MSP-чеклист безопасности от ITfresh: 9 пунктов до подписания договора

К нам в ITfresh регулярно приходят клиенты. Знаете, у многих из них уже есть свой IT-аутсорсер. Иногда они всем довольны, а иногда — приходят со словами вроде: «Нас пять лет поддерживала компания X, а тут недавно у нас весь файловый сервер зашифровали». В обоих случаях мы начинаем одинаково: я беру свой чек-лист из девяти пунктов, прохожусь по нему и показываю, что сделано на самом деле, а что — лишь на словах. В этой статье мы и делимся этим самым чек-листом. Здесь будут реальные вопросы, которые я бы задавал любому MSP до подписания договора, и, конечно, честный разбор правильных и неправильных ответов.

Зачем вообще нужен чеклист — и откуда взялись эти 9 пунктов

За 15 лет работы в ITfresh мне довелось увидеть самые разные подходы к делу. Были настоящие профи, у которых каждый процесс отлажен до мелочей. Но были и те, кто предлагает «комплексное обслуживание» офиса на 40 рабочих мест всего за 18 000 ₽ в месяц. Послушайте, за такие деньги даже час работы опытного инженера не купишь! Именно поэтому я уверен: эти 9 пунктов — тот самый минимум, без которого мы сами никого не берём на обслуживание. И, честно говоря, вам тоже не советуем.

У нас есть одна мысль, которую мы очень любим повторять: знаете, дешёвый MSP в итоге всегда обойдётся вам дороже, чем дорогой. Когда вы платите 15 тысяч в месяц за «обслуживание», по сути, что вы получаете? В лучшем случае, кто-то поменяет кабели или переустановит Windows. А вот безопасность, мониторинг, регулярные обновления, надёжные бэкапы — это уже совсем другая история. Тут нужны часы работы по-настоящему опытных инженеров, и такой бюджет их, увы, не покроет. Вы это поймёте, но, к сожалению, только в самый неподходящий момент. Когда случится инцидент, а восстанавливать будет просто нечего, да и некому.

Пункт 1. Аудит инфраструктуры до приёма в обслуживание

Начнём, пожалуй, с первого, и, наверное, самого главного пункта. Как работает любой уважающий себя MSP? Прежде чем сказать: «Мы вас берём», он обязательно просканирует вашу инфраструктуру. Причём, словно ультразвуком! Выяснит, что там на самом деле функционирует. Какие учётные записи просто висят без дела, а какие — активны. Какие GPO применены, а какие — давно устарели. Какие патчи вы пропустили и, что критично, какие порты открыты наружу. Поверьте нам: без такой детальной проверки первый месяц обслуживания превратится в настоящую лотерею. А это, согласитесь, никому не нужно.

Так вот, что я лично проверяю на этапе приёма? Обычно это занимает 3-5 рабочих дней:

# 1. PingCastle — оценка зрелости AD
# Скачивается с pingcastle.com, бесплатная редакция
.\PingCastle.exe --healthcheck --server corp.client.local
# Получаем PDF-отчёт с грейдом A-F и детальным списком уязвимостей

# 2. Bloodhound на коллектор SharpHound — карта attack-paths
SharpHound.exe -c All --domain corp.client.local --outputprefix audit
# Граф загружается в Bloodhound CE, ищем "Shortest Path to Domain Admins"

# 3. PowerShell-инвентарь всего критичного
Get-ADUser -Filter * -Properties LastLogonDate,Enabled,PasswordLastSet,PasswordNeverExpires |
  Export-Csv "users-audit.csv" -NoTypeInformation

Get-ADComputer -Filter * -Properties LastLogonDate,OperatingSystem,Enabled |
  Export-Csv "computers-audit.csv" -NoTypeInformation

# 4. Аудит GPO
Get-GPO -All | foreach { Get-GPOReport -Guid $_.Id -ReportType Html `
  -Path "C:\audit\gpo-$($_.DisplayName).html" }

