25 сентября, вторник 22:01
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Метки конфиденциальности на электронных документах

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Метки конфиденциальности на электронных документах

    На документах, выполненных на бумажных носителях, традиционно, в верхнем правом углу тавят гриф конфиденциальности документа (ДСП, Секретно и т.п.).
    Хотелось бы обменяться опытом, а как менятся файлы, содержащие такие документы, ну и мысли, как это лучше сделать.
    В какой то статье я читал рекомендации, что в организации следует разработать соответствующий шаблон (маска) для упорядочивания названия файлов, которые будут давать им авторы документов.
    Предлагался вариант на основе цифровых обозначений. К примеру первая цифра обозначала бы гриф секретности, следующая группа код подразделения - автора документа, потом, к примеру, какие то служебные отметки, типа того, что можно сделать с документом, ну и далее, как фантазия сработает.
    Кроме этого автор ссылается на то, что такие файлы будет проще контролировать через какие то автоматизированные системы ИБ.

  • #2
    У меня такое ощущение, что меня скоро забанят как огульного критика

    Сообщение от Stnslav Посмотреть сообщение
    Хотелось бы обменяться опытом, а как менятся файлы, содержащие такие документы, ну и мысли, как это лучше сделать.
    В чем смысл маркировки документов? Проинформировать читателя о категории конфиденциальности документа и вытекающих из этого последствиях.

    Проблема с использованием маркеров в именах файлов в том, что с длинными именами становится совсем неудобно работать. Если использовать маркер в качестве префикса - не удобно читать название файла. В качестве суффикса - не видно самого маркера.
    Цифровые обозначения - это полные пипец, человек, который это предлагает, просто не работал одновременно с большим количеством документов.

    Проблема усугубляется еще и тем, что правила конфиденциального документооборота включают в себя элементы дискреционного разграничения доступа (например, т.н. "расписывани" секретного документа). В этом случае обладатель документа (не обязательно автор) указывает на титульной странице закрытый перечень лиц, имеющих право на ознакомление с таким документом. Включить подобную информацию в название файла просто не получится.

    На мой взгляд оптимальное решение - использовать бинарный маркер, например, префикс C для докаментов, не являющихся общедоступными. Пользователь уже предупрежден о том, что на файл накладываются какие-то ограничения и правила использования, а открыв файл, получит исчерпывающую информацию на титульной странице (которая сама по себе конфиденциальной информации не содержит).

    Что касается средств защищенного документоборота и средств средств контроля файлов, то они используют имена файлов исключительно как идентификатор. Вся дополнительная информация о файле хранится либо в формуляре документа (для систем защищенного документооборота) либо во вспомогательных структурах данных самого средства защиты.

    Кстати, в секретном делопроизводстве маркировка файлов не применяется - используются только "фонарики" на титульной странмцы, маркировка носителей и формуляры носителей и документов (но не файлов).

    Комментарий


    • #3
      В какой то статье я читал рекомендации, что в организации следует разработать соответствующий шаблон (маска) для упорядочивания названия файлов, которые будут давать им авторы документов. - получается, что гриф секретности присваивает автор документа, а не организация.

      Закон о коммерческой тайне электронные документы не регламентирует. Требования к эл. документам следует определять исходя их конкретных потребностей по защите и реализовывать в системе эл. документооборота (желательно).

      А при печати документов, можно автоматом в них добавлять "шапку" удовлетворяющую ФЗ 98 .

      Комментарий


      • #4
        Сообщение от box_roller Посмотреть сообщение
        получается, что гриф секретности присваивает автор документа, а не организация.
        А гриф всегда ставит автор, даже в секретном делопроизводстве. Автор единственной, кто обладает полной информацией о документе и понимает его ценность Безопасники и руководство могут установить только нижнюю планку конфиденциальности.

        Комментарий


        • #5
          Сообщение от malotavr Посмотреть сообщение
          А гриф всегда ставит автор, даже в секретном делопроизводстве. Автор единственной, кто обладает полной информацией о документе и понимает его ценность Безопасники и руководство могут установить только нижнюю планку конфиденциальности.
          Не согласен Сравнение гос. тайны и коммерческой тайны не корректно. Где государство является регулятором, оно и несет ответственность, оно и покарать может - это о секретным делопроизводстве.
          Коммерсанты же поставлены в положение, когда сами должны заботится о себе, при слабой поддержке государства. В таких условиях, полагаться на автора документа, при присваивании грифа секретности, непозволительная роскошь. Он ошибется (случайно или умышленно), а ответственности с него никакой. Государство курит в сторонке, его это не волнует.
          Моё мнение, на данный момент времени, в этой стране и при этом законодательстве , коммерческая организация которую волнует проблема ИБ, должна сама присваивать грифы, через своих уполномоченных сотрудников.

