Попробовать бесплатно
    09.09.2024

    Учет лиц с доступом к конфиденциальной информации

    Введение

    Конфиденциальная информация — ценный ресурс, который может содержать основные данные о коммерческой, технологической, кадровой политике, политике безопасности, о персональной информации сотрудников и многое другое. Этому ресурсу всегда уделяют много внимания: предприятие прилагает дополнительные усилия по защите, вводится режим коммерческой тайны, устанавливаются нормативно-правовые нормы, зафиксированные законодательно, за распространение конфиденциальных данных может последовать административная или даже уголовная ответственность и так далее. Что является основным источником распространения такого типа информации? Конечно, доверенный персонал. Предлагаем сегодня в статье Falcongaze исследовать тему «Учет лиц с доступом к конфиденциальной информации». 

    Понятие конфиденциальной информации

    Что такое конфиденциальная информация? Это совокупность данных, которые содержат критическую массу ценных сведений и доступ к которым ограничен кругом доверенных лиц. Порядок обращения с конфиденциальной информацией устанавливается согласно законодательству и ограничивает возможность применения и распространения ее среди лиц, не имеющих доступ к этому типу данных.

    Согласно российскому законодательству, конфиденциальной информацией считается любая информация, доступ к которой ограничен нормативными актами или законами. Можно выделить несколько категорий конфиденциальной информации как для предприятия, так и для государства в общем и человека в частности.

    • Государственная тайна

    Это совокупность сведений государственного уровня, которые касаются внешней и внутренней обороны, обеспечения безопасности, политического строя, разведывательной и контрразведывательной деятельности, а также оперативно-розыскной работы. Разглашение такой информации может нанести ущерб национальной безопасности страны. Поэтому вопрос регулирования конфиденциальных данных такого типа фиксируется на законодательном уровне в Законе Российской Федерации «О государственной тайне» № 5485-1 от 21.07.1993 г.  

    • Коммерческая тайна

    Определение данных, принадлежащих к коммерческой тайне, дано в Федеральном законе «О коммерческой тайне» от 29.07.2004 г. № 98-ФЗ. Также в этом законе закреплено положение по предоставлению информации, составляющей коммерческую тайну, утверждаются права обладателя информации, рекомендации по охране, перечисляются сведения, которые не могут относиться к коммерческой тайне, и так далее. В общем, к коммерческой тайне относится вся информация, которая ценная для компании и может повлиять на ее эффективность.

    • Персональные данные

    Это вся информация, которая может быть использована для идентификации определенного человека. Сюда, как правило, относят: паспортные данные, имя и фамилию, номера телефонов, электронные адреса и никнеймы в социальных сетях, информацию о страховом, финансовом состоянии и здоровье, а также другие данные. Защита персональных данных регулируется Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 г.

    • Служебная тайна

    Это информация, доступ к которой ограничен для защиты интересов работодателя или государства, и ее разглашение может нанести вред этим интересам. Вопросы, связанные с этой категорией, регулируются различными нормативными актами, включая внутренние документы организаций.

    • Тайна связи

    Информация, передаваемая посредством коммуникационных средств (переписка, телефонные и радиопереговоры и прочее), которая защищена от несанкционированного доступа. Регулирование осуществляется в соответствии с законом «О связи» № 126-ФЗ от 07.07.2003 г. 

    • Медицинская тайна

    Это совокупность информации о состоянии здоровья, диагнозах, проводимой медицинской помощи и других данных конкретного человека. Данная категория регулируется Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» № 323-ФЗ от 21.11.2011 г. . 

    Категории конфиденциальной информации

    Эти категории данных подлежат особой защите в рамках российского законодательства, и их несанкционированное распространение запрещено.

    Насколько важно защищать конфиденциальную информацию?

    Защита конфиденциальной информации важна как с точки зрения компании, так и для человека персонально, поскольку помогает избежать:

    1. Кражи личности и таргетированного мошенничества. Когда персональная информация о человеке используется в мошеннических целях и обогащении. Например, кража личности для получения доступа к банковским услугам и осуществлению финансовых махинаций, проведению незаконных транзакций и других действий. Или использование уникальной персональной информации для проникновения на охраняемую территорию, объект, получения доступа к программному обеспечению и т. д.

