Несколько месяцев назад я сел писать внутреннюю инструкцию по информационной безопасности - после того, как в очередной раз увидел, как материалы по делу спокойно лежат в принтере, пока кто-то не вспомнит о них час спустя. Таких мелочей накопилось достаточно, чтобы стало понятно: то, что мы считаем рабочей рутиной, на самом деле - источник рисков. Особенно в юридической практике:
- документы остаются в принтере у входа без присмотра, а в конце рабочего дня аккуратно валяются на рабочем столе,
- у всех доступ ко всему в облаке - просто потому что так удобнее,
- рабочие файлы - на флешках и жёстких дисках без элементарного пароля,
- переписка - с личной почты,
- работа с документами - с личного ноутбука,
- экран компьютера не блокируется никогда…
Список можно продолжать.
При этом, пока собирал материал, понял: чтобы закрыть большинство уязвимостей, не нужны большие бюджеты. Нужно просто навести порядок и договориться о правилах.
Вот что можно сделать почти (!) без боли и бюджета:
🖥 1. Онлайн-безопасность
Корпоративные инструменты - по умолчанию
- Вся переписка и документы - только через корпоративную почту.
- Личные аккаунты, мессенджеры, облачные хранилища - не для работы (должна быть корпоративная связь).
- Сотрудники не должны использовать личные ноутбуки и домашние ПК! Точка.
Хранение документов
- Вся работа ведётся в корпоративном облаке.
- Доступ - по ролям, сотрудники видят только то что им необходимо по работе.
- Работа вне офиса - удалённый доступ к рабочему серверу осуществляется через VPN и двухфакторную аутентификацию. Рабочая среда запускается на сервере, локально ничего не хранится.
Резервное копирование и шифрование
- Бэкап - раз в месяц, автоматически (в том числе переносимых носителей информации).
- Все переносные носители (флешки, HDD, SSD) - обязательно шифруются.
🔓 2. Пароли, доступ и блокировка
Пароли и учётки
- Один пароль - одна система.
- Только сложные пароли (буквы, цифры, символы, 10+ символов).
- Смена паролей - 1 раз в 3 месяца или сразу после увольнения любого сотрудника.
Автоблокировка
- Все устройства блокируются через 5 минут бездействия.
- PIN, пароль или биометрия - на каждом устройстве.
📄 3. Офлайн-безопасность
Работа с бумагами
- Документы не выносятся без необходимости.
- Транспортировка документов - такси или личный авто.
- Черновики - сразу в шредер.
Офис и принтеры
- В конце дня на столах не должно оставаться документов.
- Принтеры не служат временным хранилищем документов: напечатал - сразу забери.
- Кабинеты с чувствительными документами — закрываются.
🚨 4. Реакция и контроль
- Потеряли устройство, файл, флешку — сразу сообщите IT и руководству.
- Подозрительная активность — фиксируется и анализируется.
- Аудит доступа 1 раз в квартал: кто к чему имеет доступ и зачем.
Информационная безопасность - это не про отдел информационной безопасности, дорогое оборудование, фаерволы и огромные бюджеты.
Это про самодисциплину и уважение к своей профессии.
✈️ Напишите, с какими ситуациями сталкивались вы - будем собирать список уязвимостей и решать как их устранить.
Технологии для юриста. Подпишись.