Вас интересует, как правильно организовать доступ к конфиденциальной информации? В нашей статье мы расскажем, как защитить организацию от преднамеренной (а также непреднамеренной) утечки информации.
Конфиденциальная информация – это такие данные, доступом к которым обладает ограниченное количество лиц, в свою очередь не имеющих прав открывать эти сведения третьим лицам без особого предварительного разрешения органов контроля.
Хранение конфиденциальной информации и доступ к ней – одна из актуальнейших проблем современных компаний различного уровня. Все эти опасения имеют веские основания, достаточно привести такие примеры, как нередкие кражи базы банковских данных и промышленно-технический шпионаж. Поэтому законодательство Российской Федерации относится к этой проблеме с повышенным вниманием.
Основополагающим законодательным актом, где прописаны меры, необходимые для защиты информации с ограниченным режимом доступа, является Федеральный закон №98 ФЗ «О коммерческой тайне».
Согласно ему, к таким мерам прежде всего относятся:
- установление ограничений доступа к материалам
- регламентация порядка этого доступа
- строгий учёт сотрудников, обладающих допуском к подобным сведениям.
Система доступа к конфиденциальным документам.
Для осуществления комплекса подобных мер на практике на предприятиях и в организациях создаются специальные системы доступа к конфиденциальной информации. Эти системы представляют собой ряд мер и положений по обеспечению доступа работников к нужному для нормального функционирования организации или предприятия объёму составляющих тайну сведений и документов.
К целям подобных систем мы можем отнести:
- обеспечение возможности работы персонала с необходимыми конфиденциальными данными
- сужение круга сотрудников, имеющих право на работу с конфиденциальной информацией
- усиление ответственности сотрудников всех рангов за сохранность конфиденциальности сведений
- препятствование возможности ознакомления с конфиденциальной информацией сверх необходимого объёма или без санкции органов контроля
- облегчение для сотрудников предприятия или организации контроля за правомерностью пользования документами и материалами, представляющими конфиденциальность.
Для получения сотрудниками прав доступа к документам и материалам, являющимися конфиденциальными сведениями, необходима виза соответствующего должностного лица, выдаваемая при выполнении следующих необходимых условий:
- приказа руководства предприятия о приёме сотрудника на работу и вступлении в должность
- обязательства сотрудника не разглашать конфиденциальные сведения, оформленного надлежащим образом
- ознакомления принятого (назначенного на должность) работника с требованиями по обеспечению сохранения конфиденциальных данных.
Работа с персоналом, имеющим доступ к конфиденциальной информации (документам)
Обладающие доступом к таким данным сотрудники несут ответственность за их сохранность. Ответственность в случае утечки информации несут и лица, выдавшие разрешение на работу с материалами.
Обязанности по контролю и наблюдению за владеющими доступом к конфиденциальной информации (документам) работниками возлагаются на подразделение (или работника), наделённое такими полномочиями правоустанавливающими документами предприятия или организации.
В госучреждениях и организациях контроль за использованием информации с ограниченным режимом доступа осуществляется ещё более строго. Работники допускаются к таким сведениям в соответствии со своим рангом (чем он выше, тем больший объём информации доступен данному лицу) и уровнем секретности самих документов. (Например: «секретно», «совершенно секретно»).
Система разрешения доступа подразумевает непрерывный учёт. Фиксируется время работы с конкретными данными и список лиц, получивших разрешение на доступ к конфиденциальной информации. Это необходимо для осуществления контроля за лицами, располагающими доступом, а кроме того – для расследования случаев утечки сведений и нахождения ответственных лиц.
Ответственность за разглашение конфиденциальной информации
Наказание за утечку коммерческих сведений установлено в регламентирующих секретность сведений нормативных актах. При этом описывающий коммерческую тайну документ также должен включать информацию о порядке работы с подобными и документами, плюс - определение того, что считается утечкой или разглашением. За разглашение коммерческой тайны законом предусмотрено административное наказание — выговор, увольнение, штраф до 1,5 млн. рублей — и уголовная ответственность, в том числе, лишение свободы до 7 лет. Ответственность за утечку конфиденциальных сведений предусмотрена в законах, регламентирующих разные их виды, а максимальное уголовное наказание положено за разглашение государственной тайны — это тюремный срок от 3 до 7 лет или ограничение в праве на определенную деятельность до 3 лет.
Список документов для введения режима коммерческой тайны
- Положение о коммерческой тайне. В этом документе должен быть определен перечень сведений, составляющий коммерческую тайну предприятия и действия сотрудников при работе с ней.
