Классификация угроз и современные векторы атак
В многих организациях к теме информационной безопасности приходят уже постфактум, после утечек и сбоев, когда решения принимаются хаотично и без опоры на реальные приоритеты. Такой подход приводит к перегруженной, но малоэффективной защите, которая слабо соотносится с реальными сценариями атак.
Эта статья показывает, как системно подойти к теме угроз выделить наиболее ценные активы, описать типовые векторы атак, сгруппировать сценарии по важности и на основе этого собрать компактный перечень первоочередных рисков и необходимых мер. Такой базовый «скелет» позволяет закрыть большую часть значимых угроз без избыточных вложений и сформировать понятный фундамент для дальнейшего развития ИБ.
Большинство компаний начинают защищаться только после инцидента. До этого бюджет тратится на то, что предлагают поставщики или установили конкуренты.
В итоге появляются неиспользуемые системы и документы, которые никто не применяет.
Правильный порядок обратный. Сначала выявляют активы, остановка или компрометация которых приводит к критическим потерям. Остальное получает защиту второго или третьего уровня.
Процесс начинается с беседы с генеральным и финансовым директором (руководителями отделов). Задают три вопроса.
1. Какой финансовый ущерб возникнет, если критическая система будет недоступна четыре часа.
2. Какие потери ждут компанию через месяц и через год при публикации базы клиентов или контрагентов в открытом доступе.
3. Какой ущерб нанесет несанкционированное изменение данных в отчетности или платежных документах.
Ответы выявляют 3–7 ключевых процессов и систем. Их компрометация недопустима (недопустимые события, инциденты). Остальные риски допустимы в установленных пределах.
Далее берут схему бизнес процессов и накладывают на нее карту ИТ инфраструктуры. Получается визуальная зависимость (тепловая карта). Один сервер обеспечивает прием платежей, одна база содержит договоры, один канал связи ведет в банк. Видно, где одиночная точка отказа остановит значительную часть дохода.
99 % до 87 ч/год: допустимы регулярные 4-часовые окна обслуживания, подходит для офисных файловых серверов.
99,9 % до 8 ч 45 м/год: допускается один полный рабочий день простоя в квартал, рекомендуется для корпоративных порталов.
99,95 % до 4 ч 20 м/год: допустим 4-часовой простой один раз в квартал, используется для интернет-магазинов.
99,99 % до 52 м/год: перерывы не чаще 1 минуты раз в две недели, применяется к клиент-банкам и биллингам.
99,999 % до 5 м/год: перерывы ≤10 секунд раз в пару месяцев, требуется для платёжных шлюзов и критичных SaaS.
Показатели сравнивают с фактической историей инцидентов за последний год. Любое расхождение представляет собой реальную угрозу доступности.
Аналогично поступают с конфиденциальностью и целостностью. Для одних организаций утечка персональных данных равносильна катастрофе, для других приоритет защита от изменения реквизитов в платежных поручениях. Универсальный подход к защите всех активов одинаково неэффективен и слишком затратен.
На основе приоритетов формируют список из 10–20 актуальных угроз именно для данной компании.
Примеры типичных угроз для малого и среднего бизнеса
Бухгалтер откроет письмо якобы от налоговой службы и запустит вредоносный код
Сервер 2015 года с забытым доступом из интернета будет скомпрометирован
Уволенный подрядчик вынесет копию базы клиентов
Отказ резервного питания в серверной комнате остановит работу на сутки
Сотрудник на удаленке подключится к общественному Wi-Fi и передаст учетные данные
Этот список называют моделью угроз. Все последующие закупки средств защиты и настройки ориентируются исключительно на него. Если в модели нет риска утечки через принтеры, средства DLP не требуются. Если главный риск отказ оборудования, бюджет направляют на резервирование и запасные компоненты.
Когда модель представляют руководству, добавляют сценарии, о которых ИТ служба не подозревала, и убирают маловероятные риски. В результате появляется документ, понятный и бизнесу, и техническим специалистам.
Классификация угроз информационной безопасности как систематизировать риски
После формирования модели угроз получают обычно от пятнадцати до двадцати пяти сценариев. Для удобного анализа и подбора мер их группируют по нескольким независимым признакам.
По источнику возникновения
Внешние угрозы реализуются лицами без начального доступа к инфраструктуре компании. Они действуют через интернет почту или телефон.
Внутренние угрозы исходят от сотрудников подрядчиков или бывших работников которые уже имеют определенный уровень доступа.
По наличию умысла
Умышленные угрозы предполагают целенаправленные действия против конкретной организации.
Неумышленные возникают из-за ошибок невнимательности или недостатка знаний.
По нарушаемому свойству информации
Угрозы конфиденциальности приводят к несанкционированному получению данных.
Угрозы целостности изменяют или подменяют информацию.
Угрозы доступности делают системы или данные временно либо полностью недоступными.
По причине возникновения
Антропогенные угрозы связаны с действиями людей включая социальную инженерию и инсайд.
Техногенные вызваны отказами оборудования или уязвимостями программного обеспечения.
Природные и техноприродные возникают из-за стихийных бедствий или внешних физических воздействий.
По уровню подготовки исполнителя
Массовые угрозы применяются одновременно к тысячам организаций это фишинг и шифровальщики.
Целевые атаки проводятся против конкретной компании длительное время.
Инсайдерские угрозы реализуются лицами которые уже обладают легитимным доступом.
Примеры комбинаций для розничной сети
Внешний умышленный риск конфиденциальности фишинг с последующей продажей базы покупателей.
Внутренний неумышленный риск доступности случайное отключение кассового ПО при обновлении.
Внутренний умышленный риск целостности сотрудник намеренно завышает скидки для знакомых.
Внешний умышленный риск доступности атака на сайт в период распродаж.
Внутренний неумышленный риск конфиденциальности случайная отправка базы поставщиков по открытым каналам.
Такая систематизация сразу выявляет основные зоны риска. В большинстве компаний малого и среднего бизнеса преобладают два направления внешние умышленные угрозы конфиденциальности и внутренние неумышленные угрозы доступности. Это определяет приоритеты финансирования и первые меры защиты.
Современные векторы атак на бизнес
Атаки стали проще. Злоумышленникам больше не нужны сложные эксплойты нулевого дня. Достаточно одной человеческой ошибки или одной забытой системы.
Фишинг стал многоэтапным. Сначала приходит письмо с правдоподобной темой от банка, налоговой или поставщика. Большинство сотрудников игнорируют письмо. Через несколько часов следует звонок с поддельного номера. Звонящий представляется сотрудником службы безопасности, называет последние цифры карты или номер договора и просит подтвердить код из SMS или установить программу для решения проблемы. Часто используют AnyDesk или аналоги. Вся процедура занимает меньше пятнадцати минут. Бухгалтерия и кадровая служба остаются самыми уязвимыми отделами.
Готовый доступ продают оптом. Существуют закрытые площадки, где торгуют учетными записями корпоративных сетей. Обычный доменный аккаунт стоит несколько сотен долларов. Доступ к клиент-банку или базе 1С может стоить до двадцати тысяч долларов. Сначала взламывают мелкого подрядчика: рекламное агентство, службу доставки или аутсорс-бухгалтерию. Через них проникают к основным клиентам.
Шифровальщики изменили подход. Перед шифрованием они копируют важные данные объемом от пятидесяти до нескольких сотен гигабайт. Если выкуп не платят быстро, информацию выкладывают в открытый доступ и рассылают уведомления клиентам и партнерам жертвы.
Атакующие используют только штатные средства. После получения начального доступа они отказываются от стороннего вредоносного кода. Все действия выполняют через PowerShell, PsExec, WMI и обычный RDP.
Большинство антивирусов и систем защиты не реагируют, так как действия выглядят легитимными. В сети они могут находиться неделями и месяцами.
Облачные хранилища и API. Оставленный без проверки открытый бакет или избыточные права в облачной почте дают полный доступ за минуты. Неправильная настройка общего доступа к папкам или слабые политики условного доступа открывают всю корпоративную переписку и документы.
Удаленная работа и личные устройства. Подключение с домашней сети через общественный Wi-Fi, зарядка телефона в аэропорту или ка все это частые точки входа. Один скомпрометированный домашний роутер может выдать доступ ко всей корпоративной сети через VPN.
Забытые старые системы. Серверы и оборудование, установленные много лет назад, часто остаются с заводскими паролями и открытыми портами. Даже если о них забыли, они продолжают отвечать из интернета и становятся легкой целью.
Главное изменение атакующим достаточно одной человеческой ошибки и одной технической недоработки, чтобы получить полный контроль.
Как построить эффективную защиту без лишних затрат. Основные меры для любой компании
Защита работает только когда строится по модели угроз из первой части. Без модели любые вложения превращаются в бесполезные покупки. Есть модель выбираем только то, что закрывает восемьдесят процентов реального риска.
Три базовые меры дают семьдесят-восемьдесят процентов результата и требуют минимальных затрат.
Закрываем все лишнее от прямого доступа из интернета. Проверяем внешний периметр через Shodan или аналог за один вечер. Закрываем RDP, SMB, старые веб-панели и любые другие ненужные порты. Все, что должно быть доступно снаружи, публикуем только через VPN или терминальные фермы. Девяносто процентов типовых проникновений сразу исчезают.
Усиливаем контроль входа. Отключаем локальных администраторов на рабочих станциях, внедряем LAPS или любой аналог. Включаем многофакторную аутентификацию везде, где возможно: почта, VPN, банковские клиенты, административные панели. Для сотрудников, работающих с деньгами и критическими данными, используем аппаратные ключи Рутокен или аналоги. Для остальных достаточно push-уведомлений в смартфоне.
Регулярные обновления и изоляция устаревшего. Устанавливаем правило все, что получает обновления безопасности, патчится не позже тридцати дней после выхода. Критические уязвимости закрываем в течение недели. Системы без поддержки выводим в изолированный сегмент без выхода в интернет и без прямого доступа к важным базам.
Дальнейшие меры подбирают под конкретные угрозы из модели.
Если главная угроза фишинг и кража учетных данных. Включаем строгую политику DMARC, блокируем макросы в офисных файлах, запрещаем пересылку корпоративной почты на личные ящики.
Раз в квартал проводим внутренний тест: рассылаем имитацию фишингового письма и фиксируем, кто открыл.
Если основной риск шифровальщики. Создаем офлайн-бэкапы с невозможностью перезаписи, храним минимум девяносто дней. Раз в полгода отрабатываем полное восстановление на отдельной площадке. Ограничиваем выполнение PowerShell и других скриптовых средств для обычных пользователей.
Если боимся утечек через сотрудников. На критических местах используем тонкие клиенты или VDI, запрещаем USB-накопители через групповые политики. Настраиваем контроль только на выгрузку баз клиентов и платежных данных.
Если риски связаны с подрядчиками. Каждому внешнему исполнителю выдаем отдельную учетную запись без прав в основной домен. Доступ предоставляем через jump-сервер с записью всех действий. Раз в год меняем все пароли и сертификаты.
Мониторинг без дорогих систем. Включаем встроенный аудит Windows, собираем логи в бесплатный Wazuh или аналог. Настраиваем пять-семь важных алертов: вход с нового региона, запуск подозрительных команд, массовое чтение файлов.
Любое новое средство защиты сначала тестируем на небольшой группе одну-две недели. Если процессы тормозят или сотрудники жалуются, сразу откатываем и ищем альтернативу. Защита не должна мешать бизнесу.
Как проверять, что защита работает, и что делать при инциденте?
После внедрения базовых мер возникает вопрос: работает ли все на практике. Без регулярной проверки любая защита быстро превращается в формальность.
Простой способ контроля раз в квартал проводить внутренний тест по двум-трем сценариям из собственной модели угроз.
Проводим внутренний тест безопасности два раза в год:
1. Сканируем внешние IP-адреса компании на наличие открытого порта 3389 (RDP) и пытаемся авторизоваться:
- используя учётные записи бывших сотрудников;
- подбирая пароли из списка «top-500 дефолтных» (admin/123456, Guest/пустой и т.д.);
- проверяем, включена ли блокировка после 3-5 неудачных попыток и работает ли MFA.
2. Рассылаем сотрудникам контрольное фишинговое письмо:
- имитируем банк, налоговую, поставщика;
- отслеживаем количество открытых писем, кликов по ссылке и введённых паролей;
- сотрудники, не прошедшие тест, автоматически записываются на повторное обучение.
Результаты (количество уязвимых RDP-аккаунтов и % кликов по фишингу) заносим в Журнал тестирования и закрываем до допустимого значения: 0 открытых RDP-аккаунтов и менее 5 % кликов по фишингу.
Если попытка успешна, значит где-то есть пробел. В малом бизнесе такой тест выполняется своими силами; в среднем привлекают внешнюю команду за сто-триста тысяч рублей.
Мониторинг настраивают так, чтобы алерты не терялись в потоке событий. Логи с серверов почты и рабочих станций собирают в бесплатный Graylog или Elastic. Оставляют пять-семь критических событий: вход в систему ночью, запуск Mimikatz, массовое копирование файлов с нового IP. Первые недели каждый алерт проверяют вручную, чтобы убрать ложные срабатывания.
