Учет лиц с доступом к конфиденциальной информации

Введение

Конфиденциальная информация — ценный ресурс, который может содержать основные данные о коммерческой, технологической, кадровой политике, политике безопасности, о персональной информации сотрудников и многое другое. Этому ресурсу всегда уделяют много внимания: предприятие прилагает дополнительные усилия по защите, вводится режим коммерческой тайны, устанавливаются нормативно-правовые нормы, зафиксированные законодательно, за распространение конфиденциальных данных может последовать административная или даже уголовная ответственность и так далее. Что является основным источником распространения такого типа информации? Конечно, доверенный персонал. Предлагаем сегодня в статье Falcongaze исследовать тему: «Учет лиц с доступом к конфиденциальной информации». 

Понятие конфиденциальной информации

Что такое конфиденциальная информация? Это совокупность данных, которые содержат критическую массу ценных сведений и доступ к которым ограничен кругом доверенных лиц. Порядок обращения с конфиденциальной информацией устанавливается согласно законодательству и ограничивает возможность применения и распространения ее среди лиц, не имеющих доступ к этому типу данных.

Согласно российскому законодательству, конфиденциальной информацией считается любая информация, доступ к которой ограничен нормативными актами или законами. Можно выделить несколько категорий конфиденциальной информации как для предприятия, так и для государства в общем и человека в частности.

• Государственная тайна

Это совокупность сведений государственного уровня, которые касаются внешней и внутренней обороны, обеспечения безопасности, политического строя, разведывательной и контрразведывательной деятельности, а также оперативно-розыскной работы. Разглашение такой информации может нанести ущерб национальной безопасности страны. Поэтому вопрос регулирования конфиденциальных данных такого типа фиксируется на законодательном уровне в Законе Российской Федерации «О государственной тайне» № 5485-1 от 21.07.1993 г.  

• Коммерческая тайна

Определение данных, принадлежащих к коммерческой тайне, дано в Федеральном законе «О коммерческой тайне» от 29.07.2004 г. № 98-ФЗ. Также в этом законе закреплено положение по предоставлению информации, составляющей коммерческую тайну, утверждаются права обладателя информации, рекомендации по охране, перечисляются сведения, которые не могут относиться к коммерческой тайне, и так далее. В общем, к коммерческой тайне относится вся информация, которая ценная для компании и может повлиять на ее эффективность.

• Персональные данные

Это вся информация, которая может быть использована для идентификации определенного человека. Сюда, как правило, относят: паспортные данные, имя и фамилию, номера телефонов, электронные адреса и никнеймы в социальных сетях, информацию о страховом, финансовом состоянии и здоровье, а также другие данные. Защита персональных данных регулируется Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006 г.

• Служебная тайна

Это информация, доступ к которой ограничен для защиты интересов работодателя или государства, и ее разглашение может нанести вред этим интересам. Вопросы, связанные с этой категорией, регулируются различными нормативными актами, включая внутренние документы организаций.

• Тайна связи

Информация, передаваемая посредством коммуникационных средств (переписка, телефонные и радиопереговоры и прочее), которая защищена от несанкционированного доступа. Регулирование осуществляется в соответствии с законом «О связи» № 126-ФЗ от 07.07.2003 г. 

• Медицинская тайна

Это совокупность информации о состоянии здоровья, диагнозах, проводимой медицинской помощи и других данных конкретного человека. Данная категория регулируется Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» № 323-ФЗ от 21.11.2011 г. . 

Эти категории данных подлежат особой защите в рамках российского законодательства, и их несанкционированное распространение запрещено.

Насколько важно защищать конфиденциальную информацию?

Защита конфиденциальной информации важна, как с точки зрения компании, так и для персонально человека, поскольку помогает избежать:

1. Кражи личности и таргетированного мошенничества. Когда персональная информация о человеке используется в мошеннических целях и обогащении. Например, кража личности для получения доступа к банковским услугам и осуществлению финансовых махинаций, проведению незаконных транзакций и других действий. Или использование уникальной персональной информации для проникновения на охраняемую территорию, объект, получения доступа к программному обеспечению и т. д.

