Источник: Национальный банковский журнал
Главной целью внедрения системы электронного документооборота (СЭД) в банке является повышение эффективности документооборота, а следовательно, в какой-то степени и эффективности работы кредитной организации в целом. В силу того, что банки работают с весьма специфичной информацией, для них проблема обеспечения информационной безопасности и защиты данных при эксплуатации СЭД очень актуальна.
В банке без СЭД не обойтись
В банках по сравнению с другими организациями, как правило, значительно больше объем официальной документации — организационно-распорядительной, платежной, официальной переписки и т.п. С одной стороны, это связано со спецификой банковской деятельности, например с большим количеством бухгалтерских проводок, которые должны быть надлежащим образом оформлены. С другой стороны, с внимательным отношением к поднадзорным субъектам со стороны регулятора банковского рынка. ЦБ требует в обязательном порядке документировать в форме приказов, внутренних документов информацию, которая в иных организациях могла бы вполне эффективно существовать в качестве, например, сообщений электронной почты. Кроме того, многие клиенты — как юридические, так и физические лица — осуществляют взаимодействие с банком дистанционно — по Интернету, системам «клиент — банк» и т.д.
Все эти факторы способствуют тому, что в банках чрезвычайно развит интерес к построению эффективного документооборота, в частности, к системам электронного документооборота (СЭД). Кстати, банки — одни из первых, кто начал внедрять у себя такие системы.
Начальник управления документационного сопровождения инвестиционного банка КИТ Финанс Наталья Рожкова рассказывает, что СЭД необходима для решения ряда важных задач, стоящих перед банками. Во-первых, для организации единой автоматизированной централизованной регистрации и хранения входящей, исходящей, внутренней организационно-распорядительной и иной документации, в том числе в удаленных офисах. Во-вторых, для обеспечения однократной регистрации документов в организации по единым правилам, установленным для всех офисов. В-третьих, СЭД необходима для автоматизации и ускорения процесса оперативной доставки документов получателям в структурных подразделениях, а также автоматизации процесса отслеживания и контроля соблюдения сроков согласования и исполнения документов. Далее, она нужна для создания единой корпоративной базы нормативных и распорядительных документов с разграничением прав доступа к ним между пользователями (при этом в базе хранятся как данные документа, так и его сканированный образ). Наконец, СЭД применяется для организации информационно-справочной работы по документам и оперативного их поиска, а также автоматизации учета архивного фонда документов.
Мишень для злоупотреблений и подделок
Важно подчеркнуть, что в силу специфики информации, которой обладают банки, для них особо остро при эксплуатации СЭД стоит вопрос обеспечения информационной безопасности и защиты данных, особенно персональных, рассказывает начальник управления предоставления и обслуживания кредитов Флексинвест Банка Михаил Ковалев. Электронные документы можно изменить, внести в них подложную информацию, поэтому они являются настоящей мишенью для служебных злоупотреблений и подделок.
Последствия возникновения инцидентов при электронном документообороте могут быть гораздо серьезнее, чем при бумажном, поскольку в этом случае требуются более сложные механизмы расследования инцидентов. Кроме того, конфликт может оказаться очень запутанным, и ресурсы (материальные и временные) на его разрешение превысят причиненный в результате инцидента ущерб.
Эксперты отмечают, что во избежание подделок нужно использовать средства, встроенные в выбранную организацией платформу документооборота, либо разрабатывать внешние модули, реализующие необходимые функции защиты.
Обеспечение информационной безопасности при работе в СЭД осуществляется с помощью ряда специфических мер, среди которых можно выделить следующие. Во-первых, идентификация пользователя при входе в СЭД по уникальной комбинации логина и пароля. Во-вторых, протоколирование всех действий пользователя и применение электронной подписи в качестве аналога собственноручной подписи для защиты содержимого электронного документа от фальсификации. В-третьих, разграничение прав доступа пользователей к электронным документам, в том числе прав на просмотр, изменение и удаление электронных документов или их вложений. Ключевой принцип защиты информации состоит в том, что права доступа к документам должны определяться как на уровне баз данных, так и на уровне конкретного документа. В зависимости от происходящих в банке изменений списки управления доступом должны часто пересматриваться.
Деление пользователей на группы и распределение прав доступа является наиболее приемлемым методом для средних и крупных банков. Например, в СЭД одна группа пользователей обладает правами редактировать определенную группу документов, в то время как другая — только читать или согласовывать их. Такое разграничение прав доступа имеет практическую прикладную пользу, так как позволяет осуществлять мониторинг изменений и движения документов.
Еще одним способом защищенного доступа к данным и архивам СЭД является биометрическая аутентификация — весьма технологичная и трудная для реализации. Этот способ подразумевает использование уникальных биометрических показателей человека для доступа к данным. Его использование оправдано только в крупных организациях, хранящих информацию повышенной секретности и значимости.
Использование ЭЦП
Достаточно популярной мерой защиты СЭД является шифрование отдельных документов ключами пользователей и электронной цифровой подписью (ЭЦП) — специальным кодом, который заменяет автограф ответственного лица на бумажном носителе. Электронная цифровая подпись используется во многих кредитных организациях. В некоторых банках существуют специальные отделы эксплуатации удостоверяющего центра, которые занимаются вопросами криптографической защиты электронных документов.
