Карточка защитной меры

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Нанесение грифа конфиденциальности на файлы (маркировка)

1 1 5

Цель: выделение, пометка файлов, содержащих информацию конфиденциального характера.
Наличие маркировки на файлах помогает:

Предотвращать разглашение информации по халатности (когда сотрудники не понимают, что в документе содержится конфиденциальная информация)
Привлечь к ответственности в случае утечки (при наличии иных организационных мер);
Отслеживать перемещение и хранение файлов с конфиденциальной информацией средствами DLP систем.

Перед внедрением маркировки необходимо

Определить правила маркировки, например в Положении о коммерческой тайне, Положении о работе с конфиденциальной информацией и т.п.
Разработать и предоставить пользователям удобные инструменты для нанесения маркировки.

Маркировка может осуществляться:

Вручную, путем добавления в текст/колонтитулы документа грифа конфиденциальности
С использованием RMS систем (например, Microsoft Azure RMS)
С использованием скриптов
В заметке к защитной мере описан скрипт нанесения маркировки на PDF файлы
В заметке к защитной мере описан скрипт нанесения маркировки на офисные (Word, Excel) файлы

Рекомендации к заполнению карточки:

Описать использующиеся в компании подходы и инструменты для маркировки

Область действия: Вся организация

Классификация

Тип

Организационная

Техническая

Удерживающая

Реализация

Вручную

Периодичность

По событию

Ответственный

Не определено

Инструменты

Не определено

Исполнение требований

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 7 п. 4 п.п. 1

7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.

NIST Cybersecurity Framework (RU):

PR.DS-5

PR.DS-5: Реализована защита от утечки данных

Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":

Р. 7 п. 7

7.7. Организации БС РФ рекомендуется документировать и обеспечить выполнение работниками правил обработки информации конфиденциального характера на бумажных и переносных носителях информации, предусматривающих среди прочего:
– правила маркировки носителей информации, в том числе бумажных, выполняемой с целью определения класса информации конфиденциального характера;
– правила отнесения информации к конкретным классам информации конфиденциального характера на основе утвержденных перечней категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– правила учета и хранения бумажных и переносных носителей информации, требования к организации доступа к ним;
– правила передачи бумажных и переносных носителей информации, в том числе передачи третьем лицам;
– правила использования переносных носителей информации за пределами объектов организации БС РФ;
– правила безопасного уничтожения бумажных и переносных носителей информации и удаления информации с переносных носителей информации, правила взаимодействия с архивной службой организации БС РФ.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.8.2.2

A.8.2.2 Маркировка информации
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации

NIST Cybersecurity Framework (EN):

PR.DS-5 PR.DS-5: Protections against data leaks are implemented

Связанные риски

Риск	Угроза	Уязвимость	Тип актива	Связи
Нарушение законодательства о коммерческой тайне из-за непроставления грифа конфиденциальности на документах у работника Конфиденциальность Раскрытие информации Право	Нарушение законодательства о коммерческой тайне Конфиденциальность Раскрытие информации Право	Непроставление грифа конфиденциальности на документах	Работник	1

Заметки 1

Николай Казанцев

9 месяцев назад

Скрипт маркировки PDF документов

Как это выглядит: пользователь нажимает правой кнопкой мыши на PDF файл, выбирает в контекстном меню пункт "Установить гриф" и получает еще один PDF файл с наложенным грифом конфиденциальности.

Как это работает: скрипт на python накладывает на защищаемый PDF файл еще один PDF файл с грифом конфиденциальности (watermark).

Алгоритм внедрения:
1. Скомпилировать Python-скрипт в exe файл watermark.exe
Для решения проблем c зависимостями нужно скомпилировать в exe через pyinstaller с ключом --onefile

import sys 
from pdfrw import PdfReader, PdfWriter, PageMerge 
  
output_file = "-KT.pdf"   
watermark_file = "C:\\Program Files\\KT\\watermark.pdf" 
 
def add_watermark(i_file="tosecret.pdf"): 
     # define the reader and writer objects 
     reader_input = PdfReader(i_file)   
     writer_output = PdfWriter()   
     watermark_input = PdfReader(watermark_file)   
     watermark = watermark_input.pages[0] 
 
     # go through the pages one after the next 
     #for current_page in range(len(reader_input.pages)):   
     merger = PageMerge(reader_input.pages[0]) 
     merger.add(watermark).render() 
 
     # write the modified content to disk 
     writer_output.write(i_file[:-4]+output_file, reader_input)  
 
if __name__ == "__main__": 
     try: 
          print(sys.argv[0], sys.argv[1]) 
          #wfile = sys.argv[1][:-4] 
          add_watermark(sys.argv[1]) 
     except: 
          Pass

2. Создать PDF файл watermark.pdf
В него добавить гриф конфиденциальности, который будет накладываться на документы.

3. Создать reg файл для создания контекстного меню

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\SystemFileAssociations\.pdf\shell\Установить гриф конфиденциальности\command]
@="C:\\Program Files\\KT\\water.exe \"%1\""

4. Через групповые политики домена распространить 3 файла (watermark.exe, watermark.reg и watermark.pdf) на рабочие станции, в папку C:\Program Files\KT\
5. Через групповые политики домена добавить ключ реестра (п.3) или запустить reg файл на рабочих станциях