Выстроить не значит “поставить”. Инфраструктура, это процессы и их свидетели
Минимальная инфраструктура информационной безопасности (ИБ) для малой компании, это не выбор между отдельным антивирусом и EDR, а четкий ответ на два вопроса: какие угрозы для бизнеса критичны, и какие минимальные действия сотрудников и систем должны фиксироваться, чтобы доказать, что защита работает. Подход “поставим средства защиты и забудем” здесь проваливается сразу. Задача — создать работоспособный цикл “оценка — защита — контроль — реакция” с минимальными ресурсами.
Ключевое заблуждение: думать, что защита начинается с покупки софта. На деле она начинается с понимания, что именно защищать. Для компании до 100 человек нет ресурсов на защиту всего. Значит, нужно выделить самое ценное (активы) и самое уязвимое (точки входа). Как правило, это финансовая система, база клиентов (персональные данные), ноутбуки ключевых сотрудников (гендиректор, бухгалтер, системный администратор) и единая точка доступа в интернет (роутер/брандмауэр).
Карта территории: с чего начать без бюджета на консалтинг
Первым делом нужно составить простейший реестр информационных активов. Не в сложной Excel-таблице со сотнями полей, а в виде списка из трех колонок: «Что это?», «Кто за это отвечает?», «Что будет, если это украдут/сломают?». Например: «1С:Бухгалтерия (сервер) — Ответственный: Сидоров И.И. — Последствия: остановка финансовых операций, риск штрафов от ФНС». Этого достаточно, чтобы расставить приоритеты.
Параллельно необходимо зафиксировать точки входа. В малом бизнесе они стандартны: корпоративная почта (основной вектор фишинга), личные устройства сотрудников (при работе из дома), публичный Wi-Fi в офисе, USB-порты на рабочих компьютерах. Эти точки не требуют сложного аудита — их можно перечислить за час.
Далее — критичный шаг, который часто пропускают: описать хотя бы на одной странице ожидаемое поведение. Это не 100-страничная политика, а короткий меморандум: «Пароли не пересылаем в чатах», «На личную почту рабочую переписку не выносим», «Подозрительные письма пересылаем на security@вашакомпания.ру». Без этого любые технические средства будут биться о человеческий фактор.
Технический минимум: что должно работать всегда
Техническая часть строится не вокруг “крутых” систем, а вокруг принципа “всё, что важно, должно логироваться и где-то централизованно храниться”. Логи — единственное доказательство того, что инфраструктура не просто стоит, а работает.
Слой 1: Защита конечных точек и учётных записей
- Антивирус/EDR. Не просто сканер, а средство с возможностью централизованного управления и просмотра событий. Это база. Все компьютеры должны быть в одной консоли.
- Многофакторная аутентификация (MFA). Обязательно для всех учётных записей с доступом к финансам, админ-панелям и почте. Даже если это SMS-код, это на порядок лучше, чем просто пароль.
- Управление привилегиями. На практике это значит: у рядового сотрудника нет прав локального администратора на своём ноутбуке. Установку софта делает ответственный по заявке.
Слой 2: Защита сети
- Сегментация. Минимум — отдельная Wi-Fi сеть для гостей, которая не имеет доступа к внутренним ресурсам. В идеале — выделенный VLAN для бухгалтерии или серверов.
- Брандмауэр. Не “коробка из магазина”, а устройство или софт, где прописаны понятные правила: запрет исходящих соединений на подозрительные порты, ограничение доступа к админ-интерфейсам извне.
- Резервное копирование. Это не опция, а обязательный элемент. Копии должны храниться автономно (например, внешний диск, который подключается только на время копирования) или в облаке с отдельным доступом. Правило 3-2-1 (три копии, на двух разных носителях, одна — вне площадки) — идеал, к которому стоит стремиться.
Пример настройки критичного правила на типовом маршрутизаторе для запрета доступа извне к интерфейсу управления:
[КОД: Блокировка входящих соединений на порты 80, 443, 22, 3389 к внутреннему IP-адресу маршрутизатора]Центр управления: куда стекаются все сигналы
Минимальная инфраструктура немыслима без единой точки сбора и просмотра событий. Если антивирус пишет в свою базу, брандмауэр — в свою, а логи с почтового сервера лежат отдельным файлом, то при инциденте вы просто не успеете всё это сопоставить.
