Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Нанесение грифа конфиденциальности на файлы (маркировка)

1 1 13

Цель: выделение, пометка файлов, содержащих информацию конфиденциального характера.
Наличие маркировки на файлах помогает:

Предотвращать разглашение информации по халатности (когда сотрудники не понимают, что в документе содержится конфиденциальная информация)
Привлечь к ответственности в случае утечки (при наличии иных организационных мер);
Отслеживать перемещение и хранение файлов с конфиденциальной информацией средствами DLP систем.

Перед внедрением маркировки необходимо

Определить правила маркировки, например в Положении о коммерческой тайне, Положении о работе с конфиденциальной информацией и т.п.
Разработать и предоставить пользователям удобные инструменты для нанесения маркировки.

Маркировка может осуществляться:

Вручную, путем добавления в текст/колонтитулы документа грифа конфиденциальности
С использованием RMS систем (например, Microsoft Azure RMS)
С использованием скриптов
В заметке к защитной мере описан скрипт нанесения маркировки на PDF файлы
В заметке к защитной мере описан скрипт нанесения маркировки на офисные (Word, Excel) файлы

Рекомендации к заполнению карточки:

Описать использующиеся в компании подходы и инструменты для маркировки

Область действия: Вся организация

Классификация

Тип

Организационная

Техническая

Удерживающая

Реализация

Вручную

Периодичность

По событию

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Шаблон грифа.docx

Исполнение требований

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 7 п. 4 п.п. 1

7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.

ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":

Р. 7 п. 5 пп. 3 ппп. 2

7.5.3.2 Для управления документированной информацией организация должка рассмотреть следующие виды действий с документацией:

а) распространение, доступ, поиск и использование;
b) хранение и сохранение, в том числе сохранение разборчивости;
с) управление изменениями (например, управление версиями);
d) хранение и распоряжение (в том числе утилизация).

Документированная информация внешнего происхождения, необходимая организации для планирования и эксплуатации СМНД должна быть идентифицирована, и при необходимости должна контролироваться.

Примечание — Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или на просмотр и изменение документированной информации.

NIST Cybersecurity Framework (RU):

PR.DS-5

PR.DS-5: Реализована защита от утечки данных

Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":

Р. 7 п. 7

7.7. Организации БС РФ рекомендуется документировать и обеспечить выполнение работниками правил обработки информации конфиденциального характера на бумажных и переносных носителях информации, предусматривающих среди прочего:
– правила маркировки носителей информации, в том числе бумажных, выполняемой с целью определения класса информации конфиденциального характера;
– правила отнесения информации к конкретным классам информации конфиденциального характера на основе утвержденных перечней категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– правила учета и хранения бумажных и переносных носителей информации, требования к организации доступа к ним;
– правила передачи бумажных и переносных носителей информации, в том числе передачи третьем лицам;
– правила использования переносных носителей информации за пределами объектов организации БС РФ;
– правила безопасного уничтожения бумажных и переносных носителей информации и удаления информации с переносных носителей информации, правила взаимодействия с архивной службой организации БС РФ.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.8.2.2

A.8.2.2 Маркировка информации
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации

Федеральный Закон № 98 от 29.07.2004 "О коммерческой тайне":

Статья 16 Пункт 1

Грифы, нанесенные до вступления в силу настоящего Федерального закона на материальные носители и указывающие на содержание в них информации, составляющей коммерческую тайну, сохраняют свое действие при условии, если меры по охране конфиденциальности указанной информации будут приведены в соответствие с требованиями настоящего Федерального закона.

Статья 10 Пункт 1

Меры по охране конфиденциальности информации, принимаемые ее обладателем, должны включать в себя:

1) определение перечня информации, составляющей коммерческую тайну;
2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;
3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;
4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;
5) нанесение на материальные носители, содержащие информацию, составляющую коммерческую тайну, или включение в состав реквизитов документов, содержащих такую информацию, грифа "Коммерческая тайна" с указанием обладателя такой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). (В редакции Федерального закона от 11.07.2011 № 200-ФЗ)

Статья 6 Пункт 4

На документах, предоставляемых указанным в частях 1, 3 и 31 настоящей статьи органам и содержащих информацию, составляющую коммерческую тайну, должен быть нанесен гриф "Коммерческая тайна" с указанием ее обладателя (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства). (В редакции Федерального закона от 14.07.2022 № 311-ФЗ)

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":

А.5.13

А.5.13 Маркировка информации
В соответствии с принятой в организации схемой категорирования информации должен быть разработан и внедрен соответствующий набор процедур для маркировки информации.

А.5.12

А.5.12 Категорирование информации
Информация должна быть категорирована в соответствии с потребностями ИБ организации на основе требований к ней по конфиденциальности, целостности, доступности, а также соответствующих требований заинтересованных сторон.

NIST Cybersecurity Framework (EN):

PR.DS-5 PR.DS-5: Protections against data leaks are implemented

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.5.13

А.5.13 Labelling of information
An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

А.5.12

А.5.12 Classification of information
Information shall be classified according to the information security needs of the organization based on confidentiality, integrity, availability and relevant interested party requirements.

Связанные риски

Риск	Связи
Нарушение законодательства о коммерческой тайне из-за непроставления грифа конфиденциальности на документах у работника Конфиденциальность Раскрытие информации Право	2

Заметки

Николай Казанцев

1 год назад

Community

Скрипт маркировки PDF документов

Как это выглядит: пользователь нажимает правой кнопкой мыши на PDF файл, выбирает в контекстном меню пункт "Установить гриф" и получает еще один PDF файл с наложенным грифом конфиденциальности.

Как это работает: скрипт на python накладывает на защищаемый PDF файл еще один PDF файл с грифом конфиденциальности (watermark).

Алгоритм внедрения:
1. Скомпилировать Python-скрипт в exe файл watermark.exe
Для решения проблем c зависимостями нужно скомпилировать в exe через pyinstaller с ключом --onefile

import sys 
from pdfrw import PdfReader, PdfWriter, PageMerge 
  
output_file = "-KT.pdf"   
watermark_file = "C:\\Program Files\\KT\\watermark.pdf" 
 
def add_watermark(i_file="tosecret.pdf"): 
     # define the reader and writer objects 
     reader_input = PdfReader(i_file)   
     writer_output = PdfWriter()   
     watermark_input = PdfReader(watermark_file)   
     watermark = watermark_input.pages[0] 
 
     # go through the pages one after the next 
     #for current_page in range(len(reader_input.pages)):   
     merger = PageMerge(reader_input.pages[0]) 
     merger.add(watermark).render() 
 
     # write the modified content to disk 
     writer_output.write(i_file[:-4]+output_file, reader_input)  
 
if __name__ == "__main__": 
     try: 
          print(sys.argv[0], sys.argv[1]) 
          #wfile = sys.argv[1][:-4] 
          add_watermark(sys.argv[1]) 
     except: 
          Pass

2. Создать PDF файл watermark.pdf
В него добавить гриф конфиденциальности, который будет накладываться на документы.

3. Создать reg файл для создания контекстного меню

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\SystemFileAssociations\.pdf\shell\Установить гриф конфиденциальности\command]
@="C:\\Program Files\\KT\\water.exe \"%1\""

4. Через групповые политики домена распространить 3 файла (watermark.exe, watermark.reg и watermark.pdf) на рабочие станции, в папку C:\Program Files\KT\
5. Через групповые политики домена добавить ключ реестра (п.3) или запустить reg файл на рабочих станциях

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.