IRM/RMS защита документов: Purview без лишних запретов

Задача простыми словами: что значит ограничить документ

Когда говорят про IRM/RMS защиту документов, обычно имеют в виду не «спрятать файл», а задать ему правила поведения. Документ открывается только тем, кому можно, и только так, как можно, даже если его переслали дальше или скопировали на флешку.

Под защиту попадают не только Word и Excel. Часто ограничивают письма и вложения, презентации, отчеты в PDF и даже шаблоны договоров, которые регулярно ходят между отделами и подрядчиками.

Риски чаще всего выглядят буднично: сотрудник переслал письмо не тому адресату, кто-то распечатал «для удобства» и забыл на принтере, текст скопировали в мессенджер, файл положили в общую папку без прав. Со скриншотами сложнее: полностью «запретить фото экрана» почти нереально. Поэтому ограничения лучше сочетать с другими мерами, например водяными знаками и фиксацией инцидентов.

Пароли обычно не спасают по простой причине: пароль легко передать, а после открытия файл живет своей жизнью. Его можно переслать, распечатать, скопировать кусками, и вы уже не контролируете, что происходит дальше.

На практике ограничение документа сводится к нескольким понятным правилам:

• кто может открыть (конкретные люди или группы);
• можно ли пересылать и печатать;
• можно ли копировать текст и делать экспорт;
• можно ли редактировать или доступ только на чтение;
• как долго действует доступ (например, до даты окончания тендера).

Такие ограничения особенно нужны там, где документ уходит за пределы одной команды: закупки, финансы, HR, юридические документы, проектные спецификации. Например, при обмене коммерческими предложениями и техзаданиями с внешними подрядчиками в госсекторе или образовании важно, чтобы файл нельзя было просто переслать дальше без вашего контроля.

Как работает IRM/RMS на практике

IRM/RMS работает так: права «вшиваются» в сам файл и проверяются при каждом открытии. Поэтому защита «ездит» вместе с документом, а не остается на одном компьютере или в одной папке.

Отличие от DLP простое. DLP следит за каналами (почта, мессенджеры, загрузки) и пытается не дать данным уйти. IRM/RMS не столько «ловит утечку», сколько ограничивает, что человек сможет сделать с файлом, даже если он уже получил копию.

Права обычно привязываются к пользователю или группе (например, «Финансы», «Юристы»), а не к устройству. Открыли файл на другом ПК, в командировке или в веб-просмотрщике - правила остаются теми же: система сверяет личность и роли, а затем применяет ограничения.

Чаще всего включают базовые ограничения: доступ только на чтение, запрет печати, запрет копирования текста (а со скриншотами - частично, в зависимости от приложения), запрет пересылки или сохранения без защиты, срок действия доступа.

При отправке наружу логика такая: если получателя нет в разрешенном списке, файл либо не откроется, либо откроется в «урезанном» режиме, который вы заранее настроили. Пример: сотрудник готовит договор для внешнего подрядчика. Внутри компании юристы могут редактировать, а подрядчик видит только чтение и не может распечатать. Это снижает риски и при аккуратных настройках не превращает документ в «кирпич».

Microsoft Purview Information Protection: из чего состоит

Microsoft Purview Information Protection удобно представлять как набор деталей, которые вместе решают задачу: пометить документ, защитить его и затем понять, что с ним происходило. По сути это «этикетки», «замок» и «журнал».

Метки и классификация

Основа - метки конфиденциальности. Вы задаете понятные категории вроде «Публично», «Внутреннее», «Конфиденциально» и привязываете к ним правила. Пользователь видит метку в приложении и выбирает ее почти так же просто, как выбирает тему письма.

Обычно метка делает несколько вещей сразу: добавляет визуальную пометку (например, в колонтитуле), включает защиту и подсказывает, как с файлом обращаться. Тогда защита воспринимается не как набор запретов, а как привычное действие: выбрать правильный уровень.

Шифрование и права: кто откроет и что сможет сделать

Дальше включается шифрование и управление правами. Это отвечает на два вопроса: кто может открыть документ и какие действия ему доступны. Чаще всего ограничивают печать, пересылку (или разрешают ее только внутри организации), копирование текста и редактирование.

Важно, что права «едут» вместе с файлом. Даже если документ ушел по почте или попал на флешку, он не станет «обычным».

Политики для приложений и журналирование

Чтобы пользователям не приходилось каждый раз принимать решения вручную, политики применяют к Outlook, Word, Excel. В некоторых организациях добавляют правила и для PDF, если это поддерживается выбранным способом работы.

Администратору обычно доступны события для расследований: кто применил метку, кто пытался открыть файл, был ли отказ в доступе, из какого места и когда. Это помогает разбирать инциденты без догадок и видеть, где политика слишком жесткая и мешает работе.

С чего начать: определяем документы и правила доступа

Перед тем как включать IRM/RMS защиту документов, полезно сделать небольшую инвентаризацию: какие файлы реально «уезжают» за пределы отдела и где чаще всего случаются ошибки. Не начинайте с запретов «на все». Выберите 2-3 понятных сценария, где контроль дает быстрый эффект и почти не ломает процессы.

Соберите короткий список документов и ситуаций. Обычно это коммерческие предложения, договоры и приложения, отчеты для руководства, выгрузки из CRM или бухгалтерии, таблицы с персональными данными. Важно учитывать не только тип файла, но и маршрут: внутри компании, подрядчику, клиенту, регулятору.

Дальше определите роли - не по должностям, а по действиям: автор, внутренний получатель (коллега), внешний получатель (клиент или партнер), руководитель, юрист. Такой подход проще поддерживать: люди меняются, роли и правила остаются.

Чтобы ограничения не превратились в наказание, заранее договоритесь о логике. Запрещайте только то, что действительно опасно (например, печать, пересылку дальше, копирование текста, изменение содержания). И оставляйте то, без чего документ «не живет»: просмотр с телефона, комментарии, совместную правку, историю изменений.

Пример: коммерческое предложение можно разрешить клиенту только на просмотр, без печати и пересылки, а внутри команды оставить совместную правку и комментарии. Юристу и руководителю часто нужен полный доступ, потому что им важно согласование, а не просто «прочитал и забыл».

Если внедрение идет в организации с филиалами и разными площадками, заранее назначьте владельца правил (обычно ИБ вместе с юристами) и владельца процесса (ИТ). На проектах системной интеграции, вроде тех, что ведут в GSE.kz, такие решения лучше фиксировать письменно: это экономит время, когда начинается вопрос «почему вчера печаталось, а сегодня нет».

Пошагово: внедряем метки и ограничения без боли

Чтобы защита не превратилась в бесконечные запреты, начните с малого и сделайте правила понятными людям. Самая частая ошибка - пытаться сразу покрыть все типы файлов и все исключения.

Минимальный набор меток

На старте достаточно 3-5 меток, которые сотрудник сможет выбрать без инструкций. Названия должны быть человеческими, а не «Confidential v2». Например: «Публично», «Для сотрудников», «Для отдела», «Конфиденциально», «Строго конфиденциально».

Для каждой метки задайте простой набор прав: кто может читать, кто может править, можно ли печатать, можно ли пересылать. Если сомневаетесь, не включайте самые жесткие ограничения сразу. Запрет печати и пересылки документов полезен, но если поставить его на все подряд, люди начнут обходить защиту скриншотами и пересказом в мессенджерах.

Пилот и расширение

Рабочий план обычно выглядит так:

• согласовать 3-5 меток и короткое описание к каждой (когда выбирать - одной фразой);
• привязать к меткам базовые ограничения в Microsoft Purview Information Protection (или выбранном аналоге) и проверить на нескольких типовых файлах;
• добавить подсказки прямо в момент выбора метки: что будет запрещено и кому документ станет доступен;
• запустить пилот на одной команде на 2-3 недели и собрать реальные кейсы, где правила мешают;
• расширять на другие отделы, добавляя исключения только по фактам.

