// базовая защита
Пароли и доступы
У каждого сотрудника уникальный парольОдин пароль на всех — первый шаг к взлому. Каждый сотрудник должен иметь свой аккаунт с личным паролем.
Пароли длиннее 12 символовКомбинация букв (верхний/нижний регистр), цифр и символов. «Qwerty123» — не считается.
Включена двухфакторная аутентификацияНа почту, CRM, удалённый доступ и всё что содержит важные данные. 2FA делает взлом почти невозможным даже при утечке пароля.
Пароль администратора роутера изменён с заводскогоadmin/admin или admin/1234 — знают все хакеры. Смените немедленно если ещё не сделали.
Доступы уволенных сотрудников отозваныНемедленно после увольнения: почта, CRM, VPN, Wi-Fi, СКУД. У 30% компаний бывшие сотрудники сохраняют доступ месяцами.
Пароли хранятся в менеджере паролейНе в Excel-файле «пароли.xlsx» на рабочем столе. Bitwarden (бесплатный) или KeePass — нормальные варианты.
// резервное копирование
Бэкапы
Бэкапы настроены и выполняются автоматическиРучной бэкап — это не бэкап. Он будет сделан перед отпуском и никогда больше. Только автоматически по расписанию.
Соблюдается правило 3-2-13 копии, 2 разных носителя, 1 вне офиса. Минимум: локальный NAS + облако.
Восстановление из бэкапа тестировалосьГлавный вопрос не «делаем ли мы бэкап», а «можем ли мы из него восстановиться». Проверяйте раз в квартал.
Бэкап баз данных настроен отдельноФайлы и базы данных (1С, CRM) — разные вещи. Убедитесь что бэкапится именно содержимое БД, а не только файлы.
Бэкап конфигураций сетевого оборудованияКонфиг MikroTik, Asterisk, Proxmox — это часы работы. Сохраните его отдельно. При сбое восстановите за минуты.
// сеть и серверы
Инфраструктура
Сеть разделена на сегменты (VLAN)Камеры, телефоны, рабочие ПК и гостевой Wi-Fi — в разных подсетях. Компрометация одного сегмента не затронет остальные.
Прошивки роутеров и коммутаторов обновленыУстаревшие прошивки содержат уязвимости, о которых хакеры знают. Обновляйте хотя бы раз в год.
На серверах настроен fail2ban или аналогЗащита от автоматического подбора паролей к SSH и другим сервисам. Настраивается за 20 минут.
SSH-доступ к серверам по ключам, не паролюВход по ключу безопаснее и удобнее. Вход по паролю на продакшн-сервер в 2026 году — это риск.
Настроен мониторинг серверовZabbix, Grafana или хотя бы простой uptime-монитор. Уведомления в Telegram при проблемах.
Лишние открытые порты закрытыПросканируйте свой сервер через nmap. Каждый открытый порт — потенциальная точка входа. Закрывайте всё что не нужно.
// почта и коммуникации
Почта и сервисы
Настроены SPF, DKIM и DMARC записиБез этого ваши письма попадают в спам и злоумышленники могут рассылать почту от вашего домена. Настраивается в DNS-записях.
Корпоративная почта на своём домене@gmail.com для бизнеса — непрофессионально и небезопасно. Google Workspace или собственный почтовый сервер.
Сотрудники обучены распознавать фишинг90% взломов начинаются с фишингового письма. Покажите команде как отличить поддельное письмо от настоящего.
SSL-сертификат актуален на всех сайтахПроверьте срок действия. Просроченный SSL — предупреждение в браузере и потерянные клиенты. Let's Encrypt продлевается автоматически.
// вопросы и ответы
Частые вопросы
Как часто нужно проходить такой чеклист?
Базовую проверку — раз в квартал. После любых изменений в инфраструктуре (новый сотрудник, новое оборудование, переезд офиса) — обязательно.
Что делать если много пунктов не выполнено?
Не паникуйте — это нормальная ситуация для большинства компаний, которые не занимались IT-безопасностью системно. Напишите мне — проведём аудит и расставим приоритеты устранения.