Бюджетная реализация защиты инфраструктуры для малых и средних организаций: Введение
|Представим, что у нас есть сферическая компания в вакууме, небольшая такая (малый и средний бизнес), которая пытается на всём экономить, а на безопасность вообще хотела бы забить и забыть, но в силу огромного количества новостей об утечках в последние годы все же боится это делать.
Как такового отдела информационной безопасности в таких организациях обычно нет (хотя, на Западном рынке, в штате иногда встречаются ИБ специалисты) и за все отвечают системные администраторы или первая линия. Наша задача состоит в том, чтобы при минимальных бюджетах поставить всё правильно на рельсы, чтобы это правильно работало и нам оставалось лишь мониторить, смотреть отчеты, да реагировать с определенной переодичностью на некоторые типы критических событий.
Хоть мы и приветствуем автоматизацию, но забывать про человеческий фактор не хотелось бы, по этому тут еще мельком стоит заглянуть в стандарты ИБ ISO 27xxx и не спускать на тормозах хотя бы базовое обучение и просвещение сотрудников в сфере информационной безопасности и возможной ответственности, которую как раз стоит предусмотреть и разграничить с помощью внутренних должностных инструкций, и политик безопасности компании. Нужные документы можно найти в интернете в открытом доступе без особого труда как на английском, так и на русском языке (торренты вам в помощь).
Потому как направление безопасности довольно обширное и покрывает множество разных векторов угроз, нашу статью мы разделим на несколько логических частей:
- Определение и классификация возможных угроз, потенциальные риски
- Архитектура внутренней информационной инфраструктуры
- Разграничение прав доступа и ответственности сотрудников, внедрение политики безопасности
- Файрволы, IPS/IDS, антивирусная защита инфраструктуры
- Мониторинг инфраструктуры с помощью Zabbix
- Управление информационной безопасностью и событиями безопасности с AlienVault SIEM
- Проверка актуальности ПО, обновлений безопасности и выявление уязвимостей с помощью Nessus и Vulners
- Проверка безопасности внешнего периметра инфраструктуры с помощью Nessus и Shodan
- Отслеживание возможных утечек информации в интернете
- Организация обучения сотрудников для повышения общего уровня ИБ в компании
- Защита мобильных устройств сотрудников
- Экономим на услугах пентестов: Организация программы вознаграждений за уязвимости
По поводу бюджетов сразу хотелось бы оговориться — если не тратятся деньги на ПО и лицензии, то время сотрудников и серверные мощности задействуются в любом случае, что в свою очередь так же является деньгами, по тому определение «бесплатности» решений не совсем корректно, но от части подпадает в рамки, ведь на сами решения финансовые затраты равны нулю.
Опять же, внедрение разного рода решений, политик и т.п. не гарантирует 100% защиты ни в коем случае. Всегда всё будет зависить от того, насколько проинформированны, ответственны и исполнительны ваши сотрудники. Если посмотреть статистику в интернете, то можно прийти к выводу, что самый высокий процент взломов приходится на человеческий фактор ну и конечно же пункт A1 OWASP TOP10.
Может быть интересно: