Почему ИБ — это не «потом, когда вырастем»
Среди руководителей среднего бизнеса распространено: «безопасность — это для банков и крупных компаний». В реальности средний бизнес — самая уязвимая мишень. Не такая защищённая, как корпорации, но достаточно денежная для атаки.
Типичные последствия инцидентов:
- Шифрование данных вирусом-вымогателем — простой 3–14 дней + выкуп от 500 тыс. до десятков млн ₽
- Утечка базы клиентов — штраф по 152-ФЗ + потеря репутации
- Взлом почты руководителя — мошеннические письма от его имени контрагентам
- Слив базы конкурентам через уволенного сотрудника
Уровни зрелости ИБ
Уровень 0 (анархия): один пароль на всех, нет бэкапов, антивирус «бесплатный». Любой инцидент — катастрофа.
Уровень 1 (базовый): 2FA, бэкапы, корпоративные пароли, политика прав. Защищает от 80% типовых угроз.
Уровень 2 (зрелый): регулярный аудит, мониторинг, обучение сотрудников, регламенты.
Уровень 3 (продвинутый): SOC, DLP, тесты на проникновение, ISO 27001.
Среднему бизнесу обычно нужен уровень 1 + ключевые элементы уровня 2.
Шаг 1: Аудит текущего состояния
Простой опросник:
- Включена ли 2FA на всех критических сервисах? (CRM, почта, банк)
- Есть ли регулярные бэкапы? Где хранятся? Когда последний раз восстанавливали для проверки?
- Есть ли политика паролей?
- Есть ли регламент при увольнении (отключение доступов)?
- Кто администрирует Битрикс/почту/инфраструктуру? Один человек или есть резерв?
- Какие сотрудники имеют админские права?
Если 5+ ответов «нет/не знаю» — критическая ситуация.
Шаг 2: 2FA на всё
Двухфакторная аутентификация на:
- Битрикс24 (для всех)
- Корпоративная почта
- Банк-клиент
- Госуслуги (для оформления документов)
- Хостинг и админки сайтов
2FA защищает даже при утечке пароля.
Шаг 3: Регулярные бэкапы
Правило 3-2-1:
- 3 копии данных
- На 2 разных типах носителей
- 1 копия — оффсайт (другой облако/географически другое место)
Битрикс24 делает бэкапы автоматически (на тарифах от Профессионал). Дополнительно — экспорт критичных данных раз в месяц.
Главное — раз в полгода тестировать восстановление. Иначе бэкапы могут оказаться битые.
Шаг 4: Регламент паролей
- Минимум 12 символов
- Уникальные на каждый сервис
- Менеджер паролей (1Password, Bitwarden)
- Не записывать на стикерах под клавиатурой
Менеджер паролей решает 90% проблемы.
Шаг 5: Политика прав доступа
Принцип least privilege — каждый имеет минимум необходимых прав.
- Менеджер по продажам не должен видеть финансовые данные
- Технический сотрудник не должен иметь доступ к договорам
- Админские права — у 1–2 человек, не у всех
Шаг 6: Регламент при увольнении
В день увольнения:
- Отключение всех доступов (Битрикс, почта, банк, внутренние системы)
- Смена паролей на общие сервисы
- Передача рабочих файлов (через корпоративные системы, не личные)
- Возврат техники
Шаг 7: Антивирус и обновления
- Лицензионный антивирус (Kaspersky, Eset) — на всех корпоративных компьютерах
- Регулярные обновления ОС и софта
- Запрет на установку нелицензионного ПО
Шаг 8: Обучение сотрудников
80% инцидентов — человеческий фактор. Обучение раз в полгода:
- Как распознавать фишинговые письма
- Как не попасться на «Иван, скиньте срочно реквизиты»
- Что делать, если кажется, что взломали
Регулярные тренировочные «фишинговые» рассылки.
Сколько стоит
Базовое внедрение ИБ для малого/среднего бизнеса (уровень 1): 80 000–250 000 ₽. Срок 1–2 месяца. Включает аудит, 2FA, бэкапы, регламенты, обучение.
Полный уровень 2 (с регулярным мониторингом): + 30 000–80 000 ₽/месяц.
Рассчитать → Записаться на разбор →
FAQ
Нужен ли отдельный сотрудник по ИБ?
До 100 человек — не обязательно, можно на аутсорс или подрядчика. От 100 — нужен ответственный внутри.
Что важнее всего?
2FA, бэкапы, обучение сотрудников. Это 80% защиты.