MSP-чеклист безопасности от ITfresh: 9 пунктов до подписания договора

К нам в ITfresh регулярно приходят клиенты, у которых уже есть IT-аутсорсер. Иногда довольные, иногда — со словами «нас 5 лет поддерживала компания X, а недавно у нас зашифровали весь файловый сервер». В обоих случаях я начинаю с одного и того же — прохожусь по чеклисту из 9 пунктов и показываю, что на самом деле сделано, а что — на словах. В этой статье — этот самый чеклист с реальными вопросами, которые я бы задавал любому MSP до подписания договора. И с честным разбором правильных и неправильных ответов.

Зачем вообще нужен чеклист — и откуда взялись эти 9 пунктов

За 15 лет в ITfresh я насмотрелся на разные подходы — от классных команд, у которых каждый процесс отполирован до блеска, до контор, продающих «комплексное обслуживание» за 18 000 ₽ в месяц для офиса 40 РМ (на эти деньги нельзя купить даже один час времени взрослого инженера). 9 пунктов — это минимальная база, без которой я не возьму клиента в обслуживание сам и не буду рекомендовать никому другому.

Одна моя любимая мысль: дешёвый MSP стоит дороже дорогого. Когда вы платите 15 тысяч в месяц за «обслуживание», вы покупаете подмену кабелей и переустановку Windows. Безопасность, мониторинг, обновления, бэкапы — всё это требует часов работы взрослых инженеров, которых не покрывает такой бюджет. И вы это узнаете в момент инцидента, когда восстанавливать нечего и некому.

Пункт 1. Аудит инфраструктуры до приёма в обслуживание

Первый и самый важный пункт. Любой нормальный MSP перед тем, как поставить штамп «принимаем», проходит по вашей инфраструктуре с ультразвуком: что там реально работает, какие учётки висят без хозяина, какие GPO применены, какие патчи пропущены, какие порты открыты наружу. Без этого первый месяц обслуживания превращается в лотерею.

Что я лично проверяю на этапе приёма (это занимает 3-5 рабочих дней):

# 1. PingCastle — оценка зрелости AD
# Скачивается с pingcastle.com, бесплатная редакция
.\PingCastle.exe --healthcheck --server corp.client.local
# Получаем PDF-отчёт с грейдом A-F и детальным списком уязвимостей

# 2. Bloodhound на коллектор SharpHound — карта attack-paths
SharpHound.exe -c All --domain corp.client.local --outputprefix audit
# Граф загружается в Bloodhound CE, ищем "Shortest Path to Domain Admins"

# 3. PowerShell-инвентарь всего критичного
Get-ADUser -Filter * -Properties LastLogonDate,Enabled,PasswordLastSet,PasswordNeverExpires |
  Export-Csv "users-audit.csv" -NoTypeInformation

Get-ADComputer -Filter * -Properties LastLogonDate,OperatingSystem,Enabled |
  Export-Csv "computers-audit.csv" -NoTypeInformation

# 4. Аудит GPO
Get-GPO -All | foreach { Get-GPOReport -Guid $_.Id -ReportType Html `
  -Path "C:\audit\gpo-$($_.DisplayName).html" }

# 5. Сетевой аудит — что слушает на серверах
Get-NetTCPConnection -State Listen | Select LocalAddress,LocalPort,OwningProcess |
  Sort LocalPort | Export-Csv "listening-ports.csv"

# 6. Внешний скан — что светится в интернет
nmap -sV -sC -O -p- -Pn 1.2.3.4-1.2.3.255 -oA external-scan

Что бывает в результате аудита: у клиента-юрфирмы 38 РМ в декабре 2025-го мы нашли 4 учётки уволенных сотрудников за 2-3 года, домен в режиме функционала Windows Server 2008 R2, отсутствие репликации между двумя DC последние 9 месяцев, RDP открытый в интернет на одном из серверов. Это всё мы починили в первую неделю до подписания основного договора — клиент впервые увидел реальное состояние своей системы.

Красный флаг: аутсорсер говорит «мы посмотрим в процессе». Это значит, что он не делает аудит и не понимает, на что подписывается.

Пункт 2. Immutable бэкапы по правилу 3-2-1 с проверкой

Бэкап — это не «архив на той же сетевой папке». 3-2-1 значит: три копии данных, два разных носителя, одна вне домена офсайт. Immutable — значит даже скомпрометированная учётка Domain Admin не сможет стереть резервные копии в течение retention-периода.

