Теперь и в «цифре». Как DCAP-системы выполнят новые задачи по защите информации ДСП

Из-за роста числа киберугроз, в том числе утечек данных, обеспечение информационной безопасности стало задачей государственного уровня. Власти предпринимают меры, чтобы компании и госучреждения усиливали ИБ. Так, в марте 2025 года был опубликован проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 3 ноября 1994 г. № 1233». Новый документ стандартизирует обработку и защиту служебной информации ограниченного распространения (далее — для служебного пользования, ДСП) во всех организациях госсектора.

Разберем, как теперь должна защищаться такая информация в «цифре». И объясним, как в этом помогут решения класса DCAP на примере «СёрчИнформ FileAuditor».

Защита документов ДСП по-новому

Информация ДСП — несекретные сведения о деятельности организации, которые, однако, не должны распространяться. Это продиктовано служебной необходимостью. Новое постановление уравнивает требования к бумажной и «цифровой» информации ДСП и вводит новые:

Документы ДСП в электронной форме нужно учитывать и помечать. Должно быть известно, сколько файлов с информацией ограниченного распространения обрабатывается в организации. На них должна быть пометка «Для служебного пользования». Работать с такой информацией необходимо в системах, которые соответствуют требованиям ФСТЭК по безопасности.  Пересылать документы ДСП следует с помощью систем ЭДО или других защищенных каналов связи. Защищать цифровые документы ДСП следует в соответствии с 17-м Приказом ФСТЭК. В нем указаны конкретные ИБ-меры: разграничение доступа к информации, управление выгрузкой файлов на машинные носители, контроль целостности данных, применение ограничений к вводу и модификации информации, разграничение доступа и другие.

Эти меры защищают от самых частых ИБ-угроз, связанных с действиями сотрудников:

утеря или удаление защищаемой информации; ошибочная публикация защищаемой информации; сохранение дубликатов и устаревших версий документов ДСП в сетевых папках и на устройствах сотрудников; избыточные доступы к защищаемой информации; хранение документов ДСП вне систем ЭДО и корпоративных сетевых папок.

Как на практике выполнить новые требования и защитить информацию ДСП

Выполнить постановление помогут системы класса DCAP (Data-Centric Audit and Protection). Эти решения созданы для поиска, классификации и защиты файлов. Позволяют организовать правильное хранение данных и создать сценарии безопасной работы с ними. Исключить риск ошибочной публикации, удаления или утери важных файлов. С помощью DCAP «СёрчИнформ FileAuditor» ИБ-специалист:

1. Найдет и промаркирует цифровые документы ДСП

Система найдет и промаркирует все файлы с информацией ограниченного распространения, где бы они ни находились, — на рабочих ПК сотрудников, файловых, почтовых и FTP-серверах и т. д. Работает это так:

ИБ-специалист создает правило классификации. Это инструкции для системы: какие файловые хранилища просканировать, какие файлы считать документами ДСП и в каких форматах они должны быть. Например, можно настроить автоматическое добавление метки «ДСП» на файлы формата .docx на ПК сотрудников и если в них присутствуют слова «для служебного пользования».

Рис 1. Правило классификации данных «СёрчИнформ FileAuditor»

Далее система проводит аудит выбранных хранилищ, находит нужные типы файлов, вычитывает их содержимое и, если обнаруживает заданные слова, автоматически присваивает файлу метку. Метки показывают в интерфейсе DCAP, какие файлы подпадают под правила классификации, установленные ИБ-специалистом.

Так в системе будут видны все цифровые документы ДСП. Это касается и отсканированных файлов. Все благодаря встроенной OCR-системе: она извлекает текст из PDF, JPEG, PNG и других нетекстовых форматов.

Рис. 2. Интерфейс «СёрчИнформ FileAuditor» с найденными «цифровыми» ДСП

2. Разграничит доступ к цифровым документам ДСП и организует их хранение на защищенных ресурсах организации согласно корпоративным правилам

«СёрчИнформ FileAuditor» автоматически вычитывает пользовательские права доступа к файлам и позволяет выявить их несоответствие установленным в организации правилам. Система показывает, какие файлы и папки доступны сотрудникам и группам, отслеживает общедоступные директории, учетные записи пользователей с полными правами на файл и т. д.