# 5. Сетевой аудит — что слушает на серверах
Get-NetTCPConnection -State Listen | Select LocalAddress,LocalPort,OwningProcess |
  Sort LocalPort | Export-Csv "listening-ports.csv"

# 6. Внешний скан — что светится в интернет
nmap -sV -sC -O -p- -Pn 1.2.3.4-1.2.3.255 -oA external-scan

Что же мы находим в результате аудита? Например, у одной юрфирмы с 38 рабочими местами в декабре 2025-го мы обнаружили такое: четыре учётки уволенных сотрудников, которые висели 2-3 года; домен в устаревшем режиме Windows Server 2008 R2; отсутствие репликации между двумя контроллерами домена последние 9 месяцев; и RDP, открытый прямо в интернет на одном из серверов. Всё это мы починили буквально в первую неделю, ещё до подписания основного договора. Клиент тогда впервые по-настоящему увидел реальное состояние своей IT-системы.

Красный флаг: аутсорсер говорит «мы посмотрим в процессе». Это значит, что он не делает аудит и не понимает, на что подписывается.

Пункт 2. Immutable бэкапы по правилу 3-2-1 с проверкой

Сразу скажем: бэкап — это точно не «архив на той же сетевой папке»! Правильный бэкап подчиняется правилу 3-2-1. Что это значит? Три копии данных, два разных носителя, одна копия обязательно вне домена (офсайт). А что такое Immutable? Это когда даже если учётная запись Domain Admin будет скомпрометирована, она всё равно не сможет стереть резервные копии в течение заданного retention-периода. Вот это уже надёжно.

Итак, что же должно быть в правильной схеме бэкапов у хорошего MSP:

• Первая копия: Veeam Backup & Replication 12.1 (или аналог) на локальном сервере с диском под бэкапы. Полный raw-доступ имеют только сервисные учётки Veeam, не пользовательские.
• Вторая копия: Hardened Linux Repository с XFS или Object Lock на S3 Compatible. Не доменная учётка, отдельный nestop пароль, immutable-флаг на 30+ дней.
• Третья копия: Off-site — либо на ленте LTO-8 в банковском сейфе клиента, либо на отдельном физическом сервере в другом дата-центре.
• Проверка: Veeam SureBackup или ручное тестовое восстановление раз в квартал. Без проверки бэкап — это шкатулка с неизвестным содержимым.
• Метрики в отчёте: RPO (Recovery Point Objective) и RTO (Recovery Time Objective) для каждой критичной системы. У наших клиентов RPO = 24 часа, RTO = 4 часа на основную инфраструктуру.

Красный флаг: «бэкапы делает сама Windows встроенными средствами» или «копии хранятся на файловом сервере». Это не бэкапы, а имитация.

Пункт 3. Patch management с письменным SLA

В вашем договоре должно быть чётко, прямо чёрным по белому, прописано, что критические патчи (с CVSS 9.0+) будут применены в течение N дней с момента их выхода. Это не какая-то прихоть, а общепринятая практика в индустрии: 7 дней на критичные обновления, и до 30 дней — на все остальные. Если же ваш MSP в договоре указывает что-то вроде «по мере возможности» или «после согласования с заказчиком», то будьте уверены: инцидент у вас обязательно случится. Это лишь вопрос времени.

А что должно быть на инфраструктурной стороне у самого MSP?

• Обязательно используем WSUS-сервер. С его помощью все патчи для Windows раскатываются централизованно, без лишних проблем.
• Для патчинга сторонних приложений — Chrome, Adobe, Java, 1С — применяем PDQ Deploy или его аналоги.
• Наши системы, вроде Wazuh или другого SIEM, непрерывно отслеживают пропуски патчей и автоматически генерируют подробные отчёты.
• У нас есть тестовая группа машин, так называемый test-ring. На ней мы тщательно обкатываем каждый патч, прежде чем он попадёт в production-среду.
• В случае чего, у нас всегда под рукой полностью документированная и, что важно, протестированная процедура отката.

