ЮЗЭДО под защитой - рекомендации бизнесу
Через сервисы и системы электронного документооборота ежегодно компании отправляют более двухсот миллионов юридически значимых документов, которые содержат в себе коммерческую и персональную информацию. Нарушение конфиденциальности, целостности и доступности таких документов несет ощутимые риски для организации — от ущерба репутации до серьёзных финансовых потерь. Поэтому наряду со всеми выгодами от внедрения ЮЗЭДО – ускорением обмена документами, достижением полной прозрачности процессов, сокращением трудозатрат и издержек, ускорением расчетов и других преимуществ – у компаний остаются сомнения в надежности электронного документооборота.
Разберем в материале основные вопросы защиты процессов межкорпоративного обмена документами, рассмотрим правовые нормы обеспечения безопасности, расскажем про подход к построению комплексной ИБ-системы компании, а также дадим практические рекомендации экспертов ТерраЛинк и оператора ЭДО Docrobot.
Вопросы доверия к ЮЗЭДО
Наиболее частые сомнения при внедрении ЮЗЭДО связаны с вопросами недоверия к электронной подписи, а также с привычкой использовать бумажные формы документов для долговременного хранения, передачи в органы государственной власти или в судебной практике.
Однако технологии применения электронной подписи постоянно совершенствуются и на текущий момент достаточно надежно обеспечивают как целостность передаваемого документа его защиту от изменений (подделки), так и невозможность отказа от авторства и доказательное подтверждение авторства документа. Подделать электронную подпись при правильном использовании практически невозможно. Технология электронной подписи использует асимметричные схемы криптосистем с открытым ключом. В отличие от асимметричных алгоритмов шифрования, в которых шифровка производится с помощью открытого ключа, а расшифровка — с помощью закрытого, в схемах цифровой подписи подписание производится с применением закрытого ключа, а проверка — с применением открытого.
Кроме того, современные технологии электронного обмена и установленные регламенты деятельности ИТ и ИБ-специалистов компаний защищают межкорпоративный ЭДО от вероятности потери электронных документов и получения к ним доступа третьим лицам. Своевременное резервное копирование и организация электронного архива гарантируют сохранность документов.
Часть государственных органов уже готова принимать только электронные юридически значимые документы и предусмотрела порядок их предоставления. Судебная практика также подтверждает, что цифровые файлы можно предоставить при разбирательствах с контрагентами.
Итак, для полного перехода на использование электронных документов необходимо решить вопросы доверия к ним и обеспечить уровень безопасности, не уступающий бумажному документообороту. Обеспечить безопасность ЭДО можно с помощью применения совокупности мер: правовых, технических и организационных, о которых подробнее расскажем ниже.
Правовое обеспечение безопасности электронных документов
В соответствии с положениями Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» для защиты информации необходимо руководствоваться мерами, направленными на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа;
- реализацию права на доступ к информации.
Правительство Российской Федерации осуществляет государственное регулирование отношений в сфере защиты информации путем установления требований о защите информации, а также ответственности за нарушение законодательства РФ.
Например, конфиденциальный характер электронных документов определяется указом президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г., и указами «О внесении изменения в перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 6 марта 1997 года № 188» № 1111 от 23.08.2005 г. и № 357 от 13.07.2015 г., обработка персональных данных в документах, регулируется ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ,. Федеральная служба безопасности и Федеральная служба по техническому и экспортному контролю РФ, могут установить дополнительные требования по защите информации.
Для соответствия правовым нормам при внедрении ЮЗЭДО необходимо отобрать и принять в компании определенные организационные и технические меры для решения задач, связанных с сохранением целостности и конфиденциальности данных, а именно:
- защита информационных объектов, содержащих сведения, составляющие коммерческую тайну;
- защита персональных данных в соответствии с требованиями законодательства и рекомендациями регулятора, ФСТЭК РФ.
Эксперты компании ТерраЛинк рекомендуют комплексно подходить к обеспечению ИБ процессов ЭДО.
Выбор подхода к безопасности ЮЗЭДО
Очень часто в компаниях проектировать подсистему внутрикорпоративной защиты процессов электронного документооборота начинают не с начала проекта перехода на ЭДО, а значительно позже, когда уровень автоматизации достигает 30-50%.
Такой подход влечет за собой проблемы совместимости, защищенности и дальнейшей эксплуатации подсистемы защиты ЭДО. Самая распространенная проблема – совместимость корпоративных средств защиты информации, которые используются в компании в соответствии с действующей технической политикой, уже внедренных программных продуктов для автоматизации ЭДО с требованиями, предъявляемыми подсистемой защиты ЭДО.
Включение вопросов защиты процессов ЭДО на самых ранних стадиях обсуждения проекта, позволяет избежать многочисленных технических и организационных просчетов и, в конечном итоге, снижает стоимость внедрения и дальнейшей эксплуатации.
При таком комплексном подходе к формированию подсистемы защиты ЭДО, система защиты от утечек и общая система защиты периметра будут представлять собой единую экосистему киберзащищенности бизнеса.
Для реализации такого подхода на старте проекта важно обеспечить тесное взаимодействие команд проекта, когда проектирование и обсуждение безопасности электронного документооборота происходит совместно с департаментом ИБ и с линейными подразделениями, планирующими внедрять ЮЗЭДО. Лучшим вариантом будет, если специалисты по ИБ межкорпоративного документооборота будут включены в рабочие группы Центра компетенций ЮЗЭДО.
Немаловажную роль играет и вопрос эксплуатации подсистемы защиты, после перевода ее в продуктив и наполнения конфиденциальной информацией компании. У многих компаний нет возможности содержать целый штат технических экспертов и аналитиков для расследования инцидентов информационной безопасности, поэтому этот процесс часто отдается на аутсорс. В этом случае мы рекомендуем выбирать подрядчика с прозрачной сервисной моделью поддержки систем ИБ с гарантированным уровнем сервиса.
Способы, методы и рекомендации для защиты ЮЗЭДО
Как мы отмечали выше, организация мер безопасности информационных систем вытекает из правовых основ регулирования. Если компанией принято решение о внедрении системы электронного документооборота, созданной применительно к задачам конкретного бизнеса, где возможно реализовать все современные требования к информационной безопасности, то ответственным за проектирование сотрудникам рекомендуем учесть следующие важные моменты:
- разработка организационных мер, ранжирующих доступ пользователей к документам. Штатные средства разграничения способны только разделить пользователей на две группы – доверенных и всех остальных. Следует создавать систему ранжирования пользователей по нескольким уровням. Такие технологии, как Active Directory разбивают информацию на отдельные блоки с разным уровнем доступа. Благодаря им можно решить, кому какой блок будет доступен;
- выстраивание внутри системы ЭДО отдельных маршрутов для документов, уровень конфиденциальности которых повышен;
- использование электронной подписи и ограничение доступа к ней;
- применение двухфакторной аутентификации;
- шифрование документов. При большом потоке документов шифрование может существенно замедлить работоспособность системы, эксперты советуют использовать аппаратные средства – поточные шифраторы, которые снижают нагрузку на архитектуру системы;
- учёт хранения данных, документов и назначение ответственных. Так можно отследить, кто и когда получал доступ к чувствительной информации.
Безопасность системы электронного документооборота гарантирует как сохранность документов, так и доступа к ним.
Для сотрудников компаний, которые работают в системах ЮЗЭДО, эксперты оператора ЭДО Docrobot, компании-партнера ТерраЛинк, подготовили практические рекомендации, которые позволят сократить риски:
- не передавайте пароль от своей учетной записи коллегам: если они подпишут документ вашей подписью, доказать неправомерность подписания будет очень сложно.
- если используете ключ электронной подписи, блокируйте рабочее место, даже когда отходите на пару минут.
- придумайте сложный пароль, который злоумышленник не сможет подобрать методом простого подбора.
- регулярно обновляйте антивирус, чтобы защититься от новых вирусов. Некоторые их них перехватывают все данные с компьютера и безопасность документов оказывается под угрозой.
- если при переходе на сайт браузер уточняет, доверяете ли вы этому ресурсу, ни в коем случае не подписывайте на сайте документы.
- будьте внимательны с почтой: письма с вложениями, которые вы не ждёте, сразу отправляйте в спам, не кликайте по ссылкам в них.
Ключевые факторы успеха защиты электронных документов
Итак, к защите электронного документооборота необходим комплексный подход. Безопасность ЭДО не сводится только лишь к защите документов и разграничению доступа к ним — эта задача решается на уровне программного обеспечения. Необходима также подготовка персонала, в особенности ИТ-администраторов к работе с конфиденциальной информацией. Плохая организация процесса может свести к нулю даже самые сложные технические способы защиты документов. Итак, резюмирую вышесказанное, можно тезисно обозначить наиболее важные пункты для выполнения успешного проекта по защите ЭДО:
- при внедрении системы ЮЗЭДО в компании на самом старте стоит привлекать сотрудников ИБ-департамента к проекту, чтобы обеспечить выполнение всех требований к защите электронных документов и данных:
- обучение сотрудников работе с системой, выделение нескольких сотрудников в штате департамента ИБ, которым будет передана подсистема защиты ЮЗЭДО после ее внедрения и перевода в промышленную эксплуатацию;
- внедрение в компании процесса управления событиями безопасности. Стоит определить ключевые процессы и роли, кто и как реагирует на события безопасности в подсистеме защиты ЮЗЭДО.
- разработка четких инструкции для службы ИТ и бизнес-пользователей системы ЮЗЭДО по действиям, в случае реализации инцидента информационной безопасности (например, шифрование данных).
Как ТерраЛинк и Docrobot обеспечивают безопасность ЮЗЭДО
Команда кибербезопасности ТерраЛинк обладает многолетним опытом в вопросах проектирования и внедрения комплексных систем защиты бизнес-систем. В каждом проекте мы занимается аналитикой бизнеса заказчика, существующей архитектуры систем защиты и обеспечиваем комплексный подход к внедрению ЭДО и его подсистемы защиты, которая является единым целым с корпоративной системой безопасности.
Евгений Шелковников, СЕО Docrobot, компании-партнера ТерраЛинк:
«Мы как оператор электронного документооборота (ЭДО), тщательно относимся к вопросам безопасности. Безопасность наших сервисов подтверждена соответствующими лицензиями регуляторов Российской Федерации, постоянно проводится аудит угроз и уязвимостей. Это значит, что мы гарантируем: никакая конфиденциальная информацию, переданная в сервисах Docrobot, не будет раскрыта.
В условиях внешней турбулентности важно обеспечить самодостаточность систем. Поэтому мы отказались от иностранного программного обеспечения по подписке, используем облака РФ и локальные лицензии. Физические и виртуальные серверы тоже находятся в России. Всё это позволяет передавать документы в целости и сохранности, и бесперебойно работать даже при нестабильности и постоянных переменах».
В своих решениях ТерраЛинк также использует импортонезависимое программное обеспечение, которое соответствует требованиям по устойчивости бизнеса российских компаний, а также обеспечивает постоянную техническую поддержку и обновления. Одним из преимуществ отечественных продуктов является соблюдение требований законодательства РФ в области информационной безопасности и документооборота, а также требований к, учету и хранению документов.
Наши специалисты обладают широчайшим опытом создания систем ЭДО и обеспечения защиты данных и могут ответить на любые вопросы в этих областях.