Деректер классификациясы және құжат белгілері: 60 күндік модель
Деректерді классификациялау мен құжат белгілері: деңгейлерді, рөлдерді және ыңғайлы UX-ты қалай таңдау, Microsoft Purview пен баламаларды салыстыру және 60 күн ішінде нәтижені тексеру.

Белгілерді не үшін енгіземіз және қандай мәселелерді шешкіміз келеді
Компанияда жүйе жоқ болса, деректерді классификациялау болжамға айналады. Бір бөлім келісімшарттарды ретсіз сақтайды, екіншісі «қолайсыздықтан» қолжетімділіктерді береді, үшіншісі файлдарды тексерусіз поштаға жібереді. Тәуекелдер инцидент пайда болғанша жымысқы түрде жиналады.
Метка бірнеше практикалық мәселені шешеді.
Біріншіден, ағып кету ықтималдығын азайтады: жеке немесе қаржылық деректері бар құжат оны қалай өңдеу керектігін көрсетеді.
Екіншіден, қолжетімділікті ретке келтіруге көмектеседі. Файлдың айқын деңгейі болғанда сақтау, жіберу және басып шығару ережелерін орнату оңайырақ.
Үшіншіден, қарапайым қателер әсерін азайтады: «қате адамға жіберді», «қате папкаға салды», «пароль қоюды ұмытты», «мердігерге ескі нұсқасын жіберді».
Қарапайым мысал: қызметкер ИИН мен жалақысы жазылған есеп дайындап, «келісім үшін» жалпы чатқа жібереді. Егер құжатта «Конфиденциально: персональные данные» меткасымен болса, жүйе қауіп туралы ескерту көрсетуі немесе сыртқа жіберуді шектеуі мүмкін. Ақпараттық қауіпсіздік қызметі қай жерде осындай файлдар сақталатынын және олар қалай қозғалғанын көре алады.
Жеңіс — «бәрі бәрін белгілей салды» емес, өлшенетін өзгерістер: ережелер азаяды, олар түсінікті және адамдар нақты пайдалана бастайды. 60 күн ішінде қолмен жасалатын қателер азаюын және қызметкерлердің подсказкасыз және дауларсыз метка қою көрсеткішінің өсуін күтуге болады.
60 күндік жоба шекараларын алдын ала белгілеу пайдалы. Осы уақытта әдетте 3–5 жеңіл атаулы деңгей келісіліп, маркировка 1–2 негізгі сценарийде (мысалы, пошта және офис файлдары) қосылып, бір функцияда пилот іске қосылып, базалық бақылау мен есеп беру бапталуға үлгереді.
Ал мына нәрселерді кейінге қалдыру жақсы: барлық жүйелерді бірден қамту талпынысы, ондаған исключенияны нәзік баптау және барлық көздерде «тамаша» автокласификация енгізу.
Бастау мақсатты командалар мен құжаттардан логичнее: қатенің бағасы жоғары жерлер — қаржы, заң бөлімі, HR, сатып алулар, жобалық кеңселер және клиенттер мен пациенттер деректерін өңдейтін бөлімдер. Регуляциясы бар ұйымдарда (мемлекеттік сектор, банктер, медицина, білім) әсер жылдам байқалады: қолжетімділік пен сақтау талаптары тіркелген, бірақ олар құралдарда ыңғайлы ережелермен бекітілмеген.
Құжат белгілері жай тілмен: бұл не және қалай жұмыс істейді
Құжат меткасы — файлға немесе хатқа тағайындалатын түсінікті атау, жүйеге оны қалай өңдеу керектігін көрсету үшін. Мысалы: «Публично», «Внутренне», «Конфиденциально», «Строго конфиденциально». Метка ағылуы жүйенің мінез-құлқын өзгерткенде ғана мәнге ие болады, жай ғана жазу болып қалмауы керек.
Ұқсас терминдер жиі шатастырылады. Оларды былай бөлу ыңғайлы:
- Классификация — ақпарат қай деңгейге жататынын шешу (мәні мен тәуекеліне қарай).
- Метка — нақты файлға, хатқа немесе хабарламаға бекітілген таңдалған деңгей.
- Саясат — сол меткаға сәйкес жүйе не істеуі керек (мысалы, сыртқа жіберуге бола ма).
- Шифрлау — мазмұнды тек рұқсат етілген адамдар аша алатын деңгейде қорғау.
- DLP (ағып кетуді алдын алу) — деректерді жіберу әрекеттерін бақылау, блоктау немесе ескерту.
