Сначала разобраться, что есть — потом решать, что делать
Аудит — первый шаг для любой работы с инфраструктурой. Базовый формат — бесплатно, до 3 часов работы инженера. Для крупных или сложных компаний — расширенный, с глубоким разбором безопасности и подробной картой. Отчёт остаётся у вас в любом случае — даже если не пойдёте на абонентку. Без «давайте всё переделаем», только то, что критично.
01 / Сначала диагноз
Что есть и где болит
Без аудита любая работа — пальцем в небо. Сначала смотрим, что у вас сейчас, какие риски не закрыты, что критично, а что подождёт. Потом — план.
02 / Рабочий документ
PDF c приоритетами
Не «общий отчёт о состоянии» в стиле «всё в принципе нормально». Конкретные находки с приоритетами: что менять в первую неделю, что в первый месяц, что вообще не трогать.
03 / NDA до доступов
Без обязательств с вашей стороны
NDA подписываем до получения первых паролей. Отчёт остаётся у вас даже если не продолжите с нами. Не «купите аудит и потом разбирайтесь сами».
Знакомо
Когда не знаешь, что у тебя
Несколько ситуаций, в которых стоит начать с аудита, а не с резких действий. И — короткая история о том, почему важно делать аудит до катастрофы, а не после.
«Уволился наш айтишник. Что у нас вообще есть и где — никто не знает»
— директор, 35 сотрудников
«Не понимаю, на что уходят деньги. Подрядчик чем-то занят, но что готово — непонятно»
— владелец, 50 сотрудников
«Купили компанию. Пришли в новый офис — и не понимаем, как тут всё устроено»
— новый собственник, 25 сотрудников
«Постоянно что-то ломается, но в чём корень проблемы — никто не знает»
— РОП, 40 сотрудников
Из практики
Когда аудит делается уже после катастрофы
Самый частый сценарий, который мы видим — клиент пришёл уже после атаки. Шифровальщик зашёл через RDP, открытый наружу. Зашифровал базу 1С, общие папки, бэкапы на том же сервере. Производство встало.
Аудит делаем «по факту»: смотрим, что осталось, что можно восстановить из старых архивов на отдельном диске или резервных копий полугодовой давности. Поднимаем что есть. Перестраиваем инфраструктуру так, чтобы это не повторилось — закрываем периметр, разворачиваем VPN, нормальные бэкапы со схемой 3–2–1, разграничение доступа.
История повторялась несколько раз. И каждый раз клиент говорит одно и то же: «Если бы мы заказали аудит полгода назад, мы бы не потеряли две недели работы и кучу нервов». Аудит до катастрофы стоит дешевле и работает лучше, чем после.
Главный принцип
Сначала разобраться, что есть
Любая работа с инфраструктурой начинается не с «давайте что-нибудь оптимизируем», а с честной картины происходящего. Аудит — это не презентация и не маркетинговый инструмент. Это рабочий документ, по которому потом можно действовать.
01
Реальная картина
Не «у вас всё в принципе нормально» и не «всё надо менять срочно». Конкретно: вот что есть, вот что работает, вот где дыры. Без преувеличений в обе стороны.
02
Приоритизация
Что критично закрыть в первую неделю (открытый RDP, отсутствие бэкапов). Что в первый месяц. Что можно отложить на полгода. Что вообще не трогать.
03
Документ остаётся у вас
Не показываем красивые слайды «у вас всё плохо, идите к нам». Отдаём PDF-отчёт. С ним можно идти к любому подрядчику или решать самим.
04
Без давления
Не убеждаем срочно покупать что-то у нас. Если очевидных проблем нет — так и пишем. Если что-то нужно срочно — объясняем почему. Решение — за вами.
Частые ошибки
Когда люди не делают аудит
Шесть установок, при которых аудит откладывается до момента, когда уже поздно. Все они — разумные на первый взгляд. Но ровно эти установки и приводят к тому, что компания узнаёт о состоянии своей ИТ только после катастрофы.