Пример: бухгалтерия помечает счета как «Для отдела» (чтение только внутри группы, пересылка запрещена), а договоры с партнерами как «Конфиденциально» (чтение ограничено, но печать разрешена для подписания). Если нужна помощь с пилотом и настройками, системный интегратор с практикой Microsoft, вроде GSE.kz, обычно закрывает и техническую часть, и согласование правил, и обучение пользователей.

Автоматическая классификация: когда помогает, а когда мешает

Автоклассификация в Microsoft Purview Information Protection хороша там, где правила простые и повторяются каждый день. Но она же быстро начинает раздражать, если метки «липнут» ко всему подряд и мешают обычной работе.

Есть два понятных режима. Ручной - сотрудник сам выбирает метку (например, «Внутренний», «Конфиденциально», «Только для отдела»). Автоматический - система ставит метку сама по правилам или предлагает поставить ее, если находит «признаки» чувствительных данных. Для IRM/RMS защиты документов обычно разумнее начинать с подсказок (recommendations), а не с жесткого автоназначения.

Как не утонуть в ложных срабатываниях

Ставьте автоматизацию там, где ошибка редка и цена ошибки понятна. И заранее решите: что хуже - пропустить один документ или пометить лишние сто.

Стартовый набор правил часто включает:

• ИИН/БИН и похожие идентификаторы (шаблоны и контрольные признаки);
• номера договоров или счетов, если у вас устойчивый формат;
• слова-маркеры: «коммерческая тайна», «для служебного пользования», «NDA»;
• сочетания «ФИО + телефон + адрес» как сигнал персональных данных;
• классификацию по месту хранения (например, папка отдела кадров).

После включения посмотрите отчеты: где метки ставятся чаще всего и почему. Если 30-40% случаев «мимо», правило лучше упрощать или добавлять условия (например, не просто 12 цифр, а 12 цифр рядом со словом «ИИН»).

Исключения, без которых будет больно

Исключения лучше оформлять не «по просьбе», а как понятные сценарии: проектные папки, тендерные документы, обмен с госорганами. Например, можно разрешить пересылку в домены конкретных организаций или отключить запрет печати для шаблонов, которые по регламенту нужно подшивать в бумажный архив. Важно, чтобы исключения были редкими, описанными и проверяемыми, иначе автоматизация быстро превратится в хаос.

Внешние получатели: как делиться и не терять контроль

В реальной жизни документы уходят не только внутри компании: подрядчики, аудиторы, поставщики, госорганы. Цель IRM/RMS здесь простая: дать партнеру ровно то, что нужно для работы, и оставить себе возможность управлять доступом после отправки.

Контрагенты и внешние домены

Начните с правил для внешних адресов: кому вообще можно отправлять защищенные файлы и какие домены считаются доверенными. Для типовых сценариев удобно держать 2-3 «режима» в Microsoft Purview Information Protection: просмотр без пересылки, совместная работа с правками и «только чтение» для финальных версий.

Практичный подход такой:

• для договоров и отчетов: только просмотр, без пересылки и печати;
• для совместной подготовки: правки разрешены, но копирование и экспорт ограничены;
• для коммерческих предложений: печать разрешена, но стоит срок действия.

Временный доступ и срок действия прав

Срок действия уместен, когда документ нужен «на окно» - например, на тендер, согласование или аудит. Это снижает риск, что файл через полгода всплывет в переписке уже без контекста.

Если у получателя нет нужной учетной записи

Это частая точка боли. Заранее решите, какой сценарий вы поддерживаете: гостевой доступ (если политики компании позволяют), одноразовый код, либо выдача защищенной копии в другом формате под конкретную задачу. Главное - не заставлять людей «ломать» процесс. Иначе они уйдут в скриншоты и пересказ.

Перед запуском проверьте поведение в живых цепочках, а не в идеальных условиях:

• получатель пересылает письмо дальше - сохранится ли запрет;
• файл скачивают и открывают на другом устройстве;
• печать у партнера - блокируется ли она там, где нужно;
• что видит человек, если доступ отозвали или срок истек.

Так вы поймете, где ограничения помогают, а где мешают работе, и настроите правила без лишней жесткости.