Метка нақты жұмыс барысында қай жерде «өмір сүреді»: офис файлдарында, пошталарда, ортақ жұмыста — құжат жіберілгенде, ортақ кеңістікке ашылғанда, үзінді көшірілгенде. Жақсы метка мазмұнмен бірге «саяхаттап» тұруы керек және күнделікті әрекеттерде жоғалмауы қажет.
Бөлу әдістері: қолмен және автоматты. Қолмен — қызметкер өзі метка таңдайды (жүйе ұсына білдірсе және шешу көп уақыт алмайтын болса идеалды). Автоматты — жүйе белгі қояды немесе ұсынады: құжат түрі, шаблон, ИИН/келісім нөмірі бар-жоғы, кілт сөздер, медия мәліметтері және т.б. негізінде.
Мысалы: бухгалтер мердігерге есеп жібереді. Егер есеп «Внутренне» деп белгіленсе, саясат сыртқы поштаға жібергенде ескерту көрсете алады. «Строго конфиденциально» болса — жіберуді тыйып, шифрлауды қосуға болады. Сол кезде метка формализм емес, қауіпсіздік пен басқару құралына айналады.
Метка моделін қалай таңдау: деңгейлер, атаулар, логика
Жақсы модель бір қарапайым ережеге негізделеді: қызметкер бірнеше секунд ішінде метканы таңдайды және дерлік ешқашан таңдауында күмәндамайды. Меткалар тым көп немесе атаулары ұқсас болса, адамдар «қайсы да біреуін» қоя бастайды, бәрі формализмге айналады.
Бастау үшін әдетте 3–5 деңгей жеткілікті. Аз болса — тәуекелдерді айыра білу қиын, көп болса — есте сақтау және қолдану ауыр.
Ең түсінікті вариант — «баспалдақ» ашықтан сезімталға дейін.
Мысал, қысқа таныстырылымда оңай түсіндірілетін:
- Публично (компаниядан тыс жариялауға болады)
- Внутренне (қызметкерлер мен келісімшарт бойынша мердігерлер үшін)
- Конфиденциально (шектеулі топ үшін, зиян келтіру ықтималдығы бар)
- Строго конфиденциально (салмақты: қаржы, жеке деректер, негізгі жобалар)
Атауларды «канцелярия» емес, адамға жақын етіп таңдаңыз. «Внутренне» «Для служебного пользования»-нан түсінікті. Әр метканың сипаттамасында екі сұраққа қысқа жауап қалдырыңыз: «Кімге жіберуге болады?» және «Не тыйым салынған?». Бұл көп сұрақтарды жояды.
Деңгейді көтеру/төмендету ережелерін алдын ала белгілеңіз. Практикада қауіпсіз жақты сақтаған дұрыс: көтеруді кез келген автор жасай алады (күдіктенсе — көтерсін), ал төмендетуді тек құжат иесі немесе белгіленген роль (мысалы, бөлімдегі деректер иесі) тексергеннен кейін ғана жасауға болады. Төмендету жазылып қалуы тиіс: кім, қашан, не себепті.
Шаблондар мәселесін бөлек реттеңіз: типтік келісімшарттар, шот-фактуралар, коммерциялық ұсыныстар, клиенттерге арналған хаттар. Егер файлдардың елеулі бөлігі шаблоннан жасалса, бастапқыда сол жерде метка қою орынды және оны өзгертуге кеңес беру керек.
Регулятор талаптары мен ішкі саясаттарды 1–2 ең қатаң деңгейге «ендіру» пайдалы, әр заңға немесе бөлімге жеке метка табу орнына. Мысалы, жеке және қаржылық деректер әрдайым «Конфиденциально»-дан төмен болмайды деп бекітуге болады, ал ерекшеліктер сирек жағдайда рәсімделсін.
Егер сіз реттелетін салаларда (мемлекеттік органдар, қаржы, денсаулық сақтау) жұмыс істесеңіз, модельді пилотқа шығармас бұрын ИБ және юристермен келісу пайдалы. Интеграторлар сияқты GSE.kz жиі осындай тексеруді жылдам өткізуге көмектеседі, артық деңгейлер мен күрделі формулировкаларсыз.
Рөлдер мен жауапкершілік: кім не үшін жауапты
Метка тек онда ғана жұмыс істейді, егер шешім қабылдайтын және күнделікті жүйені қолдайтын адамдар анық болса. Әйтпесе жоба бөлімдер арасындағы дау мен ұзақ хат алмасуға айналады.
