1. Главная
  2. Блог
  3. ЮЗЭДО под защитой - рекомендации бизнесу
29.08.2022

ЮЗЭДО под защитой - рекомендации бизнесу

Через сервисы и системы электронного документооборота ежегодно компании отправляют более двухсот миллионов юридически значимых документов, которые содержат в себе коммерческую и персональную информацию. Нарушение конфиденциальности, целостности и доступности таких документов несет ощутимые риски для организации — от ущерба репутации до серьёзных финансовых потерь. Поэтому наряду со всеми выгодами от внедрения ЮЗЭДО – ускорением обмена документами, достижением полной прозрачности процессов, сокращением трудозатрат и издержек, ускорением расчетов и других преимуществ – у компаний остаются сомнения в надежности электронного документооборота.

Разберем в материале основные вопросы защиты процессов межкорпоративного обмена документами, рассмотрим правовые нормы обеспечения безопасности, расскажем про подход к построению комплексной ИБ-системы компании, а также дадим практические рекомендации экспертов ТерраЛинк и оператора ЭДО Docrobot.

Вопросы доверия к ЮЗЭДО

Наиболее частые сомнения при внедрении ЮЗЭДО связаны с вопросами недоверия к электронной подписи, а также с привычкой использовать бумажные формы документов для долговременного хранения, передачи в органы государственной власти или в судебной практике.

Однако технологии применения электронной подписи постоянно совершенствуются и на текущий момент достаточно надежно обеспечивают как целостность передаваемого документа его защиту от изменений (подделки), так и невозможность отказа от авторства и доказательное подтверждение авторства документа. Подделать электронную подпись при правильном использовании практически невозможно. Технология электронной подписи использует асимметричные схемы криптосистем с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых шифровка производится с помощью открытого ключа, а расшифровка — с помощью закрытого, в схемах цифровой подписи подписание производится с применением закрытого ключа, а проверка — с применением открытого.

Кроме того, современные технологии электронного обмена и установленные регламенты деятельности ИТ и ИБ-специалистов компаний защищают межкорпоративный ЭДО от вероятности потери электронных документов и получения к ним доступа третьим лицам. Своевременное резервное копирование и организация электронного архива гарантируют сохранность документов.

Часть государственных органов уже готова принимать только электронные юридически значимые документы и предусмотрела порядок их предоставления. Судебная практика также подтверждает, что цифровые файлы можно предоставить при разбирательствах с контрагентами.

Итак, для полного перехода на использование электронных документов необходимо решить вопросы доверия к ним и обеспечить уровень безопасности, не уступающий бумажному документообороту. Обеспечить безопасность ЭДО можно с помощью применения совокупности мер: правовых, технических и организационных, о которых подробнее расскажем ниже.

Правовое обеспечение безопасности электронных документов

В соответствии с положениями Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» для защиты информации необходимо руководствоваться мерами, направленными на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа;
  • реализацию права на доступ к информации.

Правительство Российской Федерации осуществляет государственное регулирование отношений в сфере защиты информации путем установления требований о защите информации, а также ответственности за нарушение законодательства РФ.

Например, конфиденциальный характер электронных документов определяется указом президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г., и указами «О внесении изменения в перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 года № 188» № 1111 от 23.08.2005 г. и № 357 от 13.07.2015 г., обработка персональных данных в документах, регулируется ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ,. Федеральная служба безопасности и Федеральная служба по техническому и экспортному контролю РФ, могут установить дополнительные требования по защите информации.

Для соответствия правовым нормам при внедрении ЮЗЭДО необходимо отобрать и принять в компании определенные организационные и технические меры для решения задач, связанных с сохранением целостности и конфиденциальности данных, а именно:

  • защита информационных объектов, содержащих сведения, составляющие коммерческую тайну;
  • защита персональных данных в соответствии с требованиями законодательства и рекомендациями регулятора, ФСТЭК РФ.