Что должно быть в правильной схеме у MSP:

• Первая копия: Veeam Backup & Replication 12.1 (или аналог) на локальном сервере с диском под бэкапы. Полный raw-доступ имеют только сервисные учётки Veeam, не пользовательские.
• Вторая копия: Hardened Linux Repository с XFS или Object Lock на S3 Compatible. Не доменная учётка, отдельный nestop пароль, immutable-флаг на 30+ дней.
• Третья копия: Off-site — либо на ленте LTO-8 в банковском сейфе клиента, либо на отдельном физическом сервере в другом дата-центре.
• Проверка: Veeam SureBackup или ручное тестовое восстановление раз в квартал. Без проверки бэкап — это шкатулка с неизвестным содержимым.
• Метрики в отчёте: RPO (Recovery Point Objective) и RTO (Recovery Time Objective) для каждой критичной системы. У наших клиентов RPO = 24 часа, RTO = 4 часа на основную инфраструктуру.

Красный флаг: «бэкапы делает сама Windows встроенными средствами» или «копии хранятся на файловом сервере». Это не бэкапы, а имитация.

Пункт 3. Patch management с письменным SLA

В договоре должно быть прописано чёрным по белому: критические патчи (CVSS 9.0+) применяются в течение N дней с момента выхода. Стандартная индустриальная практика — 7 дней на критичные, 30 дней на остальные. Если MSP пишет «по мере возможности» или «после согласования с заказчиком» — у вас будет инцидент.

Что должно быть на инфраструктурной стороне у MSP:

• WSUS-сервер для централизованной раскатки патчей Windows.
• PDQ Deploy или аналог для патчинга сторонних приложений (Chrome, Adobe, Java, 1С).
• Wazuh или другой SIEM для отслеживания пропусков патчей и составления отчётов.
• Тестовая группа машин (test-ring), на которой обкатывается каждый патч перед раскаткой в production.
• Процедура отката, документированная и протестированная.

Я лично у клиента раз в месяц составляю отчёт на одну страницу: сколько патчей применено, какие критичные пропущены и почему, какие плановые работы запланированы на следующий месяц. Этот отчёт идёт директору с моей подписью.

Пункт 4. EDR на каждом эндпоинте + сетевая сегментация

Просто антивирус в 2026 году не закрывает риски. Нужен EDR (Endpoint Detection and Response) — это поведенческий анализатор, который видит не только сигнатуры, но и подозрительные паттерны действий. У нас стандарт: Kaspersky EDR Optimum или Bitdefender GravityZone Business Security Premium на каждой рабочей станции и сервере. Стоимость лицензии — около 1800-3000 ₽ в год на эндпоинт.

Сетевая сегментация — на уровне VLAN с фильтром между ними. Минимум:

• Офисные рабочие станции — отдельный VLAN, доступ к серверам только по нужным портам.
• Серверы — отдельный VLAN, RDP доступен только из административной сети.
• Гостевой Wi-Fi — изолирован полностью, доступ только в интернет.
• Принтеры и IoT — отдельная зона без доступа к рабочим станциям и серверам.

На MikroTik CCR2004 эта схема разворачивается за рабочий день. Если вы видите у себя на роутере одну плоскую сеть для всех 47 устройств — это проблема первой степени важности.

Пункт 5. Tier-модель администрирования и LAPS

Это пункт, на котором отсеивается 80% мелких аутсорсеров — потому что они просто не делают так у себя. Tier-модель Microsoft:

• Tier-0: Domain Admins, Schema Admins, Enterprise Admins. Используются только с Privileged Access Workstation, изолированной от интернета. MFA через FIDO2-токен.
• Tier-1: Серверные администраторы, Backup Operators. С обычной рабочей станции через Bastion-сервер. MFA через Authenticator.
• Tier-2: Helpdesk, поддержка пользователей. Не имеет прав на серверах, только на рабочих станциях через делегирование.

LAPS (Local Administrator Password Solution) — стандарт Microsoft, который автоматически генерирует уникальный пароль локального администратора на каждом компьютере, меняет его раз в 30 дней и хранит в AD под защитой. Без LAPS, если ransomware узнал пароль локального администратора одной машины — он повторяет его на всех остальных.

# Установка Windows LAPS на DC и клиентах (Windows 11/Server 2022 и новее)
# На DC расширяем схему AD
Update-LapsADSchema

# На OU, где находятся компьютеры — настраиваем разрешения на запись пароля
Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=corp,DC=client,DC=local"

# GPO для конфигурации LAPS на клиентах
# Computer Config → Policies → Admin Templates → System → LAPS
# - Configure password backup directory: Active Directory
# - Password complexity: Large letters + small letters + numbers + special
# - Password length: 24
# - Password age (days): 30
# - Account name: Administrator (по умолчанию)

# Чтение пароля одной машины (только уполномоченные админы)
Get-LapsADPassword -Identity "PC-BUH-05" -AsPlainText

Пункт 6. MFA на всех аккаунтах без исключений

В 2026 году аккаунт без второго фактора — это просто ждущая своего момента боль. Что должно быть закрыто MFA:

• Все доменные учётки — через Microsoft Authenticator или Google Authenticator на смартфоне сотрудника.
• Все привилегированные учётки администраторов — обязательно через FIDO2-токен (YubiKey 5C, около 3000 ₽ за штуку), не SMS и не Authenticator.
• Удалённый VPN-доступ — обязательно с второй фактор-проверкой.
• Веб-сервисы (почта, корпоративный портал, CRM) — через SSO с MFA.
• Учётки служб технической поддержки — через приватный MFA-токен, который выдаётся только на момент работы и отзывается после.