    2. Нанесения ущерба личной и профессиональной репутации. В этом случае сам человек или компания могут понести издержки из-за потери доверия со стороны клиентов, партнеров, круга доверия и т. д.

    3. Санкционного давления из-за несоблюдения регуляторных требований, описанных в нормативно-правовых актах. Проблемы с информационной безопасностью, в частности распространение конфиденциальной информации, могут повлечь жесткие меры со стороны регулирующих этот сегмент деятельности органов, что приведет к наложению финансовых штрафов, усилению контроля за компанией, снижению корпоративного рейтинга, юридическим санкциям и судебным разбирательствам.

    4. Урона для конкурентоспособности. Конкурентные преимущества, технологии, инновационный и научный задел и другие данные, которые входят в понятие коммерческой тайны, являются интенсивно охраняемыми информационными активами, и несанкционированное распространение этих данных может напрямую влиять на коммерческую эффективность всей компании.

    5. Рисков кибератак и использования конфиденциальных данных для поиска уязвимостей системы безопасности для дальнейшего осуществления попыток внедрения в эту систему.

    6. Нарушений этических стандартов и уровня ответственности вовлеченных в бизнес-процессы сторон. Люди и компании имеют моральное обязательство защищать информацию других людей, будь то клиенты, сотрудники или партнеры. Нарушение конфиденциальности может иметь серьезные последствия для всех вовлеченных сторон.

    Разрешительная система доступа к информации

    Понятие разрешительной системы доступа достаточно обширно. В целом под этой системой понимают всю систему разграничения доступа, которая направлена на защиту охраняемого объекта информации от посягательств, использования и несанкционированного внедрения.

    Для работы разрешительной системы характерно следование принципам:

    • градации уровней доступа, когда все пользователи ранжируются по группам, которым в свою очередь присваивается уровень доверия, выраженный в степени доступа к конфиденциальной информации (запрещен доступ, ограничен, права обычного пользователя, привилегированные права, суперадмин и другие варианты);

    • возможность реализации индивидуальных прав и ограничений, когда выбранные пользователи наделяются или наоборот ограничиваются в правах доступа к конфиденциальной информации в соответствии с потребностями организации, в управлении которой находится информация.

    Для чего нужна разрешительная система? Так, существует ряд целей, которые преследует компания в рамках реализации разрешительной системы на предприятии. Сюда относятся: 

    • минимизация вероятности утечки информации и других рисков для компании;

    • обеспечение соблюдения правовых норм, принятых в существующих реалиях управления;

    • упрощение определения негативного воздействия на информацию и лица за это ответственного в случае реализованного риска ИБ;

    • потребность в ранжировании доступа для облегчения управления информационными ресурсами компании и т. д. 

    Нормативно-правовая база разрешительной системы

    Нормативно-правовая основа разрешительной системы учета лиц, имеющих доступ к конфиденциальной информации, в России включает комплекс законодательных актов и нормативных документов, направленных на регулирование вопросов, связанных с доступом, обработкой и защитой такой информации. Эти правовые нормы устанавливают процедуры и правила, которые должны соблюдать субъекты, работающие с конфиденциальными данными, и также определяют ответственность за их нарушение.

    Основные законодательные акты РФ, регулирующие доступ к конфиденциальной информации:

    • Федеральный закон «О персональных данных» (№ 152-ФЗ) (регулирует все аспекты обработки персональных данных).

    • Федеральный закон «О коммерческой тайне» (№ 98-ФЗ) (устанавливает порядок обращения с коммерческой тайной).

    • Федеральный закон «О государственной тайне» (№ 5485-1) (регулирует вопросы охраны государственной тайны).

    • ГОСТы (Государственные стандарты): ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», ГОСТ Р 51897-2011 «Защита информации. Основные требования к защите информации от несанкционированного доступа».

    Эти нормативно-правовые акты определяют основные требования к системам защиты информации, методы их оценки, а также единые подходы к организации работы с конфиденциальной информацией.

