Где лучше хранить сервер юридической фирмы и как в целом обеспечить конфиденциальность корпоративной информации?
Евгения РУЖЕНЦЕВА, Максим СЫСОЕНКО • «Юридическая практика»
Юридический бизнес, пожалуй, как никакой другой требует максимальной защищенности и собственных данных, и информации, поступающей от клиентов. Несмотря на то, что традиционное хранение клиентских дел в картонных папках и больших шкафах все еще не кануло в Лету, особое внимание руководству юридических фирм приходится уделять защите доступа к информации, содержащейся на электронных носителях.
Каким образом хранить информацию в электронном виде, чтобы при максимальном удобстве использования были гарантированы ее конфиденциальность и безопасность — на этот вопрос каждая юридическая фирма отвечает по-своему. Степень защиты информации в компании обычно зависит от уровня резонансности сопровождаемых дел, требований клиента, опасений руководства в отношении утечки информации, а то и не всегда обоснованного стремления к конспиративности всех своих замыслов. Исходя из этого и выбираются те или иные инструменты, обеспечивающие конфиденциальность и сохранность информации: традиционный носитель, защищенный соответствующим программным обеспечением, шифрование электронной переписки, ключ доступа для входа в сеть и т.д.
Игра «в прятки»
Как бы то ни было, наиболее уязвимым в этом отношении является сервер компании. Именно ему чаще всего приходится принимать на себя удар со стороны неожиданно нагрянувших правоохранительных и проверяющих органов. В связи с этим в последнее время на рынке юридических услуг прослеживается тенденция к удаленному хранению сервера. Причем IT-специалисты рекомендуют использовать для этих целей уже не только специально предназначенные дата-центры, но и все больше «перемещаться в виртуальный мир» — кому что больше по душе.
Впрочем, в одном большинство из них едины: традиционному носителю всей жизненно важной для юрфирмы информации в офисе уже не место. Ведь, несмотря на наличие законодательной нормы об адвокатской тайне, на которую так рассчитывает клиент, передавая зачастую свои уставные и прочие документы на хранение адвокату, всем известны случаи «пренебрежения» ею со стороны правоохранительных и контролирующих органов, когда в поле особого внимания попадает клиент адвоката, а то и сам защитник. Минимизировать злоупотребления в виде несанкционированного обыска или изъятия документов и призван так называемый виртуальный сервер, который обычно арендуется юридическими фирмами.
Руководитель направления информационных технологий ЮФ «Международная юридическая служба» Евгений Ткаченко уверен, что любой грамотно построенный бизнес нуждается в максимальной степени защиты информации, и юридическая фирма — не исключение. «Существуют два варианта размещения серверного оборудования в компании. Первый — создание собственной площадки на базе, к примеру, офиса компании. Это позволяет осуществлять, помимо программного, также физический контроль за носителями информации. Однако не дает абсолютной защиты от визита «незваных гостей, — предостерегает эксперт. — Второй вариант — вынесение серверного оборудования на внешнюю площадку. Основой в таком случае могут послужить дата-центры крупных интернет-провайдеров и специализированных компаний. Ими сформированы целые пакеты подобных услуг, именуемые collocation. Спецификой схемы, основанной на удаленном доступе к информации, является необходимость создания защищенного канала связи от офиса компании к площадке, на которой размещен сервер. Данный вариант, хоть и сложнее, но является более защищенным и рекомендуется нами».
В то же время следует учитывать, что любая система защиты информации подвержена различным угрозам. «Это может быть человеческий фактор, отказы и сбои оборудования, другие чрезвычайные ситуации. Если кто-то вас уверяет, что система на 100 % безопасна, скорее всего, он кривит душой либо имеет низкую квалификацию», — убежден IT-менеджер ЮФ «Кибенко, Оника и Партнеры» Александр Куштым. Чтобы сделать работу компьютерной системы более слаженной, специалист рекомендует отделять внешнюю сеть от внутренней, контролировать трафик внутри сети и его выход наружу, разграничивать уровни доступа и права на создание, редактирование, чтение и удаление информации. Немаловажным фактором он считает также обучение сотрудников основным правилам безопасности по работе с данными.
«Идеальной будет система, которая позволяет достичь баланса между защищенностью информации и удобством использования. Третьим важным фактором является стоимость такой системы, которая должна соответствовать общему уровню фирмы и дел, которыми она занимается», — делится стратегической формулой партнер ЮФ «Саенко Харенко» Назар Чернявский. По мнению же руководителя отдела информационно-технического обеспечения ЮФ «Салком» Игоря Дмитриева, идеальная система защиты данных — та, которая вводится сверху, учитывает бизнес-требования в области построения и применения и отвечает специфическим требованиям и ключевым показателям эффективности для бизнес-менеджмента.