Негізгі рөлдер және олардың жауап аймақтары
Көбіне 5–6 роль жеткілікті, бірақ шекаралары айқын болуы керек.
Деректер иесі (data owner) бизнесте ақпараттың қаншалықты сезімтал екенін және кімге қажет екенін шешеді. ИБ қорғаныс талаптарын қояды (шифрлау, сыртқа жіберуді шектеу, ортақ қолжетімділікті бақылау) және ережелердің орындалатын болуын бақылайды. ИТ құралдарды (мысалы, Microsoft Purview немесе балама), шаблондарды, саясаттарды және интеграцияларды баптайды және жүйенің тұрақтылығы үшін жауап береді.
Юристер келісім шарттық шектеулер, жеке деректер және сақтау мерзімдері маңызды болатын жерлерде көмектеседі. HR оқытуға жауапты және жаңа қызметкерлер осы ережелерді бірінші күннен бастап түсінуін қамтамасыз етеді. Бизнес-кураторлар (бағыт немесе жобалар жетекшілері) бөлімдер ішінде «өз меткаларының» пайда болмауын бақылайды.
Оқшаулауды жеңілдету үшін қарапайым схема бекітіңіз:
- Модельді бекітеді: ИБ және заңдық блок, финалдық шешімді тәуекел/ИБ бойынша жетекші немесе мандатталған комитет қабылдайды.
- Меткалардың мәнін анықтайды: бизнес-дегі деректер иелері.
- Техникалық енгізу және қолдау: ИТ.
- Оқыту және еске салу: HR және ИБ.
- Өзгерістерді бастайды: кез келген деректер иесі қарапайым өтініш арқылы.
Даулы жағдайдарды кім шешеді
Дауды «екінші сызыққа» қалдыру дұрыс: әр чатта талқылаудың орнына. Типтік мысалдар: тендер құжаттамасы, медициналық мәліметтер, қаржылық есеп, клиент және қызметкер деректері.
Жұмыс практикасында: бірінші сызық (қызметкер немесе жетекші) қысқа ереже бойынша метканы таңдайды. Күдіктенсе — деректер иесіне эскалациялайды. Егер деректер иесі шешім қабылдай алмаса — ИБ пен юристердің жұбы (кейде қаржы директоры қаржы құжаттары үшін) шешеді.
Сценарий: команда мемлекеттік сатып алу үшін пакет дайындайды. Кей файлдар серіктеске көрсетілуі мүмкін, кейбіреулері баға мен шарттарды қамтиды. Деректер иесі алдын ала не «Внутренне», не «Конфиденциально» екенін сипаттайды. ИБ осы деңгейлерге сыртқа жіберуді шектеулер мен шифрлау талаптарын байлайды.
Қызметкерлерге қолдау: қайда жазып, қанша күту керек
Қолдау болмаса, адамдар меткаларды болжаммен қояды немесе оларға жол бермейді.
Бір арнаны жасаңыз (мысалы, сервис-деск) және жауап мерзімдерін келісіңіз: қарапайым сұраққа жұмыс күні ішінде жылдам жауап, ИБ мен юристерді тексеру қажет болған күрделі әрекеттер — 2–3 жұмыс күнінде. ИТ қысқа нұсқаулықтар жасайды, ИБ мен деректер иелері мысалдар базасын толықтырады: «мердігермен келісім», «тексеру нәтижелері», «жалақы ведомостары», «жоба құжаттамасы».
Егер филиалдарыңыз болса, бөлімдерде локалды «чемпиондарды» тағайындаңыз. Бұл орталыққа жүктемені азайтады және ережелерді шынайы жұмыспен жақындатады.
Қызметкерлерге арналған UX: меткалар жұмысқа кедергі болмауы үшін
Метка жобаларында UX көбіне теориядан маңыздырақ. Қызметкер әр жолы қай батырманы басатынын болжай алмауы және қателесуден қорықуы керек емес. Аз таңдау, көп айқындық деген қағида жақсы жұмыс істейді.
Бірінші ереже: бір адам көретін меткалар жиынтығын қысқарту. 10 деңгей болса да, көпшілік рөлдерге 3–4 нұсқа жеткілікті. Қалғанын ережелер мен исключенияда сақтау интерфейске шығармаған жөн.
Подсказкалар: қашан және неліктен метка таңдау керек
Метка адам шешім қабылдап жатқан сәтте пайда болуы тиіс: шаблон бойынша құжат жасағанда, файл сақтағанда, хат жібергенде немесе файлды ортақ папкаға салғанда.
