0/5

Как защитить документы от несанкционированного доступа?

Как защитить документы от несанкционированного доступа?
время публикации: 10:00  12 января 2022 года
Документы являются важным активом бизнеса, а кипы бумаг на столе — потенциальным источником утечки информации. Они отражают текущее состояние дел компании, поэтому нередко становятся целью коммерческого и промышленного шпионажа. Как защитить документы от несанкционированного доступа?
Как защитить документы от несанкционированного доступа?Максим Семенихин, генеральный директор ОСГ Рекордз Менеджмент в России, рассказал, каким образом можно защитить корпоративные данные от доступа третьих лиц.

Согласно статистике самого большого провайдера услуг хранения данных в России (занимает 80% отечественного рынка), в 2021 году в профессиональном архиве ОСГ хранятся более 3 млрд бумажных документов и активно используется более 615 млн электронных и оцифрованных документов.

За последние пять лет средний ежегодный прирост количества документов в электронном виде составил 22%, то есть в 2,2 раза. Если также учесть те документы, которые были удалены из-за истечения срока хранения, то их количество увеличилось в 5,5 раз. Как мы видим, объемы информации стремительно растут и требуют эффективных подходов к управлению данными, в первую очередь к их защите от несанкционированного доступа. 


Обеспечиваем внеофисное хранение


Нахождение бумажных документов в офисе — всегда риск несанкционированного доступа к ним. Стопки бумаг на столах и папки в шкафах для хранения, неотлаженные процессы в документообороте и бесконтрольное дублирование документов, передача документов до адресата через коллег и т.д. — все это несет в себе потенциальные риски ознакомления с данными сотрудниками непрофильных департаментов и посетителями. Минимизировать эти риски позволяет хранение всех без исключения документов в архиве, где соблюдаются их конфиденциальность. 

Если у компании уже есть собственное архивное подразделение, то, чтобы удостовериться в защите собственных данных, понадобится аудит и, возможно, перенастройка сложившихся процессов. 

Так, необходимо проверить, прописаны ли роли доступов к получению документов на уровне не департамента, а отдельных должностных лиц (duty-to-document) — выдача документов должна быть настроена только тем лицам, кто непосредственно с ними работает. Более того, необходимо вести учёт выдачи документов с указанием даты и срока выдачи, чтобы документ не остался в тумбочке у сотрудника. Конечно, возврат документа также нужно контролировать и фиксировать. 

Очевидно, что от компании этот процесс потребует назначения ответственного сотрудника или даже создания подразделения со всей соответствующей кадровой и административной нагрузкой. При этом возможность выноса документа из архива уже несет риски доступа к нему третьих лиц. Поэтому лучше отдать все документы на хранение на аутсорсинг, потому как принципы хранения профессиональных архивов обеспечивают не просто долгосрочную сохранность документов, но и разграниченный доступ к данным в соответствии функционалу конкретного сотрудника, и полностью исключают доступ третьих лиц к просмотру документов. 

Наряду с этим любой документ может быть оперативно доставлен собственной курьерской службой по запросу. Однако бумажный носитель может понадобиться в исключительных случаях, если перед передачей в архивное хранилище оцифровать документы и загрузить их в систему электронного архива — сотрудники продолжат работу уже со скан-образами документов.

Также перед передачей в архив важно провести экспертизу ценности документов. В ходе нее определяются сроки хранения, и часть документов уже может быть направлена на уничтожение, поскольку срок хранения уже истёк. Это не только позволит соответствовать требованиям законодательства, но и уменьшит количество документов под управлением и, следственно, нагрузку на обеспечение информационной безопасности.


Внедряем электронный архив с разграниченным доступом


Согласно нашей статистике, за последние 5 лет, с 2017 года, пиковыми годами прироста объема электронных и сканированных документов стали 2018 (увеличилось на 56%) и 2020 года (на 64%). Оба периода отличались кризисными явлениями в экономике, и как мы видим, в турбулентные периоды становится еще более важной налаженная система управления потоками информации. 

Как защитить документы от несанкционированного доступа?

