Бюджетная реализация защиты инфраструктуры для малых и средних организаций: Введение

информационная безопасность компании

Представим, что у нас есть сферическая компания в вакууме, небольшая такая (малый и средний бизнес), которая пытается на всём экономить, а на безопасность вообще хотела бы забить и забыть, но в силу огромного количества новостей об утечках в последние годы все же боится это делать.

Как такового отдела информационной безопасности в таких организациях обычно нет (хотя, на Западном рынке, в штате иногда встречаются ИБ специалисты) и за все отвечают системные администраторы или первая линия. Наша задача состоит в том, чтобы при минимальных бюджетах поставить всё правильно на рельсы, чтобы это правильно работало и нам оставалось лишь мониторить, смотреть отчеты, да реагировать с определенной переодичностью на некоторые типы критических событий.

Хоть мы и приветствуем автоматизацию, но забывать про человеческий фактор не хотелось бы, по этому тут еще мельком стоит заглянуть в стандарты ИБ ISO 27xxx  и не спускать на тормозах хотя бы базовое обучение и просвещение сотрудников в сфере информационной безопасности и возможной ответственности, которую как раз стоит предусмотреть и разграничить с помощью внутренних должностных инструкций, и политик безопасности компании. Нужные документы можно найти в интернете в открытом доступе без особого труда как на английском, так и на русском языке (торренты вам в помощь).

Потому как направление безопасности довольно обширное и покрывает множество разных векторов угроз, нашу статью мы разделим на несколько логических частей:

  1. Определение и классификация возможных угроз, потенциальные риски
  2. Архитектура внутренней информационной инфраструктуры
  3. Разграничение прав доступа и ответственности сотрудников, внедрение политики безопасности
  4. Файрволы, IPS/IDS, антивирусная защита инфраструктуры
  5. Мониторинг инфраструктуры с помощью Zabbix
  6. Управление информационной безопасностью и событиями безопасности с AlienVault SIEM
  7. Проверка актуальности ПО, обновлений безопасности и выявление уязвимостей с помощью Nessus и Vulners
  8. Проверка безопасности внешнего периметра инфраструктуры с помощью Nessus и Shodan
  9. Отслеживание возможных утечек информации в интернете
  10. Организация обучения сотрудников для повышения общего уровня ИБ в компании
  11. Защита мобильных устройств сотрудников
  12. Экономим на услугах пентестов: Организация программы вознаграждений за уязвимости
Смотрите так же   Корректная настройка https и получение отметки "A" на Qualys SSL Test

По поводу бюджетов сразу хотелось бы оговориться — если не тратятся деньги на ПО и лицензии, то время сотрудников и серверные мощности задействуются в любом случае, что в свою очередь так же является деньгами, по тому определение «бесплатности» решений не совсем корректно, но от части подпадает в рамки, ведь на сами решения финансовые затраты равны нулю.

Опять же, внедрение разного рода решений, политик и т.п. не гарантирует 100% защиты ни в коем случае. Всегда всё будет зависить от того, насколько проинформированны, ответственны и исполнительны ваши сотрудники. Если посмотреть статистику в интернете, то можно прийти к выводу, что самый высокий процент взломов приходится на человеческий фактор ну и конечно же пункт A1 OWASP TOP10.

 

Может быть интересно:

Добавьте комментарий