          Комментарий


          • #6
            Сообщение от box_roller Посмотреть сообщение
            Не согласен Сравнение гос. тайны и коммерческой тайны не корректно. Где государство является регулятором, оно и несет ответственность, оно и покарать может - это о секретным делопроизводстве.
            А организация - это кто?

            Вы, разумеется, правы, но я говорю о реализации. В работк с гос. тайной гриф начальник первого отдела отстраняется от выставления грифа не потому. что так государство зарегулировало, а потому что не хочет брать на себя ответственность за неправильно проставленный гриф. Ведь он не разбирается в предметной области и не может квалифицированно оценить, содержится ли в документе тайна и какой категории. Аналогичная ситуация возникнет и с коммерческой тайной.

            Логично для присвоения грифа использовать процедуру, когда безопасники устанавливают нижний предел конфиденциальности для разных категорий документов, автор устанавливает своему документу гриф не ниже заданного, а безопасники и непосредственный рукооводитель выбор грифа валидируют.

            Комментарий


            • #7
              А организация - это кто? - бизнес. Те кто непосредственно заинтересован в ИБ.
              Ведь он не разбирается в предметной области и не может квалифицированно оценить - а если разбирается . По себе могу сказать, что через некоторое время работы степень конфиденциальности определяется уже с беглого просмотра.

              Логично для присвоения грифа использовать процедуру, когда безопасники устанавливают нижний предел конфиденциальности для разных категорий документов - Но не всегда практично Если например степеней конфиденциальности всего две. Тогда требуется точное определение какой гриф давать. Если все перестрахуются, то возникнет ситуация похожая на, когда все требуют уровня доступности 24х7 . Т.е. станет вопрос об эффективности ИБ и стоимости.

              Возможный вариант решения:
              Количество типов документов - конечно. Когда все Активы установлены, то составляется реестр/классификатор типов документов. Каждому из которых присваивается гриф. Добавляем инструкцию, что делать в случае когда типа документа в реестре нет. И получаем пособие по присваиванию грифов или для их проверки.

              Комментарий


              • #8
                Не о том разговор пошел. Гриф секретности должен ставить автор документа, руководитель может с ним не согласится и либо уменьшить степень секретности, либо увеличить.
                А тема была создана для того, чтобы обсудить (обменяться опытом если возможно), метит ли кто и как файлы, в зависимости от их "секретности".

                Комментарий


                • #9
                  Логично былобы для начала разработать регламент по конфиденциальному документообороту. В регламенте определить круг лиц/подразделений имеющих доступ к конфиденциальной информации, назначить ответственного за конф. документооборот. Ознакамливать с конф. инф. путём передачи электронного носителя тоже не логично, ознакамливать только с бумажным носителем и т.д. и т.п.

                  Комментарий


                  • #10
                    Автору, вот почитайте, какие еще есть варианты метки данных
                    http://www.securitylab.ru/contest/289337.php
                    Система защиты информации от утечек, основана на установке локальных агентов, на все защищаемые компьютеры сети, назначение грифов файлам. Поддерживается мандатная система разграничения прав. Очень интересная система - подобный аналог есть у McAfee, только заточенный на большие сетки

                    Комментарий


                    • #11
                      чем больше информации, тем сложнее разложить по полкам.
                      Подскажите:
                      имеется в наличии - 1. перечень сведений конфиденциальной информации банка 2. положение о порядке обращения с конфиденциальной информацией.
                      " Конфиденциальная информация фиксируется на бумажных, магнитных и других носителях (Далее - Документы). Все Документы, содержащие конфиденциальную информацию подлежат обязательному учету. Таким Документам присваивается одна из пометок ограничения распространения «конфиденциально (К)», «строго конфиденциально (СК)» или «для служебного пользования (ДСП)».
                      Вопрос:
                      1. Получается, что все документы, содержащие информацию из Перечня должны иметь гриф?
                      2. Как определить какой гриф и каким документам присвоить?
                      3. Я понимаю так: входящие и исходящие документы, если на них есть гриф, учитываем в журнале учета конфиденциальной информации, а как быть с внутренними документами (например договора, платежки).
                      4. И можно ли обойтись без грифов?