Я сам, лично, каждый месяц готовлю для клиента отчёт. И, что важно, он умещается всего на одной странице! В нём я подробно указываю, сколько патчей мы применили, какие критичные, возможно, были пропущены и почему так вышло, а также какие плановые работы мы запланировали на следующий месяц. Этот отчёт, с моей личной подписью, всегда отправляется напрямую директору компании. Мы за прозрачность.

Пункт 4. EDR на каждом эндпоинте + сетевая сегментация

Знаете, в 2026 году обычный антивирус уже, увы, не справляется с современными рисками. Сейчас нужен EDR, то есть Endpoint Detection and Response. Это такой умный поведенческий анализатор, который умеет распознавать не только известные сигнатуры, но и замечать подозрительные паттерны в действиях. У нас, например, стандарт такой: мы ставим Kaspersky EDR Optimum или Bitdefender GravityZone Business Security Premium на каждую рабочую станцию и каждый сервер. Стоимость такой лицензии обычно колеблется в районе 1800-3000 ₽ в год за один эндпоинт. Это не так уж много за вашу безопасность, верно?

Сетевая сегментация? Обязательно на уровне VLAN с фильтром между ними. Вот какой минимум должен быть:

• Офисные рабочие станции всегда находятся в отдельном VLAN. Доступ к серверам оттуда строго ограничен: только по нужным, разрешённым портам.
• Для серверов выделен свой, отдельный VLAN. И да, доступ по RDP возможен только из нашей административной сети, не иначе.
• Гостевой Wi-Fi мы полностью изолируем. Оттуда можно выйти только в интернет, никуда больше.
• Принтеры и все устройства IoT у нас в своей, отдельной зоне. Оттуда нет никакого доступа ни к рабочим станциям, ни к серверам.

Кстати, на роутере MikroTik CCR2004 такую схему можно развернуть всего за один рабочий день. А если вы вдруг обнаружите, что на вашем роутере для всех 47 устройств используется одна-единственная плоская сеть? Поверьте, это не просто проблема. Это проблема самой первой и критической степени важности, настоящий красный флаг!

Пункт 5. Tier-модель администрирования и LAPS

Вот этот пункт, я вам скажу, сразу отсеивает процентов 80 всех мелких аутсорсеров. Почему? Да потому что они сами у себя так просто не делают! Речь идёт о Tier-модели Microsoft:

• Tier-0: Domain Admins, Schema Admins, Enterprise Admins. Используются только с Privileged Access Workstation, изолированной от интернета. MFA через FIDO2-токен.
• Tier-1: Серверные администраторы, Backup Operators. С обычной рабочей станции через Bastion-сервер. MFA через Authenticator.
• Tier-2: Helpdesk, поддержка пользователей. Не имеет прав на серверах, только на рабочих станциях через делегирование.

LAPS, или Local Administrator Password Solution, — это, по сути, волшебная палочка от Microsoft. Представьте: он сам создаёт уникальный пароль локального админа для каждого компьютера в вашей сети, меняет его каждые 30 дней, а потом надёжно прячет в AD. Всё под защитой! Без LAPS любая атака вымогателя, узнав пароль на одной машине, просто скопирует его на остальные. И вот тогда — настоящая беда, от которой не отмыться.

# Установка Windows LAPS на DC и клиентах (Windows 11/Server 2022 и новее)
# На DC расширяем схему AD
Update-LapsADSchema

# На OU, где находятся компьютеры — настраиваем разрешения на запись пароля
Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=corp,DC=client,DC=local"

# GPO для конфигурации LAPS на клиентах
# Computer Config → Policies → Admin Templates → System → LAPS
# - Configure password backup directory: Active Directory
# - Password complexity: Large letters + small letters + numbers + special
# - Password length: 24
# - Password age (days): 30
# - Account name: Administrator (по умолчанию)

# Чтение пароля одной машины (только уполномоченные админы)
Get-LapsADPassword -Identity "PC-BUH-05" -AsPlainText

Пункт 6. MFA на всех аккаунтах без исключений

Знаете, в 2026 году аккаунт без второго фактора — это не просто риск, это бомба замедленного действия. Каждая секунда — это потенциальная потеря. Что же обязательно должно быть прикрыто MFA?