Подсказка екі сұраққа қысқа түрде жауап беруі керек: «бұл нені өзгертеді» және «неге маған оны көрсетеді». Жақсы подсказка қысқа: «Құжатта ИИН және қызметкер деректері бар. Ұсынылады: Конфиденциально (персональные данные)». Жаман подсказка — саясат үзінділері бар ұзын мәтін.
Әдепкі және автоподсказкаларды шудан қорғау
Көп мәселелерді ақылға сай әдепкі мәндер шешеді. Мысалы, HR үшін әдепкі метка «Внутренне» немесе «Конфиденциально», маркетинг үшін «Публично» немесе «Внутренне». Сол сияқты құжат түрлеріне: келісімшарт, шот, медицина картасы, іскер хат.
Автоматты разметка үшін «көмекші» тәсілін қолданыңыз:
- Қатер бар жерлерде міндетті емес, автотұжырымдау форматында ұсыну.
- Сезімтал деңгейлер үшін сенімділік шегін жоғары қою.
- «Неге?» батырмасы қысқа түсініктеме (1–2 себеп).
- Екі басудан метканы түзету мүмкіндігі, өтінішсіз.
- Шаблондар мен жүйелік құжаттар үшін исключения, қажетсіз тұрақты пайда болатын терезелердің алдын алу.
Мысал: бухгалтер контрагентпен келісімшартты сақтайды, жүйе «Конфиденциально (қаржы)» ұсынады және себеп көрсетеді: табылды — ИИН/БИН және есеп шоты нөмірі. Егер бұл шынайы деректерсіз черновик болса, қызметкер «Внутренне»-ні таңдайды және сіз жүйені донастройка үшін сигнал аласыз.
Егер қызметкер метканы «тек есеп үшін» қойылған деп есептесе, ол бірінші келетінді қояды. Егер метка жіберуді болдырмауға, қолжетімділікті шектеуге және ағып кетуді болдырмауға көмектессе — ол әдетке айналады.
60 күнге қадамдық енгізу жоспары
60 күн — жүйелі минимум. Қарапайым метка моделін шектеулі құжаттар топтамасында іске қосқан әлдеқайда тиімді, ұзақ таластардан гөрі.
1–2 апталар: дайындық және ережелер жобасы
Бірінші аптада инвентаризация жасаңыз: қандай дерек түрлері бар (келісімшарттар, шоттар, жеке деректер, техдокументация, хат алмасу), қайда орналасқан (пошта, желілік папкалар, SharePoint/файл сервисі), кім иесі. Деректер иелерімен 6–10 қысқа 20 минуттық сұхбат жүргізіңіз. Сұрақ қарапайым: ең жиі қандай құжаттар «қате жерге» кетеді немесе қай жерде қызметкерлер қатеден қорқады?
Екінші аптаның мақсаты — 2–3 маңызды сценарийге арналған метка моделі мен ережелердің жобасын жасау. Мысалы: сыртқа адресаттарға жіберу, ортақ қолжетімділікке қою, ішкі пересылка. Атаулар 30 беттік саясатсыз түсінікті болуы керек.
3–8 апта: пилот, оқыту, масштабтау
3–4 апта пилотқа арналады — сезімтал құжаттар көп функцияда (әдетте қаржы немесе HR). 20–30 эталондық құжат таңдап, оларға қай метка қою керектігін келісіңіз. Пилот теория емес, мінез-құлықты тексереді: қай жерде адамдар шатасады, қай ереже тапсырманы орындауға кедергі келтіреді.
5 апта — қысқа оқыту. Бір үлкен вебинар орнына 3–4 сессия бойынша 25 минут және нақты кейстерге арналған жадынамалар: «мердігерге шот жіберу», «резюмені жетекшіге жіберу», «аудитор үшін есеп шығару». Бір арна сұрақтар үшін қосыңыз.
6–7 апта — 2–3 бөлімге кеңейту және исключенияларды баптау. Исключения сирек және құжатталған болуы керек, әйтпесе олар норманы алмастырады. Мысалы, сатып алулар бөлімінде жиі мердігерлермен файл алмасу болады, сондықтан сыртқа жіберуге түсінікті шарттар керек.
8 апта — жұмыс істейтінін бекітіңіз және келесі толқынды рәсімдеңіз.