                      И вообще, если не трудно, поясните:
                      1. мы определяем перечень конф. информации
                      2. устанавливаем порядок обращения с ней
                      3. определяем лиц, допущенных к этой информации (что на каждый документ писать список лиц?)
                      4. наносим гриф
                      И что делать дальше???

                      Комментарий


                      • #12
                        Опять же не понятно как разделить документооборот конфиденциальной информации и неконфд.Делать два документа?
                        отелось бы получить комментарии к документу- где что исправить, добавить. И так ли это все должно быть

                        Комментарий


                        • #13
                          Сообщение от ajull Посмотреть сообщение
                          Опять же не понятно как разделить документооборот конфиденциальной информации и неконфд.Делать два документа?
                          отелось бы получить комментарии к документу- где что исправить, добавить. И так ли это все должно быть
                          [ATTACH]28303[/ATTACH]
                          А каково предназначение данного документа? Для чего он создан?
                          Охватить всё и вся. Там есть и по бум. документообороту, и про элект. подпись сказано и про переговоры. Всего по немножко.

                          Комментарий


                          • #14
                            Сообщение от ajull Посмотреть сообщение
                            Опять же не понятно как разделить документооборот конфиденциальной информации и неконфд.Делать два документа?
                            В некоторых конторах делают два контура - для открытой и подлежащей защите информации.

                            Комментарий


                            • #15
                              А каково предназначение данного документа? Для чего он создан?
                              Охватить всё и вся. Там есть и по бум. документообороту, и про элект. подпись сказано и про переговоры. Всего по немножко.

                              Начнем с простого: с хранением, размножением, уничтожением понятно. В банке почти все документы согласно Перечню являются конфиденциальными, как производить их регистрацию? Они же постоянно носятся из отдела в отдел. И вопрос: гриф конфиденциальности обязательно нужно проставлять на всех документах? и как определить какой К СК или ДСП?

                              Комментарий


                              • #16
                                Они же постоянно носятся из отдела в отдел. - и пусть носятся из отдела в отдел или Вы собираетесь вводить режим "конфиденциальности" не для всего Банка а для каждого подразделения отдельно?
                                Мы продолжаем делать то, что мы уже много наделали

                                Комментарий


                                • #17
                                  Для всего банка, а какже учет в журналах :кто получил, когда вернул?
                                  Я не понимаю каким документы нужно присвоить гриф конфиденциально, чем руководствоваться? Ведь на всех же бумажках не напишешь конфиденциально.

                                  Комментарий


                                  • #18
                                    Сообщение от ajull Посмотреть сообщение
                                    Для всего банка, а какже учет в журналах :кто получил, когда вернул?
                                    Я не понимаю каким документы нужно присвоить гриф конфиденциально, чем руководствоваться? Ведь на всех же бумажках не напишешь конфиденциально.
                                    На всех не надо.
                                    Составляется документ : "Перечень сведений, составляющих коммерческую тайну". Он может идти как приложение к приказу о введении режима КТ в организации.

                                    Комментарий


                                    • #19
                                      перечень составлен и там много чего написано куда ни посмотри везде конфиденциальная информация.

                                      Комментарий


                                      • #20
                                        Сообщение от ajull Посмотреть сообщение
                                        перечень составлен и там много чего написано куда ни посмотри везде конфиденциальная информация.
                                        Не надо много, а надо то, что реально нужно.
                                        Всю информацию можно поделить на открытую, служебную и конфиденциальную.

                                        Когда конфиденциально всё - значит не конфиденциально ничего

                                        Комментарий


                                        • #21
                                          Возможен такой вариант: я вышлю вым перечень, а вы его подкорректируете?

                                          Комментарий


                                          • #22
                                            to ajull, не вижу смысла )

                                            Если вы сами не знаете чего хотите защищать, то откуда об этом знаю я?

