Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
 

Нанесение грифа конфиденциальности на файлы (маркировка)

Цель: выделение, пометка файлов, содержащих информацию конфиденциального характера.
Наличие маркировки на файлах помогает:
  • Предотвращать разглашение информации по халатности (когда сотрудники не понимают, что в документе содержится конфиденциальная информация)
  • Привлечь к ответственности в случае утечки (при наличии иных организационных мер);
  • Отслеживать перемещение и хранение файлов с конфиденциальной информацией средствами DLP систем.
Перед внедрением маркировки необходимо
  1. Определить правила маркировки, например в Положении о коммерческой тайне, Положении о работе с конфиденциальной информацией и т.п.
  2. Разработать и предоставить пользователям удобные инструменты для нанесения маркировки.
Маркировка может осуществляться:
  1. Вручную, путем добавления в текст/колонтитулы документа грифа конфиденциальности
  2. С использованием RMS систем (например, Microsoft Azure RMS)
  3. С использованием скриптов
    В заметке к защитной мере описан скрипт нанесения маркировки на PDF файлы
    В заметке к защитной мере описан скрипт нанесения маркировки на офисные (Word, Excel) файлы
Рекомендации к заполнению карточки:
  • Описать использующиеся в компании подходы и инструменты для маркировки
Область действия: Вся организация
Классификация
Тип
Организационная ?
Техническая ?
Удерживающая ?
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 1
7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
NIST Cybersecurity Framework (RU):
PR.DS-5
PR.DS-5:  Реализована защита от утечки данных
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 7 п. 7
7.7. Организации БС РФ рекомендуется документировать и обеспечить выполнение работниками правил обработки информации конфиденциального характера на бумажных и переносных носителях информации, предусматривающих среди прочего: 
– правила маркировки носителей информации, в том числе бумажных, выполняемой с целью определения класса информации конфиденциального характера; 
– правила отнесения информации к конкретным классам информации конфиденциального характера на основе утвержденных перечней категорий информации, включаемых в каждый из классов информации конфиденциального характера; 
– правила учета и хранения бумажных и переносных носителей информации, требования к организации доступа к ним; 
– правила передачи бумажных и переносных носителей информации, в том числе передачи третьем лицам; 
– правила использования переносных носителей информации за пределами объектов организации БС РФ; 
– правила безопасного уничтожения бумажных и переносных носителей информации и удаления информации с переносных носителей информации, правила взаимодействия с архивной службой организации БС РФ. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.2.2
A.8.2.2 Маркировка информации 
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации 
NIST Cybersecurity Framework (EN):
PR.DS-5 PR.DS-5: Protections against data leaks are implemented

Заметки

1
1 год назад

Скрипт маркировки PDF документов

Как это выглядит: пользователь нажимает правой кнопкой мыши на PDF файл, выбирает в контекстном меню пункт "Установить гриф" и получает еще один PDF файл с наложенным грифом конфиденциальности.
Как это работает: скрипт на python накладывает на защищаемый PDF файл еще один PDF файл с грифом конфиденциальности (watermark).

Алгоритм внедрения:
1. Скомпилировать Python-скрипт в exe файл watermark.exe
Для решения проблем c зависимостями нужно скомпилировать в exe через pyinstaller с ключом --onefile

import sys 
from pdfrw import PdfReader, PdfWriter, PageMerge 
  
output_file = "-KT.pdf"   
watermark_file = "C:\\Program Files\\KT\\watermark.pdf" 
 
def add_watermark(i_file="tosecret.pdf"): 
     # define the reader and writer objects 
     reader_input = PdfReader(i_file)   
     writer_output = PdfWriter()   
     watermark_input = PdfReader(watermark_file)   
     watermark = watermark_input.pages[0] 
 
     # go through the pages one after the next 
     #for current_page in range(len(reader_input.pages)):   
     merger = PageMerge(reader_input.pages[0]) 
     merger.add(watermark).render() 
 
     # write the modified content to disk 
     writer_output.write(i_file[:-4]+output_file, reader_input)  
 
if __name__ == "__main__": 
     try: 
          print(sys.argv[0], sys.argv[1]) 
          #wfile = sys.argv[1][:-4] 
          add_watermark(sys.argv[1]) 
     except: 
          Pass 

2. Создать PDF файл watermark.pdf
В него добавить гриф конфиденциальности, который будет накладываться на документы.

3. Создать reg файл для создания контекстного меню

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\SystemFileAssociations\.pdf\shell\Установить гриф конфиденциальности\command]
@="C:\\Program Files\\KT\\water.exe \"%1\""

4. Через групповые политики домена распространить 3 файла (watermark.exe, watermark.reg и watermark.pdf) на рабочие станции, в папку C:\Program Files\KT\
5. Через групповые политики домена добавить ключ реестра (п.3) или запустить reg файл на рабочих станциях