Последствия неправильного хранения
Беспечное обращение с конфиденциальными данными и документами может привести к их утечке.
Важно понимать, что доступ к конфиденциальным рабочим данным у вас есть потому, что вы — сотрудник этой организации. Если данные выйдут за пределы компании, с помощью этих сведений можно будет нанести ей или вашим коллегам прямой или косвенный ущерб.
При этом существует огромное количество способов сделать конфиденциальные данные публичными из-за неправильного их хранения.
Например, документ можно:
-
потерять вместе с USB-накопителем или другим незащищенным устройством, на котором он хранится;
-
разместить в облачном хранилище и случайно отправить ссылку не тому адресату;
-
хранить на компьютере в незашифрованном виде — и потерять в результате взлома.
Если в чужие руки попадут данные ваших клиентов, под ударом может оказаться одновременно и их бизнес, и деловая репутация вашей компании.
Ответственность за утечку конфиденциальных данных могут возложить на вас, даже если вы не знали об их конфиденциальности.
Храните конфиденциальные данные так, чтобы у неё не было шансов попасть в чужие руки
Основной закон хранения конфиденциальной информации
Если вы попробуете найти в интернете общие правила хранения конфиденциальной информации, вас ждёт разочарование. В разных странах мира существует множество законов, где оговариваются определённые аспекты этой темы. Например, в США можно опираться на «Руководство по защите конфиденциальной информации и персональных данных» Национального института стандартов и технологий. В России значимым (но не единственным!) документом является Федеральный закон «Об информации, информационных технологиях и о защите информации».
Законов, затрагивающих вопрос конфиденциальности, огромное множество, но в полной мере владеют ими только специалисты с юридической подготовкой. А в дополнение к ним каждая компания устанавливает свои собственные правила. Иногда они прописаны в качестве кодекса, иногда устно оговорены руководителем или ответственными за безопасность.
Именно из этого и выводится постулат: при хранении и передаче конфиденциальной информации в первую очередь руководствуйтесь внутренними правилами компании. Если они не прописаны в явном виде, поговорите на эту тему с руководителем или службой безопасности.
А если правил нет?
Действительно, корпоративные правила хранения информации есть не в каждой компании. А иногда они есть, но оговорено в них далеко не все.
В таком случае следует соблюдать несколько общих правил, которые позволяют минимизировать риск утечки конфиденциальных данных.
Как нельзя хранить конфиденциальную информацию
Есть три основных правила.Правило 1. Ни при каких обстоятельствах не храните конфиденциальные данные на ресурсах, доступ к которым возможен без пароля.
Например, если вы храните информацию в «облаке», вы должны исключить возможность прямого доступа к ней по ссылке. Если ссылка попадёт в чужие руки, информация может оказаться у тех, кому она не предназначена. В том числе — в руках конкурентов или злоумышленников.
Иначе говоря, если кто-то хочет получить доступ к конфиденциальной информации, он должен ввести пароль. Который вы ему сообщите, если посчитаете необходимым.
Правило 2. Не храните конфиденциальные данные на носителях, которые легко потерять:
-
на USB-накопителях;
-
на картах памяти;
-
на мобильных устройствах
и так далее.
Если для рабочих целей и с разрешения ответственных за безопасность необходимо временно сохранить данные на смартфоне или планшете, убедитесь, что:
-
данные хранятся во встроенной памяти, а не на SD-карте;
-
устройство заблокировано и защищено надёжным паролем или графическим ключом;
-
на устройстве настроено ПО поиска и администрирования, и в случае кражи вы можете удалённо стереть с него все данные;
-
устройство зашифровано с помощью специального приложения.
Правило 3. Никогда не храните конфиденциальную информацию в местах, не предназначенных для хранения информации как таковой.
Например, многие сохраняют данные в папке «Отправленные» электронной почты или в сообщениях мессенджера социальной сети. Так делать нельзя. Независимо от степени защиты почтового ящика или уровня шифрования мессенджера эти инструменты не предназначены для хранения важных данных — они подвержены частым взломам.
Если вы пересылаете конфиденциальные данные по электронной почте, обязательно удаляйте письмо из папки «Отправленные».
Как следует хранить конфиденциальную информацию
А теперь перечислим три общих правила хранения конфиденциальной информации.
Правило 1. Сохраняя файл, содержащий конфиденциальную информацию, всегда защищайте его паролем независимо от места хранения.
Речь идёт не только об устройствах, которые могут находиться вне офиса (например, о ноутбуке), но даже о корпоративных облачных сервисах, доступ к которым можно получить только с помощью рабочего компьютера с подключённым токеном.
Для защиты можно использовать функции программ или сервисов, а если их нет, — запароленный архив. Помните, что пароль должен удовлетворять правилам создания надёжных паролей.
Правило 2. Не создавайте копии документов с конфиденциальной информацией без необходимости.
Создавая копию, вы подвергаете документ с секретными данными дополнительной опасности: в таком случае защищать от утечки придётся уже два файла.
Если вам нужен документ схожего вида, не используйте оригинал в качестве шаблона. Потратьте немного времени и создайте отдельный шаблон, в котором не будет никаких следов прежних конфиденциальных данных или истории их изменений.
Правило 3. Если документ, содержащий конфиденциальную информацию, вам больше никогда не понадобится — удалите его.
При этом нужно в обязательном порядке удалять документы надёжным способом. Помните, что если вы просто нажмете клавишу Delete или выберете пункт меню «Удалить», то документ попадёт в «Корзину», где будет храниться ещё некоторое время. Не забывайте очищать «Корзину» сразу после удаления или используйте сочетание клавиш Shift+Delete для окончательного стирания файлов. А ещё лучше — используйте специальные утилиты.
Какие способы хранения электронных конфиденциальных данных допустимы
В принципе, регламент компании, где вы работаете, может разрешать (или не запрещать) любые способы хранения — вплоть до общедоступных папок на корпоративном сервере. Поэтому при выборе способа хранения руководствуйтесь как сводом правил, так и общими правилами безопасности:
- Одобренные ответственными за безопасность компании облачные хранилища.
Это может быть корпоративное «облако», разработанное специально для вашей компании, а может быть, например, Google Диск, Dropbox или другой известный сервис, который ваша компания проанализировала и признала достаточно безопасным. - Жёсткий диск вашего рабочего компьютера.
При этом он должнен быть защищён паролем, а у вас должна быть возможность удалённого доступа к информации, в том числе — её удаления на расстоянии. Также могут потребоваться дополнительные меры защиты, например, шифрование диска. - Другие способы, оговоренные корпоративными правилами вашей компании и одобренные ответственными за безопасность.
Вывод
- При хранении конфиденциальной информации в первую очередь следует руководствоваться внутренними правилами компании.
Мы надеемся, что вы будете правильно хранить конфиденциальные документы, и они никогда не попадут в чужие руки из-за вашей невнимательности.