Инвентаризация IT-активов: зачем считать то, что и так где-то есть

Месяц назад ко мне обратился владелец юрфирмы на двадцать два человека. Задача звучала просто: понять, что вообще есть в IT. За восемь лет работы компания ни разу не делала нормальной инвентаризации — технику закупали по мере необходимости, лицензии хранились где попало, а доступы к сервисам знал только один приходящий айтишник, который к тому моменту уже сменил работу. Это не исключение. Это норма для малого бизнеса.

Почему об этом не думают, пока не прижмёт

Маленькая компания растёт не по плану. Взяли менеджера — купили ноутбук. Открыли второй офис — поставили роутер и сервер, потому что так надо было. Через пять лет имеем: двенадцать компьютеров непонятного возраста, три роутера от разных провайдеров, сервер в углу под лестницей и тридцать пять ярлыков на рабочем столе с неизвестным назначением. Никакой документации. Я видел такое сотни раз. Причём владелец абсолютно искренне считает, что всё под контролем.

Однажды мы пришли к торговой компании на двадцать восемь мест — они хотели сменить интернет-провайдера. Попросили показать сетевую схему. Тишина. Начали сами разбираться — и в подсобке обнаружили маленький сервер HP ProLiant, о котором никто из нынешнего персонала не знал вообще. Он просто работал. Семь лет. Без обновлений, без резервных копий, с просроченным Windows Server 2008 R2. На нём крутилась база 1С, которую бухгалтерия считала облачной.

Вот три сценария, в которых отсутствие учёта становится реальной проблемой. Первый — сломался компьютер, а гарантия вышла три месяца назад, но никто не знал. Второй — приходит проверка лицензий, и вы не можете доказать, что ПО куплено. Третий — уходит ключевой сотрудник и забирает с собой все пароли и доступы. Каждый из этих случаев я наблюдал лично. И каждый обходился клиенту значительно дороже, чем разовая инвентаризация.

Что считать: три слоя IT-активов

Когда говорю «IT-активы», имею в виду три совершенно разные вещи. Первое — железо: компьютеры, ноутбуки, серверы, сетевое оборудование, принтеры, МФУ. Второе — программное обеспечение и лицензии: операционные системы, офисные пакеты, 1С, антивирусы, сертификаты КриптоПро. Третье — доступы: учётные записи, пароли, ключи от облачных сервисов, VPN-подключения, данные для входа в личные кабинеты провайдеров. Три категории с совершенно разными рисками.

Почему именно в таком порядке? Потому что железо — физический актив с конкретной стоимостью и сроком амортизации. Лицензии — это юридическое обязательство и деньги, которые либо уже потрачены, либо должны быть потрачены. А доступы — вопрос безопасности и операционной непрерывности. Потеряете компьютер — плохо, но пережить можно. Потеряете доступ к CRM с базой клиентов — это уже катастрофа.

Для компании до пятидесяти рабочих мест полная инвентаризация всех трёх слоёв занимает от одного до трёх рабочих дней. Зависит от того, насколько всё запущено. Я встречал компании на тридцать человек, где управлялись за день — потому что там был хоть какой-то порядок. И компании на пятнадцать человек, где работа растянулась на неделю: часть оборудования не была подключена к домену, половина лицензий оформлена на уволившихся.

Железо: не только то, что стоит на столе

Начну с очевидного. Компьютеры и ноутбуки — понятно. Но полный реестр железа для небольшой компании включает гораздо больше. Сетевые коммутаторы — свитчи. Маршрутизаторы и файрволы. Точки доступа Wi-Fi. Серверы, пусть даже это просто старый Pentium под столом у эникейщика. Источники бесперебойного питания. Принтеры и МФУ. IP-телефония, если есть. Всё это оборудование, всё стоит денег, у всего есть ресурс работы.

Для каждой единицы железа нужно знать: инвентарный номер, модель, серийный номер, дату покупки, гарантийный срок, за каким сотрудником закреплено и где физически находится. На это уходит пять минут на устройство. Зато потом не будет ситуации, когда сломался ноутбук, а вы пытаетесь вспомнить, когда его купили. В нашей практике самый длинный гарантийный срок — три года на серверы HP и Lenovo. Немало компаний выбрасывали работающую технику, не зная, что могут сдать её в сервис бесплатно.