                                            Комментарий


                                            • #23
                                              2 ajull есть небольшое различие между перечнем "сведений" составляющих конфиденциальную информацию(тайну), и между документами( в вашем случае на бумажном носителе) содержащими эти сведения, составляющие конфиденциальную информацию.
                                              ИМХО на всех внутренних (нормативных) документах которые представлены на бумажных носителях, и которые можно учесть методами обычного канцелярского делопроизводства - ставится метка -"служебное" (для сужебного пользования) и тд. Если же хотите , то для отдельных документов (на бумажных) носителях введите секретное-конфиденциальное делопроизводство -как это делается в первых отделах на гос.предприятиях)). А сведения составляющие конфиденциальную информацию- могут находиться где угодно- (файлы, отчеты, служебные записки, письма и тд) и в каком угодно виде (в электронном-текстовом, в бумажном, электронном- графическом , в виде файлов баз данных, даже в ввиде электро-магнитных излучений( магнитная лента, аудио -видео записи) и тд)
                                              Мы продолжаем делать то, что мы уже много наделали

                                              Комментарий


                                              • #24
                                                Сложность тут в чем (во всяком случае для меня). Можно составить список сведений, составляющих коммерческую тайну, который будет достаточно корректный, в отношении своей достаточности. Доведем мы этот список до персонала, заставим подписать соответствующие обязательства и т.п.. Но для чего нужна эта бодяга с КТ? Для того, чтобы "закошмарить" персонал и в случае утечки, реально привлечь к ответственности виновного (если найдем ).
                                                Но для этого законодатель требует от собственника КТ сделать еще ряд телодвижений, а именно, проставить злополучный гриф на соответствующих документах. Естественно нужен соответствующий документооборот, учет документов КТ и т.п. А если мы имеем крупный банк, или любую крупную коммерческую организацию. Бумаг невпроворот, с обычными бумагами канцелярия не справляется. Не думаю, что собственник, с большой охотой, профинансирует дополнительный штат сотрудников канцелярии, которые будут заниматься конфиденциальным документооборотом. Да и гриф поставить на все документы достаточно проблематично.
                                                Закон о КТ создавался (во всяком случае в части грифов и т.п.) по аналогии с соответствующими документами, регламентирующими порядок работы с документами с гос.тайной. С одной стороны это понятно, большой опыт, куча сотрудников КГБ, надзирающих за этим и т.п.
                                                Я честно, не совсем понимаю, как это реально перенести на большую коммерческую структуру (хотя понимаю, институт КТ нужен). Наверняка, большинство безопасников неоднократно попадали в ситуацию, когда бизнес визжал, что какие то ограничительные меры мешают им зарабатывать деньги для компании. А тут (если по науке) надо сходить в канцелярию, получить под роспись документ, потом его либо вернуть, либо списать в номенкулатурное дело, которое должно храниться в сейфе или аналогичном хранилище и т.п. В общем, кто с гос.тайной сталкивался, знает. Так вот как это воплотить в жизнь, чтобы соблюсти требования закона о КТ, чтобы он сработал в нужное время? Если у кого реальный опыт? Поделитесь! Я думаю такие вопросы будут у многих.

                                                Комментарий


                                                • #25
                                                  Согласен- пок еще данная область знаний - темный лес, ИМХО Я вот нашел кое где парочку курсов "Реализация режима КТ на предприятии", "Организация конфиденциального делопроизводства" - в надодь будет обязательно на них попасть))- а может кто уже сть ученый?
                                                  Мы продолжаем делать то, что мы уже много наделали

                                                  Комментарий


                                                  • #26
                                                    George-on-Don
                                                    Stnslav
                                                    Коллеги, боюсь что в этом вопросе от имперского прошлого нам никуда не деться: если мы желаем создать реально действующий режим КТ, то тут не обойтись без всей соответствующей "мишуры" по аналогии с гос.тайной или ДСП - dura lex, sad lex...
                                                    Соответсвенно, попытки организации режима КТ каким-либо иным образом "в случае чего" не позволят законно предотвратить или наказать...
                                                    Кстати, лично мне кажется, что для больших коммерческих структур этот вопрос решаться будет менее болезненно, нежели для средних и малых:
                                                    во-первых, "у руля" крупного бизнеса пока ещё стоят люди, видевшие в действии функционирование "имперского" режима сохранения гос. и служебной тайны (когда за утерянную опись документов лишали премий, "награждали" выговорами по партийной линии или задерживали очередные звания как виновнику, так и его руководителю)
                                                    во-вторых, не секрет, что в составе СБ и ИБ коммерческих организаций (а особенно крупных) "сидят на тёплых местах" пенсионеры из спецслужб и первых отделов гос.предприятий, которые кроме такой вот "бюрократической возни" ничего более конкретно не умеют, а выгонять их не станут по причине наличия родственных или дружеских связей
                                                    в-третьих, большой компании проще найти внебюджетные (или заложить в бюджет) средства на создание системы конфеденциального доументооборота...
                                                    Что же касается практики - думаю, ближе к концу лета смогу рассказать о ней более подробно (скоро будем внедрять сами )
                                                    Всё в наших руках...(с)

