Кристина Парфентьева
Олег СенченкоПод конфиденциальной информацией понимаются (включая, но не ограничиваясь):
- реквизиты доступа (логины, пароли, адреса, URI для подключения);
- SSH-ключи;
- информация о внутреннем устройстве инфраструктуры;
- сертификаты;
- начальные значения для инициализации программных генераторов одноразовых паролей и т. д.;
- конфиденциальные отчеты по безопасности или бизнес-отчеты (отчеты рекомендуется передавать в архиве с паролем; при передаче архивов разделяйте каналы передачи архива и пароля, например, почта + Passwork или почта + SMS).
Для обмена конфиденциальной информацией необходимо соблюдать определенные требования.
Рисунок 1. Требования к передаче конфиденциальной информации
Необходимость безопасного обмена может возникать:
- при передаче учетных данных для вновь созданных учетных записей (паролей, SSH-ключей, сертификатов);
- принудительной замене паролей;
- передаче временных паролей (например, при восстановлении забытого пароля);
- передаче учетных данных от существующих учетных записей новым сотрудникам;
- передаче паролей от шифрованных архивов.
Важно! Во всех сценариях не допускается использование облачных сервисов для хранения и передачи конфиденциальной информации.
Если в компании определен ограниченный список пользователей, использующих менеджер паролей Passwork, то обмен конфиденциальной информацией между ними можно организовать с использованием функциональности Passwork следующим образом:
- предоставьте права доступа к конкретной учетной записи на постоянной основе сотруднику, имеющему доступ в Passwork;
- создайте одноразовую ссылку с ограниченным сроком действия без предоставления доступа в Passwork;
Если в компании неопределенный круг сотрудников, происходит обмен конфиденциальной информацией с контрагентами компании и (или) имеют место эпизодические неструктурированные обмены конфиденциальной информацией, то при отсутствии каких-либо парольных менеджеров используйте приложения типа pastebin, установленные на собственных серверах, например: