Как обеспечить соблюдение корпоративной политики компании по работе с конфиденциальными данными

На этот пост нас вдохновила статья на CNews с таким заголовком «Большинство студентов готовы воровать данные у работодателей». Ведь, в действительности, даже безобидное желание поработать на домашнем компьютере с корпоративными файлами может нанести существенный урон организации. Не говоря уже о том, что, исходя из данных опроса все той же статьи, множество людей готовы использовать корпоративные файлы в том числе и для финансового шантажа. Ужас, скажете вы. Но тут мы готовы вас успокоить, поскольку Microsoft Office содержит средство управления правами на доступ к данным (IRM), обеспечивающее защиту ценных сведений от случайного распространения. IRM осуществляет контроль над файлами даже в процессе их передачи!

Для начала – немного статистики из статьи. Специалисты компании Zecurion провели опрос среди 8466 студентов из 11 вузов 8 городов России. Почти половина всех респондентов (49,3%) считает, что работник вправе распоряжаться корпоративной информацией по своему усмотрению. 19,2% объясняют это тем, что собранная на рабочем месте информация является результатом труда самого сотрудника, а 30,1% уверены, что открытый доступ к информации автоматически разрешает использовать её по своему усмотрению.

Знаете ли Вы о существовании политик информационной безопасности в российских компаниях?

При угрозе увольнения/сокращения всего лишь 12,1% будущих работников не намерены уносить с собой ценные для своей деятельности сведения. Остальные готовы вынести информацию и называют конкретные ситуации, в которых они будут «подстраховываться».

Планируете ли Вы на будущей работе копировать информацию на домашний компьютер или переносить её на личных флэшках без злого умысла?

Похожая ситуация наблюдается в случае, когда информация со старой работы может принести реальную пользу на новом месте, но сам переход происходит по взаимному согласию. Здесь лишь немного выше доля тех, кто принципиально не будет использовать информацию, взятую у своего старого работодателя (15,7% против 12,1%). Однако оставшиеся 84,3% всё же склонны использовать информацию на новом месте.

Готовы ли Вы будете унести с собой ценные для своей деятельности сведения при угрозе увольнения/сокращения?

На основе изложенных выше впечатляющих цифр, можно сделать вывод, что обеспечение сохранности конфиденциальных данных – это действительно первостепенная задача для организаций.

Эффективный контроль над ценными сведениями можно осуществлять только путем ввода ограничений на доступ к сетям или компьютерам, в которых хранятся эти сведения. IRM позволяет создавать документ, книгу или презентацию с ограниченным разрешением на доступ к их содержанию для определенного круга лиц. Разрешение на чтение или изменение содержимого, так же как установка дат окончания срока его действия, задается в диалоговом окне Разрешение. Например, вы можете дать коллеге разрешение на чтение документа, но запретить его изменение, а затем разрешить другому коллеге изменение и сохранение документа. Можно также ограничить доступ к документу сроком на несколько дней. Ограниченные разрешения можно удалить.

Кроме того, можно создавать доступные в Word, Excel и PowerPoint политики разрешений и определять пользователей, которым необходимо разрешить доступ к сведениям, а также уровень их доступа и средства Microsoft Office, которые могут использоваться для документа, книги или презентации. Например, администратор может выбрать политику «Company Confidential», которая позволят открывать документы, книги и презентации только пользователям, находящимся внутри домена организации. В подменю Ограничение доступа или Разрешения может отображаться до 20 доступных для использования политик и их можно использовать для создаваемого содержимого.

Типы защиты

В диалоговом окне Защита документа/книги/презентации указаны уровни защиты, в соответствии с которыми автор документа устанавливает разрешения пользователям или группам пользователей.

• Пометить как окончательный.  Делает документ недоступным для дальнейшего редактирования.
• Защита паролем.  Содержимое документа становится доступным только после ввода пароля.
• Ограничение редактирования. Управление типами изменений, которые разрешено вносить пользователям.
• Ограничение доступа. Доступ к документам, книгам и презентациям определяется особыми политиками разрешений, созданными администратором.

Защита почтовых сообщений

В Microsoft Outlook 2013 доступ к содержимому сообщений электронной почты также можно ограничить с помощью службы управления правами на доступ к данным (IRM).

Управление правами на доступ к данным (IRM) позволяет задавать разрешения на доступ к сообщениям электронной почты. Это помогает предотвратить чтение, печать, пересылку или копирование критической информации неавторизованными пользователями. Также IRM позволяет применять в организациях и в отношениях с клиентами и партнерами политику управления отслеживанием и распространением конфиденциальных данных и сведений, защищаемых законодательством об интеллектуальной собственности. Настройки доступа осуществляются на вкладке Параметры – Разрешения.

Если с помощью службы IRM ограничен доступ к сообщению, это ограничение действует независимо от того, кому направлено сообщение, поскольку разрешения на доступ хранятся в самом файле сообщения.

При первой попытке открыть сообщение электронной почты с ограниченными разрешениями выполняется подключение к серверу лицензирования. После проверки учетных данных сервер лицензирования выдает лицензию на использование, которая определяет уровень доступа к файлу.