    Следует также учитывать международные стандарты, которые существенно влияют на разработку национальных норм в сфере защиты конфиденциальной информации в России. Примерами таких стандартов являются:

    ISO/IEC 27001 — международный стандарт, устанавливающий требования к системам управления информационной безопасностью (СУИБ). Описывает методы управления рисками ИБ и определяет требования для создания, внедрения, сопровождения и совершенствования систем управления.

    ISO/IEC 27701:2019 — дополнение к ISO/IEC 27001, касающееся управления персональными данными, соответствующее международным требованиям по защите персональных данных, таким как GDPR в Евросоюзе.

    Эти международные нормы становятся основой для разработки национальных ГОСТов и иных нормативных актов в области информационной безопасности, способствуя их согласованию с мировыми стандартами и лучшими практиками.

    Административная ответственность за нарушение правил доступа к конфиденциальной информации

    Административная ответственность за нарушение правил работы с конфиденциальной информацией в РФ предусмотрена Кодексом Российской Федерации об административных правонарушениях (КоАП РФ). Основные виды нарушений и меры ответственности включают:

    • Нарушение правил обработки персональных данных (ст. 13.11 КоАП РФ). Влечет наложение штрафов на должностных и юридических лиц, а также граждан за несоблюдение установленных требований по защите персональных данных.

    • Нарушение правил обращения с государственной тайной (ст. 13.12 КоАП РФ). Включает в себя нарушения режима секретности, несанкционированный доступ к государственной тайне и иные действия, способствующие ее утечке.

    • Нарушение порядка обращения с коммерческой тайной (ст. 13.14 КоАП РФ). Предусматривает ответственность за несанкционированное распространение, незаконное получение или использование информации, составляющей коммерческую тайну.

    В зависимости от тяжести нарушения предусмотрены различные меры административного воздействия: от штрафов и дисквалификации должностных лиц до более серьезных санкций. В случае если деяние имеет значительный ущерб или общественную опасность, возможно привлечение к уголовной ответственности, например, за шпионаж или разглашение государственной тайны (ст. 275 и 283 УК РФ).

    Таким образом, нормативно-правовая база РФ комплексно регулирует вопросы доступа к конфиденциальной информации, определяя как требования по защите данных, так и меры ответственности за их нарушение.

    Определение круга лиц, получающих разрешение на доступ к конфиденциальной информации

    Доступ к конфиденциальной информации всегда выдается под давлением какого-то фактора, который требует использование этой информации.

    Во-первых, потребность в доступе может возникнуть в рамках исполнения должностных обязанностей. Это одна из самых распространенных причин расширения круга лиц со свободным доступом. Конфиденциальная информация может понадобиться в работе юристов, экономистов, бизнес-аналитиков, менеджеров разного уровня и так далее. Важная конфиденциальная информация предприятия фиксируется в форме введения режима коммерческой тайны. Подробнее перечень сведений, относящихся к коммерческой тайне, был рассмотрен в недавней статье Falcongaze.

    Во-вторых, доступ к данным может быть спровоцирован расширением уровня доверия к какому-то сотруднику или группе. Например, при прохождении тестового периода и переходе на контрактные отношения работодатель может расширить их права доступа.

    В-третьих, после повышения квалификации сотрудника может потребоваться расширение прав использования конфиденциальных данных в соответствии с повышенным рангом и расширением профессиональных обязанностей.

    В-четвертых, конфиденциальные данные могут потребоваться в рамках проведения специфических исследований как самими сотрудниками, так и привлеченными специалистами. Сюда может относиться аудит предприятия, аудит системы безопасности, маркетинговое исследование и т. д. В таком случае может выдаваться временный допуск, ограничивающий возможность модерации информации в установленный на определенный период действия.

    Для кого выдается доступ к конфиденциальной информации?

    Доступ к конфиденциальной информации предоставляется только тем лицам, которым это необходимо для выполнения их служебных обязанностей или профессиональных задач. В зависимости от контекста и характера деятельности организации, доступ к конфиденциальной информации может быть выдан следующим категориям лиц:

    1. Сотрудники организации разного уровня: руководители и менеджеры, специалисты по информационной безопасности, юридический, финансовый отдел, IT-персонал и другие сотрудники.

