Официальный сайт небюджетного нотариата Российской Федерации
 Главная
Информбюро
Нотариат
ФНП
Теория и практика
Нотариальный вестник
Гостиная
Избранное
 
Архив

Обеспечение комплексной информационной безопасности в офисе нотариуса

26.03.2007

Обеспечение комплексной информационной безопасности в офисе нотариуса

 

А.И. Лютенко,

исполнительный директор Нотариальной палаты Ростовской области,

член комиссии ФНП по использованию информационных технологий

«Есть один фактор, который невозможно

преодолеть на пути к идеальной

безопасности – это человек».

Е. Грязнов, С. Панасенко.

«Безопасность локальных сетей»

 

Что такое «безопасность»?

На основе анализа законов РФ и федеральных подзаконных нормативных актов можно сказать, что в действующем законодательстве сегодня упоминается более 40 видов тайн, которые выступают в виде прямых ограничений при реализации информационных прав и свобод, и их число постоянно увеличивается. В последние годы предпринимаются постоянные усилия по их упорядочиванию. Так, Указом Президента Российской Федерации от 6 марта 1997 г. № 188 был утверждён Перечень сведений «конфиденциального характера», среди которых называется и профессиональная тайна. К профессиональной тайне, являющейся видом конфиденциальной информации, прямо отнесена в Основах законодательства РФ о нотариате (ст. 5, 14, 16) и профессиональная тайна нотариуса. Хотелось бы верить, что правовое регулирование информационных отношений окончательно оформилось с принятием Федерального закона от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации». В нём законодатель закрепляет за обладателем информации обязанности по обеспечению её защиты, среди которых, например, предотвращение несанкционированного доступа или передачи информации, а также необходимость незамедлительного восстановления модифицированной или уничтоженной информации.

Нотариусу, в силу его профессии, доверяется такая информация, значит, он обязан обеспечить её сохранность, в том числе и в своем офисе самыми действенными организационными и техническими мерами. Давно прошли времена, когда информация, составляющая нотариальную тайну, создавалась при помощи пишущих машинок и хранилась только в виде бумажных документов в архивах нотариальных контор. Российский нотариат имеет многолетний опыт общения с компьютерами и связанными с ним технологиями. Сегодня практически все нотариальные документы подготавливаются при помощи специализированного программного обеспечения, установленного на компьютерах. Там же хранятся и электронные версии архивов документов, бухгалтерская и статистическая отчетность нотариусов.

Современный российский нотариат сталкивается с бурным ростом объемов данных, необходимых для повседневной работы. Для решения этой проблемы в 2006 году введена в эксплуатацию Единая информационная система (ЕИС), позволяющая нотариусам России оперативно искать необходимую информацию, обмениваться ею как друг с другом, так и с региональными нотариальными палатами и Федеральной нотариальной палатой. Для транспортировки данных ЕИС использует общедоступные технические и программные средства сети Интернет.

Сложно создать такие огромные объёмы информации, но ещё сложнее их сохранить и оградить от чужих глаз. Если до наступления «компьютерной эры» варианты утечки информации, составляющей нотариальную тайну, ограничивались только человеческим фактором: сам нотариус, его помощники, секретари, да «ночные гости» с отмычками, то в настоящее время количество вариантов увеличилось многократно – в дело включился технический прогресс. В передаче информации задействованы технические средства и персонал компаний – провайдеров услуг Интернета, а также компаний, обслуживающих оборудование каналов связи и осуществляющих техническое обслуживание и ремонт офисной техники, что, естественно, не добавляет чувства защищенности. В последнее время наблюдается явная тенденция к увеличению потерь от внешних злоумышленников. Количество любопытных технически грамотных граждан, чаще всего именуемых «хакерами», подсчитать никто не берется.

Крайне важно понять, что безопасность – это не продукт, который можно купить в магазине и быть уверенным в собственной защищенности. «Безопасность» –
особый комплекс как технических, так и административных мер. Административные меры также включают в себя не только бумаги, рекомендации, инструкции, но и работу с людьми. В любом случае нотариусу приходится обеспечивать комплексную защиту своих «тайн» как от собственного персонала, так и от внешних факторов. Только такой подход к защите информации может внушить уверенность в ее безопасности.