2. Нанесения ущерба личной и профессиональной репутации. В этом случае сам человек или компания могут понести издержки из-за потери доверия со стороны клиентов, партнеров, круга доверия и т. д.

3. Санкционного давления из-за несоблюдения регуляторных, требований, описанных в нормативно-правовых актах. Проблемы с информационной безопасностью, в частности распространение конфиденциальной информации, могут повлечь жесткие меры со стороны регулирующих этот сегмент деятельности органов, что приведет к наложению финансовых штрафов, усилению контроля за компанией, снижению корпоративного рейтинга, юридическим санкциям и судебным разбирательствам.

4. Урона для конкурентоспособности. Конкурентные преимущества, технологии, инновационный и научный задел и другие данные, которые входят в понятие коммерческой тайны, являются интенсивно охраняемым информационными активами, и несанкционированное распространение этих данных может напрямую влиять на коммерческую эффективность всей компании.

5. Рисков кибератак и использования конфиденциальных данных для поиска уязвимостей системы безопасности для дальнейшего осуществления попыток внедрения в эту систему.

6. Нарушений этических стандартов и уровня ответственности вовлеченных в бизнес-процессы сторон. Люди и компании имеют моральное обязательство защищать информацию других людей, будь то клиенты, сотрудники или партнеры. Нарушение конфиденциальности может иметь серьезные последствия для всех вовлеченных сторон.

Разрешительная система доступа к информации

Понятие разрешительной системы доступа достаточно обширно. В целом под этой системой понимают всю систему разграничения доступа, которая направлена на защиту охраняемого объекта информации от посягательств, использования и несанкционированного внедрения.

Для работы разрешительной системы характерно следование принципам:

• градации уровней доступа, когда все пользователи ранжируются по группам, которым в свою очередь присваивается уровень доверия, выраженный в степени доступа к конфиденциальной информации (запрещен доступ, ограничен, права обычного пользователя, привилегированные права, суперадмин и другие варианты);

• возможность реализации индивидуальных прав и ограничений, когда выбранные пользователи наделяются или наоборот ограничиваются в правах доступа к конфиденциальной информации в соответствии с потребностями организации, в управлении которой находится информация.

Для чего нужна разрешительная система? Так, существует ряд целей, которые преследует компания в рамках реализации разрешительной системы на предприятии. Сюда относятся: 

• минимизация вероятности утечки информации и других рисков для компании;

• обеспечение соблюдения правовых норм, принятых в существующих реалиях управления;

• упрощение определения негативного воздействия на информацию и лица за это ответственного в случае реализованного риска ИБ;

• потребность в ранжировании доступа для облегчения управления информационными ресурсами компании и т. д. 

Нормативно-правовая база разрешительной системы

Нормативно-правовая основа разрешительной системы учета лиц, имеющих доступ к конфиденциальной информации, в России включает комплекс законодательных актов и нормативных документов, направленных на регулирование вопросов, связанных с доступом, обработкой и защитой такой информации. Эти правовые нормы устанавливают процедуры и правила, которые должны соблюдать субъекты, работающие с конфиденциальными данными, и также определяют ответственность за их нарушение.

Основные законодательные акты РФ, регулирующие доступ к конфиденциальной информации:

• Федеральный закон «О персональных данных» (№ 152-ФЗ) (регулирует все аспекты обработки персональных данных).

• Федеральный закон «О коммерческой тайне» (№ 98-ФЗ) (устанавливает порядок обращения с коммерческой тайной).

• Федеральный закон «О государственной тайне» (№ 5485-1) (регулирует вопросы охраны государственной тайны).

• ГОСТы (Государственные стандарты): ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», ГОСТ Р 51897-2011 «Защита информации. Основные требования к защите информации от несанкционированного доступа».

Эти нормативно-правовые акты определяют основные требования к системам защиты информации, методы их оценки, а также единые подходы к организации работы с конфиденциальной информацией.

