Деньги любят тишину, а финансовые документы — конфиденциальность. Наиболее важным из этих документов, как правило, придается статус юридически значимых. И если бизнес заботится о конфиденциальности информации, то к безопасности юридически значимых документов он тем более должен отнестись с должным вниманием.
Статистика неумолима: предприятия и организации в России сегодня все шире используют юридически значимый электронный документооборот (ЮЗ ЭДО) для обмена ценной информацией со своими контрагентами — компаниями и индивидуальными предпринимателями. Согласно консервативным оценкам компании «СКБ-Контур», в нынешнем году следует ожидать роста объема ЮЗ ЭДО более чем в четыре-пять раз по сравнению с прошлым годом. Большую их часть, вероятнее всего, составят электронные счета-фактуры и электронные накладные. В предыдущие периоды число документов, передаваемых через системы ЮЗ ЭДО, как и количество компаний-пользователей, увеличивалось примерно в полтора раза за квартал.
Напомним, что определение юридической силы документа содержится в ГОСТ Р 51141-98 «Делопроизводство и архивное дело. Термины и определения», она трактуется как «свойство официального документа, сообщаемое ему действующим законодательством, компетенцией издавшего его органа и установленным порядком оформления». Очень важной частью юридически значимого электронного документа является электронная подпись, ее использование регулируют Федеральный закон РФ № 63-ФЗ «Об электронной подписи» от 6 апреля 2011 года и подзаконные акты. А поскольку, по мнению Александра Колесникова, технического директора компании Tegrus, юридическую значимость электронным документам придает именно электронная подпись (ЭП), то для внедрения ЮЗ ЭДО неободимо создать инфраструктуру открытых ключей либо заключить договор о предоставлении услуг внешним удостоверяющим центром (УЦ). «Также нужно обеспечить безопасное взаимодействие СЭД организации с УЦ, а на серверах и рабочих местах пользователей сформировать доверенную среду для программного обеспечения системы», — добавляет Колесников.
Организационная поддержка защиты
По мнению Сергея Середы, руководителя проектов компании «Энергодата», продумывая организационную сторону ЮЗ ЭДО, следует уделить ключевое внимание определению порядка использования ЭП в системе ЮЗ ЭДО и обеспечению требований закона
63-ФЗ, в частности использованию услуг аккредитованного УЦ и применению сертифицированных средств криптозащиты. Также нужно продумать порядок выдачи и замены ключей электронных подписей, вопросы обеспечения их конфиденциальности и др. Кроме того, надо определить порядок передачи электронных документов в архив и регламент его ведения. «Поскольку речь идет о юридически значимом документообороте, повышенные требования предъявляются к предотвращению компрометации закрытых ключей ЭП, порядку, условиям и сроку их отзыва в случае, если они будут скомпрометированы, — добавляет Середа. — Также предусматривается процедура независимого арбитража в случае неустранимых разногласий между участниками ЮЗ ЭДО».
Риски, угрозы, средства защиты
Как отмечает Сергей Середа, руководитель проектов компании «Энергодата», угрозы ИБ, строго говоря, относятся к хранимой или обрабатываемой информации, а не к документообороту как таковому. Состав угроз и уровень риска их реализации определяются характером информации, содержащейся в документах, включенных в ЮЗ ЭДО.
«Если классифицировать угрозы ИБ по влиянию на защищаемую информацию, то для систем поддержки ЮЗ ЭДО необходимо в первую очередь учитывать угрозы доступности и (если обрабатываемая информация относится к одному из видов тайны) угрозы конфиденциальности информации. Что же касается угроз целостности, то противодействие значительной их части обеспечивается использованием ЭП, являющейся основой ЮЗ ЭДО», — считает Середа. Для защиты от утечек информации ограниченного доступа необходимо, по его словам, исключить риск несанкционированного доступа к системе в результате перехвата, подбора, компрометации пароля или перехвата пользовательской сессии, а также использования программных уязвимостей.
Для борьбы с рисками, связанными со взломом паролей, Середа рекомендует применять беспарольную аутентификацию. Для защиты от перехвата пользовательских сессий следует применять шифрование трафика. Для защиты от использования программных уязвимостей самым надежным является шифрование подписываемых документов (после их подписания).
