Три кита безопасного электронного документооборота
Бизнес сегодня активно переходит на электронный документооборот. Системы электронного документооборота (СЭД) — это гибкий удобный инструмент, данные передаются за считанные секунды. Благодаря электронной подписи документооборот стал юридически значимым.
Но СЭД, как и любой обмен информацией через сеть, порождает определенные риски. Передаваемые и хранимые данные могут быть искажены, утеряны или украдены. Часто это грозит компании серьезными финансовыми потерями.
Избежать подобных неприятностей можно, и многие из Вас наверняка знают, как это сделать. Но все ли делают?
В этой статье мы хотим повторить основные «заповеди» информационной безопасности, следуя которым, Вы надежно защитите Ваш бизнес от множества угроз.
Итак, любая корпоративная сеть делится на уровни, и в надежной защите нуждается каждый из них.
Аппаратный уровень системы
К аппаратному уровню относятся серверы, компьютеры, маршрутизаторы, свитчи, а также сетевые фильтры, кабели и розетки.
Внезапные поломки оборудования, перебои в питании, незащищенный доступ к разъемам может привести к безвозвратной потере данных.
Как защитить:
- обеспечьте систему источниками бесперебойного питания;
- ведите строгий контроль над доступом к серверам и другим аппаратным устройствам;
- по возможности отключайте общедоступные коммуникационные порты (usb-разъемы и т.д)
Программный уровень системы
Программный уровень — это операционные системы, приложения и средства, обеспечивающие взаимодействие аппаратных устройств (драйверы). В частности, сама СЭД является компонентом программного уровня.
Через программный уровень злоумышленник может получить доступ к конфиденциальной информации, похитить базы данных, использовать Ваш компьютер для распространителя. Не реже сами пользователи, вследствие непреднамеренных ошибок, наносят информации ущерб.
Как защитить:
- используйте в работе только лицензионное программное обеспечение (ПО). Подломанные, неофициальные версии операционных систем часто дополнены не только удобными приложениями, но и вирусами;
- используйте защитное ПО (антивирусы, защитные экраны (firewall) базовые защитные средства операционных систем и т.д.) и не пренебрегайте процедурами обновления его обновлений;
- используйте сложные пароли для входа в операционную систему и СЭД. Возьмите за правило менять пароль не реже, чем раз в полгода, не держите записанные пароли в легкодоступных местах;
- введите разграничение прав пользователей, чтобы каждый специалист имел доступ только к той информации, с которой он работает;
- настройте резервное копирование файлов на случай непредвиденных ситуаций;
- выбирайте СЭД, которые протоколируют действия пользователей, чтобы у Вас была возможность выявлять ошибки и избегать их в будущем.
Электронная подпись (ЭП) и средства криптозащиты
Криптографические методы защиты информации неоспоримо хороши. Они сохраняют конфиденциальность документа даже при попадании в руки злоумышленника. Однако пока наука не изобрела шифров, которые нельзя было бы взломать. Криптографический алгоритм вычислить сложно, но можно.
К тому же, самые распространенные сценарии преступлений, связанных с ЭП, даже не предполагают взлома криптозащиты. Злоумышленнику бывает достаточно того, что владелец ЭП ведет слабый контроль за своим имуществом.
Как защитить:
- перед началом работы с электронной подписью проверьте систему на наличие вредоносных программ;
- установку средств ЭП и работу с ними поручайте только доверенным обученным специалистам;
- список лиц, имеющих доступ к средствам ЭП, должен быть строго утвержден. Исключите доступ посторонних лиц в помещение, где осуществляется работа с подписью;
- специалист, работающий со средствами ЭП, должен блокировать рабочий компьютер во время своего отсутствия, чтобы сторонние лица в это время не получали доступ к конфиденциальной информации;
- при переводе или увольнении сотрудников, имеющих доступ к электронной подписи, должна производиться обязательная смена ключей;
- храните закрытый ключ подписи в строгом секрете. Не передавайте носители ключей третьим лицам и не оставляйте их в легкодоступных местах. Рекомендуется хранить ключи в надежных сейфах;
- не используйте ключи, если Вам известно, что они использовались ранее;
- немедленно обращайтесь в удостоверяющий центр для приостановления действия сертификата ЭП при подозрении, что закрытый ключ стал известен сторонним лицам,
- обновляйте сертификат ключа подписи в соответствии с регламентом,
- не снимайте без участия администратора копии с ключевых носителей, не переносите сертификат ключа с защищенных usb-токенов на другие устройства (флеш-карты, жесткий диск компьютера и т.д.)
Мы будем очень рады, если наши советы помогут сберечь информацию, а вместе с ней и капитал Вашего бизнеса.