С помощью ЭЦП обмен документами, их визирование и подписание происходят гораздо быстрее и удобнее как внутри организации, так и за ее пределами (при пересылке документов внешним респондентам, не являющимся пользователями СЭД банка).
Действительно, когда банк вступает во внешний электронный документооборот со своими клиентами или партнерами, применение ЭЦП позволяет кредитной организации контролировать целостность электронных документов при хранении и передаче, а также подтверждать их авторство.
Использование ЭЦП внутри банка имеет и профилактическое значение. С помощью электронной подписи нельзя, конечно, совершенно исключить, но можно снизить риски злоупотребления сотрудниками своими служебными полномочиями.
Защищенная система электронного документооборота с применением ЭЦП создается на базе удостоверяющего центра (УЦ) , состоящего из трех основных компонентов: центра сертификации (ЦС) , центра регистрации (ЦР) , автоматизированного рабочего места администратора (АРМА).
Основным элементом УЦ является ЦС, который выполняет определенное количество функций. Во-первых, выработку и удаление сертификатов ЭЦП зарегистрированных пользователей, а также хранение базы данных сертификатов и соответствующих им закрытых ключей ЭЦП. Во-вторых, обеспечение шифрования и целостности передаваемых данных между ЦС и ЦР с двусторонней аутентификацией по протоколу TLS. В-третьих, обеспечение уникальности открытого ключа и серийного номера в сертификатах. В-четвертых, организацию первоначальной процедуры выработки закрытых ключей и сертификатов для компонентов УЦ.
Применяя ЭЦП в платежных операциях, или при обмене конфиденциальными данными нужно руководствоваться четким регламентом. Подобные регламенты составляют основу нормативно-распорядительной документации, которая регулирует применение ЭЦП в каждом банке. Но эта документация становится легитимной и действенной только тогда, когда в ней учтены все нюансы российского законодательства. А этих нюансов не так уж мало, и как раз они нередко препятствуют более активному использованию ЭЦП.
Законодательная база
В настоящее время в России использование ЭЦП регламентируется внушительной нормативно-законодательной базой. Это и Гражданский кодекс РФ, и закон «Об информации, информатизации и защите информации», и государственные стандарты, и многое другое.
6 апреля 2011 года президент России Дмитрий Медведев подписал Закон «Об электронной подписи» (ЭП) , одобренный Госдумой и Советом Федерации в марте этого же года. Документ пришел на смену принятому в 2001 году Закону «Об электронно-цифровой подписи» (ЭЦП) , который содержал очень серьезные требования к ЭЦП и чрезвычайно ограничивал возможности по применению электронных документов. В нем допускалась только технология асимметричных электронных ключей, требующая обязательного наличия сертификата от удостоверяющего центра.
Перед началом использования ЭЦП центр должен был передать в бумажном и электронном виде копии сертификата уполномоченному органу. Сами удостоверяющие центры подлежали обязательному лицензированию и должны были быть выстроены в единую иерархическую структуру. Хотя закон вступил в силу в начале 2002 года, уполномоченный госорган (тогда это было Федеральное агентство по информационным технологиям) появился лишь в 2004 году, а «корневой» удостоверяющий центр, без которого невозможна работа всех остальных, — в 2005 году. Лицензирование удостоверяющих центров вообще не заработало из-за противоречий с принятым позже законом «О лицензировании отдельных видов деятельности».
В результате, как отмечается в пояснительной записке к закону «Об ЭП», в России ЭЦП пользуются практически только юридические лица, а число выданных сертификатов составляет не более 0,2% от общего количества населения. В принятом в этом году законе от удостоверяющих центров не требуется лицензирования. Они могут пройти аккредитацию — и то лишь на добровольной основе. Аккредитацией будет заниматься назначенный правительством уполномоченный орган, он же организует работу «корневого» центра.
В рамках общей защиты
Как правило, каналы связи, по которым проходит информация из систем электронного документооборота, защищены в рамках обеспечения безопасности всей внутренней сети передачи данных банка, а не какими-то специализированными средствами. При этом используются уже существующие в кредитной организации средства информационной безопасности, например USB-токены, пароли и т.д. Так, USB-токены широко применяются в системах защищенного документооборота, электронных платежей, в системах «клиент — банк». Они выступают как единое устройство для доступа ко всем ресурсам корпоративной сети и легко интегрируются с системами и приложениями, поддерживающими технологии смарт-карт и PKI (Public Key Infrastructure).
Нередко одним из требований службы безопасности кредитной организации является реализация в СЭД механизма SSO (Single Sign On). Данная система строгой аутентификации обеспечивает централизованное управление учетными данными пользователей и управление доступом к информационным ресурсам организации. Также система производит аудит событий безопасности.
Механизм SSO позволяет идентифицировать пользователя. При этом он лишается возможности внести вредоносные правки в документ незаметно. При использовании SSO каждое действие фиксируется в истории документа и сопровождается индивидуальным паролем.
Эксперты отмечают, что интерес представляют также технологии персональной печати, которые позволяют выводить на принтер документы из СЭД и других приложений только в присутствии ответственного сотрудника. Наряду с системой строгой аутентификации, защищающей информацию внутри СЭД, персональная печать гарантированно снижает риск утечки, когда документы уже «выходят» за рамки системы электронного документооборота.
Автор: Оксана Дяченко
Источник: Национальный банковский журнал