Система классификации данных для защиты от утечек

от

«Классификация данных часто сводится к табличке из четырёх уровней, которую ИБ-специалист демонстрирует руководству для отчёта. На деле это не картинка, а движок — без него все последующие меры защиты (DLP, шифрование, доступ) становятся бессистемными. Правильно построенная система превращает ‘требование регулятора’ в рабочую инструкцию для сотрудника и скрипт для системы.»

Уровни классификации данных

Классификация — это присвоение информационному активу метки, которая определяет его ценность и сопутствующие риски. Система из четырёх уровней, основанная на требованиях 152-ФЗ и рекомендациях ФСТЭК, создаёт универсальный язык для взаимодействия бизнеса, ИТ и информационной безопасности.

Уровень Маркировка Примеры данных Ключевые требования защиты
Строго секретно 🔴 Красный Коммерческая тайна, патенты, исходный код продуктов, стратегические планы развития, результаты закрытых НИОКР. Обязательное применение DLP, сквозное шифрование AES-256, статические и динамические водяные знаки, запрет на копирование на съёмные носители, доступ только из выделенных защищённых рабочих мест, двухфакторная аутентификация.
Конфиденциально 🟡 Желтый Персональные данные сотрудников и клиентов, финансовая отчётность, договоры с контрагентами, служебная переписка. Шифрование при передаче и хранении, строгое разграничение прав доступа по ролям, аудит всех операций изменения, контроль копирования и печати.
Для служебного пользования 🔵 Синий Внутренние регламенты, проектная документация, отчёты о выполненных работах, презентации для внутреннего пользования. Контроль доступа по должностным обязанностям, ограничение на пересылку во внешние почтовые системы, базовое логирование событий доступа.
Публичная информация 🟢 Зеленый Пресс-релизы, новости на корпоративном сайте, открытые маркетинговые материалы, публичные годовые отчёты. Свободное распространение, общие рекомендации по информационной гигиене.

Требования к грифам и меткам

Маркировка должна быть неотъемлемым свойством данных, а не просто пометкой в реестре.

  • Грифы должны быть визуально различимы на всех типах носителей: в электронных документах (в колонтитулах), на бумажных носителях, в интерфейсах систем.
  • Цветовая индикация на уровне операционной системы, почтового клиента или CRM-системы повышает осведомлённость сотрудника до момента совершения действия с данными.
  • Метка обязана наследоваться при любых операциях: копировании файла, архивировании, пересылке как вложения, сохранении в облачное хранилище.
  • За каждый уровень закрепляется ответственный: за «Строго секретно» — руководитель департамента или CISO, за «Конфиденциально» — владелец процесса, за остальные — непосредственный руководитель сотрудника.

Процессы обработки по классам

Классификация становится рабочим инструментом, только когда каждый уровень предписывает конкретную последовательность действий для обработки данных. Эти процессы должны быть прописаны в регламентах и технически реализованы в инфраструктуре.

🔴 Строго секретно

  • Доступ предоставляется по принципу минимальных привилегий после письменного согласования и обязательной двухфакторной аутентификации.
  • Все данные шифруются на уровне диска (шифрование хранилищ) и при любой передаче по сети, включая внутреннюю.
  • Действует полный запрет на печать, загрузку в публичные облачные сервисы и пересылку по незащищённым каналам связи.
  • При просмотре документа автоматически накладывается динамический водяной знак с идентификатором пользователя и временем сеанса.
  • Ведётся полный аудит всех действий (просмотр, копирование фрагмента, попытка печати) с хранением логов не менее пяти лет в неизменяемом виде.

🟡 Конфиденциально

  • Доступ регулируется ролевой моделью, привязанной к должностным инструкциям в HR-системе.
  • Обязательно шифрование данных «в движении» с использованием актуальных версий TLS, шифрование «на покое» — в зависимости от оценки рисков.
  • Контролируются операции копирования на съёмные носители, которые либо полностью отключаются, либо работают в режиме «только чтение» для доверенных источников.
  • Логируются события изменения данных, массового экспорта и предоставления доступа новым пользователям.