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Пух575 Посмотреть сообщение
                                                      George-on-Don
                                                      Stnslav
                                                      Коллеги, боюсь что в этом вопросе от имперского прошлого нам никуда не деться: если мы желаем создать реально действующий режим КТ, то тут не обойтись без всей соответствующей "мишуры" по аналогии с гос.тайной или ДСП - dura lex, sad lex...
                                                      Интереса ради просмотрел выписки из решений арбитражных судов связанных с непредоставлением третьим лицам сведений, составляющих коммерческую тайну. Свои решения арбитражные суды мотивируют именно содержанием документа ("...суд пришел к выводу, что запрошенные истцом документы могут содержать сведения, составляющую коммерческую тайну ответчика...", "...сведения, содержащиеся в документе не могут составлять коммерческую тайну..", и т.п.).

                                                      Метка в электонном документе (в тексте вордового документа, на экранной форме и т.п.) видимая пользователю !!! информирует пользователя о том, что документ содержит сведения, составляющую коммерческую тайну, не более того. Закон не требует включать эту метку собственно в электронный документ - достаточно, если она будет ставиться на него при печати.

                                                      Я полностью согласен с Пухом, что проще всего адаптировать меры, используемые первыми отделами для секретного документооборота. Когда вы пишете секретный документ, вы обычно пишите отдельно документ, отдельно фонарик, который пропечатывается на реверсе титульной страницы. То есть из файла с текстом документа не следует, что он секретный. Метка ставится на дискету/флешку и на персоналку с которой вы работаете (материальные носители ) Плюс при печати вы отдельно пропечатываете фонарик с меткой конфиденциальности, реквизитами документа и номером экземпляра.

                                                      Для КТ, разумеется, процедуру можно упростить.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Stnslav Посмотреть сообщение
                                                        Но для чего нужна эта бодяга с КТ? Для того, чтобы "закошмарить" персонал и в случае утечки, реально привлечь к ответственности виновного (если найдем ).
                                                        Лично мое мнение - банку КТ не нужна. Большинство сведений конфиденциального характера относятся либо к финансовой стставляющей (и относятся к банковской тайне), либо к клиентской части (и с некоторыми услииями может быть отнесена к ПД). В обоих случаях законодатель установил ответственность персонала банка за разглашение подобных сведений (уголовную в первом случае и дисциплинарную во втором).

                                                        Я с трудом могу представить себе информацию, составляющую коммерческую тайну банка и не относящуюся ни к одной из этих категорий. Ну разве что клиентская база потенциальных клиентов для корпоративного банкинга - но это информация, с которой и так работает очень узкий круг лиц в рамках одного подразделения.

                                                        Возиться из-за нее с режимом КТ? Нужно дважды подумать.

                                                        Комментарий


                                                        • #29
                                                          есть небольшое различие между перечнем "сведений" составляющих конфиденциальную информацию(тайну), и между документами( в вашем случае на бумажном носителе) содержащими эти сведения, составляющие конфиденциальную информацию.

                                                          Т.е. на основании перечня сведений конфиденциальной информации необходимо пройти по всем отделам и составить перечень документов, в которых присутствует такая информациия?

                                                          Комментарий


                                                          • #30
                                                            Когда вы пишете секретный документ, вы обычно пишите отдельно документ, отдельно фонарик, который пропечатывается на реверсе титульной страницы.

                                                            Законченные (готовые к печати) документы содержащие ГТ, что я видел в электронном виде (на экране ПЭВМ), имели соответствующую надпись ("секретно" или выше) в правом верхнем углу первой страницы. Видел я их много.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X