Эксперты компании ТерраЛинк рекомендуют комплексно подходить к обеспечению ИБ процессов ЭДО.

Выбор подхода к безопасности ЮЗЭДО

Очень часто в компаниях проектировать подсистему внутрикорпоративной защиты процессов электронного документооборота начинают не с начала проекта перехода на ЭДО, а значительно позже, когда уровень автоматизации достигает 30-50%.

Такой подход влечет за собой проблемы совместимости, защищенности и дальнейшей эксплуатации подсистемы защиты ЭДО. Самая распространенная проблема – совместимость корпоративных средств защиты информации, которые используются в компании в соответствии с действующей технической политикой, уже внедренных программных продуктов для автоматизации ЭДО с требованиями, предъявляемыми подсистемой защиты ЭДО.

Включение вопросов защиты процессов ЭДО на самых ранних стадиях обсуждения проекта, позволяет избежать многочисленных технических и организационных просчетов и, в конечном итоге, снижает стоимость внедрения и дальнейшей эксплуатации.

При таком комплексном подходе к формированию подсистемы защиты ЭДО, система защиты от утечек и общая система защиты периметра будут представлять собой единую экосистему киберзащищенности бизнеса.

Для реализации такого подхода на старте проекта важно обеспечить тесное взаимодействие команд проекта, когда проектирование и обсуждение безопасности электронного документооборота происходит совместно с департаментом ИБ и с линейными подразделениями, планирующими внедрять ЮЗЭДО. Лучшим вариантом будет, если специалисты по ИБ межкорпоративного документооборота будут включены в рабочие группы Центра компетенций ЮЗЭДО.

Немаловажную роль играет и вопрос эксплуатации подсистемы защиты, после перевода ее в продуктив и наполнения конфиденциальной информацией компании. У многих компаний нет возможности содержать целый штат технических экспертов и аналитиков для расследования инцидентов информационной безопасности, поэтому этот процесс часто отдается на аутсорс. В этом случае мы рекомендуем выбирать подрядчика с прозрачной сервисной моделью поддержки систем ИБ с гарантированным уровнем сервиса.

Способы, методы и рекомендации для защиты ЮЗЭДО

Как мы отмечали выше, организация мер безопасности информационных систем вытекает из правовых основ регулирования. Если компанией принято решение о внедрении системы электронного документооборота, созданной применительно к задачам конкретного бизнеса, где возможно реализовать все современные требования к информационной безопасности, то ответственным за проектирование сотрудникам рекомендуем учесть следующие важные моменты:

  • разработка организационных мер, ранжирующих доступ пользователей к документам. Штатные средства разграничения способны только разделить пользователей на две группы – доверенных и всех остальных. Следует создавать систему ранжирования пользователей по нескольким уровням. Такие технологии, как Active Directory разбивают информацию на отдельные блоки с разным уровнем доступа. Благодаря им можно решить, кому какой блок будет доступен;
  • выстраивание внутри системы ЭДО отдельных маршрутов для документов, уровень конфиденциальности которых повышен;
  • использование электронной подписи и ограничение доступа к ней;
  • применение двухфакторной аутентификации;
  • шифрование документов. При большом потоке документов шифрование может существенно замедлить работоспособность системы, эксперты советуют использовать аппаратные средства – поточные шифраторы, которые снижают нагрузку на архитектуру системы;
  • учёт хранения данных, документов и назначение ответственных. Так можно отследить, кто и когда получал доступ к чувствительной информации.

Безопасность системы электронного документооборота гарантирует как сохранность документов, так и доступа к ним.