• Как защитить все доменные учётки? Мы делаем это надёжно и просто: подключаем каждую к Microsoft Authenticator или Google Authenticator. Всё удобно, прямо на смартфоне вашего сотрудника.
• А что насчёт самых ценных, привилегированных учёток администраторов? Здесь компромиссов нет: только FIDO2-токен. Никаких SMS, никаких Authenticator'ов – это не про безопасность для таких аккаунтов. Мы используем, например, YubiKey 5C; да, это около 3000 рублей за штуку, но оно того стоит.
• Работать удалённо сейчас — обычное дело. Но мы настаиваем: любой удалённый VPN-доступ всегда требует второй фактор-проверки. Без неё никак. Это наш стандарт безопасности.
• Почта, корпоративный портал, CRM – всё, что нужно для работы, – мы объединяем через SSO. И, конечно, не забываем про MFA. Это сочетание даёт безопасность и удобство в одном флаконе, вот что мы предлагаем.
• Службам техподдержки иногда нужна особая привилегия. Но мы подходим к этому строго: их учётки получают доступ через приватный MFA-токен. Важный момент: он выдаётся ровно на время выполнения задачи, а после этого моментально отзывается. Максимальный контроль, минимальные риски – это наш подход.

SMS в качестве второго фактора? Серьёзно? Это же уже прошлый век! Просто поймите: SIM-сваппинг и перехват кодов через социальную инженерию — да-да, у мобильных операторов — это давно уже не какие-то редкие случаи, а обыденность. Гораздо надёжнее будет использовать Authenticator-приложение. А FIDO2-ключ? Он и вовсе считается самым-самым безопасным вариантом. Есть ли что-то лучше?

Пункт 7. SIEM с круглосуточным мониторингом

SIEM, или Security Information and Event Management, — это ваш сторожевой пёс. Эта система собирает буквально все логи со всех ваших источников. А когда она замечает что-то подозрительное, что-то неладное, — начинает буквально кричать! По нашему мнению, вот что абсолютно точно должно быть в вашей SIEM как минимум:

• Мы тщательно собираем логи Windows Security. Они поступают к нам со всех серверов и рабочих станций. Это наш основной источник информации о потенциальных угрозах и подозрительной активности.
• Для максимально глубокого понимания происходящего мы используем логи Sysmon. Это не просто логи; это детальная телеметрия всех процессов. Видим всё, что движется, и сразу выявляем аномалии.
• Логи фаервола, IDS, EDR.
• Конечно, куда без логов Active Directory? Мы уделяем особое внимание изменениям групп безопасности и привилегий. Ведь именно там часто скрываются лазейки для злоумышленников и возможные угрозы.
• Логи систем резервного копирования.

Итак, какие алерты должны срабатывать железно? Без них никак.

• Как только кого-то добавляют в группу Domain Admins или Enterprise Admins, система бьёт тревогу. Мы получаем немедленный алерт, и наши специалисты сразу же реагируют. Это критично, понимаете?
• Видите, что кто-то пытается подобрать пароль? Если за 5 минут видим 5 или более неудачных попыток логина – это явный признак атаки. Сразу же сообщаем и разбираемся с причиной такого подозрительного поведения.
• Использование PsExec или WinRM с админскими правами – это подозрительная активность. В руках злоумышленников эти инструменты становятся опасным оружием. Поэтому мы это отслеживаем с повышенным вниманием.
• Запуск неподписанного исполняемого файла на сервере? Это, по нашему мнению, один из самых тревожных звоночков. Такая потенциальная угроза безопасности требует моментальной реакции, и мы это обеспечиваем.
• Изменение GPO с правами Domain Admin.
• Сбой бэкапа более 2 раз подряд.

