Как защитить документы от несанкционированного доступа?

Документы являются важным активом бизнеса, а кипы бумаг на столе — потенциальным источником утечки информации. Они отражают текущее состояние дел компании, поэтому нередко становятся целью коммерческого и промышленного шпионажа.

Максим Семенихин, генеральный директор ОСГ Рекордз Менеджмент в России, рассказал, каким образом можно защитить корпоративные данные от доступа третьих лиц.

Наша компания специализируется на управлении электронными и бумажными документами, и мы убеждены, что для их защиты от несанкционированного доступа нужен комплексный подход: конфиденциальное хранение документов, разграничение функционального доступа и грамотное уничтожение.

Обеспечиваем внеофисное хранение

Нахождение бумажных документов в офисе — всегда риск несанкционированного доступа к ним. Стопки бумаг на столах и папки в шкафах для хранения, неотлаженные процессы в документообороте и бесконтрольное дублирование документов, передача документов до адресата через коллег и т.д. — все это несет в себе потенциальные риски ознакомления с данными сотрудниками непрофильных департаментов и посетителями. Минимизировать эти риски позволяет хранение всех без исключения документов в архиве, где соблюдаются их конфиденциальность.

Если у компании уже есть собственное архивное подразделение, то, чтобы удостовериться в защите собственных данных, понадобится аудит и, возможно, перенастройка сложившихся процессов. Так, необходимо проверить, прописаны ли роли доступов к получению документов на уровне не департамента, а отдельных должностных лиц (duty-to-document) — выдача документов должна быть настроена только тем лицам, кто непосредственно с ними работает. Более того, необходимо вести учёт выдачи документов с указанием даты и срока выдачи, чтобы документ не остался в тумбочке у сотрудника. Конечно, возврат документа также нужно контролировать и фиксировать. Очевидно, что от компании этот процесс потребует назначения ответственного сотрудника или даже создания подразделения со всей соответствующей кадровой и административной нагрузкой. При этом возможность выноса документа из архива уже несет риски доступа к нему третьих лиц. Поэтому лучше отдать все документы на хранение на аутсорсинг, потому как принципы хранения профессиональных архивов обеспечивают не просто долгосрочную сохранность документов, но и разграниченный доступ к данным в соответствии с функционалом конкретного сотрудника, и полностью исключают доступ третьих лиц к просмотру документов. Наряду с этим любой документ может быть оперативно доставлен собственной курьерской службой по запросу. Однако бумажный носитель может понадобиться в исключительных случаях, если перед передачей в архивное хранилище оцифровать документы и загрузить их в систему электронного архива — сотрудники продолжат работу уже со скан-образами документов.

Также перед передачей в архив важно провести экспертизу ценности документов. В ходе нее определяются сроки хранения, и часть документов уже может быть направлена на уничтожение, поскольку срок хранения уже истёк. Это не только позволит соответствовать требованиям законодательства, но и уменьшит количество документов под управлением и, следственно, нагрузку на обеспечение информационной безопасности.

Внедряем электронный архив с разграниченным доступом

Чтобы исключить риск попадания данных к третьим лицам, требуется разграничение доступа к документам как при хранении, так и при работе с ними. В этом случае, внедрение электронного архива предоставляет возможности настройки разных уровней функционального доступа строго в соответствии с должностными обязанностями сотрудника. Например, одним сотрудникам система позволяет скачивать, вносить изменения или пересылать документы из архива, другим сотрудникам может быть доступен только режим чтения, либо закрыт доступ к просмотру.

Электронный архив хранит цифровой след изменений — детальную историю работы каждого сотрудника с каждым документом. Даже открытие документа тем или иным сотрудником фиксируется. Если возникнет необходимость расследования преступных действий, то с помощью этой детальной истории отдел безопасности скорее примет меры по устранению действий, связанных с нарушением политик по информационной безопасности.

Конфиденциально утилизируем

Несмотря на то, что документы, которые появляются в компании, содержат данные разного уровня конфиденциальности, все они несут информацию о бизнес-процессах, поэтому важно не только грамотно их хранить и работать с ними, но и правильно утилизировать.

По истечении срока хранения документов составляется акт о выделении к уничтожению, а бумажные носители направляются на утилизацию. В соответствии с требованиями законодательства о защите информации (ФЗ № 152, ФЗ № 98, статья 957 ГК РФ, ФЗ №126 и проч.), документы должны быть уничтожены конфиденциально. В компаниях, специализирующихся на управлении электронным и бумажным документооборотом, конфиденциальное уничтожение обеспечивается рядом процедур. Утилизация документов производится промышленным шредером на 3-м уровне секретности и выше, что делает восстановление документов невозможным, а в центр уничтожения имеют допуск только те сотрудники, которые прошли соответствующее обучение и получили квалификацию. Такие компании также предоставляют услугу видеозаписи процесса уничтожения или обеспечивают личное присутствие клиента — так владелец данных получает абсолютную уверенность, что документы уничтожены безвозвратно. После шредирования измельченную бумагу направляют на вторичную переработку.

Также, каждый день в офисе так или иначе появляются новые документы. Для их защиты от несанкционированного доступа мы рекомендуем:

• ввести принцип «чистого стола» — в конце рабочего дня или недели каждый сотрудник должен приводить в порядок свой рабочий стол и освобождать его от бумажных документов;
• установить правило, согласно которому все документы, не направленные в архив, подлежат уничтожению. Важно, чтобы сотрудники не стояли перед выбором, считать ли тот или иной документ важным, будь то это распечатанная презентация с правками от руки, график работы на выходные или драфт договора. Это позволит избежать скопления бумаг, которые лежат «на всякий случай», а значит, убережет их от возможного просмотра третьими лицами;
• полностью убрать из-под рабочих мест мусорные ведра, оставив их только в бытовых точках — так вы исключите возможность попадания документов на свалки вместе с бытовыми отходами;
• желательно отказаться и от тумбочек. Часто именно они являются местом, где сотрудники хранят и скапливают документы, содержащие чувствительные данные;
• для сбора документов дня рекомендуем поставить в офисе специальные контейнеры, которые предоставляют компании по управлению электронными и бумажными документами. Контейнеры опломбированы изначально, в таком виде их вывозят для конфиденциального уничтожения содержимого. Измельченную бумагу направляют на вторичную переработку. Кстати, переработка одного такого контейнера сохраняет 1 дерево, помогает уменьшить углеродный след компании и влияние на экологическую обстановку в целом.

Перечисленные меры позволят усилить информационную безопасность компании. Благодаря внеофисному хранению документов, разграничению функционального доступа к данным и конфиденциальному уничтожению, возможность доступа несанкционированных лиц будет сведена к минимуму на каждом этапе жизненного цикла документа.