Компания InfoWatch
Опубликован: 11.04.2007 | Доступ: свободный | Студентов: 5866 / 2260 | Оценка: 4.25 / 4.02 | Длительность: 04:14:00
Лекция 2:

Локализация задачи. Способы хранения конфиденциальной информации

< Лекция 1 || Лекция 2: 12 || Лекция 3 >
Аннотация: Изучив данную лекцию, Вы узнаете об особенностях регламентирования работы с конфиденциальной информацией в электронном виде, о способах задания меток конфиденциальных документов, а также познакомитесь со способами хранения конфиденциальной информации и ее классификацией

Локализация задачи

Положение о конфиденциальной информации в электронном виде

Определив, для чего мы защищаем конфиденциальную информацию, хранящуюся в корпоративной информационной сети, важно понять, что конкретно мы собираемся защищать. Прежде всего, в компании необходимо дать определение конфиденциальной информации и установить разрешенные действия с ней для разных групп пользователей. В каждой компании существует (или, по крайней мере, должно существовать) "Положение о конфиденциальной информации", описывающее порядок работы с такими данными, находящимися в бумажном виде. Необходимо адаптировать его к электронным документам. В реальности эта процедура занимает несколько недель и сводится к регламентации действий с такими отсутствующими в бумажных документах сущностями, как копия документа, часть документа и т.п. Регламенты работы с конфиденциальной информацией в электронном виде также с небольшими изменениями приходят из регламентов обращения с документами в бумажном виде. То есть определяется цикл жизни документа — где он создается, как и кем используется, кто и в каких условиях может вносить в него изменения, сколько он хранится и как уничтожается.

Контентная категоризация

С документами более или менее понятно. По большому счету, нет разницы, электронные они или бумажные. Есть нюансы, касающиеся, например, переписки по электронной почте. Регламенты обращения с электронной почтой, конечно, строго регулируют отправку документов, содержащих конфиденциальную информацию. Однако в процессе адаптации "Положения о конфиденциальной информации" к информации в электронном виде необходимо особо отметить виды информации, которые запрещено отправлять по электронной почте. Почти во всех компаниях есть стандартный набор информации, которую может отправлять с корпоративной почты одно подразделение и не может другое. Так, посылать письма, в которых содержатся упоминания первых лиц компании, может лишь служба связей с общественностью, банковские реквизиты — бухгалтерия, цены на продукцию — служба сбыта, тендерную документацию — отдел закупок и т. д. Конечно, в каждой компании есть свои нюансы. О технических методах реализации этих регламентов поговорим ниже.

Регламенты использования документов, содержащих конфиденциальную информацию, должны включать описание системы хранения документов и организации доступа к ним. Здесь тоже нет ничего принципиально нового — опыт работы с бумажными документами накоплен огромный. Те же нехитрые правила — перед получением доступа к документам для чтения или внесения изменений сотрудник указывает, на каком основании и для чего он собирается обратиться к документу; что собирается с ним делать; когда он закончит работать с документом и т. д. Этот "журнал" работы с документом в случае с электронными данными вести даже проще, так как большая часть операций (например, проверка прав доступа или прав на изменение содержания, учет времени работы и контроль изменений) может идти в автоматическом режиме. Термин "журналирование" , обозначающий процесс ведения журнала доступа к документу, встречается в источниках наряду с термином "логирование".

Также в положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы возможность скрыть следы не подвигла его на неправомерные действия.

Классификация информации по уровню конфиденциальности

После построения документарной базы можно переходить к следующей процедуре: классификации имеющейся информации. Необходимо определить, какие документы являются конфиденциальными, какие сотрудники имеют доступ какого уровня к каким документам. Таким образом, создается так называемый реестр конфиденциальных документов, содержащий, помимо описания документов и прав доступа, еще и правила внесения в него документов и правила их изъятия (уничтожения). Поскольку в каждой компании каждый день создается множество новых документов, часть из них — конфиденциальные, то без создания механизма их автоматической или полуавтоматической классификации реестр уже через несколько месяцев потеряет актуальность.

Метки документов

Особо следует обратить внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку , по которой контролирующие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции – публикацию в Интернет, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Технические и организационные методы установки меток выбирает заказчик. Если все защищаемые документы хранятся исключительно в формате MS Office , то в качестве метки может использоваться запись "конфиденциально" в соответствующих полях свойств документов. Некоторые производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ присваивания меток – именование файлов по специальной маске. Например, первые 10 символов – тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания, и 8-значная дата в формате YYYYMMDD.

Внедрение процедуры именования файлов - не какая-то акция, а постоянная работа по выработке привычек персонала именовать файлы таким образом. Кроме организационных методов – закрепление приказом только такой формы именования, поддержки способа именования всем топ-менеджментом и инструктажа новых сотрудников, можно привлечь на помощь и технические средства. Самый простой технический способ внедрения этой процедуры - разрешать выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в Интранете файлы, поименованные по заранее утвержденному шаблону. Со временем все файлы, которые прошли через электронную почту, файловые серверы, хранилище данных и Интранет, будут называться правильным образом.

Документ, названный по такой маске, автоматически попадает в поле зрения контролирующих систем и перехватывается при запрещенных с ним действиях пользователя не только контентной фильтрацией, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации этот метод дает 100% гарантию. Это удобно и для визуального контроля — даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же нелишне еще раз напомнить пользователю при открытии файла, что документ конфиденциален.

Хранение информации

После создания реестра конфиденциальных документов можно приступать к реорганизации их хранения. В крупных компаниях организационными и техническими мерами запрещается хранение конфиденциальной информации локально — на рабочих станциях. Обычно такие данные хранятся в специальных клиент-серверных или web-приложениях (корпоративных интранет-порталах, документных хранилищах, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т.д.), которые разделяют права доступа пользователей и защищают информацию от сохранения в несанкционированном месте. Защита таких данных на сервере является многоуровневой (на уровнях аппаратной платформы, операционной системы, СУБД и приложения). Однако риски утечки этой информации с рабочих станций, тем не менее, существуют.

< Лекция 1 || Лекция 2: 12 || Лекция 3 >
Мария Архипова
Мария Архипова
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Марина Дайнеко
Марина Дайнеко
Россия, Moscow, Nope, 2008
Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989