Дежурный инженер обязан, просто обязан реагировать на критичные алерты в течение 15-30 минут. И тут неважно, ночь сейчас или выходной. Если же ваш MSP говорит: «Мы дежурим только с 9 до 18 в будни», — это, простите, совершенно несерьёзно. Представьте, ваш бизнес может получить атаку вымогателя, скажем, в три часа ночи в субботу. Что тогда?

Пункт 8. Тренинги и фишинг-тестирование

Конечно, технические меры важны, но они — лишь полдела. Вторая, и порой даже более важная, половина — это люди, те самые, что сидят за рабочими местами. Ведь почти любая атака ransomware начинается с одного клика по подозрительному письму. Поэтому у хорошего MSP просто обязаны быть:

• Безопасность – это не только технологии, но и люди. Поэтому раз в квартал мы проводим тренировочную фишинг-кампанию. Отправляем письма, которые выглядят точь-в-точь как настоящие: 'от Налоговой', 'от 1С', 'от службы безопасности банка'. Потом анализируем: сколько человек кликнули по ссылке, а сколько – даже ввели свой пароль? Это помогает нам понимать реальный уровень бдительности и улучшать его.
• Дважды в год мы собираем всех на очный тренинг по информационной безопасности. Полтора-два часа живого общения, где разбираем самые свежие кейсы и реальные сценарии атак. Это не скучные лекции, а практический опыт, который спасает от реальных угроз.
• Как только к нам приходит новый сотрудник, в его первый же рабочий день мы проводим краткую, но очень важную вводную по основам безопасности. Это не займёт много времени – всего 15-20 минут видео и небольшой тест. Но так мы сразу задаём правильный тон в вопросах кибербезопасности, интегрируя каждого в нашу культуру защиты данных.
• Получайте наши ежемесячные бюллетени прямо на почту! Мы не просто перечисляем, а подробно разбираем каждую актуальную угрозу, чтобы вы всегда были в курсе.

Я хорошо помню одного нашего клиента-производство. Мы взяли их на обслуживание в начале 2025 года. Что показал первый же фишинг-тест? Целых 14 из 47 пользователей кликнули по ссылке! А 8 из них, представьте, даже ввели свои пароли. Но вот год спустя, после наших ежеквартальных тренингов, всё изменилось: кликнули уже только 3 человека из 47, а пароль ввёл лишь один! По-моему, вот это и есть та самая, настоящая метрика, которую обязан показывать любой уважающий себя MSP.

Пункт 9. Incident Response Plan и квартальные учения

Когда у клиента случается инцидент, последним, что должно быть, это паника. И уж тем более никаких вопросов вроде: «А что нам теперь делать?!» На такой случай у вас должен быть готов чёткий, пошаговый документ. Кто кому звонит? Кто отвечает за принятие самых сложных решений? Как правильно и быстро уведомить партнёров и сотрудников? И, самое главное, в каком порядке восстанавливать все сервисы?

Минимальный состав Incident Response Plan включает:

• У вас всегда будет под рукой чёткий список всех ответственных лиц и их телефонов. Директор, юрист, бухгалтер, ваш штатный админ и, конечно, наши инженеры MSP — звоните, когда это нужно!
• Мы прорабатываем самые разные сценарии ЧП. Что, если внезапно шифровальщик? А вдруг утечка данных или кто-то проник в серверную? Мы учли даже кражу ноутбука, взлом аккаунта руководителя и, конечно, DDoS-атаки.
• К каждому сценарию прилагается чёткая пошаговая инструкция. Мы расписали, что делать в первый час, какие шаги предпринять в течение первых четырёх часов и как действовать в первые сутки после инцидента.
• А что говорить, если ЧП уже случилось? У нас готовы шаблоны для всех: внутренние письма сотрудникам, обращения к партнёрам и клиентам. И, конечно, отдельные шаблоны для регулятора, если, например, произошла утечка персональных данных, а также для правоохранительных органов.
• Есть и важный чек-лист «Что категорически нельзя делать». Заражённую машину не выключать — она критически важна для forensic-анализа! Никаких выкупов киберпреступникам. И упаси бог давать комментарии прессе без нашего юриста. Эти ошибки могут стоить очень дорого.