При обнаружении инцидента главное не паниковать и не отключать все подряд. Действуют по плану реагирования объемом три-пять страниц:
1. Изолировать зараженную машину: выдернуть кабель или отключить порт на коммутаторе.
2. Собрать доказательства: скриншоты, логи, дамп памяти.
3. Уведомить нужных людей: при утечке данных — юристов и клиентов; при остановке работы — руководство.
4. Восстановить работу только из проверенного бэкапа.
Проникновение часто замечают не сразу; злоумышленники могут находиться в сети неделями. Поэтому раз в месяц сканируют инфраструктуру на новые устройства, открытые порты и забытые учетные записи. Утилита Nmap или любой аналог показывает результат за час.
Для быстрого реагирования назначают дежурного — одного человека на телефоне круглосуточно. Это необязательно эксперт; достаточно того, кто знает, кого разбудить ночью. В небольших компаниях такую роль берет системный администратор с небольшой доплатой.
Как поддерживать систему информационной безопасности в актуальном состоянии
Модель угроз и перечень защитных мер требуют регулярного пересмотра. Через полгода бизнес меняется: появляются новые процессы, уходят старые подрядчики, подключаются новые сервисы. Поэтому каждые шесть месяцев собирают исходную группу (генеральный директор, финансовый директор, ответственный за ИТ) и повторяют упражнение из первой части: проверяют, какие сценарии утратили актуальность, какие риски возникли впервые.
Ответственный за обновления один человек из ИТ или службы безопасности. Его задачи:
- раз в месяц просматривать логи и алерты;
- раз в квартал проводить короткое совещание (30–45 минут) и фиксировать изменения в простом файле или на доске задач;
- один раз в год пересматривать политики и план реагирования.
Обучение сотрудников продолжают короткими напоминаниями. Раз в неделю рассылают email с одним практическим советом: проверяйте адрес отправителя, не открывайте вложения от незнакомцев, не используйте один и тот же пароль. Раз в год проводят тест на знание основных угроз. Те, кто не прошел порог 80 %, получают индивидальную повторную сессию.
Бюджет на безопасность формируют как страховку: 3–5 % от годового ИТ-бюджета направляют только на реальные риски. Если средств мало, начинают с бесплатных мер: аудит паролей, сегментация сети, резервное копирование на внешний носитель. Дорогие решения внедряют тогда, когда расчетная сумма ущерба превышает их стоимость.
Компании с похожим профилем обмениваются опытом без раскрытия конфиденциальных деталей. Если инцидент произошел у аналогичной организации, изучают публичные отчеты, добавляют новые сценарии в свою модель и проверяют, закрыты ли у них аналогичные уязвимости. Неожиданным открытием часто становится то, что в малом бизнесе риски удаленной работы выше, чем внешние атаки: сотрудники подключаются из дома без контроля, используют личные ноутбуки и забывают обновлять роутеры.
Система остается эффективной, пока она простая и понятная. Сотрудник замечает подозрительное письмо и знает, кому сообщить без страха наказания. Руководитель запрашивает текущие риски и получает краткий отчет вместо толстого тома. Защита встраивается в повседневные процессы и становится нормой, а не препятствием.
Как внедрить систему информационной безопасности без остановки бизнеса
Внедрение начинают с ограниченного пилота. Выбирают один отдел или одну информационную систему, где риски оценены как средние, и отрабатывают все изменения только на этом участке. Полную остановку работы компании не допускают.
1. Быстрый аудит текущего состояния
За 5–7 рабочих дней фиксируют открытые порты, слабые пароли, устаревшее ПО. Результат — короткий перечень первоочередных задач.
2. Пилотный проект
Новые правила и инструменты включают только у 10–20 сотрудников или на одной системе. Смотрят 7–10 календарных дней: не снижается ли скорость работы, нет ли жалоб.
3. Сбор обратной связи и корректировка
Если процессы замедлились или пользователи начали обходить ограничения, упрощают правила либо меняют инструмент. Например, вместо полного запрета USB разрешают только зашифрованные накопители фирменного образца.
4. Обучение
Перед включением каждой меры рассылают инструкцию на одну страницу и короткое видео не дольше трёх минут. Объясняют, зачем мера нужна и как теперь работать.
5. Поэтапное расширение
После успешного пилота подключают остальные отделы по одному в месяц. Так изменения проходят без стресса и сопротивления.
6. Автоматизация рутины
Пароли, обновления, блокировку подозрительных действий настраивают автоматически. Ручная работа остаётся только там, где без человека невозможно: подтверждение выдачи прав, анализ алертов высокого приоритета.
7. Документация
Политику доступа, перечень ответственных, план реагирования оформляют кратко — не больше пяти страниц. Раз в полгода открывают документ на совещании и актуализируют за один час.
Главное правило защита должна быть почти незаметна бизнесу. Если сотрудники начинают обходить правила, значит внедрение ведётся неправильно, и необходимо возвращаться к предыдущему шагу и упрощать процедуры.
При соблюдении описанного порядка через три-четыре месяца компания получает работающую систему защиты, которая не мешает операционной деятельности и закрывает основные риски, зафиксированные в модели угроз.
Проверка эффективности: как понять, что деньги на безопасность не потрачены впустую
Контроль эффективности строится на трёх цифрах: время обнаружения, время локализации, время восстановления. Для каждого показателя устанавливают целевое значение, фиксируют фактическое и сравнивают каждый квартал.
Методика оценки:
1. Внутренний тест
Раз в квартал запускают два сценария из модели угроз. Например, симулируют фишинговое письмо и проверяют, сколько человек нажмёт «подтвердить». Цель — не более 5 % открытых писем. Если результат выше, усиливают обучение и корректируют фильтры почты.
2. Таблица KPI
Вводят простую таблицу:
- среднее время между появлением инцидента и его регистрацией.
- доля успешных авторизаций с 2FA.
- доля машин с установленным обновлением не позднее 30 дней.
Данные берут из логов автоматически, отчёт формируется за 15 минут.
3. Проверка бэкапов
Раз в полгода выбирают случайную дату восстановления и полностью разворачивают виртуальную копию серверов на изолированной площадке. Восстановление должно занять не более времени, заявленного в регламенте, а данные должны быть целыми и консистентными.
4. Аудит подрядчиков
Один раз в год запрашивают у внешних ИТ-подрядчиков отчёт о работе за предыдущие 12 месяцев: количество закрытых инцидентов, среднее время реакции, количество критических уязвимостей, найденных и устранённых. Отчёт сверяют с договорными значениями.
5. Финансовая метрика
Считают сумму убытков, которых удалось избежать благодаря защитным мерам. Источник данных — публичные отчёты о инцидентах в отрасли и собственные расчёты потенциального ущерба. Если сумма превышает годовые затраты на безопасность минимум в три раза, инвестиции считаются оправданными.
6. Обратная связь от сотрудников
Раз в полгода проводят анкетирование: «Какие мешают процессам? Какие упрощают?» Если более 20 % респондентов указывают одну и ту же проблему, меру корректируют или заменяют.
Результаты фиксируют в одностраничном отчёте, который подписывает руководитель и хранят в электронном виде не менее трёх лет. Такой набор метрик показывает, где защита работает, где требует доработки и какие инвестиции будут следующими.
Документы, которые остаются. Минимальный набор бумаг для малого и среднего бизнеса
Инспекторы, страховые компании и крупные клиенты запрашивают «доказательства зрелости процесса». Достаточно пяти документов, каждый не больше трёх страниц.
1. Политика информационной безопасности
Утверждается приказом генерального директора. Содержит: цель, перечень критических активов, основные запреты и ответственность сотрудников. Обновляется раз в год.
2. Регламент управления доступом
Определяет, кто и на каком основании получает учётную запись, как часто меняются пароли, когда отключается доступ при увольнении. Приложение таблица ролей и прав.
3. План реагирования на инциденты
Шаги, которые выполняет дежурный в первый час: изоляция, сбор логов, уведомление, восстановление. Указаны телефоны и email-адреса ответственных. Хранится в печатном виде у дежурного и в электронном — в общей папке.
4. Журнал учета инцидентов
Форма на одну страницу: дата, тип события, краткое описание, причина, меры устранения, подпись ответственного. Ведётся в Excel или Google Sheets. Срок хранения три года.
5. Акт приемки резервной копии
Подписывается после каждого полугодового теста восстановления. Подтверждает, что бэкап развернут успешно и данные соответствуют ожидаемому состоянию на момент резервирования.
Дополнительные документы заводят только по факту запроса регулятора или крупного контрагента. Например, если требуют политику классификации информации пишут двустраничный документ и выкладывают её на внутреннем портале. Все остальные «тома» создают по мере необходимости, а не заранее.