«Сохранил» себя — «сохрани» клиента
Создание собственной системы защиты данных является одним из инструментов, который позволяет не только контролировать информацию на более высоком уровне, но и оказывать соответствующие услуги. «Мы не только создали собственную систему защиты данных, но и неоднократно предоставляли нашим клиентам юридические консультации, связанные с предупреждением рисков утечки информации, регулированием ответственности по защите персональных данных, криптографии, защите интеллектуальной собственности и другим сопутствующим вопросам», — рассказывает Сергей Гребенюк, старший юрист ЮБ «Егоров, Пугинский, Афанасьев и Партнеры».
Юридическая компания инвестировала более 100 тыс. дол. США в уникальные технологии и серверы, которые расположены в одной из зарубежных юрисдикций. Такое решение, по словам г-на Гребенюка, было направлено на то, чтобы обеспечить сохранность и неприкосновенность информации клиентов фирмы. Кроме того, это обеспечивает бесперебойную работу различных сервисов (почта, удаленный доступ ко всем документам, архиву и т.д.), что весьма актуально для юристов, которые часто ездят в командировки и имеют возможность продолжать вести дела клиентов. В выбранной юрисдикции очень хорошо защищено право собственности и конфиденциальность, в отличие от стран СНГ.
Информация зачастую выходит за пределы офиса даже не потому, что кто-то хочет ее украсть, а потому, что ее просто выносят из офиса на бумаге, флешках и других носителях.
Еще один немаловажный фактор, который следует учитывать при работе с информацией в электронном виде, — отношение персонала к защищенным данным. «В основе корпоративной безопасности — понимание необходимости защиты данных компании и внимание к самым, даже, казалось бы, незначительным данным. Правильная кадровая политика должна быть подстрахована системой распределения доступа разных категорий сотрудников к разной категории информации. Кроме того, можно ограничить использование в компании таких носителей информации, как флешки, диски и т.д.», — рекомендует советник ЮК «Правовой Альянс» Андрей Горбатенко. По его мнению, в компании должна быть внедрена политика, запрещающая хранить на оборудовании фирмы какие-либо данные, некасающиеся работы.
С советником юрфирмы согласен и генеральный директор компании «Авиком Бизнес Технологии» Евгений Байдаков — в его компании рекомендуют отдавать приоритет не только техническим системам контроля: «Специфика юридического бизнеса состоит в том, что все сотрудники на виду. Тщательный отбор персонала, его мотивация и постоянный контроль работы дают лучший результат, чем использование технических средств. В юридической фирме можно чувствовать настроения сотрудников — в крупной корпорации, например, это невозможно».
Говоря о проблеме хищения и утечки информации сотрудниками юридической фирмы, г-н Байдаков называет это «разгильдяйством», поскольку информация зачастую выходит за пределы офиса даже не потому, что кто-то хочет ее украсть, а потому, что ее просто выносят из офиса на бумаге, флешках и других носителях. Стандартными средствами защиты данных в этом случае, по его мнению, являются электронный документооборот, а также разработка политик и регламентов работы с информацией, в которых указано, в каких случаях и как именно следует поступать. Такие шаги смогут обеспечить для юрфирмы достаточно высокий уровень информационной безопасности.
Семь раз отмерь
…необходимо соизмерять расходы на защиту информации с масштабом бизнеса.
Однако следует соразмерять средства, которые компания инвестирует в свою информационную безопасность, и стоимость информации, которая может быть похищена, а также критически оценивать ее конфиденциальность. «Юридические компании относятся к категории малого и среднего бизнеса, и те IT-решения, которые используются в области крупного бизнеса, для юристов чаще всего не применимы. Поэтому необходимо соизмерять расходы на защиту информации с масштабом бизнеса», — рекомендует Евгений Байдаков. И обращает внимание на две особенности, связанные со спецификой юридического бизнеса. Во-первых, юристы могут участвовать в крупных клиентских сделках или вести клиентские проекты, по которым разглашения информации быть не должно до момента наступления определенного события. Во-вторых, юристы могут участвовать в судебных процессах, часть сведений по которым должна быть закрытой до принятия судом решения.
Если посмотреть на клиентскую информацию сквозь призму этих двух особенностей, можно прийти к выводу, что информации, действительно являющейся конфиденциальной, в юридических фирмах не так много, как может показаться на первый взгляд. К тому же, со временем информация, учитывая объективные причины, большей частью утрачивает и конфиденциальность, и ценность с точки зрения предмета хищения.