Коммерческая тайна и разграничение доступа: когда юрист приходит к айтишникам
Юрист принёс список документов под коммерческую тайну и спросил, как технически ограничить доступ. Выстроили иерархию папок с правами через доменные группы - доступ стал обоснованным и проверяемым.
режим коммерческой тайны требует технически обоснованного разграничения доступа
Юрист пришёл в пятницу после обеда. Принёс два листа А4, на которых было перечислено всё, что компания решила отнести к коммерческой тайне: клиентская база, прайс-листы с реальными ценами, договоры с поставщиками, финансовая отчётность, условия кредитных линий. Список составляли не с потолка - около года назад вышел закон о коммерческой тайне, и юрист хотел, чтобы всё было оформлено как положено.
Вопрос был простой: «Как технически сделать так, чтобы к этому имели доступ только те, кому положено?»
Мы попросили три дня.
Сначала - инвентаризация, а не сразу настройки
Первый вопрос, который мы задали: где эти документы сейчас физически лежат? Ответ оказался, как почти всегда в таких случаях, не очень приятным. Часть - на файловом сервере в общей папке, куда имеют доступ все сотрудники. Часть - на локальных машинах у бухгалтера и коммерческого директора. Часть - в почтовых ящиках, разбросанная по переписке. Несколько договоров оказались вообще на компьютере секретаря, которая их когда-то распечатывала.
Это нормальная ситуация: до введения режима коммерческой тайны никто специально не думал о том, где что лежит. Документы расползались по инфраструктуре органически - туда, где удобнее.
Мы составили карту: какие категории данных, где хранятся, кто сейчас физически имеет к ним доступ. И только после этого сели обсуждать с юристом и руководством, кому доступ нужен, а кому - нет.
Структура папок как первый слой
Файловый сервер уже работал в домене. Это упрощало задачу: права можно было выдавать не персонально каждому пользователю, а через группы Active Directory.
Мы создали отдельную ветку в иерархии папок - Confidential - и внутри неё разделили по категориям:
Clients- клиентская база и история сделокFinance- отчётность, кредитные документы, банковские выпискиContracts- договоры с поставщиками и партнёрамиPricing- внутренние прайс-листы с реальными ценами
На каждую папку - своя доменная группа. Группа называется по смыслу: grp-confidential-finance, grp-confidential-clients и так далее. В группу добавляются конкретные пользователи, которым нужен доступ к этой категории.
Права на корневую папку Confidential - только чтение для нескольких топ-менеджеров и ИТ-администратора. Права на подпапки - через соответствующие группы. Наследование прав от родительских папок - отключено там, где оно мешало бы логике.
Общая сетевая папка, куда раньше всё сваливалось, осталась - просто документы из списка юриста из неё убрали и перенесли в правильное место.
Что оказалось сложнее, чем выглядело
Первое - согласование матрицы доступа. Технически настроить папки заняло часа три. Но прежде чем это делать, пришлось потратить почти день на обсуждение с руководством: кто именно должен видеть клиентскую базу? Все менеджеры или только старшие? Финансовый директор нужен в группе contracts или нет? Юрист - в finance? Эти вопросы оказались неочевидными, потому что раньше никто над ними не думал - «ну, Маша разберётся, она всё равно всё знает».
Второе - локальные копии. Часть документов лежала на локальных машинах. С этим мы ничего не могли сделать технически, не ломая рабочий процесс. Договорились на уровне регламента: локальные копии не хранить, всё - только через сервер. Выполнение - на совести сотрудников, мы честно сказали об этом юристу.
Третье - почта. Договоры в переписке - это отдельная история. NTFS-правами на Exchange-ящики не наложишь так же удобно. Договорились, что договоры в переписке не являются «оригиналами» в смысле режима тайны, оригинал - файл на сервере. Юрист согласился.
Четвёртое - аудит. Настроили логирование доступа к папкам Confidential - кто, когда, какой файл открывал или копировал. Это важно не только для безопасности, но и для соответствия требованиям: если когда-нибудь возникнет вопрос «а докажите, что вы ограничивали доступ», - журнал аудита это и есть доказательство.
Чем это отличается от «просто папок»
До этого у клиента тоже были папки на файловом сервере. Технически разница небольшая - те же NTFS-права, та же Active Directory. Но раньше всё это складывалось стихийно: папку создавали, права давали «ну, закрой от всех, кроме бухгалтерии», через полгода бухгалтерия расширялась, кто-то добавлял ещё одного человека, забывая убрать уволившегося. Права накапливались как технический долг.
Теперь у каждой папки есть группа, у группы есть владелец по бизнесу (тот самый руководитель, который отвечает за данные), и любое изменение прав идёт через изменение состава группы - с документированием. Это не сложнее, просто требует дисциплины.
Доступ к данным перестал быть «на доверии» - стал обоснованным и проверяемым. Не «Петров должен иметь доступ, потому что он опытный менеджер», а «Петров в группе grp-confidential-clients, потому что работает с клиентами категории А, решение принято 27.09.2005».
Про то, что аудит доступа помогает не только после инцидента, но и до него, мы уже писали - там была похожая ситуация с флешками. Та же логика: не ждать, пока что-то утечёт, а сделать так, чтобы было видно, если что-то пойдёт не так.
Если нужно разобраться, что у вас сейчас открыто кому не надо - аудит прав доступа даёт ответ систематически, а не по памяти ответственных сотрудников.
- Контроль USB-устройств: как закрыть флешки и не парализовать работу · 19 мая 2005
- SLA-договор на сопровождение: как мы его написали · 14 декабря 2004