60-күнге дейін пайдалы болу үшін: қарапайым метка моделі, 2–3 тексерілген ереже, 1 беттік нұсқаулықтар, исключениялар және олардың иелері тізімі болуы керек. Қосу ретінде — кім өзгерістерді бекітеді, кім оқытуды қамтамасыз етеді және кім кері байланысты қабылдайтыны туралы келісім. Сонымен қатар келесі қадамдарға жоспар: қай деректер типтері мен бөлімдерді кейін енгізесіз, пилот қорытындысы бойынша не жақсартасыз.
Microsoft Purview және баламалар: көп теориясыз салыстыру
Microsoft Purview көбіне Microsoft 365 экожүйесі барда таңдалады: құжаттар, пошта және бірлескен жұмыс үшін бірегей саясат қажет болса. Сонда меткалар, DLP ережелері және есептер бір жерде болады, пайдаланушыларға екінші интерфейске үйренудің қажеті аз болады.
Purview-ты баламалардан салыстырғанда тәжірибеге назар аударыңыз: белгілер қай жерде қолданылатын болады және кім оларды қолдайды. Шешім негізгі арналарды жабуы және прогресті қадағалау үшін түсінікті есептер беруі маңызды.
Алдымен салыстыруға жататындар:
- Арналардың қамтуы: пошта, файл сақтау, ортақ папкалар, бұлт және гибрид сценарийлері.
- Интеграциялар: офис қосымшалары, мобильді құрылғылар, құжат айналымы жүйелері, IAM/AD, SIEM.
- Қызметкерлер үшін ыңғайлылық: метка қою қаншалықты жеңіл, подсказкалар қалай көрсетіледі, қате болғанда не болады.
- Есептер мен аудит: кім қай жерде меткаларды қолданады, қанша бұзушылық, қай бөлімдер «құлағаны» көрінеді ме.
- Әкімші жұмысы: кім ережелерді өзгертеді, исключения қалай жұмыс істейді, техникалық қолдау қанша уақыт алады.
Таңдау критерийлерін «60 күнде бізге не қажет» ретінде құрастырыңыз, функциялар тізімі емес. Көбіне жеңімпаз — ең қуатты емес, тез іске қосылып, сіздің командаңыздың күшімен ұстай алатын құрал болады. Қосымшада иелену шығындарын да есептеңіз: лицензия, енгізу, оқыту, қолдау және әкімшілердің уақыты.
Бір вендорға тәуелді болмас үшін алдымен қағазда ережелерді сипаттаңыз: метка деңгейлері, кім тағайындайды, қандай салдарлар (шифрлау, сыртқа жіберуге тыйым, су таңбалары), қай жерлерде автокласификация міндетті. Содан кейін құрал осы ережелерді орындауы керек, ережелерді ойлап шығармау үшін емес.
Сатып алудан бұрын пилотта 5 сценарий бойынша тексеріңіз:
- Қызметкер «Внутренне» құжат жасап, оны сыртқа жібергісі келеді.
- Жеке деректері бар қаржы файлы ортақ ресурсқа түсіп, автоматты түрде метка алуы тиіс.
- Қызметкер деңгейді төмендетпекші және жүйе себебін түсіндіріп, әрекетті тіркеуі керек.
- Жоба үшін жетекші исключение сұрайды — оны қалай рәсімдеп, бақылауға алатыныңызды тексеріңіз.
- ИБ апта сайын есеп алады, қайдан және нені түзету керек екенін анық көрсететін.
Егер Қазақстанда жұмыс істейтін болсаңыз және комплаенс талаптары мен корпоративтік инфрақұрылымға интеграция көп болса, жүйелі интеграторды тарту орынды: олар нақты деректеріңіз бен процестеріңіз бойынша опцияларды салыстырып береді, жарнамалық материалдарға емес.
60 күннен кейін тексерілетін көрсеткіштер
Пилоттан 60 күн өткенде қайтадан пікір емес, қайталанатын сандар көрсету маңызды. Microsoft Purview және ұқсас жүйелерде есептер бар, егер сіз алдын ала ережелерді келісіп, логтауды қоссаңыз.
Алдымен қарапайымнан бастаңыз: тек пилоттық командалар және таңдалған сақтау орындары (мысалы, пошта және OneDrive/SharePoint немесе желілік папкалар). Солай сіз әр кезеңде бірдей нәрсені салыстырасыз.
Басшылық үшін 5 сан (және 90 күндегі тексеру үшін)
-
Охват маркировки: пилоттағы кез келген меткамен белгіленген құжаттар/хаттардың үлесі. Формула: белгіленгендер / барлық құжаттар (немесе кезеңдегі өзгертілгендер). 60 күнге нақты мақсат — белсенді командалар үшін 60–80%.
-
Меткалардың сапасы: барлық белгіленгендердің ішіндегі түзетулер (төмендетулер/көтерулер) қатынасы. Әр түзетуді кім жасағанын бөлек жазып отырыңыз: қызметкер, жетекші, админ. Егер түзетулер 10–15%-дан көп болса, атаулар немесе подсказкалар түсініксіз болуы ықтимал.
-
Еске салғышсыз мінез-құлық: құжатты жасаған/жөнелткен сәтте метканы таңдайтын пайдаланушылар үлесі. Практикалық прокси: аптасына кемінде 5 рет метка қолданған пайдаланушылар саны.
-
Тәуекел және алдын алу: саясаттың іске қосылу саны (блоктау, ескерту, негіздеме сұрау) және нақты инциденттер саны (қате жіберілді, «барлығына» қолжетімділік берілді, деректер шығарылды). «Саясат іске қосылды» мен «зиян болды» айырмашылығын сақтаңыз.
-
Процестің тұрақтылығы: меткаға қатысты сұраққа орташа жауап уақыты (мысалы, «неге блокталды?») және 100 пайдаланушыға шаққанда қолдау сұраулары саны. Бұл меткалау әдетке айналғанын көрсетеді ме, әлде мазалайтындай ма екенін білдіреді.
Сандар адал болсын деп, қателердің типтік себептерін алдын ала тіркеңіз: «Внутренне» мен «Конфиденциально»-ны шатастыру, әдепкі метка сәйкес келмей кейін түзетіледі, метканың сыртқа жіберумен байланысы түсініксіз, кей материалдар бақылаудағы сақтау орындарында емес екенін ескеріңіз.
1 беттік есепті қалай дайындау
Алдымен жоғарыдағылардан 5 көрсеткішті жинап, «30 күн vs 60 күн» салыстыруын қосыңыз және әр көрсеткіш үшін бір тұжырым: UX-те не өзгертеміз, ережелерде не өзгертеміз, не сол күйінде қалды. Осылай есепті 90 күнде қайталап, динамиканы көруге болады.
Жиі қателер және тұзақтар
Ең көп кездесетін мәселе — әдемі схема жасап, соңында ешкім не қою керектігін түсінбейтін жағдай.
Қате 1: деңгейлер тым көп және атаулары түсініксіз
8–12 деңгей және «Уровень 3B» немесе «Внутренний расширенный» сияқтылар болса, адамдар болжам жасайды. Кей құжаттар ең қатал деңгейге қойылады «сақтану үшін», ал бір бөлігі меткасыз қалады.
Практикалық түрде 3–4 деңгейден бастау оңай: «Публично», «Внутренне», «Конфиденциально», «Строго конфиденциально». Атауы әрекетті ескертсін: сыртқа жіберуге бола ма, ортақ сақтау, кім көрсете алады.
Қате 2: барлық деректерді бірден қамтуды мақсат ету
«Барлығын белгілеу» жобасы әдетте толықтай тоқтайды. 2–3 приоритетті ағынды таңдау жақсы: келісімшарттар мен шоттар, кадрлық құжаттар, коммерциялық ұсыныстар. Мемсектор мен медицинада жеке деректер бар құжаттарды бөлек қараған жөн.
Таралуға жол бермеу үшін фильтр қолданыңыз: не жиі ағылып кетеді немесе қате жіберіледі; регулятор үшін маңызды; күнделікті жасалады және шынайы белгіленуі мүмкін; пайдасын тез көрсетуге болатын орындар.
Қате 3: деректер иелері мен дау шешушілер жоқ
Егер негізгі құжат түрлері үшін деректер иесі тағайындалмаса, дау шешілмей қалады. Қызметкерлер «ешкім шешпейді» екенін түсініп, меткаларды дейін тағайындай бастайды.
Минимум: деректер иесі, ИБ өкілі және процесті білетін бизнес өкілі. Олар «қай метка дұрыс?» деген сұраққа қанша күнде жауап беретінін келісуі керек.
Қате 4: жазалау әуені
Егер коммуникация «қателессең — жазаланады» сияқты болса, адамдар ережелерді айналып өтуге тырысады: файлдарды жеке мессенджерлерде жіберу, қайта ат қою, скриншот жасау, жүйеден тыс көшіру. Қолдау және нақты подсказкалар беру тиімдірек.
