Защита данных компании, или информационная безопасность бизнеса в России

Вы здесь

Опубликовано: 3 октября, 2013 - 19:58

При проведении проверок сотрудники подразделений
экономической безопасности руководствуются Законом
РФ от 7.02.2011 N 3-ФЗ «О полиции», Федеральным законом
от 12.08.1995 144-ФЗ «Об оперативно-розыскной деятельности».

Возьмем на себя смелость утверждать, что ни одна компания малого или среднего бизнеса в России не застрахована от проверок ОБЭП.

В ходе проверки деятельность организации может быть полностью парализована в связи с тем, что в ходе проверочных мероприятий производится выемка документов и изъятие компьютеров. Безопасность бизнеса и его «устойчивость» к проверкам ОБЭП беспокоит подавляющее большинство собственников и руководителей компаний.

Разумеется, есть общие рекомендации по защита бизнеса от последствий таких проверок. Не стоит хранить в офисе лишние, не относящиеся к деятельности компании документы, позволять контрагентам забывать у себя в офисе свои печати, необходимо использовать только лицензионное ПО, нужно иметь под рукой телефон надежного адвоката, а, может быть, и распечатанные статьи закона «О полиции». Однако, даже при соблюдении всех мер, в случае изъятия компьютеров работа компании может остановиться, если вместе с выемкой компьютеров компания лишилась оперативных данных, необходимых в каждодневной работе.

Можно смело утверждать, что перед руководителями стоят как минимум два основных вопроса по защите данных компании:

  1. Сохранить работоспособность бизнеса после выемки документов и изъятия компьютеров (изъятия сервера).
  2. Не допустить изъятие данных в принципе, т.е. организовать информационная безопасность бизнеса так, чтобы даже в случае изъятия компьютеров данные не попали в руки проверяющих.

Рассмотрим подробнее оба вопроса и поразмышляем над тем, как можно защитить данные предприятия, не выходя за рамки правового поля.

1. Работоспособность бизнеса после изъятия компьютеров.

Очевидно, что для сохранения работоспособности бизнеса после выемка документов достаточно дублировать все бумажные документы в электронном формате. Ну а для того, чтобы продолжить работу после изъятия сервера, проще всего не хранить его в офисе, а пользоваться удаленным, так называемым облачным сервером.

Важным фактом является то, что при работе с облачным сервером на локальные компьютеры с сервера передается только изображение, т.е. на самих компьютерах ни остается никаких данных, с которыми шла работа. Таким образом, выемка компьютеров у компании, работающей с удаленным сервером, приведет только к временной утрате локальных компьютеров, но не лишит ее никаких данных. Текущую работу можно будет продолжить сразу же, но уже с других компьютеров.

В рамках услуг нашей компании данным требованиям удовлетворяют все услуги. Аренда 1САренда 1С SQL и Бухгалтерия на удаленном доступе – применительно только к данным, хранящимся в программе 1С.  Виртуализация приложенийDAAS и Виртуальный терминальный сервер – применительно ко всем данным, хранящимся на виртуальном сервере.

Хочется отдельно отменить, что подобное решение вопроса сохранения работоспособности бизнеса полностью законно и осуществляется в рамках договорных услуг, оказываемых сервис-провайдером с лицензией Минсвязи.

2. Информационная безопасность бизнеса, препятствующая изъятию данных в принципе.

Желание предпринимателей так организовать работу компании, чтобы вообще не допустить попадание собственных данных в чьи бы то ни было руки, в том числе и надзорных органов, понятно, но однозначно интерпретируется этими органами так же, как и желание преступника избавиться от вещественных доказательств своего преступления.

Итак, если компания ставит перед собой такую задачу, то ей необходим проститься с главным мифом, который окружает этот вопрос.

Миф об очень удаленном сервере. Чем дальше сервер находится за границей, тем лучше.

Если у правоохранительных органов будут законные основания требовать данные компании, то они получат доступ к ним независимо от того, где расположен сервер. Доступ к данным предоставит либо их собственный системный администратор, либо компания, обслуживающая их по договору. В противном случае либо IT-специалист как частное лицо, либо обслуживающая компания-провайдер станут соучастниками преступления, в котором обвиняется данное юрлицо, и в полной мере разделят ответственность, предусмотренную Уголовным Кодексом по данному делу. Так что надеяться на преданность обслуживающей стороны в этом случае не стоит.

Также стоит отметить, что в работе любой компании подавляющее количество информации является открытой и публичной. Это бухгалтерские данные о движении денег по счетам компании (доступ к которым можно получить напрямую в банках, а также из первичной бухгалтерской отчетности), результаты работы сотрудников в виде готовых файлов презентаций, коммерческих предложений, маркетинговых исследований, контактов с поставщиками, готовых проектов, договоров  и т.д.

Применительно к этой публичной части данных компании существует требование просто не лишиться их в случае изъятия компьютеров. Т.к. терминальный сервер полностью эту задачу решает, самым разумным решением на наш взгляд является размещение таких данных у российского оператора по официальному договору.

Ну, а если все-так существует производственная необходимость в «секретных файлах», то работу с ними руководитель должен организовать сам, и чем меньше людей будет посвящено в этот организационный момент, тем крепче будет сон этого руководителя.

Специалисты компании Смарт Офис всегда будут рады помочь в построении удобной, надежной и безопасной инфраструктуры для Вашего бизнеса. Присоединяйтесь!