🔵 Для служебного пользования

  • Доступ определяется структурой подразделения и должностью.
  • Системы DLP или почтовые шлюзы блокируют пересылку файлов с данным грифом на адреса публичных почтовых доменов (gmail.com, yandex.ru и т.п.).
  • Применяются базовые меры защиты периметра: межсетевые экраны, антивирусное ПО, система предотвращения вторжений.

🟢 Публичная информация

Распространяется свободно. Основной процесс здесь — регулярная проверка, не была ли информация по ошибке или из-за изменения статуса помещена в этот класс.

Автоматизация процессов

Внедрение классификации вручную обречено на провал из-за человеческого фактора. Ключевую роль играет интеграция с DLP, системами управления правами доступа (IRM) и платформами для работы с данными. Политика должна работать автоматически: при попытке сохранить документ с грифом «Строго секретно» на флешку, DLP не просто блокирует действие, но и перенаправляет инцидент в SIEM-систему, уведомляя службу ИБ. Современные платформы вроде Microsoft Purview позволяют настраивать такие политики на основе меток, распространяя их даже на данные в SaaS-сервисах.

Пошаговое внедрение системы

Внедрение — это не IT-проект, а организационное изменение. Оно требует мандата от высшего руководства и вовлечения всех департаментов.

  1. Инвентаризация и категоризация данных. Сначала нужно понять, что защищать. Составляется полный реестр информационных активов: от баз данных CRM до папок на файловом сервере и чатов в мессенджерах. Для каждого актива определяется владелец (бизнес-пользователь), оцениваются потенциальные последствия утечки — не только штрафы по 152-ФЗ, но и репутационный ущерб, потеря конкурентного преимущества.
  2. Разработка и утверждение политики. Создаётся пакет документов: «Политика классификации данных», «Регламент маркировки информации», «Глоссарий». Ключевой момент — утверждение критериев отнесения к уровням на конкретных бизнес-примерах компании, а не абстрактных формулировках. Это делает политику понятной для рядовых сотрудников.
  3. Первичная маркировка и обучение. На основе утверждённых критериев происходит первоначальное присвоение классов. Там, где это возможно, используется автоматизация: сканеры контента в DLP анализируют файлы на наличие шаблонов (например, номеров паспортов, реквизитов договоров). Параллельно проводится обязательное обучение для всех сотрудников с разбором кейсов: почему этот договор — «Конфиденциально», а тот отчёт — «Для служебного пользования».
  4. Внедрение технических средств контроля. Настройка защитных систем в соответствии с требованиями каждого уровня. Важный нюанс — интеграция. Система классификации (метки) должна стать атрибутом, который понимают DLP, система шифрования, СУБД и почтовый шлюз. Это позволяет создать сквозные политики защиты.
  5. Мониторинг, аудит и адаптация. Система не статична. Регулярно проводятся проверки корректности маркировки, анализируются инциденты. Политика должна пересматриваться при изменениях в законодательстве, появлении новых типов данных (например, биометрии) или реорганизации бизнес-процессов.

Критерии отнесения к уровням

  • Потенциальный ущерб: Оценивается по трём векторам: финансовые потери (прямые штрафы, компенсации, упущенная выгода), репутационные риски (публикация в СМИ, потеря доверия клиентов), операционные риски (остановка производства, судебные иски).
  • Правовой статус: Наличие прямых требований в 152-ФЗ (для персональных данных), в отраслевых стандартах ФСТЭК, требованиях регуляторов (ЦБ РФ, Роскомнадзор). Данные, подпадающие под эти требования, как минимум получают гриф «Конфиденциально».
  • Круг доступа: Количество лиц, которым объективно необходим доступ для выполнения служебных обязанностей. Чем уже круг, тем выше потенциальный уровень.
  • Жизненный цикл: На каком этапе (создание, использование, архивное хранение) данные наиболее уязвимы, и как классификация влияет на меры защиты на каждом этапе.

Таким образом, грамотная классификация трансформирует разрозненные требования регуляторов в структурированную систему управления рисками. Она позволяет не распылять ресурсы на защиту всего подряд, а сфокусироваться на действительно критичных активах, делая безопасность издержками — управляемым инвестициями.

Загрузка…

Оставьте комментарий