    2. Партнеры и контрагенты: аутсорсинговые компании, партнеры по бизнесу.

    3. Контролирующие и надзорные органы, которые проводят запланированные и незапланированные проверки, аудиты или расследования согласно законодательству.

    4. Временный персонал, участвующий в проектах, или дополнительный персонал, нанятый по линии аутстаффинга или аутсорсинга.

    6. Внутренние и внешние аудиторы для выполнения задач, связанных с внешним аудитом, в соответствии с условиями договора и законодательством.

    Доступ к конфиденциальной информации всегда предоставляется по необходимости и в строгом соответствии с политиками безопасности организации. При этом должны быть предусмотрены все меры для защиты данных, включая подписание соглашений о неразглашении, контроль доступа и регулярный аудит использования информации.

    Порядок доступа к конфиденциальной информации — это комплекс процедур и мер, направленных на обеспечение защиты и контроля над конфиденциальными данными, к которым доступ имеют только уполномоченные лица. Этот порядок включает в себя несколько ключевых этапов, описанных ниже.

    Предоставление доступа к конфиденциальной информации состоит из следующих этапов:

    • Подача заявления и рассмотрение запросов на доступ к конфиденциальной информации. Сотрудник или любое другое лицо должен подать письменный или устный запрос (в установленной в компании форме) на предоставление доступа. Запрос должен содержать обоснование необходимости использования этой информации, ее описание и указание на задачи, для выполнения которых необходим доступ. Запрос подается в отдел безопасности или непосредственному руководителю подразделения.

    • Рассмотрение запроса. Уполномоченные лица рассматривают запрос и сверяют с реальной потребностью в этой информации. В некоторых случаях может потребоваться консультация с юристом организации для оценки  обоснованности и необходимости предоставления запрашиваемого доступа. В случае положительного решения запрос передается на согласование.

    • Формирование и согласование разрешительных документов на предоставление.

    • Внесение в реестр учета лиц с доступом к конфиденциальной информации для дальнейшего отслеживания и аудита доступов. 

    • Практическая реализация передачи прав доступа к информации с дополнительным обучением (при необходимости) и информированием об ответственности за нецелевое использование или разглашение доверенной информации.

    • Ввод ограничений и исключений в предоставлении доступа к конфиденциальной информации при необходимости. Могут быть реализованы по временному принципу (ограничен срок доступа) или про принципу действия (ограничены права на внесение изменений и передачи третьим лицам).

    • В доступе к конфиденциальной информации может быть отказано в случае отсутствия достаточных оснований или при наличии угроз безопасности организации.

    Меры по предотвращению несанкционированного доступа:

    • Регулярный мониторинг и аудит доступа к конфиденциальной информации.

    • Использование систем контроля и управления доступом, включая аутентификацию и авторизацию.

    • Применение технических средств защиты информации, таких как шифрование данных и блокировка доступа по истечении срока действия разрешительных документов.

    Придерживаясь данного порядка, организации могут эффективно управлять доступом к конфиденциальной информации, минимизируя риски утечек и несанкционированного доступа.

    Процедура выдачи допуска к информации

    Допуск к конфиденциальной информации предприятия требует систематизированного подхода к распределению прав между сотрудниками и строгого учета лиц с доступом к конфиденциальной информации. Для начала сотрудник проверяется на соответствие внутренним параметрам безопасности и доверия компании, чтобы убедиться, что расширение прав таким образом не повлечет дополнительных рисков для системы безопасности. Для этого с самим сотрудником проводится анкетирование, личная беседа или несколько бесед, исследуется биография, родственные связи, образование, персональные качества — при необходимости. Применяемые меры зависят от уровня конфиденциальности информации и потенциального ущерба от ее распространения. Чем выше запрашиваемый уровень доступа, тем сложнее может быть отбор.

    Кроме того, сотрудники отдела безопасности предприятия всегда должны проводить мониторинг учетных записей и прав. Это проводится в рамках поддерживающих систему безопасности мероприятий для минимизации потенциальных рисков. В рамках этого мониторинга могут быть выявлены:

    • привилегии учетных записей, которые не соответствуют должности сотрудника (смена позиции в компании);

    • устаревшие учетные записи и допуски уволенных или перешедших в другие подразделения сотрудников;

    • неучтенные риски безопасности и т. д.

