Куда я попал?
Цель: выделение, пометка файлов, содержащих информацию конфиденциального характера.
Наличие маркировки на файлах помогает:
Наличие маркировки на файлах помогает:
- Предотвращать разглашение информации по халатности (когда сотрудники не понимают, что в документе содержится конфиденциальная информация)
- Привлечь к ответственности в случае утечки (при наличии иных организационных мер);
- Отслеживать перемещение и хранение файлов с конфиденциальной информацией средствами DLP систем.
Перед внедрением маркировки необходимо
- Определить правила маркировки, например в Положении о коммерческой тайне, Положении о работе с конфиденциальной информацией и т.п.
- Разработать и предоставить пользователям удобные инструменты для нанесения маркировки.
Маркировка может осуществляться:
- Вручную, путем добавления в текст/колонтитулы документа грифа конфиденциальности
- С использованием RMS систем (например, Microsoft Azure RMS)
- С использованием скриптов
В заметке к защитной мере описан скрипт нанесения маркировки на PDF файлы
В заметке к защитной мере описан скрипт нанесения маркировки на офисные (Word, Excel) файлы
Рекомендации к заполнению карточки:
- Описать использующиеся в компании подходы и инструменты для маркировки
Область действия: Вся организация
Классификация
Тип
Организационная
?
Техническая
?
Удерживающая
?
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено
Исполнение требований
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 1
7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
NIST Cybersecurity Framework (RU):
PR.DS-5
PR.DS-5: Реализована защита от утечки данных
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 7 п. 7
7.7. Организации БС РФ рекомендуется документировать и обеспечить выполнение работниками правил обработки информации конфиденциального характера на бумажных и переносных носителях информации, предусматривающих среди прочего:
– правила маркировки носителей информации, в том числе бумажных, выполняемой с целью определения класса информации конфиденциального характера;
– правила отнесения информации к конкретным классам информации конфиденциального характера на основе утвержденных перечней категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– правила учета и хранения бумажных и переносных носителей информации, требования к организации доступа к ним;
– правила передачи бумажных и переносных носителей информации, в том числе передачи третьем лицам;
– правила использования переносных носителей информации за пределами объектов организации БС РФ;
– правила безопасного уничтожения бумажных и переносных носителей информации и удаления информации с переносных носителей информации, правила взаимодействия с архивной службой организации БС РФ.
– правила маркировки носителей информации, в том числе бумажных, выполняемой с целью определения класса информации конфиденциального характера;
– правила отнесения информации к конкретным классам информации конфиденциального характера на основе утвержденных перечней категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– правила учета и хранения бумажных и переносных носителей информации, требования к организации доступа к ним;
– правила передачи бумажных и переносных носителей информации, в том числе передачи третьем лицам;
– правила использования переносных носителей информации за пределами объектов организации БС РФ;
– правила безопасного уничтожения бумажных и переносных носителей информации и удаления информации с переносных носителей информации, правила взаимодействия с архивной службой организации БС РФ.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.2.2
A.8.2.2 Маркировка информации
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации
NIST Cybersecurity Framework (EN):
PR.DS-5
PR.DS-5: Protections against data leaks are implemented
Связанные риски
Риск | Связи | |
---|---|---|
Нарушение законодательства о коммерческой тайне из-за
непроставления грифа конфиденциальности на документах у работника
Конфиденциальность
Раскрытие информации
Право
|
1 |
Заметки
1Скрипт маркировки PDF документов
Алгоритм внедрения:
1. Скомпилировать Python-скрипт в exe файл watermark.exe
Для решения проблем c зависимостями нужно скомпилировать в exe через pyinstaller с ключом --onefile
2. Создать PDF файл watermark.pdf
В него добавить гриф конфиденциальности, который будет накладываться на документы.
3. Создать reg файл для создания контекстного меню
4. Через групповые политики домена распространить 3 файла (watermark.exe, watermark.reg и watermark.pdf) на рабочие станции, в папку C:\Program Files\KT\
5. Через групповые политики домена добавить ключ реестра (п.3) или запустить reg файл на рабочих станциях