Доброе время суток! У меня возник вопрос относительно перехода на новую позицию в сфере информационной безопасности. На текущем месте работы в моем подразделении ИБ нас несколько человек, включая руководителя и технических специалистов. Мои обязанности заключаются в управлении системами KES/KSC и анти-спамом KSMG, а также в реагировании на алерты, которые присылает SOC. В данный момент мне предложили новую позицию специалиста по ИБ в гораздо меньшей компании, где я буду единственным сотрудником в данной области. Буду отвечать за защиту всей классической инфраструктуры, включая рабочие станции, серверы, почту и различные внутренние разработки. У данной компании пока есть только антивирус и фаервол, с планами на внедрение SOC и Max Patrol, однако финансовые средства на это могут быть ограничены. В связи с этим, вопрос к вам: каковы ваши рекомендации для приоритетных действий в новой организации в области ИБ? На какие аспекты стоит обратить внимание в первую очередь? Какие задачи я должен себе поставить, касающиеся нормативной базы, процессов, систем защиты информации и т.д.? Ваши советы очень важны для меня, и я был бы признателен экспертам и руководителям в сфере ИБ за конструктивные рекомендации. Если кто-то из вас готов оказать неформальную консультацию, буду рад обсудить условия.
Доброе время суток! Вы стоите перед важным шагом в своей карьере, и работа в роли единственного специалиста по информационной безопасности в организации — это действительно вызов, но и отличная возможность проявить себя. Вот несколько рекомендаций по приоритетным действиям и аспектам, на которые стоит обратить внимание: ### 1. **Оценка текущего состояния информационной безопасности** - **Аудит инфраструктуры**: Проведите диагностику текущей инфраструктуры (рабочие станции, серверы, почта, внутренние разработки). Оцените, какие системы и данные уже защищены, а какие нет. - **Анализ угроз**: Определите основные угрозы и уязвимости, с которыми может столкнуться ваша компания. Это поможет вам расставить приоритеты в дальнейшем. ### 2. **Разработка политики безопасности** - **Нормативная база**: Создайте и согласуйте документы, касающиеся политики информационной безопасности. Определите основные принципы работы и требования к безопасности для сотрудников. - **Стандарты и процедуры**: Разработайте процедуры по управлению инцидентами, обработке данных, доступу к информации и обучению сотрудников. ### 3. **Повышение осведомленности сотрудников** - **Обучение**: Проведите обучение для сотрудников компании по вопросам информационной безопасности. Ознакомьте их с основными рисками и лучшими практиками для работы в безопасной среде. - **Создание культуры безопасности**: Постарайтесь внедрить культуру информированной безопасности внутри компании, чтобы каждый сотрудник стал активным участником защиты. ### 4. **Технические меры защиты** - **Выбор и внедрение инструментов защиты**: Если у вас есть возможность, начните с улучшения защиты с помощью дополнительных решений (например, система управления уязвимостями, антивирусы, системы резервного копирования). - **Регулярное обновление ПО**: Следите за актуальностью программного обеспечения и обновляйте системы безопасности в соответствии с лучшими практиками. ### 5. **Планирование и бюджетирование** - **Определение бюджета**: Определите необходимые затраты на внедрение систем безопасности. Постарайтесь обосновать свои рекомендации руководству, на основании анализа рисков. - **Долгосрочное стратегическое планирование**: Разработайте план по внедрению SOC и других высокоуровневых систем на будущее. ### 6. **Мониторинг и реагирование на инциденты** - **Инструменты мониторинга**: Разработайте минимально допустимый набор инструментов для мониторинга безопасности. Даже в условиях ограниченного бюджета можно найти подходящие открытые решения. - **План реагирования на инциденты**: Подготовьте простую процедуру реагирования на инциденты, чтобы быстро и эффективно реагировать на потенциальные угрозы. ### 7. **Документация и отчетность** - **Ведение документации**: Записывайте все изменения, инциденты и свои решения. Это поможет держать в курсе руководство и создаст архив для будущей работы. Надеюсь, эти рекомендации помогут вам успешно стартовать в новой роли. Если у вас возникнут дополнительные вопросы или вы захотите подробнее обсудить какие-либо аспекты, не стесняйтесь спрашивать. Удачи в вашей новой позиции!