- Обязательство о неразглашении коммерческой тайны, заключаемое с сотрудниками. Этот документ должен быть подписан каждым работником. При его отсутствии, не получится привлечь к ответственности сотрудника, передавшего третьим лицам конфиденциальную информацию. Даже при наличии доказательств его вины.
- Список работников, имеющих доступ к коммерческой тайне, с указанием прав доступа. На основе этого документа производится настройка DLP систем и других инструментов ограничения доступа.
- Приказ по введению режима коммерческой тайны
- Соглашение о конфиденциальности, заключаемое с контрагентами. В нем необходимо отразить перечень конфиденциальной информации, ответственность сторон за ее разглашение, требования к передаче такой информации и т.д.
ПО, контролирующее доступ к конфиденциальным документам (информации)
Актуальность проблемы контроля за использованием информации стимулировала ряд предложений на рынке ПО. Одним из решений стали DLP системы.
DLP - КЛЮЧЕВЫЕ ФУНКЦИИ РАБОТЫ
Основными функциями DLP-систем являются:
- Нахождение файлов, имеющих конфиденциальную информацию
Сотрудники разного уровня имеют определенный уровень доступа к необходимой конфиденциальной информации (документам). В ситуации, когда анализ информации на ПК выявил файл, представляющий опасность, это становится поводом для и доработки протоколов безопасности информации и тщательной проведения проверки сотрудника.
- Недопущение выхода файлов в Интернет
В том случае, если информация будет «слита» в сеть, то данные копании, несомненно, будут скомпроментированы. Именно по этой причине наибольшие усилия DLP-систем обращены на то, чтобы секретная информация не при каких условиях не покинула корпоративную сеть. Данная функция является самой важной.
- Защита от копирования информации
Блокировка на копирование конфиденциальных документов может быть установлена, к примеру, на различные физические отчуждаемые носители, сюда относятся usb-flash накопители, оптические диски, ssd и hdd с usb-подключением и многие другие. Именно так в свое время у Эдварда Сноудена получилось украсть секретную информацию о деятельности американских спецслужб.
- Фильтрация веб-серфинга и его ограничение
Данный функционал используется в нескольких случаях: контроль и анализ деятельности сотрудников, защита данных от утечки, а также предотвращение посещения персоналом небезопасных ресурсов.
- Мониторинг доступа к различным приложениям
Эта функция ограничивает функционал в ноутбуке или ПК. Это необходимо для того, чтобы применялись лишь безопасные приложения во время работы с конфиденциальными данными.
- Полномасштабный контроль цифровой активности
Под контролем DLP-системы находится все: мессенджеры, корпоративная электронная почта, различного характера чаты, используемые при работе документы, нажатия клавиш, а также приложения. Все эти данные необходимы для тщательного анализа трафика компьютера работника, а также для принятия решений в реальном времени, плюс – контроль цифровой активности необходим для расследования инцидентов.
- Обнаружение изменения или удаления важной информации
В данном случае подразумевается обнаружение удаления или изменения конфиденциальной информации (документации) еще до выхода с серверов организации.
DLP-система LanAgent и ее преимущества
Одним из самых успешных программных продуктов по организации и защите доступа к конфиденциальным документам является программа «ЛанАгент», предоставляющая широкий спектр возможностей контроля за работой персонала с секретной информацией.
В частности, она располагает функциями:
- «конфиденциального каталога», позволяющего регламентировать доступ к данным (документам), например – устанавливающего запрет на копирование за пределы защищённого дискового пространства и вывод на печать, не ограничивая при этом возможности работы с ними,
- перехвата сообщений по электронной почте, что позволяет не только избежать утечки секретных данных, но и даёт представление о структуре переписки и контактов пользователя, что незаменимо при расследованиях утечек, а также позволяет более оптимально распределять обязанности,
- создания скриншотов экрана компьютера работника, что даёт полную информацию в случае расследования,
- теневого копирования буфера обмена и файлов, записываемых на внешние носители с возможностью полной блокировки копирования на них материалов без потери возможности работы с ними,
- контроля за печатью, позволяющего не только сохранять список всех отправленных на печать документов, но и просматривать их копии.
«ЛанАгент» обладает также большими аналитическими возможностями, позволяющими осуществлять широкий спектр операций – от поиска документа на компьютере по ключевым словам и фразам, до анализа деятельности пользователя, позволяющего заметить подозрительную активность, например - больший, чем обычно, объём копирования, отправки документов на печать или по почте.
Кроме того, программа позволяет на основе большого количества данных формировать самые разнообразные отчёты в соответствии с требованиями конкретного пользователя.
При приобретении LanAgent мы бесплатно предоставляем весь комплект документов (шаблонов) по внедрению программы и введению режима коммерческой тайны.
С нами доступ к конфиденциальным документам будет под надежной защитой!
