Для малого бизнеса
+7 (499) 673-37-62

08.07.2025

Хранение конфиденциальной информации

Хранение конфиденциальной информации

Получить консультацию по Solar DAG

Каждая компания располагает конфиденциальными данными — информацией ограниченного доступа, которая играет важную роль в бизнес-процессах, аналитике, принятии решений. Для минимизации рисков утечки и несанкционированного использования таких сведений необходимо обнаружить их в общих информационных массивах, классифицировать по уровню конфиденциальности и присвоить соответствующие служебные метки. Эти задачи можно решить с помощью системы Solar DAG, которая относится к классу решений Data Access Governance. Рассказываем, какую роль она играет в защите файловых хранилищ, как помогает понять, где хранится конфиденциальная информация и избежать избыточных прав доступа у сотрудников.

Какая информация относится к конфиденциальной и почему ее нужно защищать

К категории конфиденциальной относится информация, которая не должна попасть к третьим лицам. Чтобы сохранять секретность, работать с такими данными разрешается только при наличии соответствующих полномочий.

Какие информационные активы можно отнести к конфиденциальным:

  • Персональные данные (ПДн) сотрудников, клиентов, партнеров — информация, позволяющая точно идентифицировать конкретных субъектов. Это достаточно широкий круг сведений, включающий: ФИО, должности, адреса и телефонные номера, семейное положение и др. Полный перечень ПДн и нюансы установления правил доступа к ним перечислены в ФЗ № 152, который обязаны соблюдать все операторы персональных данных.
  • Коммерческая тайна — информация, оказывающая существенное влияние на развитие бизнеса, конкурентоспособность и финансовое положение. Примеры: списки клиентов и партнеров, управленческие отчеты, результаты переговоров, методика ценообразования и др. Каждая компания вправе сама решать, какие данные отнести к этой категории. Правила введения режима коммерческой тайны и регламенты работы с такой информацией указаны в ФЗ № 98.
  • Интеллектуальная собственность — результаты научной или творческой деятельности, средства индивидуализации. Например: собственные разработки и патенты, программы для ЭВМ, базы данных, изобретения, промышленные образцы и модели, фирменные наименования, товарные знаки и др.
  • Данные для служебного пользования — сведения, на распространение которых накладывается ограничение в связи со служебной необходимостью. Частные компании могут самостоятельно определять круг таких информационных активов.
  • Узкоспециальная информация, например банковская, юридическая, медицинская и др. Требования по защите таких данных, хранящихся в файловых хранилищах компаний, перечислены в отраслевых нормативных актах.

Неправильное хранение таких данных может привести к несанкционированному использованию и утечке или к тому, что важные сведения просто потеряются в общей информационной массе.

конфиденциальная информация

В каких случаях возрастают риски утечки конфиденциальной информации, как данные попадают к третьим лицам

Утечки могут быть внешними и внутренними. В первом случае они происходят в результате хакерских атак. Информационные активы оказываются под угрозой из-за слабой защиты корпоративных файловых хранилищ и отсутствия отработанных сценариев реагирования на злоумышленную активность. Внутренние утечки происходят по вине персонала или доверенных лиц компании. Не всегда речь идет об умышленных инцидентах ИБ, когда сотрудники намеренно сливают данные на сторону. Иногда утечки происходят из-за избыточных прав доступа, ошибок в работе, невнимательности, халатности.

Как и по каким каналам утекают данные:

  • По электронной почте. Недобросовестный сотрудник может скопировать чувствительную информацию и переслать на личный ящик себе или заказчику.
  • Через социальные сети и открытые площадки. Злоумышленники могут там публиковать информацию компании.
  • Через внешние носители. Сотрудники копируют данные на флеш-карту, свои мобильные устройства и другие накопители.
  • Через облачные сервисы. При слабой защите данных злоумышленник может скопировать из корпоративных файловых хранилищ важную информацию и загрузить в облако, откуда ее легко скачать на любое устройство.

Примеры случайных утечек: ошибка в адресе получателя при отправке письма по электронной почте, загрузка данных в открытый файлообменник, перемещение файлов из легитимного места хранения в другую папку. Если обращение с информационными ресурсами не контролируется, инцидент может не сразу раскрыться, что усугубит негативные последствия для компании.

