ADG Оставить заявку
Блог Информационная безопасность 5 мин чтения

Коммерческая тайна и разграничение доступа: когда юрист приходит к айтишникам

Юрист принёс список документов под коммерческую тайну и спросил, как технически ограничить доступ. Выстроили иерархию папок с правами через доменные группы - доступ стал обоснованным и проверяемым.

Контекст момента

режим коммерческой тайны требует технически обоснованного разграничения доступа

Юрист пришёл в пятницу после обеда. Принёс два листа А4, на которых было перечислено всё, что компания решила отнести к коммерческой тайне: клиентская база, прайс-листы с реальными ценами, договоры с поставщиками, финансовая отчётность, условия кредитных линий. Список составляли не с потолка - около года назад вышел закон о коммерческой тайне, и юрист хотел, чтобы всё было оформлено как положено.

Вопрос был простой: «Как технически сделать так, чтобы к этому имели доступ только те, кому положено?»

Мы попросили три дня.

Сначала - инвентаризация, а не сразу настройки

Первый вопрос, который мы задали: где эти документы сейчас физически лежат? Ответ оказался, как почти всегда в таких случаях, не очень приятным. Часть - на файловом сервере в общей папке, куда имеют доступ все сотрудники. Часть - на локальных машинах у бухгалтера и коммерческого директора. Часть - в почтовых ящиках, разбросанная по переписке. Несколько договоров оказались вообще на компьютере секретаря, которая их когда-то распечатывала.

Это нормальная ситуация: до введения режима коммерческой тайны никто специально не думал о том, где что лежит. Документы расползались по инфраструктуре органически - туда, где удобнее.

Мы составили карту: какие категории данных, где хранятся, кто сейчас физически имеет к ним доступ. И только после этого сели обсуждать с юристом и руководством, кому доступ нужен, а кому - нет.

Структура папок как первый слой

Файловый сервер уже работал в домене. Это упрощало задачу: права можно было выдавать не персонально каждому пользователю, а через группы Active Directory.

Мы создали отдельную ветку в иерархии папок - Confidential - и внутри неё разделили по категориям:

  • Clients - клиентская база и история сделок
  • Finance - отчётность, кредитные документы, банковские выписки
  • Contracts - договоры с поставщиками и партнёрами
  • Pricing - внутренние прайс-листы с реальными ценами

На каждую папку - своя доменная группа. Группа называется по смыслу: grp-confidential-finance, grp-confidential-clients и так далее. В группу добавляются конкретные пользователи, которым нужен доступ к этой категории.

Права на корневую папку Confidential - только чтение для нескольких топ-менеджеров и ИТ-администратора. Права на подпапки - через соответствующие группы. Наследование прав от родительских папок - отключено там, где оно мешало бы логике.

Общая сетевая папка, куда раньше всё сваливалось, осталась - просто документы из списка юриста из неё убрали и перенесли в правильное место.

Что оказалось сложнее, чем выглядело

Первое - согласование матрицы доступа. Технически настроить папки заняло часа три. Но прежде чем это делать, пришлось потратить почти день на обсуждение с руководством: кто именно должен видеть клиентскую базу? Все менеджеры или только старшие? Финансовый директор нужен в группе contracts или нет? Юрист - в finance? Эти вопросы оказались неочевидными, потому что раньше никто над ними не думал - «ну, Маша разберётся, она всё равно всё знает».

Второе - локальные копии. Часть документов лежала на локальных машинах. С этим мы ничего не могли сделать технически, не ломая рабочий процесс. Договорились на уровне регламента: локальные копии не хранить, всё - только через сервер. Выполнение - на совести сотрудников, мы честно сказали об этом юристу.

Третье - почта. Договоры в переписке - это отдельная история. NTFS-правами на Exchange-ящики не наложишь так же удобно. Договорились, что договоры в переписке не являются «оригиналами» в смысле режима тайны, оригинал - файл на сервере. Юрист согласился.

Четвёртое - аудит. Настроили логирование доступа к папкам Confidential - кто, когда, какой файл открывал или копировал. Это важно не только для безопасности, но и для соответствия требованиям: если когда-нибудь возникнет вопрос «а докажите, что вы ограничивали доступ», - журнал аудита это и есть доказательство.

Чем это отличается от «просто папок»

До этого у клиента тоже были папки на файловом сервере. Технически разница небольшая - те же NTFS-права, та же Active Directory. Но раньше всё это складывалось стихийно: папку создавали, права давали «ну, закрой от всех, кроме бухгалтерии», через полгода бухгалтерия расширялась, кто-то добавлял ещё одного человека, забывая убрать уволившегося. Права накапливались как технический долг.

Теперь у каждой папки есть группа, у группы есть владелец по бизнесу (тот самый руководитель, который отвечает за данные), и любое изменение прав идёт через изменение состава группы - с документированием. Это не сложнее, просто требует дисциплины.

Доступ к данным перестал быть «на доверии» - стал обоснованным и проверяемым. Не «Петров должен иметь доступ, потому что он опытный менеджер», а «Петров в группе grp-confidential-clients, потому что работает с клиентами категории А, решение принято 27.09.2005».

Про то, что аудит доступа помогает не только после инцидента, но и до него, мы уже писали - там была похожая ситуация с флешками. Та же логика: не ждать, пока что-то утечёт, а сделать так, чтобы было видно, если что-то пойдёт не так.

Если нужно разобраться, что у вас сейчас открыто кому не надо - аудит прав доступа даёт ответ систематически, а не по памяти ответственных сотрудников.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.