Следует также учитывать международные стандарты, которые существенно влияют на разработку национальных норм в сфере защиты конфиденциальной информации в России. Примерами таких стандартов являются:

ISO/IEC 27001 — международный стандарт, устанавливающий требования к системам управления информационной безопасностью (СУИБ). Описывает методы управления рисками ИБ и определяет требования для создания, внедрения, сопровождения и совершенствования систем управления.

ISO/IEC 27701:2019 — дополнение к ISO/IEC 27001, касающееся управления персональными данными, соответствующее международным требованиям по защите персональных данных, таким как GDPR в Евросоюзе.

Эти международные нормы становятся основой для разработки национальных ГОСТов и иных нормативных актов в области информационной безопасности, способствуя их согласованию с мировыми стандартами и лучшими практиками.

Административная ответственность за нарушение правил доступа к конфиденциальной информации

Административная ответственность за нарушение правил работы с конфиденциальной информацией в РФ предусмотрена Кодексом Российской Федерации об административных правонарушениях (КоАП РФ). Основные виды нарушений и меры ответственности включают:

• Нарушение правил обработки персональных данных (ст. 13.11 КоАП РФ). Влечет наложение штрафов на должностных и юридических лиц, а также граждан за несоблюдение установленных требований по защите персональных данных.

• Нарушение правил обращения с государственной тайной (ст. 13.12 КоАП РФ). Включает в себя нарушения режима секретности, несанкционированный доступ к государственной тайне и иные действия, способствующие ее утечке.

• Нарушение порядка обращения с коммерческой тайной (ст. 13.14 КоАП РФ). Предусматривает ответственность за несанкционированное распространение, незаконное получение или использование информации, составляющей коммерческую тайну.

В зависимости от тяжести нарушения предусмотрены различные меры административного воздействия: от штрафов и дисквалификации должностных лиц до более серьезных санкций. В случае если деяние имеет значительный ущерб или общественную опасность, возможно привлечение к уголовной ответственности, например, за шпионаж или разглашение государственной тайны (ст. 275 и 283 УК РФ).

Таким образом, нормативно-правовая база РФ комплексно регулирует вопросы доступа к конфиденциальной информации, определяя как требования по защите данных, так и меры ответственности за их нарушение.

Определение круга лиц, получающих разрешение на доступ к конфиденциальной информации

Доступ к конфиденциальной информации всегда выдается под давлением какого-то фактора, который требует использование этой информации.

 

Во-первых, потребность в доступе может возникнуть в рамках исполнения должностных обязанностей. Это одна из самых распространенных причин расширения круга лиц со свободным доступом. Конфиденциальная информация может понадобиться в работе юристов, экономистов, бизнес-аналитиков, менеджеров разного уровня и так далее. Важная конфиденциальная информация предприятия фиксируется в форме введения режима коммерческой тайны. Подробнее перечень сведений, относящихся к коммерческой тайне, был рассмотрен в недавней статье Falcongaze.

 

Во-вторых, доступ к данным может быть спровоцирован расширением уровня доверия к какому-то сотруднику или группе. Например, при прохождении тестового периода и переходе на контрактные отношения работодатель может расширить их права доступа.

В-третьих, после повышения квалификации сотрудника может потребоваться расширение прав использования конфиденциальными данными в соответствии с повышенным рангом и расширением профессиональных обязанностей.

В-четвертых конфиденциальные данные могут потребоваться в рамках проведения специфических исследований самими сотрудниками, так и привлеченными специалистами. Сюда может относиться аудит предприятия, аудит системы безопасности, маркетинговое исследование и т. д. В таком случае может выдаваться временный допуск, ограничивающий возможность модерации информации в установленный на определенный период действия.

Для кого выдается доступ к конфиденциальной информации?

Доступ к конфиденциальной информации предоставляется только тем лицам, которым это необходимо для выполнения их служебных обязанностей или профессиональных задач. В зависимости от контекста и характера деятельности организации, доступ к конфиденциальной информации может быть выдан следующим категориям лиц:

1. Сотрудники организации разного уровня: руководители и менеджеры, специалисты по информационной безопасности, юридический, финансовый отдел, IT-персонал и другие сотрудники.