Отдельно скажу про сетевое оборудование. Его часто вообще не считают. Свитч Cisco или MikroTik на 48 портов стоит 25 000–80 000 рублей — это не мелочь. У него есть прошивка, которую надо обновлять, и конфигурация, которую надо хранить. Если свитч сгорит и вы не знаете его модель и настройки — поднять сеть заново будет нетривиальной задачей. Я видел, как после замены одного свитча компания на двадцать пять человек сидела без сети полтора дня. Просто потому что никто не сохранил конфиг.

Лицензии: деньги, которые легко потерять дважды

Самая больная тема. Для типичной компании на тридцать мест минимальный легальный стек ПО выглядит примерно так. Windows 11 Pro — около 12 000–15 000 рублей за лицензию. Microsoft Office 2021 — 20 000–28 000 рублей. Антивирус — 1 000–3 000 рублей в год на рабочее место. 1С:Бухгалтерия — от 7 000 за однопользовательскую до 40 000 рублей и выше за клиент-серверную. Windows Server — от 90 000 рублей за стандартную редакцию. Сложите на тридцать человек — получите несколько миллионов. Серьёзные деньги, которые нужно где-то учитывать.

Ключи и дистрибутивы теряются. Это факт жизни. Коробка с ключом от Windows куплена в 2019 году, с тех пор трижды переезжала, и теперь никто не знает, где она. КриптоПро — отдельная история: у него истекает срок лицензии, и если не следить, однажды утром бухгалтер просто не сможет отправить отчёт в налоговую. Это случается регулярно. Одна из наших клиенток — небольшая бухгалтерская фирма — позвонила в панике 30 октября: КриптоПро слетел, отчётность в последний день сдачи. Успели. Но нервов потратили.

Что насчёт нелегального ПО? Скажу прямо: риск реальный. С 2022 года проверки по иностранному ПО несколько ослабли — часть западных вендоров ушла с рынка. Но 1С и отечественные решения проверяются по-прежнему. Штраф за одну нелегальную копию Windows — от 10 000 до 500 000 рублей по статье 7.12 КоАП, плюс гражданский иск от правообладателя. В реестре лицензий должны быть: название ПО, версия, количество мест, ключ активации или ссылка на личный кабинет, дата окончания поддержки или подписки.

Доступы: самое недооценённое и самое опасное

Поговорим о том, о чём обычно вспоминают только после того, как что-то идёт не так. Доступы — это учётные записи администратора домена, пароли к роутерам и свитчам, логины в личных кабинетах у провайдеров интернета и телефонии, данные к облачным сервисам — корпоративная почта, CRM, онлайн-бухгалтерия, файловые хранилища. Плюс VPN-сертификаты, ключи к банк-клиентам, пин-коды от токенов. Всё это нужно где-то хранить в структурированном виде. Не в голове одного человека.

Расскажу случай из прошлого года. Клиент — медицинская клиника на двенадцать мест. Уволился IT-специалист. Не со скандалом, просто ушёл. Выяснилось, что он был единственным, кто знал пароль от роутера, учётку администратора домена и логин от личного кабинета провайдера. Дозвониться до него не смогли. Провайдер потребовал подтверждение личности абонента — полтора дня разбирались с документами. Роутер пришлось сбрасывать на заводские настройки и настраивать заново. Интернет не работал сутки. Клиника. Сутки без интернета.

Где хранить доступы? Текстовый файл на рабочем столе — не вариант. Я рекомендую специализированные менеджеры паролей с корпоративным функционалом. Bitwarden Business — около 300 рублей в месяц на пользователя. KeePass с общей базой на зашифрованном сетевом диске — бесплатно, но требует дисциплины. Главное: доступ к этому хранилищу должен быть минимум у двух человек в компании — директора и одного доверенного сотрудника. Не только у айтишника. Это ключевой момент, который большинство игнорирует.

Как провести инвентаризацию: конкретный порядок действий

Делается в несколько этапов. Первый — физический обход. Берёте таблицу и ходите по офису. Каждое устройство — строчка. Сфотографируйте серийный номер, запишите модель, отметьте, за кем закреплено. На тридцать компьютеров это три-четыре часа. Заодно обнаружите то, о существовании чего уже забыли: сломанный ноутбук в шкафу, старый принтер на складе, непонятный хаб в переговорной. Всё это тоже фиксируется. Особенно то, что уже не работает — это кандидат на списание.

Второй этап — аудит программного обеспечения. Для каждого компьютера можно сделать выгрузку установленных программ через утилиты вроде бесплатного Belarc Advisor или GLPI с открытым исходным кодом. Если все машины в домене Active Directory — задача упрощается: единый отчёт по всем рабочим станциям через PowerShell буквально за минуты. Параллельно собираете все лицензионные ключи, договоры и чеки в одну папку — физическую и электронную. Если чек потерян — смотрите личный кабинет на сайте производителя или в магазине.

Третий этап — аудит доступов. Самый деликатный шаг. Просите ответственных сотрудников передать актуальные пароли к сервисам, за которые они отвечают. Проверяете список учётных записей в домене — убираете тех, кто уже не работает. Меняете пароли на сетевом оборудовании, если они стандартные или давно не обновлялись. Фиксируете всё в защищённом хранилище. Этот этап вызывает наибольшее сопротивление — люди не хотят делиться паролями. Объясняю клиентам: это не недоверие к конкретному человеку. Это защита бизнеса.

Инструменты и регулярность: как не скатиться обратно в хаос

Начните с Excel. Серьёзно. Не надо сразу покупать дорогую систему учёта активов. Три листа: «Железо», «Лицензии», «Доступы». В каждом — понятные столбцы. Это работает для компаний до двадцати человек. Главное — чтобы файл жил в облаке, хотя бы в Яндекс Диске или на корпоративном SharePoint, а не на локальной машине одного сотрудника. Шаблон со всеми нужными столбцами я даю любому клиенту, который обращается к нам. Бесплатно, просто пишите.

Если хотите что-то более структурированное — есть GLPI. Открытая система управления IT-активами и заявками, разворачивается на сервере, русский интерфейс есть, базовая версия бесплатная. Используем её у нескольких клиентов на тридцать и более мест. Удобно тем, что через неё же можно принимать заявки на техподдержку — всё в одном месте. Из платных и простых — есть отечественные решения, но для компании до пятидесяти мест они обычно избыточны и окупаются уже в другом масштабе.

Периодичность. Полную инвентаризацию рекомендую раз в год — заложите в календарь, например в январе или перед летними отпусками. Плюс триггерные события: уволился сотрудник — немедленно проверить его учётки и возврат техники. Купили новое оборудование — сразу внести в реестр, наклеить инвентарный стикер. Истекает лицензия — не ждать, когда перестанет работать, обновить заранее. Всё это звучит банально. Но вы удивились бы, как редко это делается. Встречаю компании с десятилетней историей, где ничего подобного не было ни разу.

Частые вопросы

Как часто нужно обновлять реестр IT-активов?
Полную ревизию достаточно делать раз в год. Но реестр должен обновляться при каждом изменении: купили новый компьютер — записали, уволился сотрудник — проверили возврат техники и закрыли его учётки. Компании, которые ввели это как привычку, тратят на поддержание реестра не более получаса в месяц. Это небольшая цена за отсутствие неприятных сюрпризов.

Можно обойтись обычной таблицей Excel, или нужна специальная программа?
Для компаний до двадцати рабочих мест Excel отлично справляется — главное хранить файл в облаке и ввести правило: любое изменение фиксируется сразу, не потом. Специальные системы типа GLPI оправданы от тридцати мест и выше, когда начинается большой поток заявок и нужна история изменений по каждому устройству. Не усложняйте раньше, чем это реально нужно.

Что будет, если при аудите выяснится, что часть ПО нелегальная?
Ничего страшного не произойдёт, если вы сами это обнаружили и начали устранять. Это повод составить план легализации и расставить приоритеты: что нужно купить прямо сейчас, что можно заменить бесплатным аналогом, а что давно не используется и просто удалить. Хуже — если это обнаружат при внешней проверке, потому что тогда уже не вы управляете процессом.

Сколько стоит провести инвентаризацию силами внешней IT-компании?
Для компании на 15–25 мест — обычно один-два рабочих дня, стоимость от 15 000 до 40 000 рублей с учётом подготовки документации. Это разовая инвестиция, которая окупается при первом же инциденте: поломка техники в гарантийный период, спор с провайдером или уход ключевого сотрудника вместе с паролями. Один такой случай, как правило, стоит дороже.