Частые ошибки и ловушки при настройке IRM/RMS

Провалы чаще всего случаются, когда IRM/RMS настраивают как «запреты ради запретов». Тогда люди путаются или начинают искать обходные пути.

Первая ловушка - слишком много меток. Когда их 10-15 и они отличаются парой слов, сотрудник выбирает наугад или ставит «что угодно, лишь бы отправить». Лучше меньше, но понятнее: 3-5 уровней, с короткими примерами в названии (например, «Внутренний: можно пересылать внутри компании»).

Вторая ошибка - одинаковые правила для всех отделов. У бухгалтерии, юристов, закупок и ИТ разные процессы. Один шаблон почти гарантированно где-то сломает работу: например, юристам часто нужна печать для подписания, а финансовому отделу - пересылка внутри согласованного круга.

Самый конфликтный запрет - «печать запрещена всем». Он часто приводит к обходным схемам: фото экрана, перепечатка, просьбы «сохраните мне без защиты». Иногда печать нужна по делу, например для госорганов или внутреннего архива.

Еще одна ловушка - запуск без пилота и обучения. Тогда поддержка тонет в вопросах «почему не открывается» и «куда пропала кнопка печати». Пилот на 2-3 группах и короткая памятка снижают шум в разы.

Часто забывают и про офлайн, мобильные сценарии и слабый интернет. Если сотрудник в командировке открывает файл с телефона без нужного приложения или без связи, документ может не открыться в самый неподходящий момент. Это лучше проверить заранее: открытие на мобильных и дома (если разрешено политикой), работу с вложениями в почте, печать там, где она реально нужна, и сценарий «вне сети».

Реалистичные сценарии: как это выглядит в рабочий день

Ограничения работают лучше всего, когда пользователь почти не думает о них. Он видит понятную метку конфиденциальности, короткое предупреждение и дальше делает свою работу. Так и должна ощущаться IRM/RMS защита документов.

Сценарий 1: продажи отправляют КП партнеру, но просят не пересылать дальше

Менеджер готовит коммерческое предложение в Word и ставит метку вроде «КП - только для партнера». Перед отправкой документ показывает подсказку: «Пересылка запрещена, доступ только указанным адресатам». Партнер открывает файл, читает, при необходимости оставляет комментарии (если разрешено), но не может переслать вложение так, чтобы другой человек получил доступ.

Сценарий 2: бухгалтерия хранит отчеты без печати и копирования

Финансовый отчет лежит в SharePoint или на общем диске с ограничениями. Бухгалтер открывает его как обычно, но при попытке распечатать видит сообщение, что печать запрещена политикой. То же происходит с копированием фрагментов в другие файлы. При этом просмотр, поиск по тексту и совместная работа внутри команды остаются доступными, если вы это предусмотрели.

Сценарий 3: HR делится документом только на чтение с руководителем

HR отправляет руководителю документ по кандидату с правом «только просмотр». Руководитель может открыть файл на ноутбуке и в мобильном приложении, но не может редактировать, сохранять копию без защиты или делать скриншоты там, где это технически блокируется.

Обычно пользователь видит название метки, короткое предупреждение о правилах, серые (недоступные) кнопки печати, копирования или пересылки и понятную причину отказа вместо «ошибка доступа». Если сообщения ясные, а меток мало, ограничения воспринимаются как подсказка, а не как наказание.

Быстрый чеклист перед запуском

Перед стартом важно проверить не только настройки, но и то, как люди реально работают с файлами. IRM/RMS дает хороший контроль, но если переборщить, сотрудники начнут обходить правила.

Сведите подготовку к нескольким пунктам:

• оставьте 3-5 простых меток вместо десятков категорий (если метку трудно объяснить за 10 секунд, она лишняя);
• назначьте владельца для каждого типа документов и заранее решите, кто утверждает исключения;
• протестируйте ключевые действия на реальных файлах: открыть, переслать, распечатать, скопировать фрагмент, скачать на устройство (в типичных приложениях и на разных ролях);
• подготовьте пилот: небольшой отдел, ограниченный набор документов и понятные метрики;
• запустите поддержку до включения ограничений: куда писать, что прикладывать (скрин, имя файла, время), как быстро отвечаете и что делать при отказе доступа в нерабочее время.

