Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
ASU.ru - Алтайский Государственный Университет "АлтГУ"
6 месяцев назад

Даже у стен есть глаза и уши: как хранить важные служебные документы

В этой статье, подготовленной отделом защиты информации Алтайского госуниверситета, речь пойдет о конфиденциальных данных, с которыми мы соприкасаемся на работе: о документах, правилах их хранения и передачи, а также о том, что делать в случае утечки.

Конфиденциальность — это необходимость сохранить информацию в тайне во избежание ее утечки. Речь может быть о чем угодно — от отчетов по работе до личных фотографий. Иначе говоря, конфиденциальной может оказаться любая информация. При этом большое значение имеет уровень конфиденциальности. Существуют данные, доступ к которым имеют всего несколько людей на планете, а бывают и такие, доступ к которым не стоит передавать никому. 

Нельзя пренебрегать защитой! Как правильно хранить конфиденциальные документы

Итак, первое и основное правило, которое нужно знать – любую информацию, с которой вы сталкиваетесь на работе, по умолчанию стоит считать конфиденциальной, а отсутствие специальной маркировки еще не значит, что информация не конфиденциальна. 

Например, рабочие документы в Алтайском госуниверситете не имеют каких-либо маркеров конфиденциальности. Но следует понимать: рабочая информация попадает к вам именно потому, что вы — сотрудник вуза. Эти данные не предназначены для посторонних глаз и ушей. Пренебрегая защитой информации, вы рискуете нанести организации прямой или косвенный ущерб и столкнуться с проблемами.

Прежде чем начать работу с документом, электронным или бумажным, обязательно проверьте, не помечен ли он как конфиденциальный. Даже если на документе нет особых пометок, и вы не можете определить, конфиденциальна ли информация, обратитесь за разъяснениями к своему руководителю.

Во многих организациях работа с конфиденциальными данными регламентирована. В регламенте обычно прописаны и данные, которые следует относить к конфиденциальной информации; применительно к нашему университету это описано в Положении об обработке персональных данных (ПД) и Инструкции по обеспечению безопасности ПД при их обработке

Однако регламенты и инструкции не могут охватить все возможные ситуации. Если документ не упомянут как конфиденциальный, это не значит, что он подлежит разглашению. Это значит лишь то, что его по какой-то причине не упомянули и относиться к нему следует со всей строгостью - как к потенциально конфиденциальному. То же касается и методов работы с документами.

И помните: именно сотрудник несет ответственность за разглашение конфиденциальной информации, а отсутствие регламента по обращению с конфиденциальными данными не снимает с него ответственности.

Если попробовать найти ответ на этот вопрос в открытых источниках, то обнаружится множество федеральных и локальных законов, которыми в полной мере владеют только специалисты с юридической подготовкой. И еще каждая организация устанавливает свои собственные правила. Иногда они прописаны, иногда устно оговорены руководителем или ответственными за безопасность. 

Из этого и выводится главный постулат: при хранении и передаче конфиденциальной информации в первую очередь руководствуйтесь внутренними правилами организации.

Если они не прописаны в наглядном виде, поговорите на эту тему с руководителем или службой безопасности. Естественно, корпоративные правила хранения информации есть не в каждой организации, либо описанного в них недостаточно. В этом случае следует соблюдать несколько общих правил:

1. Ни при каких обстоятельствах не храните конфиденциальные данные на ресурсах, доступ к которым возможен без пароля.

Например, если вы храните информацию в облачном сервисе, вы должны исключить возможность прямого доступа к ней по ссылке. Если кто-то хочет получить доступ к конфиденциальной информации, он должен ввести пароль, который вы ему сообщите, если посчитаете необходимым.

2. Не храните конфиденциальные данные на носителях, которые легко потерять:

  • USB-накопителях;
  • картах памяти;
  • мобильных устройствах.

Если для рабочих целей и с разрешения ответственных за безопасность необходимо временно сохранить данные на смартфоне или планшете, убедитесь, что:

  • данные хранятся во встроенной памяти, а не на SD-карте;
  • устройство заблокировано и защищено надежным паролем или графическим ключом;
  • на устройстве настроено ПО поиска и администрирования, и в случае кражи вы можете удаленно стереть с него все данные.

3. Никогда не храните конфиденциальную информацию с помощью инструментов, не предназначенных для хранения информации как таковой.

Например, многие сохраняют данные в папке «Отправленные» электронной почты или в сообщениях мессенджера социальной сети. Так делать нельзя. Независимо от степени защиты почтового ящика или уровня шифрования мессенджера эти инструменты не предназначены для хранения важных данных и подвержены частым взломам. Если вы пересылаете конфиденциальные данные по электронной почте, обязательно удаляйте письмо из папки «Отправленные».

4. Сохраняя файл, содержащий конфиденциальную информацию, всегда защищайте его паролем независимо от места хранения. 

Речь идет не только об устройствах, которые могут находиться вне офиса, но даже о корпоративных облачных сервисах, доступ к которым можно получить только с помощью рабочего компьютера. Для защиты можно использовать функции программ или сервисов, а если таковых нет, — архив с паролем. Помните, что пароль должен удовлетворять правилам создания надежных паролей.

5. Не создавайте копии документов с конфиденциальной информацией без необходимости.