Хранят документы в электронном виде в защищённой папке с доступом только у директора и ответственного за безопасность. Распечатывают только те листы, которые требуют подписи: приказ о политике и акт приемки бэкапа. Это снижает затраты на бумагу и время на перепечатку при очередном обновлении.
Разумные затраты: как формировать бюджет на защиту без «разводил» и скрытых платежей
Бюджет на информационную безопасность формируют по факту, а не по совету продавца. Достаточно трёх цифр: стоимость критического риска, стоимость базовых мер, остаток ИТ-бюджета.
Шаг 1. Оцениваем ущерб
Берём три наиболее вероятных сценария из модели угроз и считаем прямой ущерб:
- выручка за 4 часа простоя основной системы;
- штраф за утечку персональных данных плюс расходы на компенсацию пострадавшим;
- средний чек мошеннического платежа при компрометации банк-клиента.
Сумма даёт верхнюю границу годовых инвестиций. Если потенциальный ущерб 2 млн рублей, а базовые меры стоят 200 тыс., инвестиции экономически обоснованы.
Шаг 2. Планируем базовый набор
Фиксируем минимум, который закрывает 80 % рисков:
- закрытие неиспользуемых портов (0 рублей, делается своими силами за вечер);
- многофакторная аутентификация для почты и банк-клиента (0 рублей, включается в веб-интерфейсе);
- облачный бэкап с ежедневной версией (1 500 руб./мес. при объёме до 1 ТБ);
- лицензия на обновляемую ОС и офисный пакет (уже есть в ИТ-бюджете);
- внутренний тест фишинга два раза в год (50 тыс. руб. у регионального подрядчика).
Итого: 68 тыс. рублей в год при 25 сотрудниках.
Шаг 3. Сравниваем с доступным ИТ-бюджетом
Если базовый набор помещается в 3–5 % годового ИТ-бюджета, его утверждают без изменений. Если нет, убирают дорогостоящие опции, а не риски. Например, отказываются от платного SIEM и оставляют бесплатный Wazuh, но сохраняют offline-бэкап, потому что он дешевле потенциального выкупа у шифровальщиков.
Шаг 4. Исключаем скрытые платежи
В договоре с внешним подрядчиком прописывают фиксированную стоимость работ и перечень входящих услуг. Любое «дополнительное обследование» оплачивается только по письменному согласованию. При закупке лицензий используют официальных дистрибьюторов и проверяют цены на сайте производителя, чтобы избежать наценки посредников.
Шаг 5. Фиксируем экономику
Раз в год пересчитывают стоимость избежанного ущерба: берут количество инцидентов, которые не случились благодаря внедрённым мерам, и умножают на средний чек ущерба по отрасли. Если полученная сумма в три раза превышает затраты, бюджет считается подтверждённым. Если нет корректируют список мер, а не увеличивают расходы.
Подрядчики и внутренние силы. Как не переплатить и не остаться без поддержки?
Малый и средний бизнес редко содержит штатного офицера информационной безопасности. Задача решается комбинацией из одного внутреннего ответственного и внешнего подрядчика по фиксированному перечню работ. Чтобы не переплатить и не остаться без помощи при инциденте, договор строят по трем блокам: объем, цена, реакция.
1. Объем работ
В договоре прописывают конкретный перечень услуг и периодичность:
- внешнее сканирование уязвимостей – 1 раз в квартал;
- внутренний тест фишинга – 2 раза в год;
- обновление политик и процедур – 1 раз в год;
- проверка бэкапа «на восстановление» – 1 раз в полгода.
Любое действие вне списка оплачивается отдельно по фиксированному часовому тарифу, который указан в приложении.
2. Цена и сроки
Используют модель «фикс + лимит часов». Пример: базовый пакет — 180 тыс. руб. в год включая 24 выездных часа. Превышение оплачивается по 2 500 руб./час, но не более 20 % от годового пакета. Это исключает неожиданные счета при инциденте.
3. Время реакции
Для критичных инцидентов (ransomware, утечка данных) прописывают обязательное время первого ответа — 1 час с момента обращения по телефону дежурной линии. Для некритичных — 4 часа. За каждый час просрочки подрядчик предоставляет неустойку 5 % от месячного платежа, но не более 30 % общей суммы договора.
4. Внутренний ответственный
В компании назначают одного человека «владельца риска». Его задачи:
- подписывать ежемесячные отчеты подрядчика;
- вести внутренний журнал инцидентов;
- контролировать, чтобы открытые уязвимости закрывались в срок, прописанный договором.
