12 вопросов, которые показывают ваши слепые зоны до инцидента👀
В прошлом месяце мы уже поднимали тему базового ИБ-контура для среднего бизнеса.
Но по итогам обсуждений стало понятно: у многих непонятки не в теории, а в реальной картине. Вроде бы что-то уже внедрено, документы есть, подрядчики есть, ИТ работает, но где именно слабые места? Понять сложно.
Поэтому вместо еще одного общего разговора наши эксперты подготовили для вас мини-аудит из 12 вопросов.
Он не заменит полноценную проверку, но поможет быстро увидеть, где у вас уже сейчас есть «слепые зоны».
Смотрите на каждый вопрос честно и отмечайте тот вариант, который ближе к реальности, а не к желаемой картине 👉
1️⃣ Есть ли у вас сотрудники, которые реально отвечают за ИБ?
🟦Есть свой отдел / подразделение ИБ
🟦Есть квалифицированные сотрудники ИТ, прошедшие курсы / обучение по ИБ
🟦Информационной безопасностью занимаются подрядчики
🟦Нет сотрудников и подрядчиков, мы только планируем заняться ИБ
Слепая зона:
Не обязательно иметь свой отдел ИБ или квалифицированных сотрудников, однако крайне важно понимать, что выстраивание процессов по информационной защите и системы защиты — ключ к надежности в будущем.
Поэтому важно, чтобы как минимум был ответственный за информационную безопасность, но не просто на бумаге, а вовлеченный в процессы и мероприятия по защите.
2️⃣ Как часто вы проводите инвентаризацию инфраструктуры и систем?
🟦Раз в 3–6 месяцев, знаем, где критичные активы и слабые места
🟦Раз в год, актуализируем данные по мере обновления
🟦Проводим частично или по мере возможности
🟦Не проводили ранее
Слепая зона:
Без полной инвентаризации вы не знаете, что именно защищать. Злоумышленник или утечка часто начинаются с «мелочи»: неупорядоченный файловый сервер, где есть специальная категория ПДн, забытые учетные записи подрядчиков и бывших сотрудников, отсутствие необходимых средств защиты или межсетевых экранов на одном из адресов серверных.
Порой достаточно одного забытого доступа или забытой уязвимости. Если актива нет в реестре, для бизнеса его не существует, пока не случится инцидент.
3️⃣ Есть ли у вас ролевая модель доступа и регулярный пересмотр прав?
🟦Да, доступы выдаются по принципу минимально необходимых прав, есть регламент выдачи и блокировки
🟦Да, но иногда доступы оставляются «на всякий случай»
🟦Доступы выдаются индивидуально, без четкой системы
🟦У всех почти одинаковые доступы, иногда доступы остаются и после увольнения
Слепая зона:
Принцип минимально необходимых прав доступа, ролевая модель разграничения доступов по ролям и четкие регламенты выдачи и отзыва доступов — базовая ступень информационной безопасности.
Не важно, как сильно вы доверяете вашим сотрудникам, подрядчикам, бывшим коллегам. На практике в информационной безопасности есть четкое определение — внутренний нарушитель. И он актуален всегда.
4️⃣ Есть ли у вас модель угроз и как часто вы ее обновляете?
🟦Да, разработана на все системы, обновляем регулярно
🟦Есть, но не на все системы
🟦Не до конца разработана, не обновляем
🟦Не разрабатывали
Слепая зона:
Без модели угроз вы защищаетесь «от всего», а значит, не защищаетесь ни от чего конкретного. Модель угроз — дорожная карта при построении системы защиты. Она показывает: потенциальные группы нарушителей, возможные риски и негативные последствия в случае реализации угроз, актуальные угрозы безопасности информации под вашу инфраструктуру.
Обновлять или пересматривать модель угроз стоит раз в 2-3 года или при включении новых угроз в БДУ ФСТЭК, а также при изменении инфраструктуры (переезд в другой ЦОД, появление новых систем или деактивация старых, перестроение инфраструктуры).
5️⃣ Знаете ли вы всех подрядчиков, у которых есть доступ к данным или инфраструктуре?
🟦Да, есть реестр, доступы выдаются только под задачи, отзыв происходит сразу, в договоре есть требования по ИБ
🟦Примерно знаем, но четкого процесса нет
🟦Иногда доступ остается после завершения работ, в договоре в основном общие юридические формулировки
🟦Не работаем с подрядчиками
Слепая зона:
Подрядчики — классическая брешь в контуре информационной безопасности.
Необходимо: выдавать доступы только под четко выделенные для них задачи, отзывать доступы после окончания работ или закрытия договора, мониторить действия подрядчиков в системе (если у них есть прямой доступ), четко прописывать в договоре требования по ИБ и уведомления об инцидентах безопасности со стороны подрядчика, проверять подрядчиков на соблюдение требований до заключения договора.
6️⃣ Какая доля документов по ИБ у вас реально работает?
🟦Есть полный пакет документов, и они соблюдаются на практике
🟦Документы есть, но часть устарела, на практике следуем не всегда
🟦Есть несколько документов для выполнения требований, но по факту они не актуальны
🟦Документов нет, все решаем устно или в заметках
Слепая зона:
Документы не должны быть просто для галочки. Вся документация по ИБ, которая должна быть в компании согласно нормативно-правовым актам — ваш ориентир.
Локально-нормативные акты не просто бюрократия, а структурированный план по обеспечению безопасности.
7️⃣ Насколько вы уверены в своей системе защиты?
🟦Все необходимые средства защиты внедрены, систему регулярно улучшаем
🟦Есть базовый набор средств защиты, считаем его достаточным
🟦Есть несколько решений, но не уверены, что они закрывают риски
🟦Есть только антивирус и надежда на администратора
Слепая зона:
Одно средство защиты не спасет. Два-три создадут иллюзию безопасности. Но система защиты — это сложный комплекс, состоящий из разнонаправленных технических средств, которые обеспечивают защиту инфраструктуры.
Система защиты должна быть связной. Главный вопрос: если одна линия обороны падает, остаются ли другие?
8️⃣ Реализовано ли резервное копирование?
🟦Копии в отдельном контуре, обновляются ежедневно / еженедельно
🟦Копии в общем контуре, обновляем раз в месяц / квартал
🟦Копии на выделенном сервере, обновляем вручную
🟦Резервных копий нет или делаем крайне редко
Слепая зона:
Резервные копии — ваш спасательный круг в случае сбоев, взломов и других непредвиденных ситуаций. Они должны обновляться еженедельно, в идеале ежедневно и храниться в изолированном контуре с закрытым доступом только для ответственных лиц.
9️⃣ Как часто вы проводите аудиты, пентесты и анализ уязвимостей?
🟦Минимум раз в год, плюс регулярное сканирование
🟦По требованию заказчиков или раз в два года
🟦Пару раз делали, но не считаем это необходимым
🟦Вообще не проводили
Слепая зона:
Аудиты и пентесты не мероприятия для формальности. Именно аудиты и пентесты дают полное понимание слабых мест и уязвимостей в инфраструктуре, а также помогают в дальнейшем избежать инцидентов по безопасности и утечек. Аудиты и пентесты рекомендуется проводить минимум раз в полгода-год.
🔟 Как у вас организовано обучение сотрудников основам ИБ?
🟦Регулярно обучаем, делаем рассылки и тестовые фишинговые атаки
🟦Проводим обучение раз в год
🟦Иногда обучаем, но нерегулярно
🟦Не обучаем, считаем, что базовые правила и так всем понятны
Слепая зона:
Сотрудники — самый слабый и самый сильный элемент.
80% инцидентов начинаются с человека: фишинг, переход по ссылке, переданный пароль. Но обученные сотрудники становятся вашей живой системой обнаружения. Без обучения вы платите цену на инцидентах безопасности.
1️⃣1️⃣ Есть ли у вас документированный и проверенный план реагирования на инциденты?
🟦Да, есть регламент, зоны ответственности распределены, сотрудники ознакомлены
🟦Есть план для ответственных лиц, обычных сотрудников не вовлекаем
🟦Есть несколько кратких инструкций, но знают о них единицы
🟦Нет ни регламента, ни инструкций
Слепая зона:
В момент инцидента времени на размышления нет. Без плана вы потеряете часы на «а кто принимает решение», «а где бэкапы», «а кто звонит клиентам». Худшее, что можно сделать — это импровизировать в кризис. План реагирования — это не паранойя, это экономия времени и денег в момент, когда каждая минута на счету.
1️⃣2️⃣ Есть ли у вас план мероприятий и дорожная карта по ИБ на год или квартал?
🟦Да, есть утвержденный план, бюджет и сроки
🟦План есть, но сроки часто сдвигаются
🟦Есть только несколько приоритетных целей без структуры
🟦ИБ отдельно не планируем
Слепая зона:
Если ИБ не вписана в планы и бюджет, она всегда будет проигрывать операционным задачам. Защита становится «реактивной», а не проактивной. А значит, вы будете чинить дыры только после того, как через них уже прошли.
Планирование ИБ — единственный способ вырваться из пожарного режима.
ЧТО ПОКАЗЫВАЕТ ЭТОТ МИНИ-АУДИТ
Если по нескольким вопросам у вас выпадает последний или предпоследний вариант, проблема обычно не в одном конкретном средстве защиты.
Проблема в том, что компания живет в режиме «авось пронесет»:
🔵нет инвентаризации — значит, вы не знаете, что именно потеряете при инциденте;
🔵нет контроля доступов — значит, бывший сотрудник или подрядчик могут зайти в систему спустя месяцы;
🔵нет модели угроз — значит, защита строится без понимания реальных рисков;
🔵нет обучения — значит, главный риск остается в действиях людей;
🔵нет плана реагирования — значит, при атаке начнется паника, а не работа.
Итог:
Вы откладываете аудит не потому, что он сложный, а потому что не хотите увидеть, насколько система на самом деле уязвима. Но хуже плохого результата аудита только инцидент, о котором вы узнаете последними.
Напишите в комментариях, сколько “слепых зон” вы насчитали у себя: 0–2, 3–5, 6+?
По результатам можем отдельно разобрать самые частые провалы, например, доступы, подрядчиков или план реагирования 👍
