2025 ж. 27 қаз.·7 мин

Қазақстандағы корпоративтік жүйелерде жеке деректерді қорғау

Қазақстандағы корпоративтік жүйелерде жеке деректерді қорғау: деректерді жіктеу, рұқсаттарды орнату, журналдау және резервтік көшірмелерді сенімді сақтау бойынша практикалық кеңестер.

Қазақстандағы корпоративтік жүйелерде жеке деректерді қорғау

Мәселе қайдан басталады: компанияда жеке деректер қайда сақталады

Жеке деректер сирек бір жерде ғана жиналады. Олар компанияға ыңғайлы жерде пайда болады: кадрлық файлдарда, есеп жүйелерінде, поштада, мессенджерлерде және ортақ папкаларда. «Бәрі жұмыс істеп тұр» болғанда бұл қалыпты көрінуі мүмкін. Мәселе — қай көшірме өзекті екенін және кімнің оған қолы барын ешкім білмей қалған сәттен басталады.

Көбінесе корпоративтік жүйелерде аты-жөні, ЖСН, телефондар, мекенжайлар, құжат деректері, жалақы мен ауруханаға қатысты мәліметтер, сондай-ақ төлем реквизиттері сақталады. Кейбір компаниялар үшін клиент деректері: шарттар, өтініштер, шағым тарихы, қоңырау жазбалары қосылады.

Қауіп әдетте «хакерлерден» емес, қызметкерлердің әдеттерінен пайда болады. Біреу Excel-ге тізім шығарып, өзінше жеке поштаға жіберіп, әріптесіне чатта жүктеп немесе жұмыс үстеліне сақтап қояды. Кейін файл «қауіпсіздік үшін» ортақ папкаға түсе береді, ал оған қолжетімділік сол қалпында қалады.

Көшірмелер және экспорттар әдетте бірдей орындарға таралады: ортақ желілік дискілер мен бөлім папкалары, пошта тіркемелері, жергілікті компьютерлер мен флешка, жеке бұлт есептік жазбалары, тесттік базалар және уақытша есептер.

Бір адамның бәріне жауап беруі дұрыс емес. ИТ жүйелер мен рұқсаттарды басқарады, ақпараттық қауіпсіздік — ереже мен бақылауды, HR — кадрлық деректерді, заңгерлер талаптар мен келісімдерді. Бұл бәрі жұмыс істейтін тек бір процесс иесі болғанда ғана тиімді болады: кім қандай деректер жинайтынын, қайда сақтайтынын, кімге рұқсат берілетінін және оны қаншалықты жылдам алып тастауды шешетін адам.

Деректер картасы: нақты не қорғау керек және қайда сақталған

Деректер картасынан бастаңыз: қай деректер бар, қайда жиналады және кім жауапты — қысқа тізім. Мұндай карта болмаса, HR жүйесіндегі «ресми» өрістерді қорғап отырсаңыз да, түйіндеменің көшірмелері, кандидаттармен хат алмасу және ортақ папкалар туралы ұмытып кетуге болады.

Күнделікті жұмыста ЖСН мен паспорттан басқа да жеке деректер болуы мүмкін: аты-жөні, телефон, мекенжай, жеке пошта, фото, қоңырау жазбалары, пропуск деректері, IP-адрес және кейде «Аты-жөні + лауазымы + жалақы» сияқты комбинациялар.

Барлығына бірдей қатал ережелерді қолданбау үшін деректерді сезімталдыққа қарай бөлу пайдалы. Мысалы:

  • Негізгі: клиенттер мен қызметкерлердің контактілері, телефон тізімдері, шарт бойынша байланыс тұлғалары.
  • Кадрлық: анкеталар, түйіндемелер, бұйрықтар, ауруханалар, қатысу есебі, бағалау және тәртіпке қатысты құжаттар.
  • Қаржылық: жалақылар, банктік реквизиттер, салық құжаттары, тұлғаға қатысты шоттар мен төлемдер.
  • Медицина: анықтамалар, медициналық тексерулер, ДМС деректері (бар болса).

Сосын жүйелер бойынша өтіңіз: пошта мен тіркемелер, 1С/ERP, CRM, сервис-деск, файл серверлері мен желілік папкалар, бұлт дискілері, бэкаптар, тесттік базалар және есептер үшін жасалған экспорттар. Әр нүктеде деректер иесін тағайындаңыз. Бұл ИТ емес, бизнес жауапты болуы керек (мысалы, кадрлар — кадрлық үшін, қаржы директоры — жалақы үшін, сату басшысы — CRM үшін). Иесі кімге және не үшін рұқсат берілетінін шешеді, ал ИТ құқықтарды орнатып, ережелерді орындауға көмектеседі.