Ошибка 01
«Пока работает — не трогай»
Самая распространённая позиция. Если что-то ещё не сломалось — кажется, что всё в порядке. На деле «работает» и «работает безопасно и надёжно» — две разные вещи. Открытый RDP в интернет тоже «работает» — до момента шифровальщика. Бэкап на тот же сервер «работает» — пока сервер не сгорел. Аудит — это как раз способ понять, что у вас «работает» сейчас, но рискованно завтра.
Как правильноАудит до того, как сломается. Базовый — бесплатный, занимает полдня. Гораздо дешевле потерянных двух недель и нервов.
Ошибка 02
«Айтишник сказал, что всё хорошо»
Внутренний или подрядный айтишник чаще всего отвечает «всё нормально» — потому что иначе ему придётся объяснять, почему ненормально. Это не злой умысел, это конфликт интересов: его работа — поддерживать то, что есть. Независимая проверка — это другая роль, со взглядом снаружи. Внутренний человек видит «у нас всё работает», аудитор видит «работает, но три риска критичные».
Как правильноРаз в год — независимая проверка. Не вместо айтишника, а как контроль. Хороший айтишник этому только рад: видит, что подсветить, чтобы получить бюджет на улучшения.
Ошибка 03
«Это дорого, для больших компаний»
В голове картинка из консалтинга: аудит на 2 месяца, отчёт в 200 страниц, цена с шестью нулями. Это правда — но для крупного бизнеса со сложной инфраструктурой и собственными требованиями. Для SMB аудит — это полдня инженера и сжатый отчёт с приоритетами. Бесплатно или за разумные деньги. И главное — масштабируется по сложности компании, а не «фиксированная цена 500 тысяч».
Как правильноБазовый аудит SMB — бесплатно. До 3 часов работы инженера. Углублённый — только если правда нужен (распределённая инфраструктура, важна безопасность, нужна документация для ТЗ).
Ошибка 04
«После аудита нас заставят что-то покупать»
Распространённое опасение. Подрядчик придёт, посмотрит, скажет «всё ужасно, срочно покупайте у нас сервер за полмиллиона». На деле — аудит не должен превращаться в продажу. Хороший отчёт — нейтральный документ: вот находки, вот приоритеты, вот возможные решения. Решения принимает заказчик, а не подрядчик.
Как правильноОтчёт остаётся у клиента в любом случае. С ним можно идти к любому исполнителю или решать самим. Если нашли проблемы — объясняем почему, не давим срочностью.
Ошибка 05
«У нас нет времени, мы заняты бизнесом»
Логично — аудит нужно проводить тогда, когда у бизнеса некритично потратить полдня. Но именно из-за этого его откладывают на «потом, когда станет поспокойнее». Не становится. Зато становится момент, когда «срочно надо аудит» — и это после атаки или ухода ключевого айтишника. Тогда уже поздно.
Как правильноБазовый аудит — это полдня инженера с вашей стороны (показать инфраструктуру, ответить на вопросы). Не задействует всю компанию, не останавливает работу. Спокойно делается в фоне.
Ошибка 06
«Сменили подрядчика — и так всё ясно»
При смене подрядчика новый часто берётся обслуживать инфраструктуру «как есть» — без обследования. Через месяц выясняется, что половина критичных рисков была не закрыта, бэкапы давно не работают, а пароль от админки никто не знает. И возникает «у нас же подрядчик есть, вы что не следили?» — а новый подрядчик просто принял старое наследство как было.
Как правильноАудит — обязательный первый шаг при смене подрядчика. До передачи доступов, до подписания договора на обслуживание. Чтобы все понимали, что принимается и в каком состоянии.
Форматы аудита
Базовый бесплатно. Углублённый — по объёму работ
Базового аудита хватает для большинства SMB — увидеть основное состояние и спланировать первые шаги. Углублённый — для случаев, когда инфраструктура сложная, есть филиалы, важна безопасность или нужна детальная карта сети для ТЗ.
Базовый
0 ₽
До 3 часов работы инженера в офисе или удалённо
Экспресс-обследование
Быстрый осмотр всей инфраструктуры. Что работает, что вызывает риски, что критично закрыть в первую очередь. Закрывает основные вопросы для большинства SMB.
- Состояние парка ПК и серверов — что используется, в каком состоянии
- Сеть и Wi-Fi — общая схема, проблемные узлы
- Внешний периметр — что торчит наружу, открытые порты
- Бэкапы — настроены ли, проверялось ли восстановление
- 1С — как развёрнута, как с пользователями и доступом
- PDF-отчёт с приоритизированными рекомендациями
Углублённый
от 30 000 ₽
2–5 дней работы, цена — после оценки объёма
Детальный разбор
Когда базового аудита мало. Глубокий анализ безопасности, детальное обследование больших или распределённых компаний, подготовка документации для ТЗ или оценки бизнеса.
- Всё из базового, плюс глубокий разбор
- Аудит безопасности — пентест периметра, проверка политик, симуляция атак на сотрудников
- Детальная карта сети — все узлы, кабели, VLAN, права доступа
- Аудит распределённой инфраструктуры — несколько офисов, филиалы, удалённые точки
- Подготовка ТЗ для подрядчиков — для тендеров, миграций, импортозамещения
- Регламенты и инструкции для ваших сотрудников
Что вы получите
Что входит — и что отдельно за деньги
Чтобы не было сюрпризов — сразу разделяем границы. Слева — что входит в любой аудит (даже бесплатный). Справа — что заказывается отдельно как самостоятельная работа.
В составе аудита
Это вы получаете
- Устный разбор с инженером после визита. Сразу проговариваем, что увидели, какие самые критичные риски.
- PDF-отчёт с описанием того, что обнаружили, и рекомендациями. Структурированный документ, не «мы тут посмотрели, всё нормально».
- Карта рисков с приоритетами — что критично закрыть в первую неделю, что в первый месяц, что отложить, что вообще не трогать.
- Базовая схема инфраструктуры — а-ля Visio, основные узлы и связи. Чтобы стало понятно «как всё устроено».
- Смета на устранение рисков с разбивкой на разовые работы и абонентское сопровождение.
- Все материалы остаются у вас — даже если не пойдёте на абонентку. Можете идти с ними к любому подрядчику.
Отдельно за деньги
Когда нужно глубже
- Детальная карта сети со всеми узлами, портами, кабелями, маркировкой. Для крупных сетей и сложных топологий.
- Пентест внешнего периметра — попытка взлома снаружи с подбором паролей, проверкой публичных сервисов.
- Симуляция фишинговой атаки на сотрудников — проверить, кто кликнет по ссылке. С отчётом для собственника.
- Аудит распределённой инфраструктуры — несколько офисов, филиалы. Каждая точка обследуется отдельно.
- Полное ТЗ для тендера — детальный документ для проведения тендера или оценки разных подрядчиков.
- Регламенты и инструкции для ваших сотрудников — что делать при инциденте, как работать с паролями, что нельзя.
Цифры
Что фиксируем
Аудит — это про прозрачность и доверие. Поэтому ключевые показатели — времени, формата, обязательств — фиксируются в виде понятных цифр и обещаний.
4 ч
Базовый аудит
До 3 часов работы инженера на месте или удалённо. Полдня вашего времени плюс отчёт через 2–3 рабочих дня после визита.
2–5 дн
Углублённый
Сложная инфраструктура, аудит безопасности, распределённые офисы. Сроки — после уточнения объёма. Заранее называем фиксированную цену.
NDA
До получения доступов
Соглашение о неразглашении подписываем до первой передачи паролей или информации. Стандартная практика, не доплата.
PDF
Отчёт после визита
Структурированный документ — не презентация и не «общий обзор». Конкретные находки с приоритетами и сметой.
100%
Материалы — у вас
Отчёт, схемы, рекомендации остаются у заказчика даже если не идёт на абонентку. Без «купите подписку, чтобы видеть отчёт».