    Итоги мониторинга позволяют корректировать заданные уровни доступа в соответствии с потребностью предприятия и минимизировать негативные последствия на систему безопасности в целом.

    Контроль сотрудников, имеющих доступ к информации

    Контроль доступа сотрудников к конфиденциальной информации включает различные методы, которые обеспечивают защиту данных и позволяют управлять доступом, отслеживать действия и предотвращать несанкционированное использование информации участником внутреннего контура безопасности. Специалисты ИБ могут использовать любой из нижеперечисленных методов: 

    1. Логирование

    Логирование — это процесс записи и хранения событий, связанных с доступом к конфиденциальной информации. Лог-файлы фиксируют, кто, когда и какие действия выполнял с данными. Эти данные могут использоваться для анализа безопасности и выявления подозрительных или несанкционированных действий. Логи включают информацию о входах в систему, изменениях файлов, попытках доступа к защищенным ресурсам и других действиях, связанных с конфиденциальными данными.

    2. Аудит путей доступа к конфиденциальной информации

    Аудит доступа к конфиденциальной информации предполагает регулярную проверку всех данных, использующихся для аутентификация пользователей в системе, территориальному доступу, доступу к файлам хранения информации. Это обеспечивает постоянную проверку и актуализацию учетных записей.

    3. Аудит систем безопасности

    Это поиск аномалий в обеспечении безопасности предприятия, включающий просмотры журналов событий и анализ взаимосвязей, что поможет выявить несанкционированные связи, которые в итоге привели к инциденту ИБ.

    3. Системы контроля версий файлов, содержащих конфиденциальную информацию 

    Это метод контроля за сотрудниками, имеющими доступ к конфиденциальной информации с возможностью внесения изменений в нее. Насколько доверенный сотрудник честно исполняет свои обязанности и не наносит умышленный или непредумышленный вред файлу с информацией. Также системы контроля версий помогают в случае обнаружения инцидента восстановить предыдущие версии и обеспечить отслеживание логики изменений и взаимосвязей.

    4. Внедрение системы ролевого управления доступом (RBAC)

    Ролевое управление доступом обеспечивает предоставление прав доступа к конфиденциальным данным на основе ролей сотрудников в организации. Каждая роль определяется набором обязанностей, зафиксированных в должностных инструкциях и соответствующих доступу к информации. Это значительно снижает риск утечки данных, поскольку сотрудники ограничены в правах доступа ко всей информации и  используют только ту ее часть, которая необходима им для выполнения рабочих задач.

    5. Многофакторная аутентификация (MFA)

    Еще один этап аутентификации обеспечивает дополнительное подтверждение легитимности входа в систему. Многофакторная аутентификация добавляет уровень защиты при доступе к конфиденциальной информации и может быть представлена в виде ввода второго пароля, подтверждения по SMS, биометрического сканирования, подтверждения через пуш-уведомление в приложении на смартфоне. Это значительно снижает вероятность несанкционированного доступа даже при компрометации пароля.

    6. Шифрование данных

    Ограничение и контроль доступа к конфиденциальной информации может также осуществляться через шифрование данных на любом из этапов хранения или передачи. Это пресечет возможность использования информации даже в том случае, если она будет перехвачена.

    7. Сегментация сети

    Для уникализации правил и уровней безопасности для разных сотрудников можно провести сегментацию корпоративной сети, где каждый новый сегмент будет наделен собственным уровнем доверия и входа в систему. Это поможет снизить риски негативного воздействия и ограничит поиск виновников в инциденте безопасности.

    8. Внедрение политики минимального необходимого доступа 

    Такой метод предлагает ограничивать доступ к информации для сотрудников только в рамках тех данных, которые необходимы для выполнения прямых обязанностей, без дополнительных привилегий. Это снижает риск преднамеренного или непреднамеренного слива и ограничивает поиск подозреваемых в случае осуществления инцидента.