Деректер мен рөлдерді бөлу: жұмыс істейтін қарапайым модель

Компанияда барлығы «бәрін көреді» болса, ешқандай нұсқаулық көмектеспейді. Қазақстандағы корпоративтік жүйелердегі жеке деректерді қорғау үшін көп жағдайда келесі принцип жеткілікті: рұқсат тек күнделікті жұмыс үшін қажет адамдарға және тек қажет деректерге беріледі.

Адамдарға жеке құқықтар беру орнына рөлдерді сипаттау практичнее. Рөл лауазымға, бөлімге және типтік тапсырмаларға байланады. Сол кезде қызметкер ауысса немесе демалысқа шықса, құқықтар қолмен еске түсірілместен рөлмен бірге өзгереді.

Бастапқы рөлдер

Көп компанияда тәртіп орнату үшін 4–6 рөл жеткілікті:

  • Кадрлар: анкета және құжаттарға қатынасы, жалақыға қатынасы жоқ.
  • Бухгалтерия/есеп: есептеулер мен төлемдерге қатынасы, артық құжаттар скандарына қатынасы шектеулі.
  • Бөлім басшысы: өз командасының деректерін көру, бірақ «бүкіл базаны» жүктемеу.
  • Қауіпсіздік/комплаенс: сұраныспен және негізін тіркеп алу арқылы қатынасы.
  • ИТ-администратор: жүйені басқару, бірақ жеке деректер мазмұнын оқу құқығы жоқ.

ИТ-тың «суперпайдаланушыға» айналмауы үшін техникалық құқықтарды (баптаулар, есептік жазбалар, бэкаптар) және бизнес-қатынасты (карточкаларды қарау, есептер) бөліңіз. Сезімтал әрекеттер үшін бөлек әкімші тіркелгілерін және кеңейтілген құқықтарды бергенде «екі жұп көз» қағидатын қолданыңыз.

Тағы бір маңызды мәселе — контурлар. Тест ортасы жұмыс ортасынан бөлінуі керек, және тестке шынайы аты-жөні, ЖСН және контактілер түспеуі тиіс. Интеграцияны тексеру қажет болса, дараланған немесе шектеулі экспорттарды пайдаланыңыз.

Мысалы: филиалда кадршы тек өз филиалының деректерін көреді, бухгалтерия — тек есептеулерді, ал әкімші қызметті қайта іске қосып, қол жеткізуді қалпына келтіре алады, бірақ қызметкер карточкасын аша алмайды. Мұндай бөлу бір есептік жазбаның бұзылуы кезінде де деректердің ағуын азайтады.

Қолжетімділікті қалай орнату: түсінікті ережелер және өміршең процесс

Қолжетімділіктер әдетте зұлым ойдан емес, тұрмыстық жағдайлардан «тарады»: қызметкер ауыстырылды, жоба аяқталды, құқықты алып тастауды ұмытып кетті. Сондықтан тек бір рет құқық орнату емес, күнделікті жұмыс істейтін қарапайым процессті бекіту маңызды.

Бірінші ереже: рұқсат «чаттағы өтініш бойынша» берілмейді, нақты келісу маршруты болуы керек. Әдетте деректер иесі (жүйеге немесе процеске жауапты бөлім басшысы) рұқсаттың шынымен қажет екенін растайды. ИТ немесе ИБ сұраныстың рөлге және деректер деңгейіне сай екенін тексереді және баптауды орындайды.

Тіркелетін минимум: кім сұрағаны, кімге берілгені, қандай ресурстарға, қандай мерзімге және кім бекіткен.

Процестің тұрақты болуы үшін оны кадрлық оқиғалармен байланыстырыңыз:

  • қабылдау: алғашқы апталарда рөлге сәйкес базалық құқықтар беріледі;
  • аудару: ескі құқықтар сол күні алынып, жаңа рөлге сай құқықтар беріледі;
  • жұмыстан босату: есептік жазба дереу бұғатталады, пошта, бұлт және мессенджерлерге қатынасы чеклист бойынша өшіріледі.

Екі факторлы аутентификация жоғары тәуекелді аймақтарда қажет: қашықтықтан қолжетімділік, пошта, VPN, әкімші панельдері, қаржылық жүйелер, ЖД бар базалар. Төмен тәуекелді ішкі жүйелер үшін қатты пароль және желі шектеулері кейде жеткілікті, сондықтан жұмысты артық күрделендірмеу керек.

