Чек-лист безпеки при прийомі нового співробітника
Повний чек-аркуш безпеки для онбордингу співробітників. Створення облікових записів, політика паролів, налаштування 2FA, навчання та керування доступом.
Чек-лист безпеки при прийомі нового співробітника
Кожен новий співробітник вимагає створення десятків облікових записів та налаштування прав доступу. Якщо виконувати цей процес поспіхом, виникають проломи у безпеці, які зберігаються місяцями. Надсилання тимчасових паролів через Telegram, використання одного пароля за промовчанням для всіх новачків, відкладення налаштування 2FA - поширені помилки з серйозними наслідками.
Підготовка до виходу на роботу (D-3 - D-1)
Створення облікових записів
| Елемент | Деталі | Пріоритет |
|---|---|---|
| Корпоративна пошта | Створити email на домені компанії | Обов'язково |
| Telegram/Slack | Додати до робочих чатів | Обов'язково |
| Хмарне сховище Google Диск/OneDrive | Обов'язково | |
| Управління проектами Jira/Notion/Trello | Висока | |
| VPN Налаштування віддаленого доступу За необхідності | ||
| Репозиторій коду Запрошення до GitHub/GitLab | Для розробників |
Підготовка обладнання
- Застосувати політику безпеки на ноутбуці/ПК
- Увімкнути повне шифрування диска
- Встановити засіб захисту кінцевих точок
- Налаштувати автоблокування екрана (1 хвилина)
- Налаштувати віддалене стирання (MDM)
Перший день
Крок 1: Парольна політика
Мінімальні вимоги:
- Довжина: 12 символів та більше
- Склад: великі, малі, цифри, спецсимволи
- Заборонено: імена, дати народження, послідовні числа
- Заборона повторного використання старих паролів
- Ротація: зміна кожні 90 днів
Менеджер паролів:
- Розгорнути корпоративний менеджер паролів (1Password Business, Bitwarden)
- Зберігати усі робочі паролі у менеджері
- Запам'ятовувати потрібно лише майстер-пароль
Крок 2: Двофакторна автентифікація (2FA)
| Обліковий запис | Метод 2FA Пріоритет | |---------------|----------|-----------| | Пошта | Програма-автентифікатор | Обов'язково | | Telegram/Slack | Програма-автентифікатор | Обов'язково | | Хмарне сховище Програма-автентифікатор | Обов'язково | | VPN Апаратний ключ або програма | Обов'язково | | GitHub/GitLab | Додаток чи апаратний ключ | Для розробників | | Адмін-панелі | Апаратний ключ рекомендується Для адміністраторів
Важливо: SMS-автентифікація вразлива для SIM-swapping атак. Використовуйте автентифікатори або апаратні ключі.
Крок 3: Безпечна передача початкових паролів
Чого НЕ робити:
- Надсилати паролі через Telegram
- Перелічувати всі паролі в одному листі
- Писати паролі на стікерах
Що робити:
- Передавати початкові паролі через LOCK.PUB захищені нотатки (закінчення 24 години)
- Примусово вимагати зміну пароля під час першого входу
- Використовувати різні часові паролі для кожного сервісу
Перший тиждень (D+1 -- D+7)
Навчання безпеки
Обов'язкові теми:
- Розпізнавання фішингу: Визначення підозрілих листів та посилань
- Управління паролями: Використання корпоративного менеджера паролів
- Безпека пристроїв: Блокування екрану, шифрування, дії при втраті
- Класифікація даних: Робота з конфіденційними, внутрішніми та публічними даними
- Звіт про інциденти: Коли та як повідомляти про проблеми безпеки
Управління доступом
| Роль | Область доступу Рівень прав | |------|----------------|-------------| | Співробітник | Ресурси команди Читання/Запис | | Керівник команди Команда + суміжні | Читання/Запис/Керування | | ІТ-адміністратор | Усі системи | Повний доступ | Зовнішній підрядник Тільки за проектом | Лише читання |
Поточний моніторинг
Перевірка через 30 днів
- Усі початкові паролі були змінені
- 2FA активна на всіх обов'язкових сервісах
- Немає надмірних прав доступу
- Менеджер паролів використовується правильно
- Навчання безпеки пройдено
Квартальний аудит
- Перегляд та відкликання непотрібних прав доступу
- Перевірка дотримання ротації паролів
- Перевірка журналів інцидентів безпеки
- Підтвердження негайної деактивації облікових записів звільнених
LOCK.PUB у процесі онбордингу
LOCK.PUB полегшує безпечну передачу початкових паролів.
Порядок роботи
- Створіть захищені нотатки для кожного сервісу (закінчення 24 години)
- Надішліть посилання на корпоративну пошту нового співробітника
- Повідомте паролі доступу особисто під час знайомства
- Співробітник отримує доступ та негайно змінює паролі
- Нотатки автоматично закінчуються
Чек-лист при звільненні
- Негайно деактивувати/видалити всі облікові записи
- Налаштувати переадресацію пошти за необхідності
- Негайно змінити всі спільні паролі
- Негайно відкликати VPN та віддалений доступ
- Повернути та скинути корпоративні пристрої
- Видалити доступ до хмарного сховища
- Видалити доступ до репозиторій коду
- Повернути фізичні карти доступу
Висновок
Онбординг із фокусом на безпеку зміцнює всю організацію. Від створення облікових записів до парольної політики, 2FA, навчання та управління доступом – кожен крок важливий. Щоб надіслати початкові паролі, використовуйте інструменти з часом закінчення та захистом паролем, а не Telegram або електронну пошту.
Створіть захищену нотатку на LOCK.PUB для наступного онбордингу.
Keywords
You might also like
Порівняння безпечних методів передачі файлів: SFTP, зашифрована хмара та інші
Порівняння безпечних методів передачі файлів: SFTP, зашифроване хмарне сховище, посилання з паролем, зашифрована пошта. Плюси, мінуси та сценарії використання.
Безпека Slack: найкращі практики захисту робочих листувань
Практичний посібник із захисту робочого простору Slack. Дізнайтеся про відмінності між ЛЗ і каналами, ризики зовнішнього доступу, налаштування 2FA, адмін-контроль і те, чим не можна ділитися в Slack.
Як безпечно роздати пароль від офісного Wi-Fi
Безпечні способи роздачі пароля Wi-Fi в офісі. Гостьові мережі, QR-коди, ризики відкритих паролів та рішення.
Create your password-protected link now
Create password-protected links, secret memos, and encrypted chats for free.
Get Started Free