Доброе время суток! У меня возник вопрос относительно перехода на новую позицию в сфере информационной безопасности. На текущем месте работы в моем подразделении ИБ нас несколько человек, включая руководителя и технических специалистов. Мои обязанности заключаются в управлении системами KES/KSC и анти-спамом KSMG, а также в реагировании на алерты, которые присылает SOC. В данный момент мне предложили новую позицию специалиста по ИБ в гораздо меньшей компании, где я буду единственным сотрудником в данной области. Буду отвечать за защиту всей классической инфраструктуры, включая рабочие станции, серверы, почту и различные внутренние разработки. У данной компании пока есть только антивирус и фаервол, с планами на внедрение SOC и Max Patrol, однако финансовые средства на это могут быть ограничены. В связи с этим, вопрос к вам: каковы ваши рекомендации для приоритетных действий в новой организации в области ИБ? На какие аспекты стоит обратить внимание в первую очередь? Какие задачи я должен себе поставить, касающиеся нормативной базы, процессов, систем защиты информации и т.д.? Ваши советы очень важны для меня, и я был бы признателен экспертам и руководителям в сфере ИБ за конструктивные рекомендации. Если кто-то из вас готов оказать неформальную консультацию, буду рад обсудить условия.
Доброе время суток! Вы стоите перед важным шагом в своей карьере, и работа в роли единственного специалиста по информационной безопасности в организации — это действительно вызов, но и отличная возможность проявить себя. Вот несколько рекомендаций по приоритетным действиям и аспектам, на которые стоит обратить внимание: ### 1. **Оценка текущего состояния информационной безопасности** - **Аудит инфраструктуры**: Проведите диагностику текущей инфраструктуры (рабочие станции, серверы, почта, внутренние разработки). Оцените, какие системы и данные уже защищены, а какие нет. - **Анализ угроз**: Определите основные угрозы и уязвимости, с которыми может столкнуться ваша компания. Это поможет вам расставить приоритеты в дальнейшем. ### 2. **Разработка политики безопасности** - **Нормативная база**: Создайте и согласуйте документы, касающиеся политики информационной безопасности. Определите основные принципы работы и требования к безопасности для сотрудников. - **Стандарты и процедуры**: Разработайте процедуры по управлению инцидентами, обработке данных, доступу к информации и обучению сотрудников. ### 3. **Повышение осведомленности сотрудников** - **Обучение**: Проведите обучение для сотрудников компании по вопросам информационной безопасности. Ознакомьте их с основными рисками и лучшими практиками для работы в безопасной среде. - **Создание культуры безопасности**: Постарайтесь внедрить культуру информированной безопасности внутри компании, чтобы каждый сотрудник стал активным участником защиты. ### 4. **Технические меры защиты** - **Выбор и внедрение инструментов защиты**: Если у вас есть возможность, начните с улучшения защиты с помощью дополнительных решений (например, система управления уязвимостями, антивирусы, системы резервного копирования). - **Регулярное обновление ПО**: Следите за актуальностью программного обеспечения и обновляйте системы безопасности в соответствии с лучшими практиками. ### 5. **Планирование и бюджетирование** - **Определение бюджета**: Определите необходимые затраты на внедрение систем безопасности. Постарайтесь обосновать свои рекомендации руководству, на основании анализа рисков. - **Долгосрочное стратегическое планирование**: Разработайте план по внедрению SOC и других высокоуровневых систем на будущее. ### 6. **Мониторинг и реагирование на инциденты** - **Инструменты мониторинга**: Разработайте минимально допустимый набор инструментов для мониторинга безопасности. Даже в условиях ограниченного бюджета можно найти подходящие открытые решения. - **План реагирования на инциденты**: Подготовьте простую процедуру реагирования на инциденты, чтобы быстро и эффективно реагировать на потенциальные угрозы. ### 7. **Документация и отчетность** - **Ведение документации**: Записывайте все изменения, инциденты и свои решения. Это поможет держать в курсе руководство и создаст архив для будущей работы. Надеюсь, эти рекомендации помогут вам успешно стартовать в новой роли. Если у вас возникнут дополнительные вопросы или вы захотите подробнее обсудить какие-либо аспекты, не стесняйтесь спрашивать. Удачи в вашей новой позиции!
Да как обычно... <br/> <br/> Схема сети, расположение серверов, применяемое средство резервного копирования, доступ к файволлам/роутерам, сетевая документация - если конечно она есть :) <br/> <br/> Все зависит от того, склько там юзеров, как построена сеть, был ли раньше ИБ-шник или Вы приходите на "пустое место". Многое также зависит от умения контролировать работу админов. Фактически ИБ-шник, когда он в единственном лице - это этакий "супер-админ", у него прав не меньше, чем у админов, а иногда и поболее будет. <br/> <br/> Что там с виртуализацией, есть-нет, что используется, кто отвечает. <br/> Почта, сайт, доменные имена - где, как , кто отвечает. <br/> Собственный CA - есть, нет, нужен или нет, кто отвечает <br/> Доступ в Интернет - контролируется или нет, нужно корнтролировать или нет, если есть , кто отвечает <br/> СМП - есть, нет, нужен или нет. Внедрение СМП - штука весьма недешевая, так что инициатива должна идти сверху. <br/> Грамотность пользователей в отношении фишинга в почте и прочих приемов (но обычно прилетает в почту) <br/> Наличие и актуальность политики безопасности (она есть далеко не всегда, да и не всегда нужна на самом деле) <br/> Удаленный доступ - есть, нет, как сделано <br/> Лицензирование софта, импортозамещение, политические моменты - если хоть как раком-боком-попереком к КИИ, неизбежно столкнетесь <br/> <br/> С админами не ссориться, особенно если админских знаний не хватает для контроля их работы.
Обычно ИТшники и без ИБ знают что и как им надо делать, так что разве что бумажки, чтоб не забивать ИТшникам голову ерундой всякой...) <br/> Это конечно при условии что они достаточно грамотные <br/> Насчет внедрение SOC и Max Patrol - используйте опенсоурс софт, если нет денег на это. с учетом что скорее всего всё это есть в бесплатном варианте, может просто не так удобно
В отличии от ранее выссказавшихся коллег - я бы начал деятельность ИБшника с бумаг, с нормативки. <br/> Прописать в бумаге и подписать у начальства - Вашу зону ответственности, за что отвечаете, за что - НЕТ. <br/> Что должно обеспечить начальство, дабы Вы могли эффективно выполнять свои обязанности .(максимально утрируя - если не выделили компьютер, то работать специалисту по ИБ тяжеловато :) <br/> Что Вы обязаны обеспечить. <br/> Точно также, как работа инженера по технике безопасности все годы начиналась с заполнения журналов по этой самой ТБ... <br/> <br/> Сугубо с точки зрения прокурора посмотреть на вопрос... <br/> Если случилась беда (с ИТ / ИБ), пришла прокуратура - важно, что Вы не оказались крайним.
Сначала прочитай CIS Controls. ~170 пунктов конкретного плана действий. <br/> В первую очередь инвентаризация активов. <br/> Потом инвентаризация основных угроз - в первую очередь фишинг, периметр, что сможет ломануть негодяй попав внутрь, что будет если сгорит цод, зашифруют инфру, бэкапы. Как узнаешь что взломали? <br/> Мониторинг событий ИБ. Без него ты слепой. Wazuh на всю инфру раскатай, если внешний мониторинг не оплатят. Простой у установке и очень эффективный инструмент. кучу инфы даст - события иб, безопасность настроек систем, уязвимости. <br/> Нормативка в небольшой компании - последнее дело. Надо договариваться так, вначале точно. Если без нормативки не получиться (есть саботаж или сопротивление) и нет поддержки/заинтересованности в ИБ на самом высоком уровне - беги оттуда.
Ещё такой вопрос: если всё таки произошла реальная атака (даже не смотря на установленные СЗИ) и нанесла ущерб компании в ощутимую сумму, то какие последствия могут быть для специалиста ИБ? Условно, может ли компания подать на него судебный иск о возмещении такого ущерба? Или обычно всё кончается максимум увольнением? (понятно, что тут скорее всего надо смотреть от конкретного случая, что за компания и что произошло, но всё равно в общих чертах хотелось бы понимать, что может грозить). Сталкивались ли вы с чем-то подобным или может быть видели на чужом примере?