В условиях активного развития систем электронного документооборота (СЭД) все большую значимость приобретает обеспечение их информационной безопасности. Информационная безопасность (ИБ) электронных документов встраивается в общую структуру безопасности компании и требует пристального внимания как от топ-менеджеров, так и от рядовых специалистов.
Рассмотрим, реально ли обезопасить СЭД, и какую роль в защищенности играет электронная подпись (ЭП).
Ключевые угрозы безопасности СЭД
Первый шаг к организации надежной системы информационной безопасности — выявление и оценка основных угроз. Если речь идет о СЭД и ЭП, то под угрозой оказываются такие ключевые параметры, как:
- доступность. Пользователи, имеющие право получать и использовать информацию из СЭД, не могут своевременно и беспрепятственно получить к ней доступ;
- конфиденциальность. Третьи лица получают несанкционированный доступ к данным вследствие перехвата информации, кражи, утечки;
- работоспособность. Нарушение работоспособности приводит к сбоям в работе всей СЭД, и, как следствие, страдают все взаимосвязанные с системой бизнес-процессы;
- целостность. Важная информация может быть уничтожена или искажена в результате умышленных либо непреднамеренных действий.
Отдельно стоит упомянуть такой неочевидный риск, как отсутствие возможности подтвердить авторство конкретного лица. Этот риск обычно реализуется, если в СЭД не используется ЭП — тогда документам потенциально проблематично придать юридическую значимость.
Безопасность электронных документов в компании
Защита электронных документов должна стать одним из ключевых элементов системы ИБ. Структура безопасности СЭД носит комплексный характер и состоит из трех базовых элементов.
Технические средства
К этой категории относят средства аутентификации пользователей, средства шифрования и криптографии, аппаратную защиту, сегментирование сети и/или оборудования (причем желательно предусматривать изолированные сегменты), антивирусное ПО. В части технических средств также не стоит забывать о необходимости организовать резервное копирование на защищенные носители (этот процесс должен быть регулярным и осуществляться в автоматическом режиме).
Важно, чтобы в ИТ-инфраструктуре компании использовались только актуальные версии программных продуктов, а также была реализована возможность своевременно получать техническую поддержку от разработчиков.
Организационные меры
Их цель — четкое структурирование информации по степени важности и критичности, а также обеспечение строгого разграничения доступов к данным, хранящимся в СЭД. В основе эффективных организационных мер лежит разработка комплекта локальных нормативных актов компании, определяющих:
- перечень профилей (учетных записей) с указанием уровней доступа к информации СЭД в зависимости от того, какие именно данные необходимы для работы тому или иному сотруднику;
- порядок проведения испытаний системы на устойчивость к внешним и внутренним воздействиям;
- порядок использования технических средств защиты;
- взаимосвязь бизнес-процессов компании в части защиты информации СЭД с положениями действующих НПА;
- порядок организации работы с ЭП и ключами шифрования — рекомендуется предусмотреть персональную ответственность для сотрудников за нарушение этого порядка;
- классификацию информации;
- учет доступа к данным.
Правовое регулирование
Порядок защиты конфиденциальной информации, организации работы с системами электронного документооборота достаточно подробно регламентирован законами и подзаконными актами. В их число входят №
Эти три элемента эффективно работают только в комплексе, поэтому нельзя сосредоточиться только на исполнении законодательных требований в ущерб внутренним организационным мерам или эффективно реализовать только технические средства, не позаботившись о том, чтобы они органично встроились в бизнес-процессы компании.
Электронная подпись — инструмент защиты или еще одна уязвимость?
В теории электронная подпись — более надежный и безопасный аналог собственноручной подписи. Усиленную ЭП невозможно подделать, так как ее создают при помощи криптографических методов, наличие электронной подписи гарантирует неизменность подписанного документа. Сфера применения ЭП с каждым днем становится все шире — сегодня электронная подпись необходима, чтобы сдавать отчеты, работать в ГИС, участвовать в торгово-закупочных процедурах на электронных площадках.
Несмотря на высокий уровень надежности, факты использования ЭП в мошеннических целях имеют место. Это подрывает доверие к электронным подписям и заставляет задуматься, как предотвратить превращение ЭП в ещё одну уязвимость.
Надежность ЭП во многом зависит от надежности удостоверяющего центра, который ее выпустил. По закону такие центры должны проходить аккредитацию и подтверждать свое соответствие жестким требованиям каждые 5 лет. Если у центра есть действующая аккредитация Минкомсвязи, то уже этот факт говорит в его пользу.
На что еще обратить внимание при выборе удостоверяющего центра:
- лицензия ФСБ;
- «стаж» работы в отрасли, число представительств в разных регионах — чем больше, тем лучше.
Также можно поинтересоваться, является ли центр доверенным лицом Росстата, ПФР и ФНС. Если центр оказывает услуги контролирующим органам, значит, он заслужил высокий уровень доверия.
Взломать усиленную ЭП практически невозможно, но в большинстве случаев злоумышленникам не требуется демонстрировать чудеса хакерского искусства, чтобы воспользоваться подписью в мошеннических целях.
Основные риски, связанные с ЭП:
- компрометация ключа — например, владелец ЭП предоставляет доступ к ключу третьим лицам, хранит в общедоступном месте или просто случайно теряет;
- похищение ключа — физическая кража носителя с ключом или его утрата вследствие хакерской атаки на ноутбук/компьютер владельца подписи;
- незаконное оформление ЭП — мошенники оформляют электронную подпись на имя жертвы, используя поддельную доверенность.
В большинстве случаев мошенники используют методы социальной инженерии, психологическое воздействие и аналогичные приемы, чтобы владелец ЭП сам предоставил им доступ ко всей необходимой информации.
Ответственное отношение к хранению и использованию ЭП, надежная защита носителей и устройств, посредством которых она используется, позволяет значительно снизить большую часть подобных рисков. Регулярное проведение киберучений, особое внимание к цифровой гигиене и поддержание практических и технических мер защиты в актуальном состоянии снизят вероятность мошенничества с использованием ЭП до минимума.