2. Партнеры и контрагенты: аутсорсинговые компании, партнеры по бизнесу.

3. Контролирующие и надзорные органы, которые проводят запланированные и незапланированные проверки, аудиты или расследования согласно законодательству.

4. Временный персонал, участвующий в проектах, или дополнительный персонал, нанятый по линии аутстаффинга или аутсорсинга.

6. Внутренние и внешние аудиторы для выполнения задач, связанных с внешним аудитом, в соответствии с условиями договора и законодательством.

Доступ к конфиденциальной информации всегда предоставляется по необходимости и в строгом соответствии с политиками безопасности организации. При этом должны быть предусмотрены все меры для защиты данных, включая подписание соглашений о неразглашении, контроль доступа и регулярный аудит использования информации.

Порядок доступа к конфиденциальной информации — это комплекс процедур и мер, направленных на обеспечение защиты и контроля над конфиденциальными данными, к которым доступ имеют только уполномоченные лица. Этот порядок включает в себя несколько ключевых этапов, описанных ниже

Предоставление доступа к конфиденциальной информации состоит из следующих этапов:

• Подача заявления и рассмотрение запросов на доступ к конфиденциальной информации. Сотрудник или любое другое лицо должен подать письменный или устный запрос (в установленной в компании форме) на предоставление доступа. Запрос должен содержать обоснование необходимости использования этой информации, ее описание и указание на задачи, для выполнения которых необходим доступ. Запрос подается в отдел безопасности или непосредственному руководителю подразделения.

• Рассмотрение запроса. Уполномоченные лица рассматривают запрос и сверяют с реальной потребностью в этой информации. В некоторых случаях может потребоваться консультация с юристом организации для оценки  обоснованности и необходимости предоставления запрашиваемого доступа. В случае положительного решения запрос передается на согласование.

• Формирование и согласование разрешительных документов на предоставление.

• Внесение в реестр учета лиц с доступом к конфиденциальной информации для дальнейшего отслеживания и аудита доступов. 

• Практическая реализация передачи прав доступа к информации с дополнительным обучением (при необходимости) и информированием об ответственности за нецелевое использование или разглашение доверенной информации.

• Ввод ограничений и исключений в предоставлении доступа к конфиденциальной информации при необходимости. Могут быть реализованы по временному принципу (ограничен срок доступа) или про принципу действия (ограничены права на внесение изменений и передачи третьим лицам).

• В доступе к конфиденциальной информации может быть отказано в случае отсутствия достаточных оснований или при наличии угроз безопасности организации.

Меры по предотвращению несанкционированного доступа:

• Регулярный мониторинг и аудит доступа к конфиденциальной информации.

• Использование систем контроля и управления доступом, включая аутентификацию и авторизацию.

• Применение технических средств защиты информации, таких как шифрование данных и блокировка доступа по истечении срока действия разрешительных документов.

Придерживаясь данного порядка, организации могут эффективно управлять доступом к конфиденциальной информации, минимизируя риски утечек и несанкционированного доступа.

Процедура выдачи допуска к информации

Допуск к конфиденциальной информации предприятия требует систематизированного подхода к распределению прав между сотрудниками и строго учета лиц с доступом к конфиденциальной информации. Для начала сотрудник проверяется на соответствие внутренним параметрам безопасности и доверия компании, чтобы убедиться, что расширение прав таким образом не повлечет дополнительных рисков для системы безопасности. Для этого с самим сотрудником проводится анкетирование, личная беседа или несколько бесед, исследуется биография, родственные связи, образование, персональные качества — при необходимости. Применяемые меры зависят от уровня конфиденциальности информации и потенциального ущерба от ее распространения. Чем выше запрашиваемый уровень доступа, тем сложнее может быть отбор.

Кроме того, сотрудники отдела безопасности предприятия всегда должны проводить мониторинг учетных записей и прав. Это проводится в рамках поддерживающих систему безопасности мероприятий для минимизации потенциальных рисков. В рамках этого мониторинга могут быть выявлены:

• привилегии учетных записей, которые не соответствуют должности сотрудника (смена позиции в компании);

• устаревшие учетные записи и допуски уволенных или перешедших в другие подразделения сотрудников;

• неучтенные риски безопасности и т. д.

Итоги мониторинга позволяют корректировать заданные уровни доступа в соответствии с потребностью предприятия и минимизировать негативные последствия на систему безопасности в целом.

Контроль за сотрудниками, имеющими доступ к информации

Контроль доступа сотрудников к конфиденциальной информации включает различные методы, которые обеспечивают защиту данных и позволяют управлять доступом, отслеживать действия и предотвращать несанкционированное использование информации участником внутреннего контура безопасности. Специалисты ИБ могут использовать любой из нижеперечисленных методов: 

1. Логирование

Логирование — это процесс записи и хранения событий, связанных с доступом к конфиденциальной информации. Лог-файлы фиксируют, кто, когда и какие действия выполнял с данными. Эти данные могут использоваться для анализа безопасности и выявления подозрительных или несанкционированных действий. Логи включают информацию о входах в систему, изменениях файлов, попытках доступа к защищенным ресурсам и других действиях, связанных с конфиденциальными данными.

2. Аудит путей доступа к конфиденциальной информации

Аудит доступа к конфиденциальной информации предполагает регулярную проверку всех данных, использующихся для аутентификация пользователей в системе, территориальному доступу, доступу к файлам хранения информации. Это обеспечивает постоянную проверку и актуализацию учетных записей и отсутствие во

3. Аудит систем безопасности

Это поиск аномалий в обеспечении безопасности предприятия, включающий просмотры журналов событий и анализ взаимосвязей, что поможет выявить несанкционированные связи, которые в итоге привели к инциденту ИБ.

3. Системы контроля версий файлов, содержащих конфиденциальную информацию 

Это метод контроля за сотрудниками, имеющими доступ к конфиденциальной информации с возможностью внесения изменений в нее. Насколько доверенный сотрудник честно исполняет свои обязанности и не наносит умышленный или непредумышленный вред файлу с информацией. Также системы контроля версий помогают в случае обнаружения инцидента восстановить предыдущие и обеспечить отслеживание логики изменений и взаимосвязей.

4. Внедрение системы ролевого управления доступом (RBAC)

Ролевое управление доступом обеспечивает предоставление прав доступа к конфиденциальным данным на основе ролей сотрудников в организации. Каждая роль определяется набором обязанностей, зафиксированных в должностных инструкциях и соответствующих доступу к информации. Это значительно снижает риск утечки данных, поскольку сотрудники ограничены в правах доступа ко всей информации и  используют только ту ее часть, которая необходима им для выполнения рабочих задач.

5. Многофакторная аутентификация (MFA)

Еще один этап аутентификации обеспечивает дополнительное подтверждение легитимности входа в систему. Многофакторная аутентификация добавляет уровень защиты при доступе к конфиденциальной информации и может быть представлена в виде ввода второго пароля, подтверждения по SMS, биометрическом сканировании, подтверждении через пуш-уведомление в приложении на смартфоне. Это значительно снижает вероятность несанкционированного доступа даже при компрометации пароля.

6. Шифрование данных

Ограничение и контроль доступа к конфиденциальной информации может также осуществляться через шифрование данных на любом из этапов хранения или передачи. Это пресечет возможность использования информации даже в том случае, если она будет перехвачена.

7. Сегментация сети

Для уникализации правил и уровней безопасности для разных сотрудников можно провести сегментацию корпоративной сети, где каждый новый сегмент будет наделен собственным уровнем доверия и входа в систему. Это поможет снизить риски негативного воздействия и ограничит поиск виновников в инциденте безопасности.

8. Внедрение политики минимального необходимого доступа 

Такой метод предлагает ограничивать доступ к информации для сотрудников только в рамках тех данных, которые необходимы для выполнения прямых обязанностей, без дополнительных привилегий. Это снижает риск преднамеренного или непреднамеренного слива и ограничивает поиск подозреваемых в случае осуществления инцидента.