Ерекше тәжірибе — жеке тіркелгілерді бөлу. Әкімшінің күнделікті пошта мен құжаттар үшін «қалыпты» тіркелгісі және әкімшілік тапсырмалар үшін бөлек админ тіркелгісі болуы керек. Бұл кездейсоқ зиянды әрекеттерден, фишингтен және шабуылшыға максималды құқықтарды беріп қоюдан қорғайды.

Қазақстандағы корпоративтік жүйелердегі жеке деректерді қорғауды бастасаңыз, қарапайымнан бастаңыз: рөлдер, келісу, мерзімдер және құқықтарды жүйелі тексеру (жылына емес, кем дегенде төрттен бір рет). Бұл сирек, үлкен тексерістерге қарағанда көбірек нәтиже береді.

Журналдау: пайдалы болатындай не жазу керек

Журналдау көп жерге «формальді түрде» қосылады, бірақ журнал бос немесе шудан толып кетеді. Негізгі мақсат — инцидент болғанда журналдан кім деректерге қол жеткізгенін, не істегенін және бұл қаншалықты кең екендігін анықтай алу. Бұл фактілерді талдауға көмектесетін ең практикалық құралдардың бірі.

Барлығын емес, тәуекелді арттыратын әрекеттерді жазып отырыңыз:

  • кірулер және сәтсіз кірулер (соның ішінде әкімші атынан);
  • жеке деректер карточкаларын/жазбаларын қарау;
  • экспорттар және жаппай операциялар (экспорт, баспа, есептер жасау);
  • рұқсаттар мен рөлдерді өзгерту;
  • маңызды өрістерді жою немесе өңдеу (ЖСН, контактілер, реквизиттер).

Әр жазба «кім, қашан, қайдан және не істеді» деген төрт сұраққа жауап беруі керек. Минималды өрістер: есептік жазба мен рөл, нақты уақыт, жүйе мен модуль, қайдан (компьютер, IP, филиал немесе желі сегменті), әрекет нысаны (қандай жазба не топ), нәтиже (сәтті/қате) және қысқаша себеп (мысалы, «тапсырыс бойынша»).

Журналдарды жою мүмкін болмауы тиіс. Оларға қатынасты әдетте ИБ және қауіпсіздік әкімшілеріне береді, бірақ жазбалар тіркелетін адамдарға емес. Журналдарды негізгі жүйеден бөлек сақтау және журналдауды өшіруге әрекеттенгенде хабарландыру қосу — жақсы тәжірибе.

Сақтау мерзімдері қарапайым логика бойынша анықталады: «тексеру үшін жеткілікті». Көбінесе операциялық тексерістер үшін 3–6 ай және филиалдар, жоғары төңкеріс немесе ұзақ ішкі тексерулер бар болса — 12 айға дейін сақтау ұсынылады. Мысалы, егер бухгалтерия квартал сайын экспорт жасаса, 3 ай журнал бұрынғы ұқсас операцияны көрсетпеуі мүмкін, ал жылдық журнал қайталануды және авторды көрсетеді.

Сақтау және алмасуды қорғау: шифрлау, файлдар және «күйеулі» арналар

Инфрақұрылымды 24/7 қолдау
Инфрақұрылымды қызмет көрсетуге алып, қауіпсіздік ережелерін жұмыс жағдайында ұстаймыз.
Қолдауды қосу

Көп утечкалар «взломнан» емес, күнделікті әрекеттерден болады: клиент тізімін ноутбукке шығарып, мессенджерге жіберіп, жеке бұлтқа «бір минутқа» сақтайды. Сондықтан үш аймақты жабу маңызды: құрылғылар, бэкаптар және файл алмасу.

ПК мен ноутбуктердегі диск шифрлауы жеке деректер болуы мүмкін экспорттар мен есептер болатын жерде қажет: бухгалтерия, кадрлар, колл-центр және іссапардағы менеджерлер. Құрылғы жоғалғанда немесе ұрланған жағдайда шифрлау кілтсіз деректерді қолданбайды.

Бэкаптар үшін ұқсас логика: шифрланбаған бэкап жиі «екінші базаға» айналып, ең толық деректерді сақтайды. Бэкаптарды шифрлаңыз және кілттерді көшірмелерден бөлек сақтаңыз. Кілттер мен бэкаптарға жауапты адамдарды анықтаңыз. Ереже: бір әкімші көшірмелерге де, кілттерге де бір өзі толық қолжетімді болмауы керек растама талап етілмейінше.