    9. Использование технологии предотвращения утечек данных (DLP-системы)

    DLP-системы (Data Loss Prevention) обеспечивают автоматизацию мониторинга доступа к конфиденциальной информации, совмещенную с прямыми инструментами противодействия несанкционированному распространению информации. С помощью DLP-систем можно отслеживать и контролировать доступ к данным, предотвращая их утечку, блокировать отправку конфиденциальной информации за пределы организации и контролировать использование ее внутри контура безопасности.

    10. Системы управления идентификацией и доступом (IAM)

    Системы IAM (Identity and Access Management) обеспечивают централизованное управление учетными записями пользователей и правами доступа. Это включает автоматизацию предоставления и отзыва доступа на основе изменения ролей сотрудников или их увольнения, что важно для обеспечения актуальности и безопасности доступа к данным.

    Эти методы в совокупности обеспечивают многоуровневую защиту конфиденциальной информации и позволяют эффективно контролировать действия сотрудников в системе. Особенно полезными являются системы автоматизации контроля доступа: DLP-системы и IAM. Рассмотрим их подробнее.

    Применение программного обеспечения для контроля доступа на примере DLP-системы Falcongaze SecureTower

    DLP-система Falcongaze SecureTower является одним из востребованных программных комплексов по обеспечению безопасного обращения информации внутри компании и мониторингу занятости сотрудников при любой форме взаимодействия (дистанционной или непосредственно на рабочем месте).

    Как система контроля доступа к конфиденциальным данным, Falcongaze SecureTower преследует следующие цели:

    • обеспечение безопасного использования конфиденциальной корпоративной информации и пресечение несанкционированной утечки данных за пределы компании;

    • прозрачность и доступность в области управления потоками данных для оптимизации бизнес-процессов компании;

    • расследование инцидентов и получение точной отчетности о произошедшем с детальной визуализацией всех причастных лиц;

    • блокировка передачи конфиденциальных файлов по большинству популярных путей коммуникации;

    • блокировка и фиксация изменений в конфиденциальных данных;

    • фиксация передачи прав доступа в виде индивидуальных идентификационных данных логина и пароля к другим лицам;

    • моментальное информирование ответственных сотрудников и менеджеров компании об инциденте и попытке получения доступа к засекреченным файлам;

    • обеспечение регулярных проверок и анализ активности сотрудников, имеющих доступ к конфиденциальной информации.

    DLP-система Falcongaze производит мониторинг по следующим каналам коммуникации:

    • почтовые сервисы (POP3, SMTP, IMAP, MAPI и др.)

    • популярные мессенджеры и веб-переписки через Skype, Telegram, Viber, Lync, WeChat, Zoom и другие.

    • Web-активность через мониторинг поисковых запросов, коммуникаций, браузерной активности, передачи файлов;

    • мониторинг буфера обмена, работы с облачными хранилищами, аудит устройств, кейлогер, контроль процесса печати документов через принтер и так далее.

    Контроль доступа к конфиденциальной информации и пресечение несанкционированного распространения информации осуществляется через предустановленные или пользовательские политики безопасности. В DLP-системе Falcongaze SecureTower заранее учтены основные риски распространения конфиденциальных данных: блок политик Утечка информации с контролем утечки договоров, документов, загрузки в популярные облачные хранилища, контролем зашифрованных файлов, контролем утечек персональных данных сотрудников, контролем логинов и паролей и так далее.

    У Falcongaze SecureTower есть возможность протестировать программное обеспечение бесплатно, в течение 30 дней, что позволит потенциальным клиентам еще на этой стадии обнаружить утечку конфиденциальных данных.

    Стандарты хранения и обработки конфиденциальной информации

    Для построения системы учета лиц с доступом к конфиденциальной информации необходимо учитывать и сопутствующие процессы хранения и обработки этой информации. Для качественного и устойчивого исполнения этих процессов соблюдаются следующие принципы обращения с конфиденциальными данными. 

    Регламентированность процессов

    В России обработка и хранение конфиденциальной информации установлена в рамках законодательной базы и регламентируется федеральным законодательством, а также различными ГОСТами.

    Квалифицированность конфиденциальных данных

    Включает в себя несколько категорий, таких как персональные данные, коммерческая тайна, государственная тайна и иные сведения. В каждой категории установлены свои требования к хранению и обработке, учитывающие индивидуальные характеристики информации и сферу ее применения.

    Рассмотрим подробнее особенности хранения и обработки конфиденциальной информации.

    Хранение конфиденциальной информации

    Для процесса хранения конфиденциальных данных важно учитывать следующие аспекты.

    • Физическая защита

    Необходима для обеспечения стабильного состояния данных и пресечения прямого или косвенного физического воздействия на них. Для защиты конфиденциальной информации можно использовать сейфы, защищенные шкафы и контролируемые помещения с ограниченным доступом. В случае документов, содержащих коммерческую или государственную тайну, места хранения должны соответствовать требованиям технической укрепленности и физической безопасности для хранилищ такого типа.

    • Электронное хранение

    Конфиденциальные данные, хранящиеся в электронном виде, должны быть защищены так же, как и физические документы. Существует ряд рекомендаций по хранению электронных документов:

    • использовать специальные программы для автоматизации процессов хранения и управления (систем управления документооборотом (СУД));

    • обеспечить регулярность резервного копирования электронных документов;

    • ограничить доступ к электронным документам только для уполномоченных сотрудников с использованием аутентификации и авторизации;

    • осуществить использование сертифицированными средствами криптографической защиты информации, включающим шифрование с использованием алгоритмов, соответствующих требованиям ГОСТ Р 34.12-2015 для шифрования данных и ГОСТ Р 34.10-2012 для создания электронной подписи;

    • проводить постоянный мониторинг и аудит информации, с ведением журналов доступа и изменений для отслеживания действий пользователей и обеспечения прозрачности процессов документооборота.

    Процесс обработки конфиденциальных данных

    Обработка конфиденциальных данных должна придерживаться следующих принципов.

    • Контроль доступа. Любые изменения в информацию должны вноситься лишь уполномоченными лицами на основе должностных инструкций и установленных политик доступа. Возможность изменения строго ограничена.

    • Минимизация данных. К обработке должны быть доступны только те данные, которые необходимы для выполнения конкретных задач. Расширение доступа и чрезмерные права на администрирование не должны выдаваться.

    Технические и организационные меры по защите информации при передаче прав доступа

    К техническим мерам по защите информации относятся такие меры.

    Шифрование данных 

    При передаче конфиденциальной информации через публичные сети, такие как Интернет, используется шифрование. Наиболее распространенными являются протоколы SSL/TLS для веб-трафика, а также VPN с использованием надежных криптографических алгоритмов. В России особое внимание уделяется использованию сертифицированных средств шифрования, соответствующих требованиям ГОСТ.

    Электронная подпись

    Применение электронной подписи необходимо для обеспечения целостности и подлинности передаваемых данных. Электронная подпись позволяет удостовериться, что данные не были изменены в процессе передачи и что они действительно исходят от отправителя.

    Защита каналов связи

    Важным аспектом является защита каналов связи, по которым передаются конфиденциальные данные. Это включает использование защищенных каналов, таких как VPN, и применение технологий предотвращения утечек данных (DLP) на уровне сетевого трафика.

    Организационные меры защиты информации при передаче прав доступа представлены:

    Регламентом передачи данных

    В каждой организации должны быть разработаны и утверждены внутренние регламенты, устанавливающие порядок передачи конфиденциальной информации. В этих документах должны быть прописаны правила доступа, процедуры шифрования, использования электронной подписи, а также порядок действий в случае инцидентов безопасности.

    Журналированием

    Все факты передачи конфиденциальной информации должны фиксироваться в журналах или логах с указанием отправителя, получателя, времени передачи и используемых средств защиты. Это позволяет в случае необходимости провести аудит и установить детали передачи данных.

    Обучением и инструктажем 

    Регулярное обучение сотрудников, имеющих доступ к конфиденциальной информации, необходимо для повышения осведомленности о рисках и методах защиты данных. Важно, чтобы сотрудники понимали необходимость соблюдения установленных регламентов и знали, как правильно обращаться с конфиденциальной информацией.