9. Использование технологии предотвращения утечек данных (DLP-системы)

DLP-системы  (Data Loss Prevention) обеспечивают автоматизацию мониторинга доступа к конфиденциальной информации, совмещенную с прямыми инструментами противодействия несанкционированному распространению информации. С помощью DLP-систем можно отслеживать и контролировать доступ к данным, предотвращая их утечку, блокировать отправку конфиденциальной информации за пределы организации и контролировать использование ее внутри контура безопасности.

10. Системы управления идентификацией и доступом (IAM)

Системы IAM (Identity and Access Management) обеспечивают централизованное управление учетными записями пользователей и правами доступа. Это включает автоматизацию предоставления и отзыва доступа на основе изменения ролей сотрудников или их увольнения, что важно для обеспечения актуальности и безопасности доступа к данным.

Эти методы в совокупности обеспечивают многоуровневую защиту конфиденциальной информации и позволяют эффективно контролировать действия сотрудников в системе. Особенно полезными являются системы автоматизации контроля доступа: DLP-системы и IAM. Рассмотрим их подробнее.

Применение программного обеспечения для контроля доступа на примере DLP-системы Falcongaze SecureTower

DLP-система Falcongaze SecureTower является одной из востребованных программных комплексов по обеспечению безопасного обращения информации внутри компании и мониторингу занятости сотрудников при любой форме взаимодействия (дистанционной или непосредственно на рабочем месте).

Как система контроля доступа к конфиденциальным данным, Falcongaze SecureTower преследует следующие цели:

• обеспечение безопасного использования конфиденциальной корпоративной информации и пресечение несанкционированной утечки данных за пределы компании;

• прозрачность и доступность в области управления потоками данных для оптимизации бизнес-процессов компании;

• расследование инцидентов и получение точной отчетности о произошедшем с детальной визуализацией всех причастных лиц;

• блокировка передачи конфиденциальных файлов по большинству популярных путях коммуникации;

• блокировка и фиксация изменений в конфиденциальных данных;

• фиксация передачи прав доступа в виде индивидуальных идентификационных данных логина и пароля к другим лицам;

• моментальное информирование ответственных сотрудников и менеджеров компании об инциденте и попытке получения доступа к засекреченным файлам;

• обеспечения регулярных проверок и анализа активности сотрудников, имеющих доступ к конфиденциальной информации.

DLP-система Falcongaze производит мониторинг по следующим каналам коммуникации:

• почтовые сервисы (POP3, SMTP, IMAP, MAPI и др.)

• популярные мессенджеры и веб-переписки через Skype, Telegram, Viber, Lync, WeChat, Zoom и другие.

• Web-активность через мониторинг поисковых запросов, коммуникаций, браузерной активности, передачи файлов;

• мониторинг буфера обмена, работы с облачными хранилищами, аудит устройств, кейлогер, контроль процесса печати документов через принтер и так далее.

Контроль доступа к конфиденциальной информации и пресечение несанкционированного распространения информации осуществляется через предустановленные или пользовательские политики безопасности. В DLP-системе Falcongaze SecureTower заранее учтены основные риски распространения конфиденциальных данных: блок политик Утечка информации с контролем утечки договоров, документов, загрузки в популярные облачные хранилища, контролем зашифрованных файлов, контролем утечек персональных данных сотрудников, контролем логинов и паролей и так далее.

У Falcongaze SecureTower есть возможность протестировать программное обеспечение бесплатно, в течение 30 дней, что позволит потенциальным клиентам еще на этой стадии обнаружить утечку конфиденциальных данных.

Стандарты хранения и обработки конфиденциальной информации

 

Для построения системы учета лиц с доступом к конфиденциальной информации необходимо учитывать и сопутствующие процессы хранения и обработки этой информации. Для качественного и устойчивого исполнения этих процессов соблюдаются следующие принципы обращения с конфиденциальными данными: 

Регламентированность процессов

В России обработка и хранение конфиденциальной информации установлена в рамках законодательной базы и регламентируется федеральным законодательством, а также различными ГОСТами.

