Защита от утечек: чек-лист безопасности после 3-го клиента-Enterprise (2026)

После третьего Enterprise-клиента в 2025 году я честно сел и пересмотрел нашу безопасность. Раньше мы делали ровно то, что просили в анкете аудитора, и каждый раз это был спринт хаоса на 4–6 недель. К началу 2026 у нас собран внутренний чек-лист из 27 пунктов, который мы поддерживаем каждый день. Цикл аудита у нового клиента из-за этого сокращается с 8 недель до 2.

Контур 1. Код

• SAST в CI на каждый PR (Semgrep + один платный сканер для критичных репозиториев)
• Dependency scanning с автогенерацией PR на обновление (Renovate)
• Секреты только через Vault или GitHub OIDC, в .env запрещены
• Pre-commit hook на gitleaks — ловит утечки до пуша
• Code review обязателен на 100% мерджей в main, без исключений
• Docker-образы строятся из distroless или Alpine с прогоном Trivy
• SBOM генерируется на каждый релиз и хранится 24 месяца

Контур 2. Инфраструктура

• Все продакшены — за приватными VPC, доступ через bastion с MFA
• Шифрование at-rest для БД и S3, ключи в KMS с ротацией раз в 90 дней
• TLS 1.3 везде, HSTS включён, SSL Labs минимум A
• WAF на edge — Cloudflare или эквивалент с правилами OWASP top-10
• Логи централизованы в одном месте, retention 12 месяцев
• Бэкапы каждый час, восстановление протестировано раз в квартал
• DR-план с RTO 4 часа и RPO 1 час, проверяется ежеквартально

Контур 3. Процессы

Самый недооценённый контур. Можно купить любой софт, но если у вас нет регламента «как мы реагируем на инцидент», в 3 часа ночи команда будет писать в общий чат и ничего не делать. Мы расписали инцидент-плейбук на 4 уровня: P1 — простой системы, P2 — деградация, P3 — баг с риском утечки, P4 — обычный баг. На каждый уровень — кто звонит, кто пишет, кто эскалирует, в какие сроки.

Контур 4. Люди

• Каждый сотрудник проходит онбординг по ИБ за первую неделю — 2 часа теории + 30 минут симуляции фишинга
• MFA на всех сервисах: Google, GitHub, Slack, 1Password, VPN
• 1Password как корпоративный менеджер паролей, личных аккаунтов в рабочих сервисах быть не должно
• Раз в полгода — кампания фишинга, разбор результатов на общем созвоне
• При увольнении — отзыв доступов в течение 30 минут, чек-лист из 14 пунктов
• Удалёнка только с управляемых ноутбуков с включённым FileVault/BitLocker

Что просит большинство Enterprise

За три аудита в 2024–2025 мы накопили боли. Чаще всего просят: подтверждение ISO 27001-подобных практик (без обязательной сертификации), отдельный DPA, описание процесса DPIA, схема data-flow с указанием персональных данных, политика реагирования на инцидент, история CVE по нашим зависимостям за 12 месяцев. Все эти артефакты у нас лежат в общей папке «security-pack» и обновляются раз в квартал.

Что мы намеренно не делаем

• Не сертифицируемся по ISO 27001 — для нашего размера переплата
• Не держим внутренний SOC — отдаём мониторинг managed-провайдеру
• Не обещаем pentest на каждом проекте — это услуга для клиента, не наша затрата
• Не используем «нулевое доверие» как маркетинговый термин — пишем конкретно, что включено