SMS как второй фактор — устаревшая практика. SIM-сваппинг и перехват кода через социальную инженерию у мобильного оператора уже не редкость. Authenticator-приложение надёжнее, FIDO2-ключ ещё надёжнее.

Пункт 7. SIEM с круглосуточным мониторингом

SIEM (Security Information and Event Management) — это система, которая собирает логи со всех источников и кричит, когда видит подозрительное. Минимум, что должно быть в SIEM:

• Логи Windows Security со всех серверов и рабочих станций.
• Логи Sysmon (детальная телеметрия процессов).
• Логи фаервола, IDS, EDR.
• Логи Active Directory (особенно изменения групп безопасности и привилегий).
• Логи систем резервного копирования.

Минимальные алерты, которые должны срабатывать:

• Добавление пользователя в группу Domain Admins или Enterprise Admins (немедленный алерт).
• Множественные неудачные попытки логина (5+ за 5 минут).
• Использование PsExec или WinRM с админскими правами.
• Запуск неподписанного исполняемого файла на сервере.
• Изменение GPO с правами Domain Admin.
• Сбой бэкапа более 2 раз подряд.

Дежурный инженер должен реагировать на критичные алерты в течение 15-30 минут даже ночью и в выходные. Если у MSP «дежурят с 9 до 18 в будни» — это уже не серьёзно для бизнеса, у которого ransomware приходит в три часа ночи в субботу.

Пункт 8. Тренинги и фишинг-тестирование

Технические меры — это половина обороны. Вторая половина — это люди, которые работают за рабочими местами. Любой ransomware начинается с того, что кто-то кликнул на письмо. У хорошего MSP должны быть:

• Раз в квартал — тренировочная фишинг-кампания. Имитация писем «от Налоговой», «от 1С», «от службы безопасности банка». Метрика: процент кликнувших и процент введших пароль.
• Раз в полгода — очный 1.5-2 часовой тренинг по информационной безопасности с разбором свежих кейсов и сценариев.
• Каждому новому сотруднику в первый день — короткая вводная по основам безопасности (15-20 минут видео + тест).
• Ежемесячные информационные бюллетени по почте с разбором актуальных угроз.

У клиента-производства, который мы взяли в обслуживание в начале 2025-го, при первом фишинг-тесте 14 из 47 пользователей кликнули, 8 из них ввели пароль. Через год после ежеквартальных тренингов — кликнули 3 из 47, ввели пароль 1. Это и есть метрика, которую должен показывать MSP.

Пункт 9. Incident Response Plan и квартальные учения

Когда у клиента случается инцидент, не должно быть момента «а что нам теперь делать?». Должен быть документ с пошаговыми инструкциями: кто кому звонит, кто принимает решения, как уведомлять партнёров и сотрудников, в каком порядке восстанавливать сервисы.

Минимальное содержимое Incident Response Plan:

• Список ответственных лиц с телефонами (директор, юрист, бухгалтер, штатный админ, инженеры MSP).
• Сценарии инцидентов: ransomware, утечка данных, физический инцидент в серверной, кража ноутбука, взлом аккаунта руководителя, DDoS.
• Для каждого сценария — пошаговая последовательность действий первого часа, первых 4 часов, первых суток.
• Шаблоны коммуникаций: внутренние сотрудникам, партнёрам, клиентам, регулятору (если есть утечка ПДн), правоохранительным органам.
• Чеклист «что нельзя делать» (пример: не выключать заражённую машину, она нужна для forensic; не платить выкуп; не давать комментарии прессе без юриста).

Раз в квартал у нас тренировочные учения. Я объявляю один из сценариев из плана, команда клиента (директор, юрист, бухгалтер, штатный админ) разыгрывает свои действия, мы засекаем время и разбираем узкие места. После настоящей атаки шифровальщика весной 2026-го у одного нашего клиента мы провели «горячий ретроспективный разбор» — оказалось, что ни у кого не было заранее заготовленного шаблона уведомления партнёрам, добавили в план ещё один пункт.