Цели защиты информации

При детальном анализе проблемы можно рассмотреть три цели защиты информации «своими силами на территории своего офиса» и две большие группы угроз и препятствий, стоящих на этом пути.

Цель первая – целостность информации – гарантированность того, что данные, её составляющие, не были изменены, сфальсифицированы или уничтожены. Целостность информации должна гарантировать сохранность данных как в случае злонамеренных действий, так и случайностей вроде отключения электроэнергии или выхода из строя «винчестера» с находящимися на нем данными, которые являются результатом работы за несколько лет. Обеспечение целостности информации является обычно одной из самых сложных задач.

Конфиденциальность данных – вторая цель безопасности. К конфиденциальной информации можно отнести следующие данные: информация, содержащая нотариальную тайну, резервные копии электронных архивов нотариальных документов и различные внутренние документы, личная и бухгалтерская информация, учётные записи (имена и пароли) для входа в защищённый компьютер.

Третьей целью безопасности данных является их доступность. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за их недоступности. Можно привести перечень ресурсов, которые должны быть «доступны» в офисе: это технически исправные компьютеры и принтеры, данные (пароли, ключи), позволяющие пользователям получить доступ к защищённому компьютеру, корректно установленное программное обеспечение, архивы и базы данных, необходимые для работы.

Необходимо учесть, что усиливая конфиденциальность данных, мы снижаем их доступность и наоборот. Правильное определение степени необходимой достаточности в этом вопросе может существенно снизить затраты на обеспечение очень недешёвых технических и организационных мероприятий безопасности и не превратить всю работу офиса в постоянные поиски врага. Принимать такие решения желательно после детального анализа состояния информационной безопасности вашего офиса.

Виды угроз

Угрозы в защите информации и, соответственно, методы борьбы с ними можно разделить на технические и человеческий фактор.

Технические угрозы. Несмотря на постоянно растущую надёжность техники, случаются и её отказы. Например, в результате выхода из строя компьютерного жесткого диска можно потерять единственный вариант всей информации, которая создавалась в течение длительного времени. Предотвратить эту неприятность и, соответственно, защитить целостность можно простым дублированием информации. Многие современные компьютеры позволяют выполнять дублирование «аппаратно», при помощи установки второго жесткого диска и записи всех данных сразу на два носителя. Разумеется, при физической утрате компьютера (кража, пожар, смерч, самум) дублирование не поможет. Здесь выручит создание резервных копий, например на компакт-дисках, и хранение их в более защищённом месте.

Утечка информации из офиса. Как это происходит? Собственно говоря, всё очень просто. В подавляющем большинстве случаев сотрудник копирует документы, с которыми он в данный момент работает, на любой мобильный носитель информации. До недавнего времени основным «инструментом» для этого были записываемые компакт-диски. В настоящее время гораздо более удобным средством «выноса» конфиденциальных данных с компьютера являются мобильные модули памяти. Особенно это верно в отношении тех устройств, которые могут подключаться прямо к USB-порту компьютера, например, флеш-память. Её объём может достигать значений, достаточных для записи двухчасового фильма с многоканальным звуком. Для работы с ней не нужны дополнительные программы, да и скорость обмена информацией с компьютером достаточно большая. Можно подключить к офисному компьютеру собственное устройство и скопировать на него всю информацию со всеми тайнами, главное – иметь доступ. Кроме того, размеры «флешек» очень малы, и можно легко работать с ними незаметно для других.

Сегодня многие цифровые устройства имеют встроенную память для хранения данных, таким образом, карманные компьютеры, сотовые телефоны, mp3-плееры и цифровые фотоаппараты также могут использоваться для переноса конфиденциальной информации. Более того, совсем недавно была анонсирована специальная программа, которая автоматически осуществляет поиск документов в форматах .DOC, .XLS, .PPT, .HTM, .XML, .TXT и т.д. и копирование их на устройства, работающие через беспроводные интерфейсы WiFi и Bluetooth. Таким образом, уже появились варианты не только хищения информации, но и автоматизации этого процесса.