Қате 5: жаңарту процесі жоқ, меткалар ескірген
Триместрден кейін процестер өзгереді, жаңа шаблондар пайда болады, жүйелер енгізіледі, және модель өмірден қалуы мүмкін. Бастапқыдан 4–8 аптада бір қысқа кездесуді бекітіңіз: не қосамыз, не шегереміз, не қайта атаймыз. Бұл кейін жобаға қайта қараудан арзанға түседі.
Қысқа чек-лист және келесі қадамдар
Жоба басталғанда модель тек әдемі ғана емес, нақты пошта мен файлдарда жұмыс істейтінін тексеру маңызды.
Жылдам дайындық чек-листі
- Модель қарапайым болуы керек. Деңгейлер айқын ажыратылатын және қайталанбайтын болсын. Қызметкер жиі екі деңгей арасында ұзақ таңдайтын болса, атауларды немесе ережелерді оңайлатуыңыз қажет.
- Рөлдерді тексеріңіз. Әр дерек категориясының иесі болуы тиіс және олар маркировка ережелері мен исключениясы үшін жауапты. Қателік болса қайда жазу керектігі бірден анық болуы керек.
- UX күнделікті жұмысқа сай болуын тексеріңіз. Типтік файлдар үшін әдепкі метка, 1–2 сөйлемдік қысқа подсказка және нәтижелер логикасы (сыртқа жіберуге бола ма, шифрлау керек пе) қажет.
- Пилотты «жергілікті» тексеріңіз. Абстрактілі «бәрі» орнына 5–7 нақты сценарий таңдаңыз: мердігермен келісімшарт, шот, HR анықтамасы, клиентке арналған презентация, CRM-ден шығарма, регуляторға есеп.
- 60 күнге метрикаларды тексеруге мүмкіндік беріңіз: меткаланған құжаттар үлесі, түзетулер мөлшері, қолдауға жазылулар саны, меткалауға кеткен уақыт, қате жіберу инциденттері, оқытумен қамтылғандар үлесі.
Келесі қадамдар
-
Пилотқа соңғы метка және ережелер нұсқасын келісіңіз (3–5 метка, «зоопарксыз»).
-
Деректер иелері мен исключения процесін бекітіңіз: кім метканы қоя алады және қандай жағдайларда.
-
Сыртқа файл алмасу мен нақты пайдасы бар бір–екі топта пилот бастаңыз (мысалы, қаржы және сатып алулар).
-
2 аптадан кейін кері байланыс жинап, кедергі келтіретін нәрселерді түзетіңіз: метка атаулары, подсказкалар, автопайдалану баптары, оқыту.
Егер Microsoft Purview-ты баптау немесе альтернативаларды таңдау, пилотты оқыту және сүйемелдеуді қажет етсе, интегратормен жұмыс істеу жиі ыңғайлы болады. Мысалы, GSE.kz (gse.kz) Қазақстандағы өндіруші және жүйелік интегратор ретінде метка моделін нақты процестермен ұштастырып, саясаттар мен есептерді 60 күнде өлшенетіндей етіп баптауға көмектеседі.
FAQ
Компанияларға қашан құжат белгілері шын қажет, ал қашан бұл артық бюрократия?
Метка енгізуді мына кезде бастаңыз: бірдей қателер қайталана береді — файлдар қате адресатқа жіберіледі, қолжетімділіктер «сақталу үшін» беріледі, жалпы қалталарға қажетсіз материал түседі, және ИБ қай жерде сезімтал деректер жатқанын жылдам анықтай алмайды. Меткалар жүйеге және адамдарға құжатпен қалай жұмыс істеуге болатынын көрсететін қарапайым сигнал береді және ондаған қолмен ережелерсіз нақты шектеулер енгізуге мүмкіндік жасайды.
Класификация, метка және саясат арасында қандай айырмашылық бар?
Класификация — ақпараттың мәні мен тәуекеліне қарай қай деңгейге жататынын анықтау. Метка — сол деңгейдің нақты файлға немесе хатқа бекітілген нұсқасы. Саясат — сол меткаға қойылатын әдеттегі әрекеттер: ескерту, сыртқа жіберуді тыйымды енгізу, шифрлау талап ету немесе аудит жазбасын қалдыру.
Бастапқыда қанша деңгей жасау керек және қандай атаулар жақсырақ?
Бастау үшін әдетте 3–5 деңгей жеткілікті, сонда қызметкер секундтар ішінде таңдай алады. Ең жұмысшы жиынтық — «Публично», «Внутренне», «Конфиденциально», «Строго конфиденциально». Егер деңгейлер көп және атаулар ұқсас болса, адамдар бірінші келгенді қойып, сапа тез түсе бастайды.