Создавая копию, вы подвергаете данные, содержащиеся в документе, дополнительной опасности: в таком случае защищать от утечки придется уже два файла. И помните, что создавать копию конфиденциального документа для того, чтобы на его основе сделать другой, опасно. Так можно допустить утечку конфиденциальной информации — например, случайно отправить документ вместе с историей его изменений или забыть изменить какую-то из частей. Чтобы облегчить себе работу, можно создать чистый шаблон документа и копировать его при создании нового.

6. Если документ, содержащий конфиденциальную информацию, вам больше никогда не понадобится, удалите его.

Помните, что после перемещения документов в «Корзину» её необходимо очищать, либо изначально используйте сочетание клавиш Shift+Del для окончательного стирания файлов. А лучше — используйте специальные утилиты.

После ознакомления с правилами хранения конфиденциальной информации стоит рассмотреть и правила их передачи.

Не болтайте лишнего! Как правильно передавать конфиденциальные документы

Первое и основное: передавать конфиденциальные документы следует по правилам, оговоренным официальными положениями и инструкциями.  Если же политика вашей организации не регламентирует передачу конфиденциальной информации, то, как и в случае с хранением, следует руководствоваться действующими законами или нормативами, а также следующими общими правилами:

1. Передавайте конфиденциальную информацию следующими способами:

  • Корпоративная электронная почта.

Ни в коем случае не посылайте конфиденциальные данные непосредственно в теле письма. Документ можно заархивировать, защитить паролем и приложить к письму. Пароль при этом следует пересылать по другому каналу, например, с помощью SMS-сообщения или посредством мессенджера.

  • Корпоративное или рекомендованное специалистами по безопасности хранилище файлов. 

Доступ к данным можно выдавать только индивидуально, а не с помощью общедоступной ссылки. И при размещении файла в хранилище не забывайте защищать его паролем. 

В АГУ для этих целей разрешается использовать только корпоративную сеть хранения данных, где у каждого управления есть своя директория; либо облачное хранилище cloud.asu.ru.

  • Мессенджер.

Мессенджеры социальных сетей или рядовые популярные мессенджеры для передачи конфиденциальных данных не подходят.

2. Проверяйте уровень доступа

Каким бы способом передачи конфиденциальных документов вы ни пользовались — от пересылки по электронной почте до вручения из рук в руки — главное, чтобы они не попали случайному человеку. Поэтому в первую очередь нужно проверить, имеет ли адресат соответствующий уровень доступа. 

Не проверяя уровень доступа, конфиденциальной информацией можно делиться только с вашим непосредственным начальником, его начальником — и так далее до самого руководителя организации. В любом другом случае вы должны до отправки убедиться в том, что адресат имеет право на ознакомление с документами. Помните, если вы отправите конфиденциальные данные человеку, у которого нет права на ознакомление с ними, то именно на вас возложат ответственность за любые вызванные этим проблемы.

3. Проверяйте получателя

Случайная опечатка в адресе электронной почты. «Не то» окно или ошибочный чат в мессенджере. Старый адрес, который давно принадлежит другому человеку. Существует множество способов случайно переслать информацию постороннему. Поэтому перед пересылкой обязательно проверьте, тому ли человеку вы отправляете документы или информацию.

Обратите внимание, что передача информации на USB-накопителях или других портативных устройствах считается опасной. Если вам нужно лично передать серьезный объем информации, то придите к адресату со своим ноутбуком, при нем перепишите информацию на носитель и сразу отдайте ему носитель. Это нивелирует риск потери.

Последнее, о чем необходимо упомянуть – о подозрениях утечки информации и последующих действиях.

Кто мог это сделать? Что делать в случае утечки конфиденциальных данных

Как только вы заподозрили возможность утечки, сразу проинформируйте управление информатизации. Помните, что любое событие, связанное с риском утечки конфиденциальной информации, — чрезвычайное происшествие. Оно требует внимания сотрудников, отвечающих за информационную безопасность организации.

Понять, что произошла утечка, можно по описанным ниже примерам. Они - самые распространенные, но не единственные:

  • Сотрудник не знает, где находится устройство, которое он использовал для работы.
  • Ошибка с пересылкой. Сотрудник перепутал адрес электронной почты и корпоративный документ был отправлен постороннему.
  • Ошибка настройки доступа. Сотрудник выложил закрытую информацию на своей странице, полагая, что делится ей только с коллегами, а потом обнаружил, что ошибся в настройке параметров конфиденциальности.
  • Компрометация данных по неосторожности.
  • Явная утечка. Сотрудник видит, что конфиденциальные данные, доступ к которым есть только у сотрудников его отдела, появились в Интернете.

Как только вы заметили любой из перечисленных признаков, незамедлительно сообщите об этом в управление информатизации (shirokov@asu.ru). Не пытайтесь скрыть утечку или справиться с последствиями своими силами. Абсолютно неважно, действительно ли случилась утечка или вы только опасаетесь разглашения. Сообщить нужно в любом случае. 

Часть мер, после сообщения ответственным за безопасность, можно принять самостоятельно:

  • В некоторых мессенджерах есть функция «удалить сообщение у получателя». Это выручит вас, если вы ошиблись адресатом.
  • Если вы по ошибке опубликовали запись с секретными данными в открытом доступе, удалите ее.
  • Если вы используете смартфон для работы, настройте на нем функцию удаленного администрирования. Это позволит в случае необходимости обнаружить его местонахождение и удаленно очистить память, то есть стереть все конфиденциальные данные.
Назад