Чек-лист безопасности при приеме нового сотрудника
Полный чек-лист безопасности для онбординга сотрудников. Создание учетных записей, политика паролей, настройка 2FA, обучение и управление доступом.
Чек-лист безопасности при приеме нового сотрудника
Каждый новый сотрудник требует создания десятков учетных записей и настройки прав доступа. Если выполнять этот процесс наспех, возникают бреши в безопасности, которые сохраняются месяцами. Отправка временных паролей через Telegram, использование одного пароля по умолчанию для всех новичков, откладывание настройки 2FA -- распространенные ошибки с серьезными последствиями.
Подготовка до выхода на работу (D-3 -- D-1)
Создание учетных записей
| Элемент | Детали | Приоритет |
|---|---|---|
| Корпоративная почта | Создать email на домене компании | Обязательно |
| Telegram/Slack | Добавить в рабочие чаты | Обязательно |
| Облачное хранилище | Google Диск/OneDrive | Обязательно |
| Управление проектами | Jira/Notion/Trello | Высокий |
| VPN | Настройка удаленного доступа | При необходимости |
| Репозиторий кода | Приглашение в GitHub/GitLab | Для разработчиков |
Подготовка оборудования
- Применить политику безопасности на ноутбуке/ПК
- Включить полное шифрование диска
- Установить средство защиты конечных точек
- Настроить автоблокировку экрана (1 минута)
- Настроить удаленное стирание (MDM)
Первый день
Шаг 1: Парольная политика
Минимальные требования:
- Длина: 12 символов и более
- Состав: заглавные, строчные, цифры, спецсимволы
- Запрещено: имена, даты рождения, последовательные числа
- Запрет повторного использования старых паролей
- Ротация: смена каждые 90 дней
Менеджер паролей:
- Развернуть корпоративный менеджер паролей (1Password Business, Bitwarden)
- Хранить все рабочие пароли в менеджере
- Запоминать нужно только мастер-пароль
Шаг 2: Двухфакторная аутентификация (2FA)
| Учетная запись | Метод 2FA | Приоритет |
|---|---|---|
| Почта | Приложение-аутентификатор | Обязательно |
| Telegram/Slack | Приложение-аутентификатор | Обязательно |
| Облачное хранилище | Приложение-аутентификатор | Обязательно |
| VPN | Аппаратный ключ или приложение | Обязательно |
| GitHub/GitLab | Приложение или аппаратный ключ | Для разработчиков |
| Админ-панели | Аппаратный ключ рекомендуется | Для администраторов |
Важно: SMS-аутентификация уязвима для SIM-swapping атак. Используйте приложения-аутентификаторы или аппаратные ключи.
Шаг 3: Безопасная передача начальных паролей
Чего НЕ делать:
- Отправлять пароли через Telegram
- Перечислять все пароли в одном письме
- Писать пароли на стикерах
Что делать:
- Передавать начальные пароли через LOCK.PUB защищенные заметки (истечение 24 часа)
- Принудительно требовать смену пароля при первом входе
- Использовать разные временные пароли для каждого сервиса
Первая неделя (D+1 -- D+7)
Обучение безопасности
Обязательные темы:
- Распознавание фишинга: Определение подозрительных писем и ссылок
- Управление паролями: Использование корпоративного менеджера паролей
- Безопасность устройств: Блокировка экрана, шифрование, действия при потере
- Классификация данных: Работа с конфиденциальными, внутренними и публичными данными
- Отчет об инцидентах: Когда и как сообщать о проблемах безопасности
Управление доступом
| Роль | Область доступа | Уровень прав |
|---|---|---|
| Сотрудник | Ресурсы команды | Чтение/Запись |
| Руководитель команды | Команда + смежные | Чтение/Запись/Управление |
| IT-администратор | Все системы | Полный доступ |
| Внешний подрядчик | Только по проекту | Только чтение |
Текущий мониторинг
Проверка через 30 дней
- Все начальные пароли были изменены
- 2FA активна на всех обязательных сервисах
- Нет избыточных прав доступа
- Менеджер паролей используется правильно
- Обучение безопасности пройдено
Квартальный аудит
- Пересмотр и отзыв ненужных прав доступа
- Проверка соблюдения ротации паролей
- Проверка журналов инцидентов безопасности
- Подтверждение немедленной деактивации учетных записей уволенных
LOCK.PUB в процессе онбординга
LOCK.PUB упрощает безопасную передачу начальных паролей.
Порядок работы
- Создайте защищенные заметки для каждого сервиса (истечение 24 часа)
- Отправьте ссылки на корпоративную почту нового сотрудника
- Сообщите пароли доступа лично при знакомстве
- Сотрудник получает доступ и немедленно меняет пароли
- Заметки автоматически истекают
Чек-лист при увольнении
- Немедленно деактивировать/удалить все учетные записи
- Настроить переадресацию почты при необходимости
- Немедленно сменить все общие пароли
- Немедленно отозвать VPN и удаленный доступ
- Вернуть и сбросить корпоративные устройства
- Удалить доступ к облачному хранилищу
- Удалить доступ к репозиториям кода
- Вернуть физические карты доступа
Заключение
Онбординг с фокусом на безопасность укрепляет всю организацию. От создания учетных записей до парольной политики, 2FA, обучения и управления доступом -- каждый шаг важен. Для передачи начальных паролей используйте инструменты с временем истечения и защитой паролем, а не Telegram или электронную почту.
Создайте защищенную заметку на LOCK.PUB для следующего онбординга.
Ключевые слова
Читайте также
Мой телефон взломан? Признаки и что делать
Ключевые признаки взлома телефона: быстрая разрядка, неизвестные приложения, скачки трафика, всплывающие окна. Пошаговая инструкция по проверке и устранению.
Режим инкогнито: правда ли он защищает? 5 мифов
Узнайте, что на самом деле делает и не делает режим инкогнито. Распространённые заблуждения, что видят провайдер и работодатель, и чем действительно защитить приватность.
Как парам безопасно обмениваться секретными сообщениями
Сделайте ваши личные разговоры по-настоящему приватными. Самоуничтожающиеся заметки, зашифрованные чаты и романтические сюрпризы с подсказками к паролю.
Создайте защищенную паролем ссылку сейчас
Создавайте бесплатно защищённые ссылки, секретные заметки и зашифрованные чаты.
Начать Бесплатно