировали IT-систему на риски сбоев, выхода из строя отдельных элементов, вероятность потери информации. Анализ рисков показал еще 9 проблем, которые могли повлечь выход из строя виртуальных машин, поломку физического оборудования, а также разрушение файлов, содержащих важную информацию.

Вот некоторые из обнаруженных ошибок:

  1. Антивирус Kaspersky приобретен на 50 устройств, используется только на 26. Это влечет почти двукратный перерасход бюджета, при этом не обеспечивает надежную защиту всех компьютеров, что явно свидетельствует о недоработках в системе безопасности.
  2. На одном из критичных серверов осталось меньше 10 % места, из-за чего падает производительность всей системы.
  3. ИБП подключены к серверам без установки ПО и без мониторинга. При отключении питания произойдет аварийное завершение работы серверов, что может привести к повреждению и потере данных.

Пример ИТ-аудита для музейно-выставочного центра

«Разношерстность» инфраструктуры осложняет процесс управления информационными ресурсами. С развитием компании обслуживание системы будет требовать все больше времени и вложений. Такой подход не оптимален как с точки зрения IT-менеджмента, так и с финансовой точки зрения.

Эффективность используемых решений

Составили экспертные рекомендации по целесообразности используемых решений в разрезе задач бизнеса. Среди выявленных проблем оказалось несколько критичных:

  1. Несмотря на важность и объем хранимой информации, установлено оборудование некорпоративного уровня.
  2. Используется не оптимальная файловая система.
  3. Анализ звонков за последние полгода по детализации, полученной  от провайдера, показал, что 50 % исходящих вызовов совершается на платной основе. Чтобы уменьшить расходы, рекомендовали выбрать оптимальный тариф / пакет услуг у действующего провайдера или перейти к другому.

В IT-аудит обязательно входит анализ используемых приложений, решений, сервисов и оценка эффективности их применения. Для чего это необходимо? Чтобы не получалось таких ситуаций, как у одного из наших клиентов, когда на купленном за 1 млн рублей сервере работало всего 3 пользователя. Это бессмысленное расточительство ресурсов – такое оборудование нужно использовать под совершенно другие задачи. 

В этом кейсе мы столкнулись с тем, что заказчик тратил на интернет внушительные суммы. При том что канал был избыточен – графики оператора демонстрировали неполную загрузку. Перейдя на подходящий тарифный план, компания могла ежемесячно экономить в среднем 15 000–20 000 руб.

Лицензирование

Это очень важный этап аудита. Дело в том, что отсутствие лицензий является уголовно наказуемым деянием. Статья 146 УК РФ «Нарушение авторских и смежных прав» предусматривает для нарушителей серьезные наказания:

  • принудительные работы сроком до 5 лет;
  • лишение свободы на срок до 6 лет без штрафа или со штрафом в размере до 500 000 руб. (либо в размере дохода за 3-летний период).

Ответственность несет не только директор компании, который санкционировал установку и пользование нелицензионным ПО, но и системный администратор, установивший софт. При обнаружении подобных проблем к предприятию могут быть применены и другие меры, в частности конфискация компьютеров и серверов.

Мы проанализировали существующую систему защиты информации, инсталлированных программных продуктов, выгрузили все лицензионные ключи. Выяснилось, что стоимость набора ПО, не имеющего или требующего подтверждения лицензий, превышает 1 млн рублей. Компания сильно рискует, и лицензирование должно стать первоочередной задачей.

Физическая структура задействованных в работе серверов и сервисов

При анализе схемы развертывания виртуальных серверов обнаружилась одна из самых серьезных уязвимостей, подвергающих риску всю IT-инфраструктуру МВЦ.

У заказчика была установлена крутая кластерная система ESXI High Availability, которая позволяет запускать виртуальные машины с вышедшего из строя хоста на другом хосте группы. Вместе с дисковой полкой (она обычно дублируется двумя контроллерами), кластер решает очень серьезную задачу. Если один сервер вышел из строя, остающиеся в оперативной памяти данные автоматически перемещаются на второй, после чего виртуальные машины перезапускаются или переходят бесшовно на другой физический сервер. В данном случае все располагалось на одной машине, вторая была выключена и больше месяца находилась на обслуживании. Чем это опасно? При поломке физического сервера все компьютерные системы музейного комплекса оказались бы недоступны – до того момента, пока оборудование не починят или не купят новое. А это значит остановка бизнес-процессов, простой и убытки.

Сервисы

Выполнили анализ развертывания сервисов. Обнаружили возможность удалить избыточные серверы и сэкономить на лицензировании более 150 000 руб.

Аппаратные ресурсы

С помощью нашей системы мониторинга Zabbix проверили аппаратные ресурсы: настройки, нагрузку, правильность распределения.  Здесь проблем у заказчика не было.