    Порядок утилизации и архивирования конфиденциальных данных

    Для каждой категории конфиденциальной информации должны быть установлены сроки хранения, соответствующие законодательным требованиям и внутренним политикам организации. Например, для персональных данных и коммерческой тайны существуют нормативы, определяющие минимальные и максимальные сроки хранения таких данных.

    Архивы, содержащие конфиденциальную информацию, должны храниться в защищенных помещениях или на серверах с ограниченным доступом. Это может включать физическую охрану, системы видеонаблюдения, а также использование современных технологий защиты данных на уровне программного и аппаратного обеспечения.

    Доступ к архивам должен быть строго регламентирован и предоставляться только уполномоченным лицам. Должны быть разработаны внутренние политики, определяющие порядок доступа к архивной информации, включая процедуры авторизации и аутентификации.

    Конфиденциальные документы на бумажных носителях подлежат утилизации путем измельчения с использованием шредеров с высоким уровнем секретности (например, шредеры с уровнем защиты по DIN 66399 P-5 или выше). Альтернативным методом может быть сжигание документов в специально оборудованных местах.

    Уничтожение информации на электронных носителях проводится методами, исключающими возможность восстановления данных. Это может включать многоразовое перезаписывание данных на носителе с использованием сертифицированного ПО или физическое уничтожение носителя (например, с использованием специализированных устройств для измельчения жестких дисков).

    Все действия по уничтожению конфиденциальных данных должны документироваться. В отчетах фиксируются данные о том, какие именно данные были уничтожены, каким методом, а также кем и когда была произведена утилизация. Эти отчеты должны храниться в организации и быть доступны для внутреннего или внешнего аудита.

    Выполнение всех этих мер позволяет минимизировать риски утечек конфиденциальной информации и обеспечить высокий уровень защиты данных на всех этапах их жизненного цикла — от момента создания и хранения до передачи и утилизации.

    Тезисный обзор возможностей MS Active Directory

    Microsoft Active Directory (AD) — это служба каталогов, разработанная Microsoft для управления доступом, аутентификацией и авторизацией в корпоративных сетях. AD предоставляет централизованное управление пользователями, компьютерами и другими ресурсами, упрощая администрирование и повышая безопасность.

    Основная функция Microsoft Active Directory: централизованное управление учетными записями, что позволяет централизованно управлять учетными записями пользователей и компьютеров. Администраторы могут создавать, изменять и удалять учетные записи, а также управлять паролями и настройками безопасности для всей организации из единой консоли.

    Преимущества Microsoft Active Directory в управлении доступом:

    • Централизованное управление безопасностью AD позволяет управлять политиками безопасности и правами доступа для всех пользователей и устройств в сети, обеспечивая единообразие и упрощение администрирования.

    • Active Directory поддерживает масштабируемую архитектуру, которая может адаптироваться под сети любого размера. 

    • Active Directory интегрируется с широким спектром систем и приложений, включая Microsoft Exchange, Office 365, SharePoint, а также сторонними решениями.

    • AD поддерживает ролевое управление доступом, позволяя назначать права и привилегии на основе ролей пользователей. 

    Российские аналоги службы каталогов: Avanpost DS, Эллес — Служба Каталогов, "РЕД АДМ: Промышленная редакция 1.1."

    Avanpost DS — система управления доступом и аутентификацией пользователей, аналог Active Directory.

    Функции: управление учетными записями пользователей, контроль доступа к ресурсам, единая точка аутентификации.

    Из особенностей: поддерживает интеграцию с российскими криптосредствами, централизованное управление пользователями и доступом в корпоративных сетях.

    Эллес — Служба Каталогов — платформа для создания и управления корпоративной службой каталогов.

    Выполняет функции хранения информации о пользователях, ролях и правах доступ.

    Из особенностей: поддержка российских стандартов безопасности, может использоваться для управления IT-инфраструктурой в госсекторе и компаниях с высокими требованиями к информационной безопасности.

    "РЕД АДМ: Промышленная редакция 1.1." — информационная система для управления пользователями и ресурсами, созданная на базе открытых технологий.

    Выполняет функции управления доступом к информационным системам, мониторингу и аудиту безопасности, управлению ролями и правами.

    Важные публикации

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации