Регламент запрета самовольных апгрейдов и подключений

Зачем нужен запрет и что именно запрещаем

Запрет на самовольные апгрейды и подключения нужен не для «контроля ради контроля», а чтобы техника работала предсказуемо, а ответственность была понятной. Когда кто-то меняет конфигурацию без согласования, компания рискует гарантией, безопасностью данных и простоями. Правило простое: любые изменения железа и подключение устройств выполняются только по согласованной процедуре.

Самовольными считаются действия, которые меняют состав оборудования или добавляют новые точки риска. Чаще всего это:

• замена или добавление ОЗУ, SSD/HDD, блока питания, видеокарты и других плат;
• подключение любых USB-носителей и «умных» гаджетов (флешки, телефоны, модемы);
• установка принтеров, сканеров, веб-камер и другой периферии без разрешения ИТ;
• подключение к сети неучтенных устройств (свитчей, точек доступа, мини-ПК);
• использование нештатных зарядных устройств, удлинителей, переходников и питания «как удобнее».

Риск здесь не теоретический. После несанкционированной замены комплектующих может «слететь» гарантия или усложниться обслуживание, особенно если вскрытие корпуса и пломбы не предусмотрены правилами. Вторая проблема - безопасность: одно неизвестное USB-устройство может принести вредоносное ПО или привести к утечке данных. Третья - простои: несовместимость модулей, перегрев, некорректные драйверы и нестабильная работа часто проявляются не сразу, а в самый неподходящий момент.

Кого касается запрет: всех сотрудников, подрядчиков на территории компании, а также ИТ и закупок (например, когда периферию покупают «по просьбе отдела» и подключают без учета).

Важно: регламент не запрещает улучшения как таковые. Он запрещает делать их без согласования. Если нужен апгрейд или новое устройство, это делается через ИТ по утвержденному порядку: с оценкой совместимости, фиксацией серийных номеров и обновлением данных в учете. Для техники на поддержке производителя это особенно важно. Например, при работе с ПК и серверами локального производства (в том числе GSE.kz) прозрачная история изменений помогает избежать спорных ситуаций по гарантии и ускоряет диагностику.

Термины и границы: чтобы не спорить о формулировках

Если термины не закреплены, любой запрет быстро превращается в спор: «я же просто подключил», «это не апгрейд, а мелкий ремонт». Поэтому начните с короткого словаря, который одинаково понимают сотрудники, ИТ и ИБ.

Мини-словарь для регламента

Достаточно 5-7 определений на одной странице. Например:

• Апгрейд: любое изменение аппаратной конфигурации (память, диск, плата, блок питания), кроме замены по заявке ИТ.
• Ремонт: восстановление работоспособности после поломки с фиксацией причины и замененных деталей.
• Периферия: устройства ввода-вывода (клавиатуры, мыши, принтеры, сканеры, мониторы), включая док-станции.
• Съемные носители: USB-флешки, внешние диски, карты памяти и адаптеры.
• Сетевые устройства: точки доступа, роутеры, свитчи, модемы, а также «домашние» репитеры.

После словаря задайте границы: какие устройства считаются корпоративными, а какие личными. Полезно разделить подключения на временные (на встречу, на 1 день) и постоянные (на рабочее место), потому что контроль и последствия разные.

Также стоит заранее развести изменения на программные и аппаратные, а еще на плановые и аварийные. Аварийный случай не означает «делай сам». Он означает ускоренный порядок согласования и выполнение работ уполномоченными.

Исключения, которые стоит прописать заранее

Чтобы регламент не тормозил работу, заранее укажите типовые исключения и кто их утверждает. Обычно это медоборудование и диагностические комплексы, учебные классы и экзаменационные аудитории, специализированные стенды и лаборатории, временные рабочие места на мероприятиях.

Пример: сотрудник приносит «безобидный» USB Wi‑Fi адаптер, чтобы «улучшить связь». По вашим определениям это сетевое устройство и постоянное изменение схемы подключения. Значит, нужно согласование ИТ и проверка ИБ, иначе легко нарушить требования безопасности и условия гарантии.

Роли и ответственность: сотрудник, ИТ, ИБ, руководитель

Чтобы запрет работал, должно быть понятно не только «что нельзя», но и «кто за что отвечает». Тогда регламент превращается в обычный порядок работы.

Удобно описать роли в виде RACI на одной странице: кто инициирует запрос, кто согласует, кто выполняет работы и кто принимает результат. В самом тексте можно закрепить простую схему:

• Сотрудник (владелец рабочего места): инициирует запрос, сообщает о проблеме, не подключает и не меняет ничего сам.
• Руководитель подразделения: подтверждает необходимость, приоритизирует, отвечает за соблюдение правил в команде.
• ИТ: оценивает совместимость и влияние, выполняет изменения, обновляет учет и конфигурацию.
• ИБ: проверяет риски (USB, сеть, доступы), дает разрешение или условия (например, только сертифицированная периферия).
• Закупки или сервисный партнер: поставка, ремонт, гарантийные работы по согласованным правилам.

Отдельно зафиксируйте зоны ответственности по месту установки. На рабочем месте оборудование обычно закреплено за сотрудником, но любые изменения делает ИТ. В серверной требования строже: доступ по спискам, работы только по наряду, часто в присутствии ответственного (ИТ и при необходимости ИБ), с обязательной приемкой.

С подрядчиками больше всего «случайных» нарушений. Помогает минимальный набор правил: допуск по заявке и документам, работы только в согласованное окно, сопровождение сотрудником ИТ (и ИБ при необходимости), запрет на «параллельные улучшения» без отдельного согласования, актирование работ и возврат замененных деталей.

Простой пример: сотрудник приносит купленный SSD и просит «быстро поставить». По ролям он может инициировать запрос, руководитель подтверждает необходимость, ИТ проверяет совместимость и условия гарантии, ИБ оценивает риски, затем ИТ выполняет замену и фиксирует изменения в учете.

Подключение устройств: USB, сеть, питание и периферия

Самовольные подключения чаще ломают безопасность не «хакерскими» методами, а мелочами: флешка от подрядчика, USB-модем «на всякий случай», домашний роутер для Wi‑Fi в кабинете. Правила подключений стоит описать отдельно, потому что они одновременно влияют и на ИБ, и на гарантию, и на стабильность работы.

USB: что считается устройством и когда нельзя

К USB относите не только флешки, но и телефоны в режиме накопителя, внешние диски, адаптеры Ethernet-USB, USB-модемы, донглы и переходники. Хорошее правило для сотрудников: разрешено только то, что выдано компанией или явно согласовано ИТ.

Без согласования обычно запрещают: внешние накопители и флешки (включая подарочные), телефоны и планшеты для передачи файлов (даже «на минуту»), USB-модемы, USB-Ethernet и Wi‑Fi адаптеры, а также «универсальные» USB-хабы и док-станции без учета (они часто добавляют дополнительные интерфейсы и усложняют контроль).

Сеть и питание: тихие источники инцидентов

По сети отдельно запретите самовольную установку роутеров, точек доступа, свитчей и принтеров с Wi‑Fi. Это создает «левые» сегменты сети и обход контролей. Зафиксируйте: подключать к Ethernet-розеткам и настраивать сетевое оборудование может только ИТ (или уполномоченный подрядчик по заявке).

По питанию опишите базовую гигиену: удлинители, ИБП, зарядки, переходники. Разрешайте только сертифицированные модели из списка ИТ и отдельно укажите, что подключение серверов и рабочих станций через «домашние» удлинители и неизвестные ИБП запрещено. Это важно и для безопасности, и для сохранения гарантии.

Маркировка и учет разрешенной периферии

Чтобы не спорить «можно или нельзя», введите простую маркировку: наклейка или бирка с инвентарным номером на разрешенной мыши, клавиатуре, гарнитуре, принтере, док-станции, ИБП. В учете фиксируйте модель, серийный номер, кому выдано, где используется и дату выдачи.

Если сотруднику нужно подключить устройство, сценарий должен быть коротким: описать задачу и срок, указать модель и серийный номер (если есть), назвать рабочее место и компьютер или сервер, дождаться решения ИТ/ИБ, а подключение и настройку выполняет ИТ с отметкой в учете.

Пример: сотрудник приносит внешний диск «для переноса презентации». По правилам он не подключает его сам, а отправляет запрос. ИТ предлагает корпоративное хранилище или выдает учтенный носитель, затем принимает его обратно и закрывает запись в учете. Так снижается риск заражения и не создаются проблемы с гарантийным обслуживанием оборудования.

Апгрейды и замена комплектующих: что можно, а что нельзя

Самовольный апгрейд почти всегда бьет по двум вещам: гарантии и безопасности. Даже «безобидная» замена SSD может привести к потере пломбы, несовместимости, сбою шифрования или к тому, что ИТ перестанет понимать, какая конфигурация стоит на рабочем месте.

Апгрейд допускается, когда есть понятная причина и он проходит через ИТ: выросла нагрузка (например, бухгалтерии не хватает памяти в сезон отчетности), нужно выровнять парк по стандарту, требуется замена по инциденту (диск с ошибками, вентилятор шумит), или устройство переходит в новую роль (ПК становится рабочей станцией для CAD).

Что разрешено и что запрещено

Разрешать стоит только то, что ИТ может проверить и учесть.

• Можно только по заявке и силами ИТ (или авторизованного подрядчика): добавление или замена RAM, SSD/HDD, блока питания, видеокарты, сетевых адаптеров, батареи RAID (для серверов).
• Нельзя без ИТ: вскрывать корпус, снимать пломбы, менять диски и память, «переставлять» комплектующие между ПК, приносить свои детали.
• Нельзя ставить компоненты «на глаз»: изменения должны опираться на список одобренных моделей и требования совместимости.
• Нельзя выбрасывать или уносить старые детали: они возвращаются в ИТ как имущество и как доказательство для гарантии.

Список одобренных компонентов лучше закрепить отдельным приложением: типы памяти, минимальные характеристики SSD, допустимые производители, требования к прошивкам и драйверам. Для техники, где важна гарантия производителя, критично не нарушать требования по установке и учету.

Отдельные правила для серверов и рабочих станций

Для серверов и рабочих станций порог выше: любые изменения только в окно обслуживания, с планом отката, проверкой мониторинга и фиксацией серийных номеров новых и снятых компонентов. Для офисных ПК можно разрешить типовые апгрейды по стандарту, но все равно через ИТ и с записью в учет: что заменили, почему, куда ушла старая деталь.

Порядок действий: как оформить запрос и выполнить изменения

Запрет плохо работает без понятного легального пути. Сотруднику должно быть ясно, как подключить устройство или сделать апгрейд без риска для безопасности и гарантии.

Заявка подается через сервис-деск (или по установленной форме). В ней укажите: что именно планируется (подключение USB-устройства, замена диска, установка памяти), зачем, на какой срок, к какому рабочему месту и серийному номеру относится, и что будет считаться успешным результатом.

Дальше заявка проходит короткую проверку ИТ и ИБ: нет ли риска заражения, утечки данных, обхода политики, и не нарушит ли это условия производителя. Даже «простая» замена SSD на ноутбуке может снять гарантию, если корпус вскрывается неуполномоченным сотрудником.

Последовательность работ

Обычно достаточно такого порядка:

• Подача запроса с причиной, сроком и данными актива (инвентарный номер, модель, серийный номер).
• Оценка ИБ и влияния на гарантию: что разрешено, какие ограничения, какие меры нужны (например, только сертифицированный USB-накопитель).
• Согласование бюджета и окна работ.
• Выполнение работ уполномоченным ИТ или авторизованным сервисом (для оборудования на гарантии это критично).
• Приемка: тест, подтверждение пользователем, обновление учета конфигурации.

Отдельно пропишите, что делать со снятыми деталями: срок хранения, место (склад ИТ), правила маркировки и решение по дальнейшей судьбе (обменный фонд, списание или утилизация по внутренним правилам).

Короткий пример

Сотруднику не хватает оперативной памяти для работы с отчетами. Он создает заявку на увеличение RAM на рабочей станции, ИБ проверяет, что это не требует подключения личных устройств, ИТ подтверждает совместимость и согласует окно на вечер. Апгрейд делает уполномоченный специалист, после чего обновляется карточка актива и фиксируется, где хранится снятая планка. Для техники на гарантии (например, ПК и серверов с официальной сервисной поддержкой, включая решения GSE.kz) такая дисциплина помогает сохранить право на обслуживание и ускоряет разбор проблем.

Документы и учет: чтобы сохранить гарантию и контроль

Если изменения в технике не фиксировать, спор начинается с вопроса: «А что тут было изначально?». Минимальный учет защищает и компанию, и ИТ, и пользователя, а еще помогает сохранить гарантию.

В карточке устройства и в заявке на изменение фиксируйте базовые данные. Тогда любой апгрейд или подключение можно проверить за 1-2 минуты:

• модель и серийный номер, инвентарный номер;
• исходная конфигурация (ОЗУ, диск, сетевые модули, ОС);
• что меняем и на что, с датой и основанием (заявка, согласование);
• кто выполнял работы (ФИО, подразделение, подрядчик);
• конфигурация после работ (включая версии драйверов или прошивок, если это важно).

Подтверждения храните там, где они не пропадут при смене сотрудников: в системе заявок или в общем реестре ИТ. Полезно прикладывать сканы актов, фото пломб и наклеек, результаты тестов после работ. Для техники на гарантии такие материалы часто решают вопрос «кто и когда вскрывал корпус».

После любых работ нужен короткий одинаковый набор проверок. Он не заменяет диагностику, но ловит типовые проблемы сразу: загрузка ОС без ошибок, проверка диска, сеть и доступ к нужным ресурсам, периферия, которая критична пользователю (клавиатура, принтер, сканер).

Если гарантия утрачена или есть риск ее утраты, решение должен принимать не исполнитель на месте, а назначенный ответственный (обычно руководитель ИТ совместно с ИБ). В журнале фиксируют причину, кто согласовал, какие риски приняты и какие меры выбраны (например, платный ремонт, замена устройства, усиленный мониторинг).

Отдельно отмечайте устройства с особыми режимами безопасности: запрет USB, работа только в закрытом контуре, наличие пломб, требования к учету носителей. Тогда сотрудник сразу видит, что «просто подключить» здесь нельзя, даже если порт физически есть.

Типичные ошибки и ловушки при внедрении запрета

Самая частая проблема - запрет написан слишком широко: «нельзя ничего подключать и менять». В итоге людям нужно работать, и они начинают обходить правила. Лучше сразу описать понятные границы: что разрешено без заявки (например, стандартная мышь или гарнитура из выданного набора), а что только через ИТ (USB-накопители, принтеры, переходники, сетевые адаптеры).

Вторая ловушка - личные устройства не упомянуты вовсе. Тогда сотрудник подключает телефон «на минуту зарядить», личную флешку «перенести файл» или домашний роутер «чтобы улучшить Wi‑Fi» и не считает это нарушением. Нужно простое правило: личные устройства по умолчанию запрещены, а исключения оформляются заранее и только под конкретную задачу.

«Сделали апгрейд», но никто не отвечает за результат

Если не назначить ответственного за приемку и тестирование после апгрейда, изменения превращаются в лотерею. Внешне все работает, а через неделю начинаются ошибки, падения, перегрев или странные проблемы с сетью.

Зафиксируйте, кто проверяет совместимость и корректность установки, базовые тесты (запуск, сеть, печать, обновления), пломбы и серийные номера, а также влияние на гарантию и условия поддержки.

Для организаций, где важны гарантия и безопасность (например, на рабочих станциях и серверах), особенно критично не допускать «гаражных» замен. У производителей и интеграторов вроде GSE.kz контролируемая конфигурация и документированные работы часто прямо связаны с тем, как быстро и на каких условиях выполняется сервис.

Учет «на потом» превращается в отсутствие учета

Когда нет учета компонентов, расследование инцидента становится невозможным: непонятно, когда и кем поставили новый SSD, откуда взялся Wi‑Fi-адаптер, почему изменилась конфигурация. Достаточно минимального учета: что изменили, зачем, кто согласовал, кто сделал, серийные номера, дата и результат теста.

Еще одна ловушка - «разрешения на словах». Сотрудник договорился с ИТ в коридоре, подключил устройство, а записи нет. Потом ИТ меняется, компьютер переезжает, случается инцидент, и никто не может подтвердить, что это было согласовано. Простое правило работает лучше всего: нет записи - значит, нет разрешения.

Короткий чеклист для сотрудников и ИТ

Эту памятку удобно распечатать и раздать новичкам. Она экономит время на разборе инцидентов и снижает соблазн «сделать быстро самому».

Памятка для сотрудников

Что нельзя делать «на месте»:

• не подключайте неизвестные USB-накопители, кабели, адаптеры и «подарочные» флешки;
• не приносите и не подключайте личные Wi‑Fi/4G устройства (роутеры, точки доступа, модемы);
• не меняйте комплектующие в ПК/сервере и не вскрывайте корпус без разрешения ИТ;
• не подключайте периферию «на пробу», если она не выдана компанией и не учтена;
• не подключайтесь в сетевые розетки и патч-панели в серверных и шкафах без допуска.

Если устройство или апгрейд реально нужен:

• создайте запрос в ИТ с целью и сроком (что подключаем или меняем и зачем);
• дождитесь подтверждения и действуйте по инструкции, включая время работ.

Чеклист для ИТ (до и после)

Перед подключением устройства проверьте происхождение (чье, откуда), цель использования, наличие согласования, маркировку или запись в учете. Если устройство не идентифицируется, не подключайте его.

Перед апгрейдом проверьте совместимость с моделью, влияние на гарантию, окно работ (чтобы не сорвать рабочий день), план отката (как быстро вернуть исходную конфигурацию, если что-то пойдет не так).

