Аудит и паспортизация информационных систем в коммерческой компании

Задача

Клиент — крупная коммерческая организация с разветвлённой ИТ-инфраструктурой — столкнулся с рядом проблем:

• отсутствие актуального реестра информационных систем,
• неизвестно, какие системы обрабатывают персональные данные,
• при смене поставщика или уходе администратора — потеря контекста,
• сложность оценки рисков при планировании обновлений.

Руководство приняло решение провести полную инвентаризацию и паспортизацию всех ИС, чтобы:

• понять, что есть «на самом деле»,
• подготовиться к возможным проверкам по 152-ФЗ,
• заложить основу для централизованного управления ИБ.

Решение

Работа выполнена в три этапа — с фокусом на практическую ценность, а не формальное соответствие.

Этап 1. Выявление и сопоставление

• Проведено сетевое сканирование (Nmap, Zabbix) — выявлено 52 активных хоста с веб- или API-интерфейсами.
• Проанализированы DNS, DHCP, резервные копии, журналы входа — найдено 9 «забытых» систем, включая старую CRM и внутренний портал учёта ТМЦ.
• Проведены интервью с руководителями подразделений — выявлены «теневые» Excel-базы и Google-формы, обрабатывающие ПДн.
• Собраны данные из CMDB, Zabbix и конфигураций коммутаторов.

Всего зафиксировано 47 информационных систем, из них 18 обрабатывают персональные данные.

Этап 2. Классификация и анализ рисков

• Для каждой системы определены:
• владелец бизнес-процесса,
• тип данных (ПДн, финансовые, технические),
• уровень критичности для бизнеса (высокий/средний/низкий),
• используемые технологии (ОС, СУБД, язык программирования).
• Выявлены риски:
• 6 систем на устаревших ОС без поддержки,
• 4 системы без резервного копирования,
• 11 систем без многофакторной аутентификации.

Этап 3. Формирование паспортов и реестра

• Для каждой ИС подготовлен упрощённый паспорт:
• назначение, владелец, состав компонентов,
• схема подключения к сети,
• применяемые меры защиты (антивирус, MFA, резервное копирование),
• статус обработки ПДн.
• Сформирован единый реестр ИС в формате Excel с фильтрами по критичности, ПДн и владельцу.
• Подготовлено резюме для руководства: какие системы требуют срочного внимания, где возможны риски при проверке.

Результат

• Компания получила полную прозрачность по своему ИТ-ландшафту.
• Все системы, обрабатывающие персональные данные, теперь учтены и документированы — соответствие 152-ФЗ подтверждено.
• Устранена «техническая слепота»: при смене подрядчика или администратора — вся информация остаётся внутри компании.
• Сформирован дорожный план модернизации: 6 устаревших систем запланированы к замене в ближайшие 6 месяцев.
• ИТ-отдел теперь может обоснованно планировать бюджет на поддержку и развитие.

Сегодня клиент управляет не «набором серверов», а структурированным портфелем информационных систем, где каждая служба имеет владельца, описание и уровень риска.