утечка конфиденциальной информации

Меры по минимизации рисков утечки конфиденциальных данных

Ключевые меры, которые должна предпринять организация для защиты своей информации:

  • Поиск в файловых системах всех неструктурированных данных, среди которых могут быть чувствительные. Объемы таких сведений стремительно растут, поэтому нужно постоянно их отслеживать, распределять по релевантным хранилищам и контролировать.
  • Шифрование чувствительной информации с целью защиты данных в файловых хранилищах от несанкционированного использования в случае попадания к третьим лицам.
  • Разграничение доступа к конфиденциальной информации согласно действующей в компании модели управления доступом, внутренним политикам безопасности, правилам доступа к ПДн.
  • Контроль доступа к чувствительным данным. Он необходим, чтобы ответственные лица всегда были в курсе, кто с какой информацией работает, какие права назначены для тех или иных учетных записей.
  • Аудит доступа к информационным ресурсам с целью контроля соблюдения полномочий, отслеживания изменений уровня доступа.
  • Аудит событий в файловых системах для минимизации рисков несанкционированных действий с конфиденциальной информацией.
  • Разработка мер реагирования на события информационной безопасности для быстрого устранения последствий инцидентов.

В решении задач по защите файловых хранилищ будет полезна система Solar DAG. Она позволяет обнаружить неструктурированные данные, с помощью методов контентного анализа выявляет чувствительную информацию, предоставляет все необходимые сведения для классификации информационных ресурсов и назначения полномочий для учетных записей, формирует детальные отчеты об уровнях доступа. Также система регистрирует все операции в файловых системах, благодаря чему проще проводить аудит событий.

При обнаружении фактов несанкционированного доступа к ПДн и другой чувствительной информации Solar DAG оповещает ответственных лиц о зарегистрированных событиях. Инцидент ИБ это предотвратить не поможет, поскольку сигнал поступит уже после нарушения. Зато у компании будет возможность пересмотреть политики предоставления доступа и усилить меры защиты данных.

контроль хранения конфиденциальной информации

Контроль хранения конфиденциальной информации

Одна из мер защиты файловых хранилищ — контроль хранения данных. Какие проблемы могут возникнуть, если информация не будет храниться должным образом:

  • Сложности в управлении доступом.
  • Риски несанкционированных операций с данными.
  • Потеря важной для компании информации.

Поскольку на файловых ресурсах постоянно появляются новые чувствительные данные, в целях минимизации рисков утечки необходимо своевременно их выявлять и проверять, где они хранятся. Если есть нарушения в части корпоративных политик хранения, следует оперативно их устранить и назначить релевантные хранилища информации. Обеспечить соблюдение политик можно с помощью решения Solar DAG. Оно сканирует иерархию подключенных систем хранения и выявляет, куда помещены те или иные файлы. Результаты отображаются в отчете «Ресурсы».

С помощью Solar DAG можно организовать контроль хранения уже классифицированных данных и защиту файловых хранилищ. Система отмечает все перемещения файлов и дает понимание, кто инициировал изменения.

Преимущества Solar DAG для защиты файловых хранилищ и конфиденциальной информации

Сильные стороны решения для управления неструктурированными данными и контроля прав доступа:

  • Высокая скорость контентного анализа данных и потоковая обработка до 100 млн событий, что позволяет оперативно обнаруживать в системах хранения чувствительные данные.
  • Комплексная защита данных за счет возможности интеграции с DLP-системой для предотвращения утечек и IdM-системой для управления учетными записями и доступом к данным.
  • Получение в режиме реального времени актуальной информации об имеющихся у компании данных и правах доступа, в том числе и избыточных.
  • Построение подробных отчетов: «Ресурсы», «Учетные записи», «История изменения доступа к ресурсу», «История изменения прав учетной записи» и др.
  • Контроль геораспределенной инфраструктуры, возможность настройки областей видимости.
  • Обеспечение соблюдения законодательных требований, в том числе правил доступа к ПДн согласно ФЗ № 152.

Также можно отметить дружелюбный, динамически конфигурируемый интерфейс, который легко настроить под себя для большего удобства использования системы.

Вывод

Чтобы минимизировать риски утечки конфиденциальной информации, нужно организовать надлежащее хранение активов, обеспечить защиту файловых хранилищ, устранить избыточные права доступа к чувствительным сведениям. В этом поможет система Solar DAG, которая позволяет выявлять все неструктурированные данные и отслеживать изменения полномочий сотрудников с учетом их наследования. Также с ее помощью можно обнаружить факты несанкционированного доступа к ПДн.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Файловый аудит: защита цифровых активов с помощью Solar DAG

Файловый аудит: защита цифровых активов с помощью Solar DAG

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.