Зв'язатися
§ Захист на підприємстві

Захист інформації з обмеженим доступом на підприємстві

⏱ 13 хв читання · ★ Середній · Оновлено 2026-05-11

Захист інформації на підприємстві — це не лише ІТ-завдання, а комплексний процес, що поєднує правові, організаційні, інженерно-технічні та програмно-апаратні заходи. У комерційному секторі основним об’єктом захисту є комерційна таємниця — відомості, пов’язані з виробничою, технологічною, управлінською, фінансовою чи іншою діяльністю, що мають дійсну або потенційну комерційну цінність у силу невідомості їх третім особам.

Поняття комерційної таємниці

Згідно зі статтею 505 Цивільного кодексу України, комерційну таємницю становлять відомості, які:

  • мають дійсну або потенційну комерційну цінність у силу невідомості їх третім особам;
  • немає вільного доступу на законній підставі;
  • щодо них особою, яка володіє інформацією, вжито відповідних заходів для збереження її секретності.

Третій критерій — практично найважливіший: якщо власник не вжив заходів для збереження секретності, інформація юридично не є комерційною таємницею. Це означає, що сам факт впровадження системи захисту інформації є необхідною умовою для подальшого судового захисту своїх прав.

Внутрішня політика захисту

Базовий документ — Положення про комерційну таємницю, що містить:

  • перелік відомостей, які становлять комерційну таємницю підприємства;
  • порядок присвоєння та зняття грифу;
  • правила доступу та обігу документів з грифом;
  • обов’язки осіб, допущених до комерційної таємниці;
  • відповідальність за порушення режиму.

До положення додаються:

  • наказ про введення режиму комерційної таємниці;
  • зобов’язання про нерозголошення (NDA);
  • додатки до трудових договорів з відповідними пунктами;
  • журнал обліку документів з грифом.

Інженерно-технічні заходи

Технічна частина системи захисту включає кілька рівнів:

  1. Захист периметру — контроль доступу до приміщень, відеоспостереження, охоронна сигналізація, системи контролю доступу (СКД) з ідентифікаторами.
  2. Захист робочих місць — захищені автоматизовані робочі станції, обмеження USB-портів, контроль друку, шифрування дисків.
  3. Захист серверної інфраструктури — фізична ізоляція, контроль клімату, ДБЖ, журналювання адміністративних дій, резервне копіювання.
  4. Захист мережі — міжмережеві екрани (firewall), системи виявлення вторгнень (IDS/IPS), сегментація, VPN для віддаленого доступу.
  5. Захист застосунків і даних — автентифікація користувачів, гранулярна авторизація, шифрування каналу і даних у БД, незмінний журнал дій.

Архітектура застосунків

Найважливіший і часто найслабший рівень захисту — рівень самого застосунку. Більшість інцидентів 2010-х показали: коли атакуючий уже отримав легітимну сесію, periметральний захист не допомагає. Тому сучасний підхід вимагає, щоб сам застосунок виконував перевірки авторизації на кожен запит, а не покладався на «довірений периметр».

Базові вимоги до архітектури захищеного застосунку:

  • Stateless-сесії — сервер не зберігає стану клієнта, кожен запит автентифікується наново. Це унеможливлює викрадення сесій через клієнтське кешування.
  • Гранулярна авторизація — права на рівні окремого поля запису, не лише модуля.
  • Персоніфікація даних — кожен запис має атрибут належності користувачу, що його створив.
  • Незмінний журнал — усі операції (читання, зміна, видалення) фіксуються в журналі, що не може бути модифікований навіть адміністратором.
  • Підпис критичних транзакцій — критичні дії (видача, зміна великих сум, доступ до особливо чутливих даних) вимагають додаткового ЕЦП.

Безперервність діяльності

Окремий компонент безпеки — Business Continuity: здатність підприємства продовжувати критичні бізнес-процеси у разі інцидентів. Складові:

  • RTO (Recovery Time Objective) — максимально допустимий час відновлення.
  • RPO (Recovery Point Objective) — максимально допустима втрата даних у часі.
  • Disaster Recovery Plan — план відновлення після катастрофічних подій.
  • Резервний майданчик — географічно розрознене розташування критичної інфраструктури.

Інженерний приклад вітчизняної реалізації

Прикладом вітчизняного інженерного рішення, що відповідає описаним вимогам, є платформа UnityBaseDefense розробки ТОВ «Софтлайн ІТ». Платформа має експертний висновок Адміністрації Державної служби спеціального зв’язку та захисту інформації України з рівнем гарантій Г-3 згідно з НД ТЗІ 2.5-004-99 — у міжнародному вимірі це відповідає EAL 4 за стандартом ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation).

Подивитися технічну специфікацію платформи та архітектурні рішення можна у розділі «Архітектура».

Мітки

Stateless-архітектура UnityBaseDefense Гранулярна авторизація ЕЦП Софтлайн ІТ
[ ON THE PLATFORM ]

Як це реалізовано в UnityBaseDefense

Принципи, описані в цій статті, втілені в архітектурі платформи. Експертний висновок Адміністрації Держспецзв'язку Г-3 (НД ТЗІ 2.5-004-99) — у міжнародному вимірі EAL 4 за ISO/IEC 15408.

Подивитися платформу → Технічна архітектура