Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Нанесение грифа конфиденциальности на файлы (маркировка)

Цель: выделение, пометка файлов, содержащих информацию конфиденциального характера.
Наличие маркировки на файлах помогает:
  • Предотвращать разглашение информации по халатности (когда сотрудники не понимают, что в документе содержится конфиденциальная информация)
  • Привлечь к ответственности в случае утечки (при наличии иных организационных мер);
  • Отслеживать перемещение и хранение файлов с конфиденциальной информацией средствами DLP систем.
Перед внедрением маркировки необходимо
  1. Определить правила маркировки, например в Положении о коммерческой тайне, Положении о работе с конфиденциальной информацией и т.п.
  2. Разработать и предоставить пользователям удобные инструменты для нанесения маркировки.
Маркировка может осуществляться:
  1. Вручную, путем добавления в текст/колонтитулы документа грифа конфиденциальности
  2. С использованием RMS систем (например, Microsoft Azure RMS)
  3. С использованием скриптов
    В заметке к защитной мере описан скрипт нанесения маркировки на PDF файлы
    В заметке к защитной мере описан скрипт нанесения маркировки на офисные (Word, Excel) файлы
Рекомендации к заполнению карточки:
  • Описать использующиеся в компании подходы и инструменты для маркировки
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Это меры направленные на организацию деятельности пользователей. К организационным мерам относят так же выпуск документации - инструкций, регламентов, стандарто...
Техническая ? Технические (логические) меры Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию. Внутри орган...
Удерживающая ? Удерживающие (сдерживающие) меры Организация применяет сдерживающие меры пытаясь отговорить злоумышленников атаковать ее системы или помещения. Другими словами, сдерживающая контрмера используе...
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 1
7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
NIST Cybersecurity Framework (RU):
PR.DS-5
PR.DS-5:  Реализована защита от утечки данных
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 7 п. 7
7.7. Организации БС РФ рекомендуется документировать и обеспечить выполнение работниками правил обработки информации конфиденциального характера на бумажных и переносных носителях информации, предусматривающих среди прочего: 
– правила маркировки носителей информации, в том числе бумажных, выполняемой с целью определения класса информации конфиденциального характера; 
– правила отнесения информации к конкретным классам информации конфиденциального характера на основе утвержденных перечней категорий информации, включаемых в каждый из классов информации конфиденциального характера; 
– правила учета и хранения бумажных и переносных носителей информации, требования к организации доступа к ним; 
– правила передачи бумажных и переносных носителей информации, в том числе передачи третьем лицам; 
– правила использования переносных носителей информации за пределами объектов организации БС РФ; 
– правила безопасного уничтожения бумажных и переносных носителей информации и удаления информации с переносных носителей информации, правила взаимодействия с архивной службой организации БС РФ. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.2.2
A.8.2.2 Маркировка информации 
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации 
NIST Cybersecurity Framework (EN):
PR.DS-5 PR.DS-5: Protections against data leaks are implemented

Комментарии 1

1 месяц назад

Скрипт маркировки PDF документов

Как это выглядит: пользователь нажимает правой кнопкой мыши на PDF файл, выбирает в контекстном меню пункт "Установить гриф" и получает еще один PDF файл с наложенным грифом конфиденциальности.
Как это работает: скрипт на python накладывает на защищаемый PDF файл еще один PDF файл с грифом конфиденциальности (watermark).

Алгоритм внедрения:
1. Скомпилировать Python-скрипт в exe файл watermark.exe
Для решения проблем c зависимостями нужно скомпилировать в exe через pyinstaller с ключом --onefile

import sys 
from pdfrw import PdfReader, PdfWriter, PageMerge 
  
output_file = "-KT.pdf"   
watermark_file = "C:\\Program Files\\KT\\watermark.pdf" 
 
def add_watermark(i_file="tosecret.pdf"): 
     # define the reader and writer objects 
     reader_input = PdfReader(i_file)   
     writer_output = PdfWriter()   
     watermark_input = PdfReader(watermark_file)   
     watermark = watermark_input.pages[0] 
 
     # go through the pages one after the next 
     #for current_page in range(len(reader_input.pages)):   
     merger = PageMerge(reader_input.pages[0]) 
     merger.add(watermark).render() 
 
     # write the modified content to disk 
     writer_output.write(i_file[:-4]+output_file, reader_input)  
 
if __name__ == "__main__": 
     try: 
          print(sys.argv[0], sys.argv[1]) 
          #wfile = sys.argv[1][:-4] 
          add_watermark(sys.argv[1]) 
     except: 
          Pass 

2. Создать PDF файл watermark.pdf
В него добавить гриф конфиденциальности, который будет накладываться на документы.

3. Создать reg файл для создания контекстного меню

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\SystemFileAssociations\.pdf\shell\Установить гриф конфиденциальности\command]
@="C:\\Program Files\\KT\\water.exe \"%1\""

4. Через групповые политики домена распространить 3 файла (watermark.exe, watermark.reg и watermark.pdf) на рабочие станции, в папку C:\Program Files\KT\
5. Через групповые политики домена добавить ключ реестра (п.3) или запустить reg файл на рабочих станциях