1. Домены и регистраторы
Что проверяем:
— Кто является владельцем домена (юрлицо / физлицо, актуальный контакт в WHOIS)
— Указан ли технический и административный контакт — и доступны ли эти люди
— Кто регистрировал домен и где (на каком регистраторе: REG.RU, RU-CENTER, GoDaddy и т. д.)
— Прописаны ли актуальные DNS-серверы — нет ли конфликтов при делегировании
— Когда истекает срок регистрации и включено ли автопродление
Почему это важно:
— Потеря домена = сайт и почта перестают работать
— Регистрация на сотрудника = риск потери контроля при увольнении
— Проблемы с DNS = падает сайт, не доходит почта

2. Хостинг и сервера
Что фиксируем:
— Где размещён сайт: на виртуальном хостинге, VPS или выделенном сервере
— Кто является владельцем и администратором аккаунта на хостинге
— Сколько доменов, сайтов и баз данных размещено
— Есть ли резервное копирование и как часто оно происходит
— Работает ли SSL-сертификат, и когда его нужно продлевать
— Кто и как получает доступ по FTP / SSH / панели управления (ISPmanager, Plesk и т. д.)

3. Почтовые серверы и доменная почта
Что описываем:
— Где размещена почта: на хостинге, у провайдера (Яндекс 360, Gmail Workspace, Mail.ru для Бизнеса)
— Какие почтовые ящики подключены к домену (например, info@, admin@, support@)
— Установлены ли правильные DNS-записи:

• MX — маршрутизация почты
• SPF — защита от подделки
• DKIM — цифровая подпись
• DMARC — политика обработки

— Где и как сотрудники получают доступ к почте (веб-интерфейс, Outlook, мобильные устройства)
— Кто может добавлять/удалять ящики, сбрасывать пароли

4. Внешние сетевые диски и хранилища
Что учитываем:
— Где хранятся файлы и резервные копии: Яндекс.Диск, Google Drive, Dropbox, Nextcloud, NAS
— Кто является владельцем аккаунтов и кто имеет права администратора
— Кто имеет доступ к каким папкам и по каким правилам назначается доступ
— Есть ли двухфакторная авторизация
— Где хранятся архивы старых проектов, договоров, баз данных
— Установлены ли политики хранения и удаления (например, для персональных данных)

5. Пароли и доступы
Что контролируем:
— Ведётся ли единый список всех доступов (в зашифрованном менеджере паролей, например, Bitwarden, KeePass, 1Password)
— Назначены ли ответственные за хранение и передачу паролей
— Кто имеет права администратора, редактора, наблюдателя в каждом сервисе
— Как происходит передача доступа новым сотрудникам и отключение уволенных
— Применяются ли двухфакторные токены / авторизация по IP

6. Формализация: всё задокументировано
Что оформляем:
— Таблица или база, где указаны:

• Название сервиса (домен, хостинг, почта и т. д.)
• URL входа
• Владельцы и администраторы
• Уровни доступа
• Сроки продления и напоминания

— Графическая схема инфраструктуры: где сайт, где почта, где бэкапы, кто за что отвечает
— Ответственные сотрудники с закреплёнными зонами ответственности

7. Аудит и контроль
Что проверяем регулярно:
— Все ли доступы актуальны, нет ли «висячих» пользователей
— Всё ли оплачено и продлено, есть ли напоминания
— Нет ли перекрёстного дублирования или устаревших решений
— Работает ли резервное копирование и восстановление
— Все ли ресурсы защищены паролями и 2FA, не скомпрометированы ли доступы