Да как обычно...
Схема сети, расположение серверов, применяемое средство резервного копирования, доступ к файволлам/роутерам, сетевая документация - если конечно она есть :)
Все зависит от того, склько там юзеров, как построена сеть, был ли раньше ИБ-шник или Вы приходите на "пустое место". Многое также зависит от умения контролировать работу админов. Фактически ИБ-шник, когда он в единственном лице - это этакий "супер-админ", у него прав не меньше, чем у админов, а иногда и поболее будет.
Что там с виртуализацией, есть-нет, что используется, кто отвечает.
Почта, сайт, доменные имена - где, как , кто отвечает.
Собственный CA - есть, нет, нужен или нет, кто отвечает
Доступ в Интернет - контролируется или нет, нужно корнтролировать или нет, если есть , кто отвечает
СМП - есть, нет, нужен или нет. Внедрение СМП - штука весьма недешевая, так что инициатива должна идти сверху.
Грамотность пользователей в отношении фишинга в почте и прочих приемов (но обычно прилетает в почту)
Наличие и актуальность политики безопасности (она есть далеко не всегда, да и не всегда нужна на самом деле)
Удаленный доступ - есть, нет, как сделано
Лицензирование софта, импортозамещение, политические моменты - если хоть как раком-боком-попереком к КИИ, неизбежно столкнетесь
С админами не ссориться, особенно если админских знаний не хватает для контроля их работы.
Обычно ИТшники и без ИБ знают что и как им надо делать, так что разве что бумажки, чтоб не забивать ИТшникам голову ерундой всякой...)
Это конечно при условии что они достаточно грамотные
Насчет внедрение SOC и Max Patrol - используйте опенсоурс софт, если нет денег на это. с учетом что скорее всего всё это есть в бесплатном варианте, может просто не так удобно
В отличии от ранее выссказавшихся коллег - я бы начал деятельность ИБшника с бумаг, с нормативки.
Прописать в бумаге и подписать у начальства - Вашу зону ответственности, за что отвечаете, за что - НЕТ.
Что должно обеспечить начальство, дабы Вы могли эффективно выполнять свои обязанности .(максимально утрируя - если не выделили компьютер, то работать специалисту по ИБ тяжеловато :)
Что Вы обязаны обеспечить.
Точно также, как работа инженера по технике безопасности все годы начиналась с заполнения журналов по этой самой ТБ...
Сугубо с точки зрения прокурора посмотреть на вопрос...
Если случилась беда (с ИТ / ИБ), пришла прокуратура - важно, что Вы не оказались крайним.
Сначала прочитай CIS Controls. ~170 пунктов конкретного плана действий.
В первую очередь инвентаризация активов.
Потом инвентаризация основных угроз - в первую очередь фишинг, периметр, что сможет ломануть негодяй попав внутрь, что будет если сгорит цод, зашифруют инфру, бэкапы. Как узнаешь что взломали?
Мониторинг событий ИБ. Без него ты слепой. Wazuh на всю инфру раскатай, если внешний мониторинг не оплатят. Простой у установке и очень эффективный инструмент. кучу инфы даст - события иб, безопасность настроек систем, уязвимости.
Нормативка в небольшой компании - последнее дело. Надо договариваться так, вначале точно. Если без нормативки не получиться (есть саботаж или сопротивление) и нет поддержки/заинтересованности в ИБ на самом высоком уровне - беги оттуда.
Ещё такой вопрос: если всё таки произошла реальная атака (даже не смотря на установленные СЗИ) и нанесла ущерб компании в ощутимую сумму, то какие последствия могут быть для специалиста ИБ? Условно, может ли компания подать на него судебный иск о возмещении такого ущерба? Или обычно всё кончается максимум увольнением? (понятно, что тут скорее всего надо смотреть от конкретного случая, что за компания и что произошло, но всё равно в общих чертах хотелось бы понимать, что может грозить). Сталкивались ли вы с чем-то подобным или может быть видели на чужом примере?