Для сотрудника это дополнительная обязанность без увольнения с основной должности; доплата фиксируется приказом и включается в фонд оплаты труда (средний размер — 10–15 % от оклада).
5. Переход на другого подрядчика
В договор включают пункт «передачи дел» все конфигурации, скрипты, пароли предоставляются в читаемом виде в течение 5 рабочих дней после расторжения. Это исключает «захват» инфраструктуры и вынуждает исполнителя сохранять лояльность.
6. Проверка подрядчика перед подписанием
- Запрашивают выписку из ЕГРЮЛ не старше 30 дней – убеждаются, что фирма существует более года.
- Просят контакты двух клиентов аналогичного масштаба – звонят и уточняют среднее время реакции.
- Уточняют, есть ли у компании полис ОСОПО (обязательное страхование профессиональной ответственности) на сумму не ниже 1 млн руб. – это гарантия, что при ошибке ущерб можно возместить.
Такой подход позволяет содержать внешнего специалиста без абонентского «паразитизма» и сохранять контроль над инфраструктурой даже при смене поставщика услуг.
Годовой план-график: когда и что делать, чтобы ничего не забыть
Ниже приведён календарь, который остаётся неизменным из года в год. Ответственный вносит конкретные даты в таблицу и назначает исполнителей. Все сроки привязаны к кварталу, а не к календарному месяцу, чтобы избежать сдвигов на праздники и отпуска.
1 квартал
- 1 неделя: пересмотр модели угроз (1 час совещание руководства + 1 час технический разбор).
- 2 неделя: внешнее сканирование уязвимостей (подрядчик).
- 3 неделя: проверка offline-бэкапа «на восстановление» в тестовой среде.
- 4 неделя: рассылка очередного фишинг-теста, анализ результатов, короткий инструктаж сотрудникам.
2 квартал
1 неделя: обновление политики и регламентов (изменения вносят приказом).
2 неделя: аудит прав доступа: уволенные, изменившие должность, внешние подрядчики.
3 неделя: внутренний пентест по двум сценариям (RDP с паролем по умолчанию, открытый SMB).
4 неделя: проверка журнала инцидентов, закрытие старых записей.
3 квартал
1 неделя: тренировка команды инцидент-менеджмента (table-top exercise): директор, бухгалтер, юрист, ИТ.
2 неделя: обновление всех паролей у подрядчиков и служебных учёток.
3 неделя: проверка облачных сервисов: права доступа, журналы, политики MFA.
4 неделя: тест фишинга № 2, сравнение динамики с 1 кварталом.
4 квартал
1 неделя: годовой пересмотр модели угроз (полный цикл, как в 1 квартале).
2 неделя: внешнее сканирование + проверка открытых портов и сертификатов TLS.
3 неделя: акт приёмки бэкапа, подпись директора, скан кладут в папку «ISO».
4 неделя: подготовка бюджета на следующий год: отчёт о затратах, пересчёт рисков, заявка на закупку новых лицензий или услуг.
Вся деятельность фиксируется в календаре для каждого события прикрепляют короткий отчёт 1–2 страницы. За 3 года накапливается история, которую можно показать аудитору, страховой компании или крупному клиенту.
План занимает 12 часов совещаний и 6–8 часов технических работ в год, но исключает ситуацию «вдруг вспомнили, что бэкап не проверяли».
Чек-лист «Документы информационной безопасности»
□ Модель угроз
Нужна всегда. Реестр или отчёт, содержащий перечень критических активов, таблицу угроз, матрицу рисков, меры защиты, дату последнего пересмотра и подпись ответственного. Обновляется не реже 1 раза в год или при каждом крупном изменении ИТ-ландшафта.
□ Приказ о политике информационной безопасности
Утверждается генеральным директором, содержит: цель, область действия, основные принципы, ответственность руководства и сотрудников, дату вступления в силу и срок следующего пересмотра.
□ Регламент управления доступом
Определяет роли, правила выдачи/изменения/блокировки учётных записей, требования к паролям, частоту аудита прав, процедуру доступа для подрядчиков и сроки отзыва прав.
□ План реагирования на инциденты
Фиксирует классификацию инцидентов, порядок оповещения (телефоны, e-mail), алгоритм первых 4 шагов (изоляция, сбор доказательств, уведомление, восстановление), ответственных и внешних контактов (подрядчик, юрист, страховая).
□ Журнал регистрации инцидентов
Ведётся в Excel дата, время, тип, краткое описание, первоначальная причина, меры устранения, статус закрытия, ФИО исполнителя. Хранится 3 года.
□ Акт приёмки резервной копии
Составляется 2 раза в год после тестового восстановления: дата, объём данных, время восстановления, проверка целостности, подписи директора и ИТ-ответственного.
□ Договор с внешним ИТ-подрядчиком
Содержит: перечень работ, фиксированную цену или лимит часов, SLA (время реакции), штрафы за просрочку, условия передачи конфигураций и паролей при расторжении.
□ Описание ролей и ответственных
Таблица содержит должность, ФИО, перечь полномочий в ИБ, дата назначения, дата очередного обучения. При изменении штата обновляется в течение 3 рабочих дней.
□ Политика классификации информации
Уровни: открытые, внутренние, конфиденциальные, персональные данные. Для каждого уровня указаны правила хранения, передачи и уничтожения.
□ Реестр учётных записей
Excel-файл: логин, ФИО, отдел, дата создания, дата последнего аудита, дата отключения. Проверяется ежеквартально.
□ Политика BYOD (если разрешены личные устройства)
Перечень разрешённых ОС, требование к шифрованию, обязательное MFA, запрет на root, порядок удаления корпоративных данных при увольнении.
□ Договор NDA с подрядчиками и партнёрами
Приложение к основному договору перечень конфиденциальной информации, срок действия, ответственность за утечку, штрафные санкции.
□ Акт внешнего сканирования уязвимостей
Проводится 1 раз в квартал, включает: перечень открытых портов, найденные уязвимости, CVSS-оценку, рекомендации, дату закрытия замечаний. Подписывается подрядчиком и внутренним ответственным.
□ Протокол внутреннего пентеста
Сценарии, даты, использованные инструменты, найденные пути атаки, риски, меры устранения, повторное тестирование. Хранится 5 лет.
□ Политика обновлений и патчей
Сроки установки критических обновлений не более 7 дней), важных не более 30 дней, исключения изолированные системы.
□ Журнал обучения и тестирования персонала
Дата, список сотрудников, темы, результат теста, подписи. Проводится 1 раз в год и кто набрал менее 80 %, проходит повторно.
□ Журнал выдачи и возврата токенов
USB-токены, рутокены, смарт-карты: номер, ФИО, дата выдачи, дата возврата, подпись получателя и кладовщика.
□ Политика удалённого доступа
Перечень разрешённых сервисов, обязательное VPN с MFA, запрет на RDP из интернета, требования к домашним роутерам (WPA3, отключён WPS).
□ Декларация защиты персональных данных
Регистрируется в Роскомнадзоре при обработке сведений из специальных категорий; раз в 3 года пересылается обновлённая копия.
□ Акт инвентаризации ИТ-активов
Проводится 1 раз в год серверы, ПК, сетевое оборудование, принтеры, IP-телефоны, VM в облаке. Фиксируется серийный номер, местонахождение, ответственный, класс критичности.
□ Протокол испытаний средств защиты
Дата, тест-кейсы, результат (пройден/не пройден), подпись исполнителя. Архивируется 5 лет.
□ Приказ о назначении ответственного за информационную безопасность
ФИО, должность, перечень полномочий, дата приказа, подпись директора, срок очередного повышения квалификации.
□ Карта сетевых сегментов и зон безопасности
Схема сети, обозначены DMZ, внутренние сегменты, пользовательски сегмент, административный сегмент, link к файлу-реестру VLAN и ACL. Обновляется при каждом изменении топологии.
□ Акт уничтожения данных и носителей
Дата, способ уничтожения (шредер, дегауссер, программное стирание), номера носителей, подписи материально-ответственных, фото/видео фиксация по желанию.
□ Политика управления инцидентами с персональными данными
Порог уведомления Роскомнадзора более 100 субъектов, шаблон письма, срок 72 ч, ответственный, алгоритм информирования субъектов.
□ Отчёт о результатах аудита ИБ
Проводится не реже 1 раза в год внешним или внутренним аудитором: scope, методика, выводы, рекомендации, сроки устранения, подпись руководителя.
Все документы хранятся в электронном виде в защищённой общей папке с резервным копированием, распечатанные оригиналы (приказы, акты) в сейфе или запирающемся шкафу. Срок хранения не менее 5 лет, если иное не указано в нормативном акте.