Квалифицированность конфиденциальных данных

Включает в себя несколько категорий, таких как персональные данные, коммерческая тайна, государственная тайна и иные сведения. В каждой категории установлены свои требования к хранению и обработке, учитывающие индивидуальные характеристики информации и сферу ее применения.

Рассмотрим подробнее особенности хранения и обработки конфиденциальной информации.

Хранение конфиденциальной информации

Для процесса хранения конфиденциальных данных важно учитывать следующие аспекты:

• Физическая защита

Необходима для обеспечения стабильного состояния данных и пресечения прямого или косвенного физического воздействия на них. Для защиты конфиденциальной информации можно использовать сейфы, защищенные шкафы и контролируемые помещения с ограниченным доступом. В случае документов, содержащих коммерческую или государственную тайну, места хранения должны соответствовать требованиям технической укрепленности и физической безопасности для хранилищ такого типа.

• Электронное хранение

Конфиденциальные данные, хранящиеся в электронном виде, должны быть защищены так же, как и физические документы. Существует ряд рекомендаций по хранению электронных документов:

• использовать специальные программы для автоматизации процессов хранения и управления (систем управления документооборотом (СУД));

• обеспечить регулярность резервного копирования электронных документов;

• ограничить доступ к электронным документам только для уполномоченных сотрудников с использованием аутентификации и авторизации;

• осуществить использование сертифицированными средствами криптографической защиты информации, включающим шифрование с использованием алгоритмов, соответствующих требованиям ГОСТ Р 34.12-2015 для шифрования данных и ГОСТ Р 34.10-2012 для создания электронной подписи;

• проводить постоянный мониторинг и аудит информации, с ведением журналов доступа и изменений для отслеживания действий пользователей и обеспечения прозрачности процессов документооборота.

Процесс обработки конфиденциальных данных

Обработка конфиденциальных данных должна придерживаться следующих принципов:

• Контроль доступа. Любые изменения в информацию должны вноситься лишь уполномоченными лицами на основе должностных инструкций и установленных политик доступа. Возможность изменения строго ограничена.

• Минимизация данных. К обработке должны быть доступны только те данные, которые необходимы для выполнения конкретных задач. Расширение доступа и чрезмерные права на администрирование не должны выдаваться.

Технические и организационные меры по защите информации при передаче прав доступа

К техническим мерам по защите информации относятся такие меры.

Шифрование данных 

При передаче конфиденциальной информации через публичные сети, такие как Интернет, используется шифрование. Наиболее распространенными являются протоколы SSL/TLS для веб-трафика, а также VPN с использованием надежных криптографических алгоритмов. В России особое внимание уделяется использованию сертифицированных средств шифрования, соответствующих требованиям ГОСТ.

Электронная подпись

Применение электронной подписи необходимо для обеспечения целостности и подлинности передаваемых данных. Электронная подпись позволяет удостовериться, что данные не были изменены в процессе передачи и что они действительно исходят от отправителя.

Защита каналов связи

Важным аспектом является защита каналов связи, по которым передаются конфиденциальные данные. Это включает использование защищенных каналов, таких как VPN, и применение технологий предотвращения утечек данных (DLP) на уровне сетевого трафика.

Организационные меры защиты информации при передаче прав доступа представлены:

Регламентом передачи данных

В каждой организации должны быть разработаны и утверждены внутренние регламенты, устанавливающие порядок передачи конфиденциальной информации. В этих документах должны быть прописаны правила доступа, процедуры шифрования, использования электронной подписи, а также порядок действий в случае инцидентов безопасности.

Журналированием

Все факты передачи конфиденциальной информации должны фиксироваться в журналах или логах с указанием отправителя, получателя, времени передачи и используемых средств защиты. Это позволяет в случае необходимости провести аудит и установить детали передачи данных.

Обучением и инструктажем 

Регулярное обучение сотрудников, имеющих доступ к конфиденциальной информации, необходимо для повышения осведомленности о рисках и методах защиты данных. Важно, чтобы сотрудники понимали необходимость соблюдения установленных регламентов и знали, как правильно обращаться с конфиденциальной информацией.