Для сотрудников компаний, которые работают в системах ЮЗЭДО, эксперты оператора ЭДО Docrobot, компании-партнера ТерраЛинк, подготовили практические рекомендации, которые позволят сократить риски:

  • не передавайте пароль от своей учетной записи коллегам: если они подпишут документ вашей подписью, доказать неправомерность подписания будет очень сложно.
  • если используете ключ электронной подписи, блокируйте рабочее место, даже когда отходите на пару минут.
  • придумайте сложный пароль, который злоумышленник не сможет подобрать методом простого подбора.
  • регулярно обновляйте антивирус, чтобы защититься от новых вирусов. Некоторые их них перехватывают все данные с компьютера и безопасность документов оказывается под угрозой.
  • если при переходе на сайт браузер уточняет, доверяете ли вы этому ресурсу, ни в коем случае не подписывайте на сайте документы.
  • будьте внимательны с почтой: письма с вложениями, которые вы не ждёте, сразу отправляйте в спам, не кликайте по ссылкам в них.

Ключевые факторы успеха защиты электронных документов

Итак, к защите электронного документооборота необходим комплексный подход. Безопасность ЭДО не сводится только лишь к защите документов и разграничению доступа к ним — эта задача решается на уровне программного обеспечения. Необходима также подготовка персонала, в особенности ИТ-администраторов к работе с конфиденциальной информацией. Плохая организация процесса может свести к нулю даже самые сложные технические способы защиты документов. Итак, резюмирую вышесказанное, можно тезисно обозначить наиболее важные пункты для выполнения успешного проекта по защите ЭДО:

  • при внедрении системы ЮЗЭДО в компании на самом старте стоит привлекать сотрудников ИБ-департамента к проекту, чтобы обеспечить выполнение всех требований к защите электронных документов и данных:
  • обучение сотрудников работе с системой, выделение нескольких сотрудников в штате департамента ИБ, которым будет передана подсистема защиты ЮЗЭДО после ее внедрения и перевода в промышленную эксплуатацию;
  • внедрение в компании процесса управления событиями безопасности. Стоит определить ключевые процессы и роли, кто и как реагирует на события безопасности в подсистеме защиты ЮЗЭДО.
  • разработка четких инструкции для службы ИТ и бизнес-пользователей системы ЮЗЭДО по действиям, в случае реализации инцидента информационной безопасности (например, шифрование данных).

Как ТерраЛинк и Docrobot обеспечивают безопасность ЮЗЭДО

Команда кибербезопасности ТерраЛинк обладает многолетним опытом в вопросах проектирования и внедрения комплексных систем защиты бизнес-систем. В каждом проекте мы занимается аналитикой бизнеса заказчика, существующей архитектуры систем защиты и обеспечиваем комплексный подход к внедрению ЭДО и его подсистемы защиты, которая является единым целым с корпоративной системой безопасности.

Евгений Шелковников, СЕО Docrobot, компании-партнера ТерраЛинк:

«Мы как оператор электронного документооборота (ЭДО), тщательно относимся к вопросам безопасности. Безопасность наших сервисов подтверждена соответствующими лицензиями регуляторов Российской Федерации, постоянно проводится аудит угроз и уязвимостей. Это значит, что мы гарантируем: никакая конфиденциальная информацию, переданная в сервисах Docrobot, не будет раскрыта.   

В условиях внешней турбулентности важно обеспечить самодостаточность систем. Поэтому мы отказались от иностранного программного обеспечения по подписке, используем облака РФ и локальные лицензии. Физические и виртуальные серверы тоже находятся в России. Всё это позволяет передавать документы в целости и сохранности, и бесперебойно работать даже при нестабильности и постоянных переменах».

В своих решениях ТерраЛинк также использует импортонезависимое программное обеспечение, которое соответствует требованиям по устойчивости бизнеса российских компаний, а также обеспечивает постоянную техническую поддержку и обновления. Одним из преимуществ отечественных продуктов является соблюдение требований законодательства РФ в области информационной безопасности и документооборота, а также требований к, учету и хранению документов.

Наши специалисты обладают широчайшим опытом создания систем ЭДО и обеспечения защиты данных и могут ответить на любые вопросы в этих областях.

Последние новости


Roseuorg