«Күйеулі» арналар

Жұмыс деректері жеке бұлттарға, жеке поштаға және жеке мессенджерлерге шықпау керек деген қарапайым ереже тез тиімді. Бірақ тек тыйымдар жеткіліксіз — адамдарға ыңғайлы «дұрыс жол» қажет, ол әдеттегі тәсілден күрделірек болмауы тиіс.

Екі апта ішінде енгізуге болатын минимум:

  • Файлдарға белгілер енгізіңіз: «ЖД», «ішкі», «қоғамдық».
  • «ЖД» белгіленген файлдарды рұқсат пен шифрланусыз сыртқа жіберуге тыйым салу.
  • Автоматты ережелер орнатыңыз: «ЖД» бар хабарламаны жіберерде ескерту, белгісіз бұлттарға жүктеуді блоктау.
  • «ЖД»-ны жұмыс үстеліне емес, анық құқықтары бар бір жерде сақтаңыз.
  • Уақытша экспорттар мен «Есеп_финал_шындығында.xlsx» тәрізді папкаларды жүйелі түрде тазалаңыз.

Филиалдарыңыз бен ортақ желіңіз болса, біртұтас тәсіл келісіңіз: деректер тек корпоративтік қызметтер арқылы өтсін, ал мердігерлерге шектеулі экспорттар жасалсын, базаға «қарау» емес.

Резервтік көшірмелер: қалай сақтау және тексеріп, қалпына келтіру

Дұрыс құқықтар мен шифрлауға қарамастан ақаулар мен инциденттер болады. Резервтік көшірмелер — сіздің сақтандыруыңыз: бэкап жасау ғана емес, тез қалпына келуді қамтамасыз ету маңызды.

Түсінікті ереже — 3-2-1. Бұл «жұмыс деректері мен көшірмелер бірден өшіп кетуі» қаупін азайтады:

  • 3 көшірме: жұмыс дерегі және кемінде екі резервтік көшірме.
  • 2 түрлі тасымалдаушы: мысалы, сервердегі репозиторий және бөлек диск/репозиторий.
  • 1 көшірме негізгі орнынан тыс: бөлек сайт немесе оқшауланған сақтау, әдеттегі желіден қолжетімсіз.

Содан соң көшірмелерді тағайындалуына қарай бөлу пайдалы. Жұмыс көшірмелері тез қалпына келтіру үшін, архивтік — сақтау талаптары мен тарихи тексерулер үшін, ал шифрлаушыдан қалпына келу үшін көшірмелер өзгермес немесе оқшауланған болуы тиіс.

Бэкап тексерусіз болса, оның болмауынан айырмашылығы аз. Қарапайым тәсіл: айына бір рет тесттік қалпына келтіру жүргізіп, нәтижені тіркеңіз — «көшірме бар» емес, «қалпына келтіріп, бәрі ашылады» нәтижесі маңызды.

  • 1–2 типтік жүйені/папканы (мысалы, кадрлық құжаттар және өтініштер базасы) қалпына келтіріп көріңіз.
  • бүтіндікті тексеріңіз: файлдар ашыла ма, база жүктеледі ме, даталар сәйкес келе ме.
  • қалпына келтіру уақытын өлшеңіз және бизнес үшін қабылданатын уақытпен салыстырыңыз.
  • не істелгенін және қандай қателер шыққанын жазып қойыңыз.

Қорытынды: бэкаптарға қатынас жұмыс деректерінен қаттырақ болуы тиіс. Оларға бөлек тіркелгілер тағайындаңыз, «ортақ» парольдерді тыйыңыз, және бэкаптармен жасалатын барлық әрекеттерді (жасау, жою, параметрлерді өзгерту, қалпына келтіру) журналдаңыз және жүйелі түрде қараңыз.

30 күндік іске асыру жоспары (күрделі жобаларсыз)

Шудысыз рұқсат беру
Жұмысқа қабылдау, аудару және жұмыстан босату кезінде рұқсаттарды басқару процесін орнатамыз.
Іске асыруды талқылау

Қазақстандағы корпоративтік жүйелерде жеке деректерді қорғауды бастау үшін айлық жоспардан бастаңыз. Бұл үлкен бюджет талап етпей, рұқсаттар, журналдар және бэкаптар бойынша тәртіп орнатады да ағымдағы тәуекелдерді тез төмендетеді.

30 күндік жоспар

  • Күн 1–3: жеке деректер кездесетін жүйелер тізімін жасаңыз (1С, CRM, кадрлық, пошта, файл сақтау, мессенджерлер). Әр жүйеге деректер иесін тағайындаңыз.
  • 1-апта: 5–7 типтік рөл мен олардың қажеттіліктерін сипаттаңыз. «Адам бойынша рұқсат» емес, «жұмыс бойынша рұқсат» етіңіз: бухгалтерия, HR, бөлім басшысы, колл-центр операторлары, ИТ-әкімші, қауіпсіздік қызметі.
  • 2-апта: негізгі жүйелердегі журналдауды қосыңыз. Кім және қалай оқиғаларды қарайтынын келісіңіз: күн сайын «қызыл жалаушаларға» қарау және апталық дауларды талдау.
  • 3-апта: 3-2-1 қағидаты бойынша резервтік көшіру орнатыңыз. Міндетті түрде таңдалған жүйеде тесттік қалпына келтіру жүргізіңіз, әйтпесе көшірмелер «өлген» болуы мүмкін.
  • 4-апта: қызметкерлерге қысқа оқу өткізіңіз. Негізгі мақсат — лекция емес, нақты ережелер: тізімдерді қайда сақтауға болады, файлдарды қалай жіберу керек, қалай белгілеу және утечка күдігі пайда болса не істеу керек.

Осыдан кейін процесті бекітіңіз: құқықтар тек өтінішпен және рөл бойынша беріледі, деректер иелері құқықтарды тоқсан сайын растайды. Филиалдары бар компанияларда тіркелгілер мен сервис қолжетімдігіне біртұтас тәсілді алдын ала келісіп алу пайдалы.

Егер сізде интегратор немесе ИТ мердігері бар (мысалы, серверлер мен инфрақұрылымды енгізу кезінде), олардан тек «әдепкі баптауларды» ғана емес, регламент пен қалпына келтіру тексерісін жасауға көмектесуін сұраңыз.

Қателіктер мен тұзақтар, олардың салдарынан утечкалар болады

Көбінесе ең жағымсыз утечкалар «хакерлерден» емес, ұсақ нәрселерден туындайды: рұқсат «уақытша» берілді және ұмытылды, ал деректер жылдар бойы ортақ папкаларда, экспорттар мен көшірмелерде қалады.

Бір басты тұзақ — «қажет болғанда» рұқсат беру. Қызметкерге біреу көмектеседі деп рұқсат берілгеннен кейін оны алып тастауды ұмытады. Алты айдан кейін ол басқа рөлде, бірақ рұқсат сақталған болады. Құқықтар жиі қайта қаралмаса, жүйе артық рұқсаттар қойылған складқа айналады.

Екінші жиі қате — бөлім немесе смена үшін бір ортақ тіркелгі. Ол ыңғайлы, бірақ деректерді кім нақты қарағанын анықтау мүмкін емес етеді. Сонымен қатар құпиясөз көп адамдарға белгілі болып, қызметкер кеткенде бірге кетіп қалады.

Журналдау да көбіне «есеп үшін» қосылып, бірақ маңызды оқиғалардың не екенін және кім реакция жасау керектігін ешкім білмейді. Нәтижесінде пайдалы іздер шудың ішінде қалады, ал маңызды сигналдар назардан тыс қалады.

Тағы бір тәуекел — бэкаптар. Егер бэкаптар негізгі деректермен бірге сақталса немесе барлық әкімшілерге ашық болса, утечка «барлығын бірден» жариялай алады. Көшірмелер жиі жұмыс жүйесінен көп деректер қамтиды және ұзақ сақталады.

Және тесттік базалар: әдеттегі сценарий — әзірлеушіге немесе мердігерге «жылдам тексеру» керек болады да шынайы деректер тестке көшіріледі. Содан кейін тесттік сервер қатаң ережесіз өмір сүріп, оған қатынастар кең болады.

Көптеген оқиғаларды жабатын тәжірибелер:

  • құқықтарды рөл және мерзім бойынша беру және лауазым ауысқанда міндетті түрде қайтару;
  • ортақ тіркелгілерді тыйу және жеке жауапкершілікті бекіту;
  • журналдар бойынша анық ескертпелер орнату (жаппай экспорттар, жұмыс уақытынан тыс кіру, сезімтал бөлімдерге қатынау);
  • бэкаптарға қатынасты бөлу және көшірмелерді жұмыс ортасынан бөлек сақтау;
  • тест үшін деректерді деидентификациялау немесе синтетикалық жиындар қолдану.

Егер компания критикалық деректерді өз серверлерінде ұстаса (мысалы, корпоративтік сервер бөлмесінде), бұл ережелерді ИТ ғана емес, кадрлық және операциялық процесстерде де бекіту қажет. Сонда утечкалар «оқиға» емес, басқарылатын тәуекелге айналады.