0 ₽
Базовая версия
Для большинства SMB-компаний бесплатно. За «давайте посмотрим, что у вас есть» с нас не берётся ни копейки.
Как проходит
От заявки до отчёта на руках
Базовый аудит — обычно неделя от заявки до получения отчёта. Углублённый — 2–4 недели в зависимости от объёма. Никаких этапов «согласовывайте смету через нашего менеджера» — всё прозрачно.
Заявка и звонок
Оставляете заявку — обсуждаем по телефону размер компании, основные задачи, согласуем формат. NDA — сразу, до доступов.
Обследование
Инженер на месте или удалённо смотрит инфраструктуру. Задаёт вопросы вашему айтишнику. Сканирует периметр. До 3 часов для базового.
Подготовка отчёта
2–3 рабочих дня. Структурируем находки, раскладываем по приоритетам, готовим схему, прикидываем смету.
Встреча и обсуждение
Передаём отчёт, разбираем находки, отвечаем на вопросы. Вы решаете, что делать дальше — самим, с нами, с другим подрядчиком.
Вопросы
Что спрашивают про аудит
Если своего вопроса не нашли — напишите, ответим без маркетинга.
Аудит правда бесплатно? В чём подвох?
Подвоха нет. Базовый аудит — до 3 часов работы инженера, для нас это нормальная инвестиция в потенциального клиента. Если по итогам станет понятно, что вам подходит наша абонентка — будем работать. Если не подходит — отчёт остаётся у вас. Если инфраструктура слишком большая или сложная для базового — заранее предупредим, что нужен углублённый формат за деньги.
А сколько стоит углублённый аудит?
От 30 000 ₽ за 2 дня работы. Точная цена — после оценки объёма: сколько объектов, какая инфраструктура, нужен ли пентест периметра, симуляция фишинга, детальные карты сети. Перед стартом фиксируем цену в договоре, без сюрпризов в процессе. Для совсем больших и распределённых компаний — индивидуальная оценка.
Аудит можно сделать удалённо или нужен выезд?
Большую часть базового аудита можно сделать удалённо: подключение к серверам, сканирование периметра, разбор конфигураций. Но что-то всё равно нужно посмотреть глазами — состояние серверной, кабельной системы, физическое расположение точек Wi-Fi. Поэтому обычно — комбинированный формат: удалённое подключение + 1–2 часа на месте. Для Нижнего Новгорода — без доплаты, для других городов — обсуждаем командировку.
Что в отчёте — какой объём, как он выглядит?
Базовый отчёт — 8–15 страниц PDF: инвентаризация (что есть), карта рисков с приоритизацией, рекомендации с обоснованием, базовая схема инфраструктуры, смета на устранение. Без воды. Углублённый — от 25 страниц, с детальными разделами по безопасности, картами сети, регламентами. Образец отчёта пришлём по запросу.
Если вы что-то найдёте — обязательно ли потом делать у вас?
Нет. Отчёт ваш, делайте что хотите. Можете нанять с ним нас, можете другого подрядчика, можете решать сами своими силами. Никаких обязательств. И никакого «вы должны устранять найденное только через нас, иначе мы не несём ответственности» — это не наш стиль.
Что насчёт безопасности — я отдам вам пароли, а вы что с ними сделаете?
До получения паролей подписываем NDA — стандартное соглашение о неразглашении. Если есть свой шаблон — работаем по вашему. Все доступы используются только для аудита, после завершения — рекомендуем сменить все пароли (это в любом случае хорошая практика). Никаких «оставьте нам доступ на всякий случай».
Заказать аудит
Покажем, что у вас есть, где риски и что критично закрыть в первую очередь
Базовый аудит для большинства SMB-компаний — бесплатно, до 3 часов работы инженера. По итогам — устный разбор, PDF-отчёт с приоритетами, базовая схема инфраструктуры. Все материалы остаются у вас даже если не пойдёте на абонентку.
- Базовый аудит — бесплатно, до 3 часов
- NDA до получения первых паролей
- Все материалы остаются у вас