Порядок утилизации и архивирования конфиденциальных данных

Для каждой категории конфиденциальной информации должны быть установлены сроки хранения, соответствующие законодательным требованиям и внутренним политикам организации. Например, для персональных данных и коммерческой тайны существуют нормативы, определяющие минимальные и максимальные сроки хранения таких данных.

Архивы, содержащие конфиденциальную информацию, должны храниться в защищенных помещениях или на серверах с ограниченным доступом. Это может включать физическую охрану, системы видеонаблюдения, а также использование современных технологий защиты данных на уровне программного и аппаратного обеспечения.

Доступ к архивам должен быть строго регламентирован и предоставляться только уполномоченным лицам. Должны быть разработаны внутренние политики, определяющие порядок доступа к архивной информации, включая процедуры авторизации и аутентификации.

Конфиденциальные документы на бумажных носителях подлежат утилизации путем измельчения с использованием шредеров с высоким уровнем секретности (например, шредеры с уровнем защиты по DIN 66399 P-5 или выше). Альтернативным методом может быть сжигание документов в специально оборудованных местах.

Уничтожение информации на электронных носителях проводится методами, исключающими возможность восстановления данных. Это может включать многоразовое перезаписывание данных на носителе с использованием сертифицированного ПО или физическое уничтожение носителя (например, с использованием специализированных устройств для измельчения жестких дисков).

Все действия по уничтожению конфиденциальных данных должны документироваться. В отчетах фиксируются данные о том, какие именно данные были уничтожены, каким методом, а также кем и когда была произведена утилизация. Эти отчеты должны храниться в организации и быть доступны для внутреннего или внешнего аудита.

Выполнение всех этих мер позволяет минимизировать риски утечек конфиденциальной информации и обеспечить высокий уровень защиты данных на всех этапах их жизненного цикла — от момента создания и хранения до передачи и утилизации.

Тезисный обзор возможностей MS Active Directory

Microsoft Active Directory (AD) — это служба каталогов, разработанная Microsoft для управления доступом, аутентификацией и авторизацией в корпоративных сетях. AD предоставляет централизованное управление пользователями, компьютерами и другими ресурсами, упрощая администрирование и повышая безопасность.

Основная функция Microsoft Active Directory: централизованное управление учетными записями, что позволяет централизованно управлять учетными записями пользователей и компьютеров. Администраторы могут создавать, изменять и удалять учетные записи, а также управлять паролями и настройками безопасности для всей организации из единой консоли.

Преимущества Microsoft Active Directory в управлении доступом:

• Централизованное управление безопасностью AD позволяет управлять политиками безопасности и правами доступа для всех пользователей и устройств в сети, обеспечивая единообразие и упрощение администрирования.

• Active Directory поддерживает масштабируемую архитектуру, которая может адаптироваться под сети любого размера. 

• Active Directory интегрируется с широким спектром систем и приложений, включая Microsoft Exchange, Office 365, SharePoint, а также сторонними решениями.

• AD поддерживает ролевое управление доступом, позволяя назначать права и привилегии на основе ролей пользователей. 

Российские аналоги службы каталогов: Avanpost DS, Эллес — Служба Каталогов, "РЕД АДМ: Промышленная редакция 1.1."

Avanpost DS — система управления доступом и аутентификацией пользователей, аналог Active Directory.

Функции: управление учетными записями пользователей, контроль доступа к ресурсам, единая точка аутентификации.

Из особенностей: поддерживает интеграцию с российскими криптосредствами, централизованное управление пользователями и доступом в корпоративных сетях.

Эллес — Служба Каталогов — платформа для создания и управления корпоративной службой каталогов.

Выполняет функции хранения информации о пользователях, ролях и правах доступ.

Из особенностей: поддержка российских стандартов безопасности, может использоваться для управления ИТ-инфраструктурой в госсекторе и компаниях с высокими требованиями к информационной безопасности.

"РЕД АДМ: Промышленная редакция 1.1." — информационная система для управления пользователями и ресурсами, созданная на базе открытых технологий.

Выполняет функции управления доступом к информационным системам, мониторингу и аудиту безопасности, управлению ролями и правами.