Жылдам чек-лист: қазір не тексеру керек

Жеке деректерді Қазақстандағы корпоративтік жүйелерде базалық қорғауға қаншалықты жақын екеніңізді тез бағалау үшін бірнеше жайтты тексеріңіз. Олар көбінесе утечкалардың себебі — ауыс-түйіс пен әдеттер.

  • ЖД бар жүйелердің түсінікті тізімі бар ма (HR, бухгалтерия, CRM, пошта, файл папкалары, мессенджерлер) және әр жүйеге жауапты иесі тағайындалған ба.
  • Рұқсаттар рөл бойынша беріледі (мысалы, кадршы, бухгалтер, бөлім басшысы), жеке түрде емес: «Петяға қосыңдар, Машаға алып тастаңыздар» деген емес. Рөл қысқа және нақты сипатталған: не қарап, не өзгертуге және не экспорттауға болады.
  • Жұмыстан шығару мен аударулар құқықтарды автоматты түрде кері шақыруды іске қосады ма: тіркелгі бұғатталады, токендер мен VPN ажыратылды, жалпы папкалардан қатынас алынды.
  • Маңызды әрекеттер үшін журналдау қосылған ба: кірістер, рұқсат беру, тізімдерді экспорттау, жаппай өзгерістер, жою. Логтар түзетусіз қорғалған және шектеулі адамдарға ғана қолжетімді.
  • Резервтік көшірмелер шифрланған, негізгі жүйеден бөлек сақталады және тұрақты түрде қалпына келтірумен тексеріледі (тек «көшірме бар» емес, «қалпына келтіріп, жұмыс істеді»).

Практикалық тест: филиал қызметкері клиент базасына «аптасына бір рет» қолжетімділік сұраса, рөл бойынша мерзімімен рұқсат бере аласыз ба, және журналдардан оның жаппай экспорт жасамағанын қадағалай аласыз ба?

Егер екі және одан да көп тармақ қазір «жоқ» болса, жүйелер мен рөлдердің инвентаризациясынан бастаңыз. Бұл техникалық құралдар мен қолдауды енгізудің негізін қояды (мысалы, инфрақұрылымды орнататын және қызмет көрсететін интеграторлар сияқты GSE.kz).

Шынайы мысал: филиалдары бар орташа компания

Рұқсаттарды реттеу
Қай жерлерде рұқсаттар артық екенін тексеріп, түсінікті рөлдік модель ұсынамыз.
Аудит сұрау

400 қызметкері, бас кеңсе және 6 филиалы бар компанияны елестетейік. Ішінде — кадрлық жүйе жеке істермен, CRM клиент байланыстарымен және ортақ файл сервері, онда әдетте барлығы бірдей: анықтамалар скандары, шарттар, медициналық анықтамалар, жалақы тізімдері сақталады. Көбіне жеке деректер дәл осылай таралады, ал рұқсаттар «бар болғаны үшін» қойылады.

Бірінші қадам — деректерді мән-мағынасы бойынша бөліп, иелерін айқындау. HR — жеке істер мен өтініштер үшін, бухгалтерия — жалақы мен ЖСН үшін, сату — CRM үшін, ИТ — инфрақұрылым үшін жауапты, бірақ мазмұнын оқуға құқығы жоқ. Маңыздысы — ИТ жүйені әкімшілендіре алуы керек, бірақ «Кадрлар» және «Жалақы» папкаларын оқи алмауы тиіс.

Практикалық рөлдер моделі мынадай көрінуі мүмкін:

  • HR: кадрлық папкаларға толық қатынау, қаржылық реестрлерге қатынау тыйым.
  • Бухгалтерия: есептік ведомосттарға қатынау, кейбір кадрлық анықтамаларға тек оқу құқығы.
  • Сату: CRM пен коммерциялық құжаттарға қатынау, кадрлық және жалақы деректеріне тыйым.
  • ИТ: серверлер мен резервтік көшірмелерге әкімшілік құқық, бірақ «Кадрлар» мен «Жалақыға» қатынауы жоқ.
  • Басшылар: өтінішпен және мерзіммен қатынау, міндетті журналдау.

Журналдар экспортқа күдік болғанда көмектесуі керек. Бірінші қаралатындар: үлкен көлемдегі жүктеулерді кім және қашан жасады, желілік папкаларға жаппай көшірмелер кімнен шықты, CRM-ден экспорт жасалған ба және жұмыс уақытынан тыс немесе белгісіз филиалдан кіру болған ба. Порогтар келісіліп қойылса (мысалы, сағат ішінде 500 файл немесе клиент базасын экспорттау), жүйе автоматты түрде дабыл қоя алады.

