IT-аудит інфраструктури: повний чек-лист для бізнесу у 2026 році

Ваш сервер працює на Windows Server 2012. Бекапи «начебто є», але їх ніхто не перевіряв рік. Пароль адміністратора знають троє людей, включно з колишнім системним адміністратором. Звучить знайомо?

За 17 років роботи IT-Premium провела сотні аудитів для українських компаній. І в 80% випадків ми знаходили критичні проблеми, про які власники навіть не підозрювали.

Навіщо бізнесу IT-аудит

IT-аудит — це не формальність і не «галочка для ISO». Це діагностика вашого бізнесу, так само як щорічний медогляд для людини.

Реальні приклади з нашої практики:

  • Логістична компанія: виявили, що всі 47 ПК працювали під одним обліковим записом адміністратора. Один вірус міг паралізувати весь бізнес
  • Бухгалтерська фірма: бекапи BAS робилися на той самий фізичний диск, що й база даних. При виході диска з ладу втрачалося б усе
  • Торгова мережа: Wi-Fi мережа магазину використовувала пароль «12345678» і давала доступ до внутрішньої мережі з касовими терміналами

Коли потрібно проводити IT-аудит

Планово IT-аудит варто проводити щорічно. Але є ситуації, коли його потрібно робити терміново:

  • Зміна IT-спеціаліста — звільнився або мобілізований сисадмін
  • Інцидент безпеки — вірус, злом, витік даних
  • Масштабування бізнесу — відкриття нових офісів або філій
  • Перехід на нове ПЗ — впровадження BAS, CRM, ERP
  • Підготовка до сертифікації — ISO 27001, SOC 2
  • Після злиття або поглинання — інтеграція IT-систем

Повний чек-лист IT-аудиту

1. Мережева інфраструктура

Активне обладнання:

  • Інвентаризація всіх маршрутизаторів, комутаторів, точок доступу Wi-Fi
  • Перевірка версій прошивок — чи оновлені до останніх стабільних версій
  • Наявність резервного обладнання для критичних вузлів
  • Документація мережевої топології (актуальна, не «схема від 2019 року»)

Безпека мережі:

  • Сегментація мережі — чи відокремлені гостьові, робочі та серверні сегменти
  • Налаштування firewall — правила, логування, регулярність ревізії
  • Моніторинг трафіку — чи є інструменти виявлення аномалій
  • VPN для віддаленого доступу — протоколи, сертифікати, двофакторна автентифікація

Wi-Fi:

  • WPA3 або WPA2-Enterprise (не WPA2-Personal з загальним паролем)
  • Окрема гостьова мережа без доступу до внутрішніх ресурсів
  • Регулярна зміна паролів (мінімум раз на квартал)

2. Серверна інфраструктура

Апаратне забезпечення:

  • Вік серверів — обладнання старше 5 років потребує плану заміни
  • Стан RAID-масивів — перевірка на деградовані диски
  • Джерела безперебійного живлення (UPS) — тестування, ресурс батарей
  • Температурний режим серверної кімнати

Операційні системи:

  • Актуальність ОС — Windows Server 2012/2016 вже без підтримки
  • Регулярність оновлень безпеки — автоматичні чи ручні, як часто
  • Ліцензування — легальність та актуальність ліцензій

Віртуалізація:

  • Платформа (Hyper-V, VMware, Proxmox) — версія, оновлення
  • Розподіл ресурсів між віртуальними машинами
  • Snapshots — не замінюють бекапи, але чи використовуються правильно

3. Резервне копіювання

Це найкритичніший розділ аудиту. За нашою статистикою, у 60% компаній бекапи не працюють належним чином.

Що перевіряти:

  • Правило 3-2-1: три копії, два різних носії, одна копія offsite
  • Частота бекапів — для критичних систем мінімум щоденно
  • Тестове відновлення — коли останній раз реально відновлювали з бекапу?
  • Шифрування бекапів — особливо для offsite копій
  • Час відновлення (RTO) та точка відновлення (RPO) — чи задовольняють бізнес

Типові помилки:

  • Бекап на той самий фізичний сервер
  • Бекапи є, але ніхто не знає паролю для відновлення
  • Копіюється тільки база даних, без конфігурацій та налаштувань
  • Немає бекапу хмарних сервісів (Microsoft 365, Google Workspace)

4. Кібербезпека

Антивірусний захист:

