Запитай себе

Сайт

• На кого зареєстровані домен та хостинг?

• Хто в організації зберігає  інформацію щодо сайту (доступи в панель домену, хостингу тощо)?

• Чи є в когось резервна копія цієї інформації?

• Хто і коли платить за домен і хостинг?

• Хто займається підтримкою сайту?

• Що конкретно робить ця людина чи компанія?

• Чи робляться резервні копії сайту, як часто, де зберігаються?

• Хто відповідає за те, щоб TLS сертифікат на сайті вчасно оновлювався?

• Чи потрібен сайту захист від DDoS атак?

• Наскільки масштабних?

• Якщо так, як цей захист реалізовано?

• Хто стежить за тим, щоб створювати новим працівникам облікові записи і деактивовувати старих в адмінпанелі?

• До кого звертаєтесь, якщо щось сталося з сайтом? Хто звертається, якими каналами зв’язку?

Комп’ютери

• Чи видає організація робочі комп’ютери?

• Хто налаштовує комп’ютери працівників?

• Якщо працівники також працюють з особистих комп’ютерів, хто їх налаштовує?

• Як налаштовує, чи є чек-ліст? 

Якщо чек-ліста немає, але хочемо сформувати, слід відповісти на додаткові запитання: 

• чи є в організації ліцензійне програмне забезпечення (наприклад, отримане через TechSoup)?

• в якому стані комп’ютери, чи на всіх зможуть працювати підтримувані версії операційних систем і ПО?

• чи боїтеся вилучень?

• чи є комп’ютери, які використовуються для спільної роботи, на яких працюють волонтери тощо?

• чи є працівники, яким потрібні специфічні програми? (дизайнерські, бухгалтерські тощо)

Облікові записи пошти і соцмереж

Основна частина працівників

• Є корпоративна пошта, чи працівники використовують особисті скриньки?

• Чи потрібна корпоративна пошта? Якщо так – хто її адмініструє?

• Якщо використовуються особисті облікові записи, хто їх налаштовує? Чи є чек-ліст налаштувань? Чи є облікові записи, які одночасно використовуються багатьма працівниками?

SMM

• Хто веде соцмережі?

• Якщо є SMM-менеджер, то за що він відповідає?

• Чи є стандарти налаштувань?

• Хто дає доступи новим користувачам і забирає, коли користувачі йдуть?

• Чи є вимоги до акаунтів користувачів, яким дають доступ? 

Високоризиковані люди

• Чи є в організації люди, пошти та соцмережі яких треба краще захищати, бо вони займаються більш ризикованою діяльністю?

• Чи є для них окремий чек-ліст?

Переписка/месенджери

• Де відбувається робоча комунікація організації?

• Чи є стандарти налаштувань облікових записів для месенджерів, які використовуються для робочої комунікації?

• Чи є окремий робочий месенджер? Чи він треба? Якщо так, хто його налаштовуватиме і адмініструватиме?

• Чи є окремі спільні чати, в яких обговорюється дуже чутлива інформація? Чи треба для учасників цих чатів вищі стандарти безпеки

• Чи окремі працівники мають переписку із джерелами, в якій обговорюється дуже чутлива інформація? Де вона відбувається? Як ми її захищаємо?

Телефони

• Працівники користуються власними телефонами? Чи є організаційні? Хто їх налаштовує?

• Чи були інциденти із телефонами?

• Як працівник повідомляє про втрачений телефон, з якого велось робоче спілкування?

• Чи є чек-ліст налаштувань для робочих телефонів? На які облікові записи (Google та AppleID вони заведені)? Хто має до них доступ? Як вони налаштовані?

• Чи є правила налаштування особистих телефонів, щодо яких погодивились всі працівники (знають про такі правила, розуміють для чого, роблять)? Якщо ні, чи хочете запровадити такі правила? Чи готові працівники до певного рівня незручності через це?

Дані

• Чи є в організації місце, де ви зберігаєте спільні файли? (Google Диск або інша хмара, файловий сервер в офісі, розшарені папки на компах, просто зовнішній диск тощо). Якщо це хмара, чи дійсно нею всі користуються?

• Чи вистачає місця, чи думаєте кудись переїздити?

• У кого є доступи до хмари?

• Хто видає доступи новим працівникам і забирає в працівників, які звільняються?

• Якщо це офлайнове сховище, то хто і як на ньому зберігає дані?

• Чи є десь резервні копії?

• Чи є на ньому чутлива інформація?

• Чи остерігаєтесь, що його можуть винести з офісу?

Офіс

• Яке мережеве та інше “розумне” обладнання є в офісі? (роутер, інше мережеве обладнання, файлове сховище, відеокамери тощо).

• Хто його налаштовував?

• Хто оновлює?

• До кого звертаються, якщо щось виходить з ладу?

• Чи є чек-ліст для налаштувань?

• У кого є доступи (логіни й паролі, ключі) до цього обладнання?

• Чи зберігається в когось резервна копія цих доступів?  

Процеси 

• Чи є в організації системний адміністратор чи просто “IT людина”?

• Якщо так, на яких умовах працює, яка її сфера відповідальності? Чи це десь закріплено?

• Коли в організацію приходить нова людина, хто їй пояснює правила цифрової безпеки, налаштовує пристрої та акаунти, дає доступи?

• Хто забирає доступи, коли людина йде?

• Яка інформація зберігаться в організації (адмінські паролі, ключі шифрування, паролі до роутера)? У кого?

• Чи проходили працівники тренінг з цифрової безпеки?

• Чи вміють розпізнавати фішинг? Чи це потрібно? Якщо так, що робити, коли приходить новий працівник?