Но вместе с удобством растут и риски — ежегодно фиксируются тысячи кибератак на корпоративные системы, утечки конфиденциальных данных и инциденты, связанные с компрометацией электронных подписей и файлов. Точка Банк расскажет, как минимизировать эту угрозу и соблюдать правила информационной безопасности при работе с ЭДО.
Коротко
Безопасность электронного документооборота важна для любого бизнеса. Чтобы документы были защищены, нужно соблюдать требования законов: №152‑ФЗ — о персональных данных, №63‑ФЗ — об электронной подписи и №149‑ФЗ — о защите информации, а также приказы ФСТЭК.
Безопасность электронного документооборота важна для любого бизнеса. Чтобы документы были защищены, нужно соблюдать требования законов: №152‑ФЗ — о персональных данных, №63‑ФЗ — об электронной подписи и №149‑ФЗ — о защите информации, а также приказы ФСТЭК.
Почему важно обеспечивать безопасность электронного документооборота
Безопасность электронного документооборота — критически важный аспект для любой организации, работающей с цифровыми данными. Каждая компания должна не только защищать себя от утечки важной информации, но и правильно обрабатывать и хранить её, а также предоставлять доступ разным отделам внутри компании. В противном случае организация может столкнуться:
- с кражей конфиденциальной информации или невольным разглашением коммерческой тайны;
- утечкой персональных данных сотрудников;
- потерей репутации перед партнёрами и клиентами компании.
Пример: за нарушение правил сохранности персональных данных компании будет выписан штраф до 500 000 ₽ согласно ст. 13.11 КоАП.
Основные источники угроз информационной безопасности ЭДО
Основные источники угроз информационной безопасности электронного документооборота (ЭДО) можно разделить на внешние и внутренние.
Внешние угрозы:
- сетевые атаки (DDoS-атаки, взломы, фишинг, социальная инженерия) — направлены на получение несанкционированного доступа, перехват или подмену данных, а также на нарушение работы сервисов ЭДО;
- вредоносное программное обеспечение (вирусы, трояны, программы-вымогатели) — с их помощью злоумышленники могут проникать в СЭД через заражённые файлы, электронные письма, веб-сайты, приводя к утрате или искажению информации;
- атаки конкурентов и мошенников — преднамеренные действия по компрометации или блокировке документооборота организации.
Внутренние угрозы:
- ошибки и халатность сотрудников — случайное удаление, отправка документов не по адресу, неправильное хранение ключей электронной подписи;
- преднамеренные действия персонала — кража, передача или подделка документов в корыстных целях;
- неправильная работа с электронной подписью — хранение ключей в открытом доступе, передача подписи нескольким сотрудникам без контроля.
Экспертное мнение
Электронный документооборот — это не только удобство, но и зона повышенной ответственности для бухгалтера. На практике чаще всего проблемы возникают не из‑за взломов, а из‑за ошибок сотрудников: передали ключ ЭП, открыли доступ «на всякий случай», отправили документ не тому контрагенту. Поэтому важно не просто подключить ЭДО, а выстроить понятные правила работы и контроль доступа. Обратите внимание на решения, где безопасность уже встроена: есть разграничение прав, шифрование и контроль действий пользователей.
Например, в ЭДО от Точка Банк эти механизмы реализованы на уровне системы, что снижает риск ошибок и упрощает работу.
Дарья Жуковская
Эксперт-редактор ЭДО от Точка Банк
Способы и методы защиты электронного документооборота
Защита электронного документооборота строится на сочетании правовых и организационных методов. Вот основные способы, которые применяются для обеспечения безопасности ЭДО.