Бонус: что должно быть в самом договоре с MSP

Я помог нескольким клиентам пересматривать действующие договоры с другими аутсорсерами — там часто отсутствуют ключевые пункты. Минимум, что должно быть прописано:

• SLA на реакцию: 30 минут на критичный инцидент (ransomware, недоступность сервера 1С), 2 часа на средний, 8 часов на низкий.
• SLA на восстановление: 4 часа на критичный инцидент с уровнем доступа «всё работало вчера в 18:00».
• Финансовая ответственность за утечку данных и простой по вине MSP: минимум 5 млн ₽ для офиса 30 РМ, минимум 10 млн для 50+ РМ.
• Право заказчика на аудит: возможность раз в год привлечь третью сторону для проверки качества работы MSP.
• Передача знаний при уходе: в случае расторжения MSP передаёт всю документацию, пароли, схемы в течение 14 дней.
• Регулярные отчёты: ежемесячный отчёт на одну страницу + ежеквартальный детальный отчёт с метриками.
• Конфиденциальность и NDA: взаимные обязательства о неразглашении.
• Защита персональных данных: соответствие 152-ФЗ, обработка ПДн только в рамках поручения.

Сколько стоит правильный MSP в Москве в 2026

Честные цифры на моём опыте:

• Офис 10-20 РМ: 22-35 тысяч в месяц при стандартной инфраструктуре.
• Офис 21-40 РМ: 35-55 тысяч в месяц.
• Офис 41-70 РМ: 55-95 тысяч в месяц.
• Офис 71-100 РМ: 90-150 тысяч в месяц.

Это базовые тарифы для сценария «AD + почта + файловый сервер + 1С + офисный Wi-Fi». Если есть производственная сеть АСУ ТП, требования ФСТЭК, удалённые филиалы, специфичный софт — наценка 20-50%. Для разовых проектов (миграция в облако, развёртывание AD с нуля, защита от ransomware) — отдельные сметы 300-700 тысяч в зависимости от объёма.

Если кто-то предлагает за 12-15 тысяч в месяц «обслуживать всё под ключ» для офиса 40 РМ — посчитайте сами: за эти деньги они могут позволить себе 4-5 часов работы инженера в месяц. На любые серьёзные задачи этого не хватит, и в момент инцидента вы поймёте, на чём сэкономили.

FAQ: что чаще всего спрашивают клиенты

Можно ли получить от аутсорсера письменные гарантии безопасности?

Да, и нужно требовать. В договоре должны быть прописаны: SLA на реакцию (например, 30 минут на критичный инцидент), финансовая ответственность за утечку (минимум 5 млн ₽ для офиса 30 РМ), обязательство уведомлять о всех инцидентах в течение 4 часов, право на аудит по запросу. Если аутсорсер отказывается — это первый красный флаг.

Что делать, если действующий MSP не проходит этот чеклист?

Не паниковать и не бежать менять подрядчика за неделю. Лучше провести с ним структурированный разговор по этим 9 пунктам, дать письменные требования с SLA на исправление 60-90 дней. Если за этот срок не сдвинулось — пора менять. Резкая смена в течение недели создаёт окно уязвимости, в которое часто бьют как ransomware, так и недовольный уходящий админ.

Сколько стоит правильный MSP для офиса 30-50 РМ?

В Москве в 2026 году адекватный ценник за аутсорсинг качества: 35-65 тысяч рублей в месяц для офиса 30-50 РМ при стандартной инфраструктуре (Windows, AD, файловый сервер, 1С, антивирус). Если предлагают за 12-15 тысяч — точно урежут все слои безопасности и уберут мониторинг 24/7. Если просят 150+ тысяч за похожий контур — обычно вы платите за их офис на Тверской и менеджеров продаж.

Зачем требовать матричный доступ и tier-модель?

Чтобы один скомпрометированный аккаунт у MSP не открыл атакующему всю вашу инфраструктуру. У нас в ITfresh админы работают с трёх tier-уровней: Tier-0 (DC, MFA + YubiKey, только с PAW), Tier-1 (серверы, MFA через Authenticator), Tier-2 (рабочие станции, без эскалации к серверам). Это сложнее, но ломать такую систему в 30 раз тяжелее, чем плоскую.

Как проверить квалификацию инженеров аутсорсера?

Попросите CV ключевых инженеров (без персональных данных), сертификаты, ссылки на референсные проекты. Не верьте бумажкам про MCSE — реальная квалификация видна в разговоре: попросите рассказать, как он будет восстанавливать ваш домен после краха FSMO, как настроит immutable Veeam-репозиторий, какие он использует команды для PowerShell-аудита GPO. Если человек начинает гуглить или нести общие фразы — у него мало практики.

Итог

9 пунктов — это не идеал, это база. Любой нормальный MSP их выполняет; если у действующего аутсорсера хотя бы три пункта в провале — вы под риском. Не подписывайте новый договор, не пройдя этот чеклист, и не оставляйте действующего, если он не готов исправить пробелы за 90 дней. У нас в ITfresh готов чеклист к встрече: приходите на бесплатный аудит вашего текущего IT-обслуживания, я лично пройдусь по всем девяти пунктам и покажу честную картину.