Көшірмелерді қарапайым, бірақ тәртіппен ұйымдастырыңыз: тез қалпына келтіру үшін күнделікті инкременттік, апталық толық бэкап және шифрлаушыдан қалпына келу үшін оқшауланған бір көшіру.

  • Күнделікті: негізгі жүйелердің инкременттік көшірмелері (HR, CRM, файл сервер).
  • Аптасына: толық бэкап және қалпына келтіру тексерісі.
  • Айрықша: бір көшірме доменнан тыс және бөлек есептік жазбалармен.
  • Регулярлы: «30 минут ішінде файлды/базаны қалпына келтірдік пе?» тесті.

Қызметкерлерге арналған ережелер тәуекелдердің басым бөлігін жояды: жеке деректерді «барлығына» арналған ортақ папкаға сақтамау, скандарды жеке мессенджерге жібермеу, корпоративтік папкаларды пайдалану, файлдарға түсінікті атау және рұқсаттарды міндетті түрде мерзіммен беру.

Осындай схема үшін көбінесе орталықтандырылған сервер мен нақты саясаты жеткілікті. Инфрақұрылымды осылай құру жеңілдетеді: құқықтар, журналдар және көшірмелер бір жерден басқарылса тиімді — мысалы, S200 деңгейіндегі стояк және серверлерде.

Келесі қадамдар: тәртіпті бекіту және қолдауды оңайлату

Негізгі ережелер орнатылғаннан кейін (кім деректерді көреді, не журналданады, көшірмелер қайда сақталады), оны жоба емес, күнделікті тәжірибе етіп қалыптастыру маңызды. Сол кезде қауіпсіздік қызметкерлері немесе жүйелер ауысқанымен тәртіп сақталады.

Алғашқы минималды ішкі ережелер пакетін жасаңыз. Ол қалың болмауы керек, бірақ түсінікті және қолдануға ыңғайлы болуы тиіс:

  • деректер классификациясы және қолжетімділік деңгейлері;
  • рөлдер мен жауапкершілік: деректер иесі, әкімші, ИБ, бөлім басшысы;
  • рұқсаттарды беру және қайтару тәртібі (қабылдау, аудару, жұмыстан шығару қосылады);
  • журналдарға қойылатын талаптар және сақтау мерзімдері;
  • резервтік көшіру ережелері және қалпына келтіруді тексеру.

Содан кейін 2–3 ең «бай» жүйені таңдап, алдымен оларды ретке келтіріңіз: әдетте бұл HR, бухгалтерия, CRM және ортақ файл алмасу. Критерий — қай жерде жеке деректер көп және рұқсаттар көп қолмен берілетін жер.

Қолдауды қолмен жұмыстарға айналдырмау үшін жұмыс орындары мен серверлерді ИБ талаптарына сәйкестендіруді жоспарлаңыз: орталықтандырылған саясаттар, ОС-тың жаңартылған күйі, диск бақылауы, біртұтас баптау шаблондары. Мысалы, егер бухгалтерия есептерді желілік ресурсқа сақтаса, жұмыс станциялары мен сервер бірдей шифрлау, жаңарту және бэкап ережелерін қолдауы тиіс.

Өз ресурстарыңыз жеткіліксіз болса, жүйелік интегратор ең көп еңбекті қажет ететін бөліктерді жабуға көмектесе алады: қазіргі құқықтарды аудиттен өткізу, рөлдік модельді орнату, журналдау және резервтік көшіруді ұйымдастыру, тесттік қалпына келтіру жүргізу.

Қазақстанда жабдықтың шығу тегі мен техникалық қолдау маңызды болуы мүмкін. Мұндай мәселелерде отандық жұмыс станциялары мен ПК (L200, M200) және S200 серверлері сияқты шешімдер әрі инфрақұрылымды енгізу, әрі 24/7 қолдау көрсету арқылы тәртіпті сақтауға көмектеседі — өзгерістер мен команда ауысқаннан кейін де.

FAQ

Компанияда бәрі «барлығының жерінде» сақталса, жеке деректерді қорғауды қайдан бастау керек?

Инвентаризациядан бастаңыз: жеке деректер қай жүйелерде кездесетінін (HR, бухгалтерия, CRM, пошта, файлдар, мессенджерлер, тесттік базалар, бэкаптар) және әр участокке кім жауапты екенін қысқа картаға түсіріңіз. Мәліметтердің иелері мен анық шекарасыз кез келген «қауіпсіздік баптаулары» хаосқа айналады.