Программы для защиты

Разумеется, существуют и программы, предназначенные для предотвращения подобного рода утечек, блокирующие порты персонального компьютера, к которым могут подключаться такие устройства. Для каждого устройства и для каждого пользователя можно разрешить, либо запретить доступ. Так как подключаемые устройства могут идентифицироваться по разным признакам (код производителя, код устройства, серийный номер и т.д.), то программа может запретить использование «чужих» внешних накопителей информации и разрешить подключение каких-либо «своих» внешних устройств, например, принтеров или USB-ключей для аутентификации пользователей.

К сожалению, программ, предназначенных для динамического блокирования различных портов, сегодня на рынке очень и очень мало, причём почти все они производства западных компаний. Стоимость этих программ лежит примерно в одном ценовом диапазоне, так что при выборе подходящего продукта необходимо ориентироваться не на цену, а на список возможных функций и, не в последнюю очередь, на удобство использования. Дело в том, что настраивать политики доступа должен сам нотариус, и далеко не всегда ему удастся разобраться в хитром англоязычном интерфейсе. В этом случае он будет вынужден позвать себе на помощь технического специалиста. А это уже представляет собой потенциальную угрозу. Поэтому простой русскоязычный интерфейс – большой плюс к надёжности такой системы защиты информации. В решении многих из вышеперечисленных проблем могут помочь технические средства защиты и программные продукты Zlock, Zdisk, Zlogin российской фирмы SECURIT.

Идентификация и аутентификация

Неоднократно в течение рабочего дня каждый пользователь современных информационных систем сталкивается со сложными и труднопроизносимыми процедурами – «идентификация» и «аутентификация». Не углубляясь в технические подробности, можно сказать, что эти процедуры выполняются каждый раз, когда мы вводим пароль при включении компьютера, логин и пароль для доступа в Интернет или электронную почту. Количество паролей, которые нам необходимо помнить, может достигать 5–6. Часто пользователи пишут пароли на бумажках и приклеивают на видных местах, сводя тем самым на нет все усилия по защите информации, либо постоянно путают и забывают пароли, вызывая повышенную нагрузку на свой головной мозг и на службы поддержки различного программного обеспечения. Если к этому добавить, что каждый пароль должен состоять не менее чем из 6–8 произвольных букв, цифр и спецсимволов, и его необходимо периодически менять, то осознать серьезность проблемы не составит труда.

Те же труднопроизносимые процедуры легко и просто выполняются при использовании в качестве идентификатора электронных ключей типа HASP, например, как в системах бухгалтерского учета «1C–Бухгалтерия». В широко известной программе подготовки нотариальных документов «Triasoft Express» для защиты электронного реестра используется способ двухфакторной аутентификации, т.е. требуется одновременно и электронный ключ, и пароль, вводимый пользователем.

Шифрование

Защитить созданную вашими трудами информацию можно, применив методы криптографии. Шифрование информации – процесс преобразования открытой информации в закрытую, он помогает повысить степень её конфиденциальности. Преобразование выполняется по строгим математическим алгоритмам, помимо собственно данных, в преобразовании также участвует дополнительный элемент – «ключ». В ГОСТе даётся довольно запутанное определение ключа, которое после некоторой адаптации к нормальному языку может звучать так: «ключ представляет собой уникальный элемент, позволяющий зашифровать информацию так, что получить открытую информацию из зашифрованной можно только определённому пользователю или группе пользователей». При отсутствии же правильного ключа получить исходное сообщение практически невозможно. Этот метод используется многими программными средствами защиты информации, которые позволяют создавать и использовать на ваших компьютерах защищённые логические диски, информация в которых хранится в зашифрованном виде и недоступна для посторонних даже при изъятии диска или компьютера. Для максимального спокойствия все массивы конфиденциальной информации можно хранить на внешнем USB диске, который после рабочего дня можно убрать в сейф или собственный карман.

Стоит сказать, что все государственные организации Российской Федерации и ряд коммерческих обязаны для защиты данных использовать отечественный алгоритм симметричного шифрования ГОСТ 28147-89. Это сильный криптографический алгоритм, в котором пока ещё не найдено недостатков за более чем 12 лет применения.

Электронная цифровая подпись (ЭЦП) позволяет гарантировать как целостность, так и авторство информации. ЭЦП использует сразу два криптографических ключа: секретный и открытый. Открытый ключ вычисляется из секретного по достаточно легкой формуле, обратное же вычисление весьма трудоёмко и считается неосуществимым за приемлемое время при современных вычислительных мощностях.

Никто не застрахован от ошибок

Программное обеспечение (ПО) компьютеров написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нём ошибок и уязвимостей. Большинство из них не представляет опасности, некоторые же могут привести к трагическим последствиям, таким как получение злоумышленником контроля над компьютером, неработоспособность компьютера, несанкционированное его использование. Большинство таких уязвимостей устраняется с помощью установки на компьютер пакетов обновлений, регулярно выпускаемых производителем ПО. Своевременная установка таких обновлений является необходимым условием безопасности.

Компьютерные вирусы в настоящее время используют для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удалённого управления зараженным компьютером, использования его в качестве плацдарма для дальнейшего распространения и похищения конфиденциальной информации. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.

От юзера – к продвинутому пользователю

Человеческий фактор: если ваши данные интересны кому-либо, то этот кто-то найдёт способы достать их. Для этого всё реже требуется установка таких шпионских технических средств съема информации, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства. Всем, интересующимся вашей конфиденциальной информацией, преднамеренно или непреднамеренно могут «помочь» ваши собственные сотрудники.

Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешённый доступ к конфиденциальной информации. Очень может статься, что уборщица, моющая полы и пинающая шваброй ваш новенький системный блок, может оказаться «хакером» весьма высокого класса.

Халатность: самая обширная категория злоупотреблений, начиная с неустановленных вовремя обновлений и заканчивая несанкционированными поисками развлечений в Internet – в результате чего злоумышленники получают открытый доступ к хорошо защищённому компьютеру. Часто низкая квалификация сотрудников не позволяет пользователю понять, с чем он имеет дело, из-за этого даже хорошие программы и технические средства защиты становятся настоящей морокой. Большинство пользователей не понимают реальной угрозы от запуска на офисном компьютере незнакомых программ, «скачанных» из Интернета. Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. Выход только один – повышение квалификации пользователей.

Основные меры

Для повышения конфиденциальности данных и вашего спокойствия можно принять ряд организационных мер. Во-первых, составить перечень данных, являющихся нотариальной тайной, и каждый сотрудник, который будет иметь к ним доступ, обязательно должен с ним ознакомиться (естественно, под роспись). Во-вторых, со всеми сотрудниками провести собеседования, в ходе которых им необходимо объяснить суть режима сохранения нотариальной тайны и ответственность за его нарушение (тоже под роспись). В-третьих, установить порядок обращения с конфиденциальной информацией и обеспечить учёт лиц, получающих к ней доступ. В-четвертых, в договор, заключающийся между работником и нотариусом, должен быть внесён дополнительный раздел, касающийся работы с нотариальной тайной, кстати, такой раздел не повредит и договору со сторонней организацией, занимающейся обслуживанием и ремонтом офисного оборудования. Ну и, наконец, на все материальные носители, содержащие конфиденциальные данные, необходимо нанести специальный гриф. Только после выполнения всех перечисленных мер информация будет охраняться законом.

Сегодня мы рассмотрели только вопросы информационной безопасности в офисе нотариуса. За его стенами серьёзных вопросов ещё больше. Самые серьёзные из них – как же защищена Единая информационная система нотариата (ЕИС) и можно ли доверить ей нотариальную тайну? Обсудим это в следующей статье.

Но пора подвести итоги: утечки конфиденциальной информации – действительно очень серьезная проблема. И сегодня есть технические средства и организационные методы, позволяющие защитить себя от них. Естественно, внедрение этих методов и средств требует определенных затрат, но нужно понимать, что они гораздо меньше, нежели убытки, которые может понести (а может быть, уже несет?) российский нотариат.


Вернуться


© Федеральная нотариальная палата, 2006-2012

Пишите нам:info@notariat.ru Web-редактору: web@notariat.ru

Разработка сайта и дизайн «ИнфоДизайн» © 2006
Rambler's Top100