Например, у нас тренировочные учения проходят раз в квартал. Я выбираю какой-нибудь сценарий из нашего плана, а команда клиента — это и директор, и юрист, и бухгалтер, и штатный админ — разыгрывают свои действия. Мы же засекаем время, потом детально разбираем все узкие места. А вот после реальной атаки шифровальщика, которая случилась весной 2026-го у одного из наших клиентов, мы провели «горячий ретроспективный разбор». Знаете, что выяснилось? Никто не подготовил шаблон уведомления для партнёров заранее. Так что мы сразу же добавили этот важный пункт в наш план.

Бонус: что должно быть в самом договоре с MSP

Мне не раз приходилось помогать клиентам пересматривать их договоры с другими аутсорсерами. И, к сожалению, частенько там просто отсутствуют самые важные, ключевые пункты. Какой минимум, по моему опыту, должен быть прописан железно?

• SLA на реакцию: 30 минут на критичный инцидент (ransomware, недоступность сервера 1С), 2 часа на средний, 8 часов на низкий.
• SLA на восстановление: 4 часа на критичный инцидент с уровнем доступа «всё работало вчера в 18:00».
• Финансовая ответственность за утечку данных и простой по вине MSP: минимум 5 млн ₽ для офиса 30 РМ, минимум 10 млн для 50+ РМ.
• Право заказчика на аудит: возможность раз в год привлечь третью сторону для проверки качества работы MSP.
• Передача знаний при уходе: в случае расторжения MSP передаёт всю документацию, пароли, схемы в течение 14 дней.
• Регулярные отчёты: ежемесячный отчёт на одну страницу + ежеквартальный детальный отчёт с метриками.
• Конфиденциальность и NDA: взаимные обязательства о неразглашении.
• Защита персональных данных: соответствие 152-ФЗ, обработка ПДн только в рамках поручения.

Сколько стоит правильный MSP в Москве в 2026

Честные цифры на моём опыте:

• Если у вас офис на 10-20 рабочих мест, при стандартной инфраструктуре стоимость наших услуг составит от 22 до 35 тысяч рублей в месяц. Совсем не много за такое спокойствие, правда?
• Офис 21-40 РМ: 35-55 тысяч в месяц.
• Офис 41-70 РМ: 55-95 тысяч в месяц.
• Офис 71-100 РМ: 90-150 тысяч в месяц.

Эти цифры, по сути, — это базовые тарифы. Они актуальны для стандартного сценария: AD плюс почта, файловый сервер, 1С и офисный Wi-Fi. Если же у вас есть производственная сеть АСУ ТП, или вы работаете по требованиям ФСТЭК, имеете удалённые филиалы, возможно, специфичный софт — тогда готовьтесь к наценке в 20-50%. Что касается разовых проектов, вроде миграции в облако, развёртывания AD с нуля или комплексной защиты от ransomware, мы обычно составляем отдельные сметы. Они могут варьироваться от 300 до 700 тысяч, всё зависит от объёма работ.

Если вам кто-то предлагает «всё под ключ» для офиса на 40 рабочих мест за 12-15 тысяч в месяц, просто сядьте и посчитайте: за такие деньги они выделят вам максимум 4-5 часов работы инженера в месяц. Поверьте нам, этого совершенно не хватит для решения серьёзных задач! И в самый ответственный момент, когда случится инцидент, вы точно поймёте, на чём именно вы так «удачно» сэкономили.

FAQ: что чаще всего спрашивают клиенты

Можно ли получить от аутсорсера письменные гарантии безопасности?

И да, вы просто обязаны это требовать! В вашем договоре должно быть чётко прописано многое. Например, SLA на реакцию — скажем, 30 минут на критичный инцидент. Обязательна финансовая ответственность за возможную утечку данных; я считаю, что минимум 5 млн ₽ для офиса на 30 РМ — это справедливо. А ещё — обязательство уведомлять вас обо всех инцидентах в течение 4 часов и, конечно, ваше право на проведение аудита по запросу. Если аутсорсер от всего этого отказывается — это, по мне, самый что ни на есть первый красный флаг. Бегите!

Что делать, если действующий MSP не проходит этот чеклист?

Не паникуйте! Самое худшее – это бросаться менять IT-подрядчика за неделю. Куда разумнее — сесть с ним за стол переговоров и детально обсудить все 9 пунктов, которые мы здесь перечисляем. Выставьте письменные требования, укажите чёткий SLA, дайте 60-90 дней на исправление. Если за эти месяцы ничего не сдвинулось? Ну вот тогда, да, пора прощаться. Ведь резкая смена за неделю — это же огромное окно уязвимости! А в него, поверьте, с удовольствием бьют и вирусы-вымогатели (ransomware), и, чего греха таить, тот самый недовольный сисадмин, который уже собирает вещи.

Сколько стоит правильный MSP для офиса 30-50 РМ?

Москва, 2026 год. Если у вас офис на 30-50 рабочих мест со стандартной инфраструктурой – ну, там, Windows, AD, файловый сервер, 1С, антивирус – то за качественный IT-аутсорсинг придется заплатить от 35 до 65 тысяч рублей в месяц. Именно столько, по нашим оценкам, стоит адекватное обслуживание. Что будет, если вам предлагают ценник в 12-15 тысяч? Можете не сомневаться: где-то точно урежут все слои безопасности, а про круглосуточный мониторинг 24/7 можете вообще забыть. А когда за такой же контур просят больше 150 тысяч? Тогда, скорее всего, вы просто спонсируете их шикарный офис где-нибудь на Тверской и зарплату менеджерам по продажам.

Зачем требовать матричный доступ и tier-модель?

Зачем вообще нужна такая система? Чтобы один-единственный взломанный аккаунт у вашего MSP не дал хакеру ключи от всей вашей IT-инфраструктуры. Звучит логично, да? Вот мы в ITfresh решаем эту проблему так: наши админы работают строго по трём tier-уровням. Смотрите: Tier-0 — это доменные контроллеры (DC), туда доступ только с защищенных PAW-станций, плюс обязательные MFA и YubiKey. Tier-1 — наши серверы, здесь используем MFA через Authenticator. А Tier-2 — это обычные рабочие станции, и оттуда нет никакой возможности "прыгнуть" на серверы. Да, такая многоуровневая защита немного сложнее в настройке, но и пробить её в 30 раз сложнее, чем какую-то простую, "плоскую" схему.

Как проверить квалификацию инженеров аутсорсера?

Когда ищете подрядчика, обязательно запросите CV ключевых инженеров (без личных данных, конечно), их сертификаты и ссылки на референсные проекты. Но знаете что? Не надо слепо доверять всем этим красивым бумажкам с MCSE! Настоящий уровень квалификации становится понятен только в живом диалоге. Попросите потенциального специалиста рассказать, например, как он восстановит ваш домен после краха FSMO. Или как он настроит immutable Veeam-репозиторий. Какие команды он вообще использует для PowerShell-аудита GPO? Если во время таких вопросов человек начинает судорожно искать ответы в Google или отделываться общими фразами, значит, скорее всего, у него очень мало реальной практики.

Итог

Эти 9 пунктов — это не что-то сверхъестественное, это фундамент. Любой адекватный MSP должен их выполнять. Если у вашего текущего аутсорсера проседают хотя бы три из них — вы в зоне серьёзного риска. Не вздумайте подписывать новый договор, не пройдя по этому чек-листу! И не стоит оставлять действующего партнёра, если он не готов исправить свои недочёты за 90 дней. Мы в ITfresh уже подготовили для вас этот чек-лист к встрече. Приходите на бесплатный аудит вашего IT-обслуживания. Я лично разберу с вами каждый из этих девяти пунктов и покажу, как обстоят дела на самом деле.