  • Наявність корпоративного антивірусу на всіх пристроях
  • Централізоване управління — не індивідуальні ліцензії
  • Актуальність баз та версій
  • Політики сканування

Управління доступом:

  • Active Directory або аналог — централізоване управління обліковими записами
  • Принцип мінімальних привілеїв — кожен має тільки необхідний доступ
  • Двофакторна автентифікація (2FA) для критичних систем
  • Процедура деактивації при звільненні співробітника (протягом години, не тижня)

Паролі:

  • Політика складності — мінімум 12 символів, різні типи символів
  • Заборона повторного використання
  • Менеджер паролів для корпоративного використання
  • Перевірка на витоки (haveibeenpwned)

Електронна пошта:

  • SPF, DKIM, DMARC записи налаштовані та моніторяться
  • Фільтрація спаму та фішингу
  • Навчання співробітників розпізнаванню фішингу

5. Робочі станції

  • Інвентаризація всіх ПК, ноутбуків, планшетів
  • Актуальність ОС — Windows 10 підтримується до жовтня 2025 (вже ні!)
  • Стандартизація конфігурацій
  • Шифрування дисків (BitLocker, FileVault)
  • Політика використання USB-пристроїв

6. Ліцензування та комплаєнс

  • Аудит усіх програмних ліцензій
  • Відповідність кількості ліцензій кількості користувачів
  • Підписки — що автоматично продовжується, скільки коштує
  • Невикористовуване ПЗ — можливість оптимізації витрат

7. Документація та процеси

Документація (найчастіше відсутня):

  • Мережева схема — актуальна, з IP-адресами та VLAN
  • Список облікових записів та доступів
  • Інструкції з відновлення після аварії (DRP)
  • Контакти провайдерів та постачальників

Процеси:

  • Порядок подачі та обробки IT-заявок
  • Ескалація інцидентів — хто відповідає, строки реакції
  • Управління змінами — хто і як вносить зміни в інфраструктуру
  • Онбординг/офбординг співробітників

Як проводити аудит: покрокова методологія

Крок 1: Підготовка (1–2 дні)

Визначте scope аудиту. Для малого бізнесу зазвичай достатньо перевірити все. Для середнього — пріоритизуйте критичні системи.

Крок 2: Збір інформації (2–3 дні)

Автоматичне сканування мережі, інвентаризація обладнання та ПЗ, інтерв’ю з IT-персоналом та ключовими користувачами.

Крок 3: Аналіз (2–3 дні)

Порівняння поточного стану з best practices та стандартами. Оцінка ризиків. Пріоритизація знахідок.

Крок 4: Звіт та рекомендації (1–2 дні)

Детальний звіт з категоризацією проблем за критичністю:

  • 🔴 Критичні — потребують негайного виправлення
  • 🟡 Важливі — виправити протягом місяця
  • 🟢 Рекомендації — покращення для оптимізації

Крок 5: План дій

Конкретний план з термінами, відповідальними та бюджетом для кожного пункту.

Скільки коштує IT-аудит

Вартість залежить від масштабу:

  • Малий бізнес (до 20 ПК): 10 000–25 000 грн
  • Середній бізнес (20–100 ПК): 25 000–60 000 грн
  • Великий бізнес (100+ ПК): від 60 000 грн, індивідуально

Порівняйте це з вартістю простою: за нашими дослідженнями, година простою коштує українському бізнесу в середньому 50 000 грн. Аудит окупається після першого попередженого інциденту.

Чому не варто робити аудит самостійно

Внутрішній IT-спеціаліст може не побачити проблеми, до яких він звик. Це як перевіряти власну контрольну роботу — помилки «замилюються».

Незалежний аудит від зовнішньої компанії дає:

  • Об’єктивну оцінку без внутрішньої політики
  • Свіжий погляд — досвід сотень інших компаній
  • Бенчмаркінг — порівняння з галузевими стандартами
  • Відповідальність — зовнішній аудитор несе репутаційну відповідальність за висновки

Висновок

IT-аудит — це інвестиція в стабільність бізнесу, а не витрата. Використовуйте цей чек-лист для самостійної первинної оцінки, але для повноцінного аудиту зверніться до професіоналів.

IT-Premium проводить комплексний IT-аудит для бізнесу будь-якого масштабу. За 17 років ми перевірили сотні інфраструктур і знаємо, де зазвичай ховаються проблеми. Замовте безкоштовну консультацію — ми допоможемо визначити scope та вартість аудиту для вашої компанії.

Проконсультуйтесь зараз