Короткий сценарий для проверки: бухгалтерия отправляет отчетность руководителю и аудитору. На пилоте убедитесь, что руководитель открывает и печатает, а аудитор может только просматривать без пересылки. Если ломается хотя бы один шаг, возвращайтесь к правилам и упрощайте их.

Purview и аналоги: как сравнивать без маркетинга

Сравнивать IRM/RMS решения лучше не по обещаниям, а по тому, как они ведут себя в обычный день: отправили файл, открыли на телефоне, переслали подрядчику, распечатали на ресепшене. Если в этих точках начинаются постоянные ошибки и обходы, защита превращается в формальность.

Для начала зафиксируйте, где живут ваши документы и почта. Если основная работа идет в Microsoft 365 (Exchange, SharePoint, OneDrive, Teams) и нужен единый набор политик, Microsoft Purview Information Protection часто выигрывает за счет встроенности: общие метки и правила работают и для почты, и для файлов.

Критерии, которые реально влияют

Сравнивайте по простым пунктам:

• поддержка ваших приложений (Office на Windows и Mac, мобильные устройства, веб-редакторы, почта);
• удобство для людей (понятные метки, предсказуемое поведение при пересылке и печати, минимум ручных шагов);
• отчетность и расследования (кто открыл, кто пытался переслать, что было заблокировано);
• работа с внешними (гостевой доступ, сроки действия, отзыв доступа);
• интеграции (DLP, SIEM, архив, ECM/EDM, терминальные фермы, VDI).

Когда смотреть на аналоги

Кроме Purview часто вспоминают Azure RMS (как часть экосистемы), а также сторонние IRM/EDRM решения вроде Seclore, Vera, Fasoo, NextLabs и других. Они уместны, когда у вас много не-Microsoft сред, критичные отраслевые интеграции или нужно защищать файлы в приложениях, которые Purview покрывает слабее.

Пример: у банка все в Microsoft 365, и нужно быстро ввести метки для кредитных досье и запретить пересылку наружу. Purview дает единые политики и меньше «зоопарка» настроек. А если у промышленной компании документы живут в CAD/PLM, на изолированных площадках и в VDI, сторонний EDRM может лучше лечь на реальную инфраструктуру.

Если вы выбираете внедрение с учетом местной инфраструктуры и требований, системный интегратор вроде GSE.kz может помочь собрать критерии и проверить их на пилоте, прежде чем вводить ограничения на всех.

Следующие шаги: пилот, обучение и поддержка

Начните с короткого пилота. Его цель простая: проверить, что ограничения реально защищают данные и не ломают ежедневные задачи.

Соберите 2-3 политики и заранее выберите набор файлов для проверки. Хороший тестовый набор включает типовые договоры, отчеты с персональными данными, шаблоны писем, презентации для внешних встреч. Лучше брать документы из реальной работы, а не специально подготовленные.

Для пилота обычно хватает таких политик:

• «Внутренний документ» - можно читать и пересылать внутри компании, без внешней отправки;
• «Конфиденциально» - запрет пересылки наружу, ограничение печати, доступ только группе;
• «Для внешнего партнера» - доступ по адресу получателя и срок действия, без скачивания.

Перед включением ограничений согласуйте правила с безопасностью, юристами и владельцами процессов. Юристы подскажут, где важнее доказуемость и журналирование, а владельцы процессов уточнят критичные шаги (например, печать актов в филиалах).

Пользователям не нужны длинные регламенты. Работает короткая инструкция на одну страницу: как выбрать метку, что означают ограничения, что делать при ошибке. И обязательно нужен понятный путь поддержки: куда писать, что приложить (скрин, имя файла, кому отправляли).

Если нужна комплексная поставка и внедрение, GSE.kz как производитель и системный интегратор может помочь с подбором и поставкой решения, настройкой политик защиты и интеграций, а также с дальнейшей поддержкой и эксплуатацией.