Жеке деректердің ең қауіпті көшірмелері қайда жиі «жасырынады»?

Көбіне ең қауіпті көшірмелер — жұмыс үстеліне «бір минутқа» салынған файлдар, чаттарға жіберілген ықтимал экспорттар және ортақ папкаларғажойылған ұзақ уақытқа сақталған файлдар. Тағы бір жиі көзі — пошта тіркемелері мен құқықтары ұзақ уақыт бойы қайта қаралмаған желілік дискінің ескі көшірмелері.

Мәліметтердің «ия» — ИТ па, ақпараттық қауіпсіздік пе, әлде бизнес па?

Мәліметтің иесі — бизнес жауапты: не үшін деректер жиналатынын және кімге қажет екенін білетін адам. Мысалы, кадрлар — кадрлық мәліметтерге, қаржы директоры немесе бухгалтерия — төлемдерге, сату басшылары — CRM-ге жауап береді. ИТ рұқсаттарды және инфрақұрылымды реттейді, бірақ сезімтал мәліметтерді кім көре алатынын біржақты шешпеуі керек.

Қандай жеке деректерді «сезімтал» деп тез анықтауға болады?

Жұмыс тәжірибесінде қарапайым түрде жеке деректерді сезімталдыққа қарай бөліңіз: базалық контактылар, кадрлық құжаттар, қаржылық ақпарат және медициналық анықтамалар. Әр тобына түрлі рөлдер, журналдау талаптары және экспорт шектеулері тағайындау жеткілікті.

Орташа компанияға қандай минималды рөлдер мен рұқсаттар жақсы жұмыс істейді?

4–6 типтік рөл жасап, құқықтарды рөл бойынша беріңіз: жеке адамдар бойынша емес. Техникалық әкімші құқықтары мен бизнес-контентке қарау құқықтарын бөлу пайдалы — администратор жүйені басқара алады, бірақ карточкаларды оқи алмауы тиіс.

Рұқсаттарды қалай ұйымдастыру керек, олар уақыт өте «жолдан шығарылмайды»?

Сәйкестік маршрутты бекітіңіз: мәліметтің иесі рұқсаттың қажеттігін растайды, ИТ/ИБ рөлге және деректер деңгейіне сай екенін тексереді және дәл мерзіммен құқық береді. Рұқсат беру мен қайтаруды кадрлық оқиғаларға (қабылдау, ауыстыру, жұмыстан шығару) байлаңыз, сонда «уақытша» рұқсаттар тұрақтыға айналмайды.

Инцидент кезінде журналдар пайдалы болу үшін нені жазу керек?

Тәуекелді өзгертетін іс-әрекеттерді журналдаңыз: кірістер және сәтсіз кірулер, жеке деректер карточкаларын қарау, экспорттар және жаппай операциялар, рөлдер мен рұқсаттарды өзгерту, ИИН, контактілер, реквизиттер сияқты маңызды өрістерді өзгерту/жою. Әр жазба «кім, қашан, қайдан және не істеді» деген сұрақтарға жауап беруі тиіс.

Журналдарды қалай «тазалауға» мүмкіндік бермеуге болады?

Журналдарға қолжетімді шектеулі болу керек және олар негізгі жүйеден бөлек сақталуы тиіс — сонда әрекеттер тіркелген сәтте журналдарды өшіру мүмкіндігі азырақ болады. Қол жетімділікті тек ИБ және қауіпсіздік әкімшілеріне беріп, журналдандырғыштарды өшіруге әрекеттер туралы хабарландыру қосу жақсы тәжірибе.

Резервтік көшірмелер үшін қандай базалық ережелер бірінші кезекте керек?

3-2-1 қағидасын енгізіңіз: деректердің 3 көшірмесі, 2 түрлі тасымалдаушы және 1 көшірме негізгі орыннан тыс. Бэкаптарды шифрлау, кілттерді бөлек сақтау және қалпына келтіруді тұрақты тексеру маңызды — «копия бар» дегенді емес, «көшіруден мәліметті қайтардық және ол жұмыс істейді» деген нәтижені мақсат етіңіз.

Мессенджерлер, жеке пошта және облактар арқылы дерек ағуын қалай қысқартуға болады, жұмысты тежемей?

Қызметкерлерге ыңғайлы «дұрыс жолды» көрсетіңіз: бір ортақ сақтауға апаратын және анық құқықтары бар жүйе. Жеке поштаны, жеке облактар мен мессенджерлерді пайдалануға тыйым салмас бұрын, ыңғайлы корпоративтік баламаны ұсыныңыз — әйтпесе шектеулер жиі айналып өтеді.