Для исключения рисков попадания данных к третьим лицам, такая система должна предоставлять возможности настройки разных уровней функционального доступа. Электронный архив позволяет настроить доступ строго в соответствии с должностными обязанностями сотрудника. Например, одним сотрудникам система позволяет скачивать, вносить изменения или пересылать документы из архива, другим сотрудникам может быть доступен только режим чтения, либо закрыт доступ к просмотру. 

Электронный архив хранит цифровой след изменений — детальную историю работы каждого сотрудника с каждым документом. Даже открытие документа тем или иным сотрудником фиксируется. Если возникнет необходимость расследования преступных действий, то с помощью этой детальной истории отдел безопасности скорее примет меры по устранению действий, связанных с нарушением политик по информационной безопасности. 


Конфиденциально утилизируем

 
Несмотря на то, что документы, которые появляются в компании, содержат данные разного уровня конфиденциальности, все они несут информацию о бизнес-процессах, поэтому важно не только грамотно их хранить и работать с ними, но и правильно утилизировать. 

По истечении срока хранения документов составляется акт о выделении к уничтожению, а бумажные носители направляются на утилизацию. В соответствии с требованиями законодательства о защите информации (ФЗ № 152, ФЗ№ 98, статья 957 ГК РФ, ФЗ №126 и проч.), документы должны быть уничтожены конфиденциально. В компаниях, специализирующихся на управлении электронным и бумажным документооборотом, конфиденциальное уничтожение обеспечивается рядом процедур. 

Утилизация документов производится промышленным шредером на 3-м уровне секретности и выше, что делает восстановление документов невозможным, а в центр уничтожения имеют допуск только те сотрудники, которые прошли соответствующее обучение и получили квалификацию. Такие компании также предоставляют услугу видеозаписи процесса уничтожения или обеспечивают личное присутствие клиента — так владелец данных получает абсолютную уверенность, что документы уничтожены безвозвратно. После шредирования измельченную бумагу направляют на вторичную переработку. 




Читайте также:  Топ-10 горячих технологических трендов на 2022 год: cеть безопасности (Cybersecurity Mesh)




Также, каждый день в офисе так или иначе появляются новые документы. Для их защиты от несанкционированного доступа мы рекомендуем:

● ввести принцип «чистого стола» — в конце рабочего дня или недели каждый сотрудник должен приводить в порядок свой рабочий стол и освобождать его от бумажных документов;

● установить правило, согласно которому все документы, не направленные в архив, подлежат уничтожению. Важно, чтобы сотрудники не стояли перед выбором, считать ли тот или иной документ важным, будь то это распечатанная презентация с правками от руки, график работы на выходные или драфт договора. Это позволит избежать скопления бумаг, которые лежат «на всякий случай», а значит, убережет их от возможного просмотра третьими лицами;

● полностью убрать из-под рабочих мест мусорные ведра, оставив их только в бытовых точках — так вы исключите возможность попадания документов на свалки вместе с бытовыми отходами;

● желательно отказаться и от тумбочек. Часто именно они являются местом, где сотрудники хранят и скапливают документы, содержащие чувствительные данные; 

● для сбора документов дня рекомендуем поставить в офисе специальные контейнеры, которые предоставляют компании по управлению электронными и бумажными документами. Контейнеры опломбированы изначально, в таком виде их вывозят для конфиденциального уничтожения содержимого. Измельченную бумагу направляют на вторичную переработку. 

Кстати, переработка одного такого контейнера сохраняет 1 дерево, помогает уменьшить углеродный след компании и влияние на экологическую обстановку в целом.

* * *

Перечисленные меры позволят усилить информационную безопасность компании. Благодаря внеофисному хранению документов, разграничению функционального доступа к данным и конфиденциальному уничтожению, возможность доступа несанкционированных лиц будет сведена к минимуму на каждом этапе жизненного цикла документа. 

Максим Семенихин, 
генеральный директор ОСГ Рекордз Менеджмент в России.

Для NEW RETAIL


0
Реклама на New Retail. Медиакит