Решение — SIEM-система или её упрощённые аналоги. Для малого бизнеса это не обязательно дорогая коробка. Достаточно централизованного syslog-сервера (например, на основе Grafana Loki + Promtail или даже выделенного ПК с Graylog) и нескольких критичных правил оповещения. Главное — настроить туда отправку логов с ключевых систем:
| Система | Какие события критичны для отправки |
|---|---|
| Антивирус/EDR | Обнаружение угроз, отключение агента |
| Брандмауэр | Многочисленные попытки подключения извне (брутфорс), доступ к заблокированным ресурсам |
| Почтовый сервис | Вход с нового устройства/местоположения, массовая рассылка писем от имени сотрудника |
| Серверы (1С, файловый) | Неудачные попытки входа, изменения в критичных файлах или настройках |
Настройка одного такого правила уже создаёт рабочий механизм мониторинга. Например, правило: “Если с одного внешнего IP адреса за 5 минут происходит более 10 неудачных попыток входа на SSH-сервер — отправить алерт в Telegram ответственного”. Это уже работающая сигнализация.
Регламенты вместо интуиции: что делать, когда что-то пошло не так
Технические средства лишь показывают проблему. Без регламента реакции инцидент превратится в хаотичную переписку в общем чате. Минимальный набор регламентов, это три документа, каждый на одной-двух страницах:
- Порядок реагирования на инциденты ИБ. Чёткий алгоритм: кто первый обнаружил → кому сообщил (например, в чат ИБ или на телефон) → какие первые действия (например, отключить комп от сети, сменить пароль) → кто принимает решение об эскалации.
- Инструкция по резервному копированию и восстановлению. Пошагово: как проверить, что бэкап сделан; как восстановить файл за вчерашний день; к кому обращаться, если не получается. Должна быть проверена на практике.
- План коммуникации при серьёзном инциденте (утечка данных, шифровальщик). Список контактов: руководство, юрист, при необходимости — регулятор (Роскомнадзор по 152-ФЗ). Шаблоны первых сообщений для сотрудников и клиентов, чтобы не придумывать в панике.
Эти документы должны быть не красивой папкой, а рабочими инструментами. Их необходимо регулярно (хотя бы раз в квартал) “проигрывать” на условных сценариях: “Что будем делать, если бухгалтеру пришло фишинговое письмо и он ввёл пароль от 1С?”.
Человеческий фактор: как встроить безопасность в рутину
Для 100 человек не нужен отдельный CISO. Ответственность за ИБ можно возложить на технического директора или самого продвинутого системного администратора. Но критично выделить ему на эти задачи время в рабочем плане, а не считать их “делами по остаточному принципу”.
Обучение сотрудников должно быть регулярным, коротким и конкретным. Вместо годового часового семинара — ежемесячная пятиминутная рассылка с одним кейсом: “Вот такое письмо пришло вчера нашему коллеге, это фишинг. Обратите внимание на адрес отправителя”. Плюс — обязательный короткий инструктаж при приёме на работу.
Культура безопасности строится на простых принципах: не наказывать за сообщение об ошибках (“Я кажется кликнул на что-то не то”), поощрять бдительность, и самое главное — руководство должно своим примером показывать соблюдение правил (использовать MFA, не пересылать пароли).
От минимума к развитию: когда и что улучшать
Минимальная инфраструктура — живой организм. Её нужно развивать по мере роста компании или появления новых угроз. Приоритеты для развития:
- Углубление мониторинга. Добавить в SIEM логи с большего количества систем, настроить более сложные корреляционные правила.
- Автоматизация реакции. Настроить автоматическую блокировку IP-адресов при множественных срабатываниях правил брандмауэра, автоматическое отключение учётных записей при подозрительной активности.
- Защита данных. Внедрение средств шифрования дисков на ноутбуках, использование DLP-систем для контроля утечек через корпоративные каналы (почта, мессенджеры).
- Аудит и тестирование. Проведение регулярных проверок настроек безопасности (хотя бы сканирование уязвимостей во внешнем периметре) и моделирование фишинговых атак для оценки уровня осведомлённости сотрудников.
Главный показатель эффективности минимальной инфраструктуры — не отсутствие инцидентов (они неизбежны), а сокращение времени их обнаружения (MTTD) и времени восстановления (MTTR). Если раньше о взломе почты узнавали через неделю, когда злоумышленник уже всё вычистил, а теперь — через час по алерту о входе с необычного местоположения, это и есть работающая защита.