Экспертное заключение

Выполнив работы, составили документ с техническими параметрами аудита и списком развернутых рекомендаций (в общей сложности – более 50) по улучшению IT-инфраструктуры. Также указали самые критичные места, требующие решения в срочном порядке, примерный бюджет и трудозатраты, которые необходимы для устранения проблем.

Безопасность и хранение данных

По просьбе заказчика мы дополнили аудит еще двумя блоками: сделали расчет по видеорегистраторам и дали рекомендации по расширению дискового пространства.

В музее много ценных экспонатов, и технические средства охраны – это mission critical, то есть критически важная составляющая IT-комплекса, которая должна работать в режиме «боевого дежурства». За безопасность единиц хранения в первую очередь отвечают СКУД и система видеонаблюдения (СВН). Поэтому мы изучили состояние охранной системы, выслушали требования заказчика и полностью рассчитали новый комплекс СВН на 85 камер для всех помещений музейно-выставочного центра. В расчет включили:

  • список необходимого оборудования;
  • модули (включая детекторы, использующие биометрические методы идентификации);
  • лицензии;
  • интеграции;
  • стоимость поставки и т. д.

Аналогичные расчеты сделали для СКУД.

Еще один большой блок был посвящен созданию решения для хранения данных. Мы проанализировали ресурсы, в которых нуждается дисковая подсистема, подобрали модель NAS-сервера, диски, составили таблицу сравнения производительности, план поэтапной миграции.

Результаты IT-аудита МВЦ

Заказчик получил продуманную стратегию с конкретными действиями и порядком их выполнения по приоритету.

После IT-аудита у руководства МВЦ есть четкое понимание:

  • как выглядит информационная структура предприятия сейчас;
  • какие уязвимости в ней имеются;
  • что с этим делать;
  • какие из перечисленных проблем необходимо решить в первую очередь;
  • сколько будет стоить модернизация IT-инфраструктуры (прямые инвестиции + трудозатраты).

Наша команда провела колоссальную работу, чтобы дать клиенту комплексное решение, которое позволяет усилить безопасность, упростить IT-менеджмент и сократить затраты на содержание информационных ресурсов.

Такой аудит занимает 160–240 часов. В зависимости от сложности к работе привлекаются от 4 до 6 специалистов.

Таблица 2. Рекомендации по улучшению IT инфраструктуры и устранению проблем (пример отчета по ИТ аудиту)

№ п/п Вид проблемы Прямые затраты, руб. Трудозатраты (ориентировочно), часы
1 Лицензирование программных продуктов ~ 2 000 000–3 000 000 60–90
2 Корректировка резервного копирования* ~ 1 000 000 80–120
3 Замена/настройка ИБП для серверов* ~500 000  16–24
4 Удалить лишние роли серверов терминалов, перенести данные, ПО ~ экономия от 150 000 40
5 Усиление ИТ-безопасности ~250 000  60–120
6 Ревью внутренних ИТ-расходов по бухгалтерскому/управленческому учету  внутренними силами внутренними силами
7 Обновление Mission critical серверов на брендовые сервера с сервисным контрактом* от 900 000  40–60
8 Стандартизация закупок конфигурации ПК на ближайшие 3–5 лет внутренними силами внутренними силами
9 Стандартизация сети от 1 000 000 от 80
10 Провайдер – снизить затраты (примерно в 3–4 раза), уменьшив скорость до 100 Mбит  внутренними силами внутренними силами
Итого: ~4 750 000–6 750 000 300–422

* Пункты со звездочкой должны выполняться в нерабочее или длительное праздничное время, поэтому стоимость часа тарифицируется по увеличенной ставке в соответствии с прайс-листом.

Когда требуется IT-экспертиза

Самые распространенные случаи, в которых желательно провести IT-аудит:

  • неоднородность информационной системы предприятия;
  • чрезмерно большие расходы на содержание IT-инфраструктуры в целом или отдельных подсистем;
  • внедрение CRM и другого специализированного ПО;
  • частые нарушения в работе серверов, локальных компьютерных сетей, сетевого оборудования, АТС, других компонентов программно-аппаратного комплекса;
  • устаревшее железо, программы, приложения;
  • инфраструктура перестала соответствовать актуальным потребностям предприятия;
  • необходимо повысить уровень безопасности;
  • в компании планируется смена руководства, реорганизация.

Экспертиза помогает провести глубокую диагностику состояния IT-системы, выявить слабые места, целесообразность применения тех или иных решений, предоставляет способы оптимизации информационной инфраструктуры.

Если вам нужна экспертная оценка общего состояния IT-структуры предприятия или отдельных подразделений, оставьте заявку на сайте.