Уровень 2 зрелости ИБ: «Делаем по-минимуму, чтобы не было совсем больно»
Компания получила первые неприятные сигналы: инцидент, проверку, жёсткие вопросы от крупного клиента или банка. Стало понятно — «как раньше» нельзя, и безопасность перестала быть абстрактной темой.
Что уже есть:
✓ Назначен ответственный за ИБ (часто в связке с IT) ✓ Базовые документы: политика ИБ, положение о персданных, пара регламентов ✓ Резервное копирование по графику (иногда даже проверяют) ✓ Обучение сотрудников (разовое, «про пароли и фишинг») ✓ Антивирусы, обновления, базовая защита периметра
Сотрудники хотя бы раз слышали «так нельзя, у нас в правилах написано». Руководство признаёт, что без минимума безопасности опасно, но воспринимает это как расход «на диете».
Новые проблемы уровня:
⚠️ Ложное чувство защищённости «Раз есть документы — значит защищены?» На бумаге всё красиво, в реальности процессы обходят или игнорируют.
⚠️ Перегруз ответственного Один человек тянет всё: документы, проверки, техническую часть, обучение. Не успевает, выгорает.
⚠️ Разрыв документов и практики Политика написана «для галочки», в жизни делают по-старому. Никто не проверяет соответствие, пока не придёт проверка.
⚠️ Точечные решения без системы Купили что-то модное (DLP, SIEM), но не встроили в процессы. Инструмент пылится, деньги потрачены зря.
⚠️ Неравномерность В одних частях компании процессы работают, в других — «как раньше». Филиалы и удалённые сотрудники живут по своим правилам.
Как расти дальше:
→ Привести документы под реальность (честно написать, как есть) → Снять зависимость от одного человека (зафиксировать знания) → Регулярно проверять, как процессы работают на практике → Доработать обучение — не раз в год, а постоянная коммуникация → Прописать требования к подрядчикам в договорах → Собирать и разбирать инциденты с выводами
Главное: элементы системы есть, но они живут сами по себе, без единой логики. Это лучше чем «ничего», но не даёт устойчивости.
Цель уровня 2: от хаотичных мер к предсказуемому минимуму. Не идеально, но базовые вещи работают стабильно.
Многие средние компании годами живут на этом уровне. Это нормально — если риски для вашего бизнеса не критичны. Но если выходите на серьёзных клиентов, в регулируемые отрасли, работаете с большими объёмами данных — пора думать о системности.
Следующий пост — Уровень 3: «У нас уже есть система, но не всё отлажено». Когда ИБ встраивается в процессы и появляются первые метрики.
#ИнформационнаяБезопасность #ИБ #Кибербезопасность #СреднийБизнес #CIO #ЗрелостьИБ #УправлениеРисками #Комплаенс #ITБезопасность
· 19.02
обязательно внедрите двухфакторную аутентификацию, это критически важно для защиты учетных записей от утечек и взломов, особенно когда присутствует ложное чувство защищенности. также стоит пересмотреть разграничение прав доступа, чтобы минимизировать риски злоупотреблений внутри компании
ответить
коммент удалён