Белгіні нақты құжатқа қалай жылдам таңдау керек?
Екі сұраққа негізделіңіз, олар подсказкада қысқа әрі анық болуы тиіс: «Кімге жіберуге болады?» және «Не тыйым салынады?». Егер құжатта қызметкерлердің немесе клиенттердің жеке деректері, қаржылық мәліметтер, коммерциялық шарттар, бағалар, есепшот реквизиттері немесе негізгі жобаларға қатысты материалдар болса — кем дегенде «Конфиденциально» қою керек. Шүбәсіз болсаңыз, қауіпсіз жаққа көтеріңіз де кейін деректер иесінен нақтылаңыз.
Деңгейді кім көтеріп, кім төмендетуі керек, хаос болмас үшін?
Көбіне деңгейді төмендетуді тек құжат иесі немесе алдын ала белгіленген роль тексергеннен кейін ғана жасау керек, ал көтеруді автор кез келген уақытта жасай алады. Төмендету тіркеліп отыруы тиіс: кім, қашан және қандай себеппен өзгертті — осылайша қорғаныс әлсіремей қалады әрі инциденттер кезінде түсініктеме бар болады.
Меткалар жүйесі шын жұмыс істеуі үшін қандай рөлдер қажет?
Минимум үш тірек қажет: бизнес-дәрежедегі деректер иесі (мағынасы мен қолжетімдігін анықтайды), ИБ (қорғаныс талаптарын қояды және бақылауды қамтамасыз етеді), ИТ (құралдарды баптайды және тұрақтылық үшін жауап береді). Юристер жеке деректер мен шарттық шектеулерге қатысады, ал HR қызметкерлерді енгізу мен қысқа оқыту үшін жауапты болады. Рөлдер бекітілмесе, даулы жағдайлар шексіз чаттарда шешіледі.
UX-ты қалай баптау керек, меткалар жұмысқа кедергі жасамасын?
Метка қызметкер үшін сол сәтте көрініп, адам шешім қабылдайтын сәтте шығуы тиіс: шаблоннан құжат жасағанда, файл сақтағанда, хат жібергенде немесе файлды ортақ папкаға қойған кезде. Әдепкі мәндер бөлімдер мен құжат түрлеріне сәйкестендірілген болуы керек, ал подсказкалар қысқа әрі себеп көрсететін болсын. Егер меткалар жиі пайда болып, пайдасыз болса, қызметкерлер оларды елемеуге немесе айналып өтуге тырысады.
60 күн ішінде шектелмей не іске қосуға болады?
Реалистік минимум — бір пилот контур және 1–2 негізгі сценарий, мысалы пошта мен офис файлдары. 60 күнде әдетте 3–5 деңгейді келісіп, бір бөлімде пилотты іске қосып, сыртқа жіберу мен ортақ жетімділікке базалық шектеулерді қоюға және алғашқы есептерді жинауға болады. «Барлығын бірден қамтимыз» деген ұран жобаны созып жібереді және исключения санын көбейтеді.
Microsoft Purview пен баламаларды қалай тиянақты салыстыру керек?
Функциялар санына емес, құжаттар қай жерде «тіршілік ететініне» және адамдар оларды қалай бөлісетіндеріне қараңыз. Негізгі арналарды (пошта, офис қосымшалары, сақтау орындары) қолдай алатын, түсінікті есептер беретін және әкімшілік жағынан қолайлы шешімді таңдау маңызды. Егер сізде Microsoft 365 бар болса, Purview меткалар мен DLP үшін жиі ыңғайлы шешім болады; аралас инфрақұрылымда баламаларды нақты пилот сценарийлері бойынша салыстырыңыз.
60 күннен кейін прогресті қандай көрсеткіштермен бағалауға болады?
Пилот командалар мен таңдалған сақтау орындары үшін өлшенетін нәрселерден бастаңыз: метка салынған құжат/хат үлесі, меткаларды түзетулер пайызы, ескерту/блоктау іске қосу саны, шынайы жіберу қатесі және қолдау жүктемесі мен реакция уақыты. Егер түзетулер тым көп болса — атаулар немесе подсказкалар түсініксіз немес әдепкі мәндер сәйкес емес. Жақсы нәтиже — ережелер оңайлап, қателер азайып, қызметкерлер көбіне метканы даулыраусыз өздері қоя алатын деңгейге жету.