По результатам аудита в системе можно изменить права на доступ к выбранным файлам и папкам. Например, ИБ-специалист сможет закрыть доступ в папку с ДСП для подрядчиков или стажеров, которые работают в инфраструктуре организации. Сотрудникам, которым информация ДСП нужна только для ознакомления, разрешить только чтение, а изменение и удаление файлов с ДСП — запретить. Это позволит организовать безопасное хранение цифровых документов ДСП. А следить, чтобы все оставалось в неизменном виде, поможет готовая интеграция с Active Directory. ИБ-специалист всегда будет в курсе, если администраторы попытаются перенастроить пользовательские права доступа.

FileAuditor позволяет надежнее разграничить доступ благодаря блокировкам по меткам. Обычные запреты могут «сбиться», если файл с ДСП переместят, переименуют, сменят расширение. Но метки привязываются к конфиденциальному контенту. Если настроить блокировку по ним, сотрудник, не имеющий доступа, не сможет открыть файл, пока внутри есть запрещенная для него информация. Кроме того, блокировки FileAuditor не связаны с правами пользователей в операционной системе. Это значит, что пользователь даже с правами администратора не откроет недоступный ему файл.

3. Защитит цифровые документы ДСП от утечек и исключит их бесконтрольное перемещение

ИБ-политики «СёрчИнформ FileAuditor» позволяют ИБ-специалисту разграничить доступ к цифровым документам ДСП и организовать безопасную работу с ними. Механизм тот же, что при разграничении прав по меткам. ИБ-специалист создает политику безопасности: разрешает или запрещает выбранному процессу (explorer.exe, telegram.exe и т. д.) взаимодействовать с файлами, на которых находится определенная метка, для заданных ПК и пользователей.

Например, если ИБ-специалист установит запрет на взаимодействие chrome.exe с файлом, имеющим метку «Для служебного пользования», то пользователь не сможет загрузить его в браузер. Или не сможет загрузить файл в облако, отправить в почтовом клиенте или приложении мессенджера, если выбраны соответствующие процессы. Таким образом, DCAP защищает цифровые ДСП от утечки, бесконтрольной выгрузки или пересылки пользователям без доступа.

4. Исключит утрату или порчу цифровых документов ДСП

FileAuditor хранит заданное количество предыдущих версий файлов. ИБ-специалист может восстановить цифровые документы ДСП в случае их порчи, удаления или модификации. Или просмотреть историю файла, чтобы узнать:

кто его создал; как менялись права доступа к файлу; сколько редакций у файла было и какие изменения были в каждой из них.

5. Пометит свежесозданные цифровые документы ДСП

Если сотрудник создаст файл с информацией ДСП, то его потребуется пометить «Для служебного пользования». Это можно сделать без привлечения ИБ-специалиста при помощи графических меток FileAuditor, видимых на документе.

Во-первых, система позволяет сотрудникам проставить графическую метку из интерфейса офисной программы или по правому клику на файл, выбрав соответствующую опцию из выпадающего меню. После этого файл будет помечен: в теле документа появятся колонтитулы или водяные знаки с соответствующим текстом, а на иконке — цветная метка.

Рис.3. Результат проставления ручной метки классификации

Во-вторых, программа может поставить графическую метку сама, если сотрудники по какой-то причине этого не сделали. Если ранее автоматическая классификация FileAuditor определила, что внутри файла контент ДСП, то видимая метка появится в следующий раз, когда кто-нибудь откроет документ.

Система перепроверяет корректность проставления видимых меток, чтобы сотрудники не нарушали правила работы с информацией ДСП. Например, если сотрудник поставит графическую метку «Общедоступно» в файл с информацией ДСП и попробует сохранить его, то FileAuditor уведомит пользователя о том, что метка не соответствует контенту файла и не позволит его сохранить.

Изменения в защите информации ДСП — часть общего тренда в ИБ

Новый проект постановления о защите информации ДСП появился в рамках общего тренда на усиление защиты данных в госсекторе. Как и Приказ ФСТЭК № 117, и введение обязанности взаимодействовать с ГосСОПКА для госорганизаций. В перспективе следует ожидать дополнительных требований и рекомендаций.

Системы класса DCAP помогают выполнить новые задачи — найти и защитить цифровые документы ДСП. А также закрыть более широкий спектр задач, установленных регуляторами — разобрали их в памятке. Попробовать функционал DCAP-системы «СёрчИнформ FileAuditor» можно бесплатно на 30 дней.