Краткий план защищённой и дешёвой системы информационной безопасности для малого учебного заведения (школа/колледж).
1. Организационные меры (приоритет)
- Назначить ответственного за персональные данные (ПДн) и контакт для инцидентов.
- Инвентаризация: список устройств, сервисов и баз с ПДн (эл. таблица).
- Классификация данных и минимизация: хранить только нужные поля и по срокам удаления.
- Политики: политика обработки ПДн, правила доступа, резервного копирования, BYOD, реагирования на инциденты.
2. Контроль доступа и учётные записи
- Принцип наименьших прав (role-based): аккаунт на каждого пользователя, общие учётки — минимально.
- Пароли: длина не менее $\ge 12$ символов; запрет повторного использования базовых паролей; блокировка после нескольких неудач.
- Многофакторная аутентификация (MFA) для админов и почты/облачных сервисов — по возможности $2$-факторная (приложения-генераторы или аппаратные ключи).
- Менеджер паролей (Bitwarden, бесплатная версия) для хранения учёток.
3. Сеть и доступ в интернет
- Раздельная сеть: гостевая Wi‑Fi для учеников/гостей, внутренняя сеть для преподавателей/админов (VLAN/SSID).
- Защитный шлюз/файрвол (на базе роутера, OpenWRT, pfSense/OPNsense) — блокировка входящих неиспользуемых портов, базовые IDS/IPS при возможности.
- HTTPS/SSL для всех сервисов (Let's Encrypt). DNS + CDN/защита (Cloudflare бесплатный тариф) для публичных сервисов.
- Ограничение доступа к сетевым ресурсам по IP/портам по необходимости.
4. Защита рабочих станций и серверов
- Включить встроенный антивирус/ЭПД (Microsoft Defender в Windows).
- Полное шифрование диска: BitLocker (Windows) / FileVault (macOS) / LUKS (Linux).
- Отключить лишние сервисы; работать под ограниченной учётной записью, права администратора только при необходимости.
- Автоматические обновления ОС и ключевых приложений; централизованный контроль патчей по возможности.
5. Резервное копирование и восстановление
- Правило хранения резервных копий: правило $3$-$2$-$1$ — минимум $3$ копии, на $2$ разных носителя, $1$ вне офиса/в облаке.
- Регулярность: ежедневные инкрементальные + еженедельные полные; тесты восстановления периодически.
- Шифрование бэкапов и контроль доступа к ним.
6. Логи, мониторинг и реагирование на инциденты
- Вести логи доступа к учётным записям и админским операциям; хранить минимум времени по политике.
- План реагирования: шаги — изоляция устройства, сохранение доказательств, уведомление ответственного, восстановление из бэкапа. Контактные телефоны/почта для экстренных случаев.
- Процедура уведомления регулятора/родителей в соответствии с законодательством.
7. Физическая безопасность
- Ограничить доступ в серверные/складские помещения (замки, ключи/карты).
- Физическое хранение носителей с ПДн в запираемых шкафах.
- Метки на оборудовании и учёт.
8. Обучение и культура безопасности
- Краткие тренинги для сотрудников и старших учеников: фишинг, безопасные пароли, правила работы с ПДн — ежеквартально/полугодно.
- Чёткий путь сообщения о подозрительных письмах/инцидентах.
9. Работа с подрядчиками и облаком
- Проверять соответствие GDPR/нац. закону у SaaS-провайдеров, подписывать соглашения о защите данных (DPA).
- Минимизировать передачу ПДн сторонним сервисам; псевдонимизация/анонимизация при возможности.
10. Низкобюджетные инструменты и ресурсы
- Let's Encrypt — SSL бесплатно.
- Bitwarden (self-host или облачный free) — менеджер паролей.
- Microsoft Defender (встроен в Windows 10/11), OPNsense/pfSense, OpenWRT.
- Cloudflare Free для DNS/базовой защиты.
- Google Workspace for Education / Office 365 Education — проверять доступность для учреждения (часто бесплатны/льготны).
- Обучающие материалы из официальных источников (Роскомнадзор/Минобр) и бесплатные курсы по кибергигиене.
11. План действий по приоритетам (рекомендуемый)
- Немедленно (в течение $1$–$2$ недель) — назначить ответственного; инвентаризация; включить обновления ОС; включить шифрование диска; настроить MFA для почты; отдельный гостевой Wi‑Fi.
- Короткий срок (в течение $1$–$3$ месяцев) — политики и резервное копирование (правило $3$-$2$-$1$); тренинг сотрудников; настроить файрвол/сегментацию.
- Среднесрочно (в течение $3$–$12$ месяцев) — логирование и мониторинг, тесты восстановления, договоры с поставщиками, регулярные аудиты.
Контроль эффективности: проверяйте инциденты, результаты тестов восстановления и соблюдение политик, корректируйте при необходимости.
Если нужно — могу составить краткий шаблон политики или чек‑лист задач для исполнения.