После работ выполните базовые тесты (загрузка, сеть, периферия, температура), обновите учет конфигурации, оформите возврат снятых деталей на склад или в ремонтный фонд. Для техники, где важно происхождение и конфигурация (например, рабочие станции и серверы), фиксируйте серийные номера и состав комплектующих.

Если есть хоть один признак риска, сразу эскалируйте в ИБ: неизвестные носители, любые Wi‑Fi устройства, странные всплывающие окна, подозрение на заражение или попытку обойти правила.

Пример из практики: «подключил и забыл»

В бухгалтерии сотрудник подключил к рабочему ПК личный внешний диск, чтобы быстро перенести сканы. Он скопировал файлы, отсоединил диск и забыл об этом. На следующий день компьютер перестал проходить проверку безопасности: антивирус увидел подозрительный файл, а служба ИБ обнаружила подключение неучтенного носителя.

Проблема была не только в риске заражения. Нарушился учет, и ИТ не могло быстро доказать, что данные не утекли и что конфигурация рабочего места не менялась. Именно для таких случаев и нужен регламент: он фиксирует, что нельзя делать без согласования, и что делать, если это уже произошло.

Как должно было быть: сотрудник оформляет короткий запрос (зачем нужен перенос, какой объем, на какой срок). ИТ выдает корпоративный носитель с маркировкой и проверкой (и шифрованием, если требуется), а факт выдачи записывается в учет. После возврата носитель снова проверяют, а данные переносят в разрешенное хранилище.

Когда инцидент уже случился, ИТ действовало по стандартной схеме: изолировали ПК от сети, сняли первичную информацию (что подключалось, когда, какие процессы запускались), провели проверку и очистку, при необходимости восстановили систему из доверенного образа, вернули доступы только после контроля, составили отчет для ИБ и руководителя с причинами и мерами.

После случая правила усилили, но без перегибов. Ввели короткий инструктаж для новых сотрудников, наклейки на разрешенные носители и напоминание в заявке на помощь: личные диски и флешки нельзя. Там, где это оправдано, настроили контроль портов и журналирование подключений.

Отдельный вопрос был про диск: проверка показала ошибки, и его хотели заменить «на месте». Чтобы сохранить гарантию на оборудование, договорились так: любые замены накопителей делает только ИТ по согласованной процедуре, с документированием серийных номеров и установкой совместимых комплектующих. Это особенно важно для корпоративных ПК и серверов, поставляемых как готовые решения с поддержкой, например от GSE.kz.

Следующие шаги: как внедрить регламент без конфликтов

Чтобы регламент заработал, его нужно внедрять как сервис, а не как наказание. Сотруднику должно быть понятно: что именно нельзя, почему, и как быстро получить нужное действие законно.

Начните с инвентаризации реальности. В каждой организации есть свой «стандартный набор»: флешки, внешние диски, USB-модемы, гарнитуры, принтеры, док-станции, а также типовые апгрейды вроде добавления ОЗУ или замены накопителя. Когда это зафиксировано, правила становятся конкретными, а не «запрещаем все».

Дальше помогите людям не ошибаться. Назначьте владельца процесса (обычно ИТ) и согласующего по ИБ для спорных случаев. Подготовьте простую форму заявки: что подключаем или меняем, зачем, на какой технике, на какой срок. Утвердите шаблоны (акт выполненных работ, отметка об изменении конфигурации, памятка сотруднику). Сделайте «быстрые маршруты» для типовых запросов (например, стандартная мышь или сертифицированная гарнитура). И главное - задайте понятный срок реакции, чтобы у сотрудников не было мотивации «сделать самому».

Отдельно проверьте парк оборудования и условия гарантии по моделям и сериям. Конфликт часто начинается, когда человек «улучшил» ПК, а потом выясняется, что поддержка под вопросом. Лучше заранее прописать: какие изменения допустимы только силами ИТ и какие требуют согласования с поставщиком.

Если планируются массовые обновления рабочих мест или серверов, закрепите стандартные конфигурации и поставку с поддержкой. Это снижает число «самоделок» и спорных апгрейдов. Например, при закупке ПК, моноблоков и серверов можно заранее определить базовые конфигурации и порядок сервисных работ. У производителей и интеграторов уровня GSE.kz (gse.kz), которые одновременно поставляют оборудование и оказывают поддержку, такой подход обычно упрощает и учет, и дальнейшее обслуживание.

Короткое обучение решает больше, чем запреты: 15 минут на вводе для новичков и одно напоминание раз в квартал. После этого вместо «подключил и забыл» люди чаще спрашивают заранее, и конфликтов становится меньше.