В числе специфичных для ЮЗ ЭДО угроз Середа называет перехват закрытого ключа ЭП и подмену подписываемого текста в момент формирования ЭП. Обе угрозы реализуются, как правило, с применением «троянских коней». Для противодействия первой используются антивирусы и средства шифрования либо смарт-карты. «В случае смарт-карт все криптографические преобразования выполняются процессором смарт-карты без копирования секретного ключа в память компьютера, что полностью исключает возможность перехвата ключа», — поясняет Середа. Для противодействия второй угрозе имеется отдельный класс аппаратных устройств — антифрод-терминалов, отображающих подписываемый текст на собственном экране, исключая тем самым возможность его подмены.
Для защиты ЮЗ ЭДО могут применяться и более продвинутые средства — системы DLP, ESM/SIEM, IDS/IPS и др. «Конкретная конфигурация средств защиты определяется моделью угроз для конкретной организации и условий использования ЮЗ ЭДО», — поясняет Середа.
Колесников считает, что применение систем ЮЗ ЭДО обычно не требует сколько-нибудь значительных изменений сложившихся в организации бизнес-процессов. Но, чтобы эксплуатация этих систем не порождала дополнительные риски, при их внедрении стоит выполнить ряд организационных мер. Что касается оснащения серверов и рабочих мест пользователей средствами криптозащиты, то это, конечно, необходимо, однако главным «инструментом», позволяющим эффективно и безопасно использовать системы ЮЗ ЭДО, является высокая корпоративная культура работы с электронными документами: «Когда пользователи, работая с документами внутри системы, соблюдают все регламенты и политики ИБ, риски утечки или повреждения данных ничтожно малы. Проблемы начинаются, когда пользователи отправляют документы по незащищенным каналам электронной почты в другие организации, копируют или печатают их, сохраняют на незащищенных носителях. Тотальный контроль и какие-то репрессивные меры не способны полностью решить эту проблему. Чрезмерное увлечение ими скорее напугает и без того консервативных сотрудников, создаст помехи для бизнес-процессов и сведет к нулю все преимущества электронного документооборота. А вот формирование и привитие культуры работы с документами и электронными данными в целом способны действительно обеспечить их безопасность».
В частности, слабым звеном даже самой совершенной системы ИБ нередко становится человеческий фактор, напоминает Колесников, поэтому организации необходимо обучить всех участников процесса ЭДО особенностям работы с системой и обеспечить персональную ответственность сотрудников за конфиденциальность носителя ключа ЭП: «Нужно помнить, что случайно оставленным без присмотра носителем может воспользоваться злоумышленник, а это может поставить под сомнение достоверность ранее заверенных этой подписью документов и приведет к значительным затратам средств и времени на восстановление системы в целом».
Кроме того, добавляет Колесников, необходимо обеспечить сохранность и надежное резервирование архива электронных документов, разграничить доступ персонала к различным их категориям и тщательно контролировать действия сотрудников в корпоративной системе в целом и в СЭД в частности: «Таким образом можно свести к минимуму многие риски, которые несет в себе применение ЮЗ ЭДО».
Что касается требований к контрагентам, то они, по мнению Середы, вероятнее всего, будут определяться общим порядком использования ЭП, принятым в компании, которой принадлежит система ЭДО, а также регламентами работы с информацией ограниченного доступа. В случае необходимости можно определить особый порядок использования ЭП при обмене документами с внешними организациями (например, иностранными). Технические требования к контрагентам, внешним системам ЭДО и их операторам в целом определяются государственными регуляторами и международными стандартами. Если требуется особый порядок обработки каких-то видов электронных документов, то он, как правило, отражается в соглашениях об ЭДО, подписываемых его участниками.
Итак, если предприятие решило начать обмен юридически значимыми документами, то его информационную безопасность вполне можно обеспечить. Поскольку речь в данном случае идет об обмене документами с контрагентами, очень важно координировать реализацию вопросов ИБ с ними или хотя бы с поставщиком услуг ЭДО, если обмен документами производится через него, — ведь бреши в защите одного из участников обмена могут заметно снизить уровень безопасности его партнеров и клиентов. Для этого потребуются усилия многих заинтересованных сторон — они необходимы, чтобы все участники процессов ЮЗ ЭДО почувствовали себя защищенными.