Правовое обеспечение безопасности
В нашей стране разработан список законов и нормативно-правовых актов, которые необходимо соблюдать при работе с документами.
| Закон | Что регулирует | Для чего нужен |
|---|---|---|
| Федеральный закон «Об электронной подписи» (№63‑ФЗ) | Унифицированные правила использования квалифицированной электронной подписи (КЭП) сотрудниками компании, а также условия её выпуска для удостоверяющих центров | Гарантирует неотрекаемость (если физлицу нужно подписывать электронные документы, он не может отказаться от выпуска ЭП) и целостность документа (после любого изменения документа сотрудник должен повторно заверить его с помощью ЭП, то есть подтвердить, что всё верно) |
| Федеральный закон «Об информации, информационных технологиях и о защите информации» (№149‑ФЗ) | Принципы защиты информации, обязанности операторов информационных систем, запреты на незаконный доступ | Обязывает владельцев СЭД принимать меры по предотвращению несанкционированного доступа, уничтожения, модификации и блокирования информации |
| Федеральный закон «О персональных данных» (№152‑ФЗ) | Требования к компаниям по работе с ПДн — как собирать, хранить и защищать их | Предписывает использовать сертифицированные средства защиты, например КриптоПро CSP, шифрование и разграничение доступа при работе с документами, содержащими ПДн |
| Приказ ФСТЭК №21 | Правила защиты персональных данных при их обработке в информационных системах ПДн | Обязывает компании, например, создавать учётные записи сотрудников и соблюдать меры по безопасности — использовать межсетевые экраны, устанавливать антивирусы и контролировать доступ сотрудников к электронным документам |
Организационные меры
Организационные меры по безопасности электронного документооборота формируют правильные процессы, поведение людей и культуру сохранности данных в компании.
Основные рекомендации:
- разработайте внутренние приказы и положения, которые будут регулировать работу с документами. К ним относятся Политика информационной безопасности, инструкции по работе с электронной подписью и Перечень сведений, составляющих государственную тайну;
- помните, что без чётких регламентов даже самые совершенные технические средства не обеспечат надёжную защиту.
- наймите сотрудников, которые будут отслеживать процесс выполнения этих правил и обучать персонал правильно работать с электронными документами;
- используйте более сложные технические методы защиты — многофакторную аутентификацию для доступа к ЭДО и запрет на использование общих учётных записей;
- в случае обнаружения нарушения правил разработайте чёткий план реагирования: фиксирование инцидента, оценка критичности, локализация утечки, проведение расследования и устранение ситуации;
- периодически проводите аудит эффективности СЭД и технических методов по защите информации.
Организация электронного защищённого документооборота
Переход на электронный документооборот требует не просто замены бумаги на электронные файлы, а построения целостной системы, где каждый этап жизненного цикла документа будет защищён от искажений, утраты и несанкционированного доступа. Ниже раскрыт механизм достижения каждого из них.
Подлинность документов
Подлинность означает, что документ действительно создан заявленным автором, не подвергался изменениям после подписания и может быть использован как юридически значимое доказательство.
Как это обеспечивается:
- квалифицированная электронная подпись — в соответствии с Федеральным законом №63-ФЗ КЭП придаёт документу полную юридическую силу, аналогичную собственноручной подписи и печати. Любое изменение в файле после подписания делает подписание недействительным;
- наличие меток доверенного времени, которые фиксируют момент подписания документа или отчёта с привязкой к авторизованному серверу времени. Это исключает споры о датах и защищает документ от регистрации задним числом;
- аудит-треки — это некий электронный журнал, в котором фиксируется каждая операция: создание, просмотр, правка, подписание, пересылка документа с указанием пользователя, IP-адреса, времени и результата действия.
Сохранность документов
Любая современная СЭД должна гарантировать, что документ останется доступным, читаемым и неизменным на протяжении всего установленного срока хранения, независимо от сбоев, атак или технологических изменений. Для этого в систему могут добавлять специальное шифрование данных.
Например, все документы будут храниться на серверах в специальной форме и передаваться только по защищённым каналам.
Также для сохранности всех отчётов компании используют облачное хранение — все данные резервно копируются в одном месте, что позволяет восстановить их после массового сбоя.
Если же технический инцидент по утечке или потере файлов всё-таки произошёл, во многих СЭД есть план восстановления после сбоев — DRP. Это регламентированные процедуры возврата ЭДО в рабочее состояние при отказе оборудования, кибератаке или стихийном бедствии с целевым временем восстановления.
Безопасный доступ
Многофакторная аутентификация — лучший способ обеспечить безопасный доступ к документам.
Это процесс, в котором, чтобы получить данные, сотрудник компании должен ввести комбинацию — не просто запросить документ и ввести пароль, но и предоставить токен, СМС с личного номера или даже отпечаток пальца. Такая аутентификация позволяет исключить компрометацию данных при взломе или утечке.
Разграничение прав пользователей
Оно гарантирует, что документы видят и используют только те сотрудники и партнёры, которым это действительно необходимо для выполнения задач, и только в контролируемой среде. Для этого во многих ЭДО есть функция ролевой модели, в которой права выдаются не конкретным людям, а должностным ролям. В таком случае доступ к конфиденциальным документам строго сегментирован.
В компании работает Ольга Иванова, специалист по кадрам. К ней обращается некий человек, который работает в организации‑конкуренте и предлагает за вознаграждение передать ему маркетинговую стратегию.
Конфиденциальность
Конфиденциальность в ЭДО — это состояние, при котором информация доступна исключительно авторизованным субъектам и остаётся недоступной для всех остальных, включая администраторов систем, внешних злоумышленников и инсайдеров. То есть она решает три взаимосвязанные задачи:
- секретность — содержимое документа не может быть прочитано без авторизованного ключа;
- целостность — любое изменение документа после подписания и шифрования криптографически обнаруживается;
- аутентичность — подтверждаются авторство и момент совершения криптографической операции.
Для этого СЭД используют шифрование и хеширование — формирование цифрового «отпечатка» документа. Любое изменение меняет хеш, после чего система блокирует доступ или помечает документ как скомпрометированный.
Принципы защиты в системе ЭДО от Точка Банк
Точка Банк — цифровой банк для предпринимателей, работающий в условиях жёстких требований ЦБ РФ, ФСТЭК и ФСБ. Мы защищаем документы, используя средства шифрования, аутентификации пользователей и систему контроля доступа. После подписи документы изменить нельзя, а значит, их невозможно подделать.
Также Точка Банк гарантирует безопасность — мы бережём персональные данные и храним электронные документы по требованиям законодательства. Согласно федеральным законам №63-ФЗ, 149-ФЗ, 152-ФЗ.
Как Точка Банк обеспечивает безопасность электронного документооборота
В 2022 году Точка Банк вошёл в официальный реестр операторов ЭДО. Архитектура защиты нашей СЭД строится не на дополнительных модулях, а на встроенных принципах безопасности, соответствующих современным стандартам цифровых банков, среди которых:
- наличие ролевой модели RBAC + ABAC: права назначаются по ролям и контекстным атрибутам (отдел, проект, устройство, геолокация, время сессии);
- использование многофакторной аутентификация (MFA), которая обязательна для доступа к ЭДО, подписания документов и администрирования системы;
- выпуск КЭП в соответствии со всеми требованиями ФНС и ФСБ и их хранение на защищённых носителях (Рутокен или JaCarta);
- использование сертифицированных СКЗИ по ГОСТам РФ;
- шифрование каналов связи — весь трафик между клиентом и серверами банка шифруется по протоколам TLS (не ниже версии 1.2/1.3);
- внедрение системы антифрода в реальном времени — алгоритмы машинного обучения анализируют каждое действие в ЭДО (время входа, IP-адрес, тип устройства, частоту операций, суммы и контрагентов). При выявлении аномалий, например вход из необычной локации или массовая выгрузка документов, система может заблокировать операцию и запросить дополнительное подтверждение у владельца бизнеса.