Комментарии Евгения Байдакова в журнале «Юридическая практика». Вне зоны доступа

Где лучше хранить сервер юридической фирмы и как в целом обеспечить конфиденциальность корпоративной информации?

Евгения РУЖЕНЦЕВА, Максим СЫСОЕНКО • «Юридическая практика»


 

Юридический бизнес, пожалуй, как никакой другой требует максимальной защищенности и собственных данных, и информации, поступающей от клиентов. Несмотря на то, что традиционное хранение клиентских дел в картонных папках и больших шкафах все еще не кануло в Лету, особое внимание руководству юридических фирм приходится уделять защите доступа к информации, содержащейся на электронных носителях.

Каким образом хранить информацию в электронном виде, чтобы при максимальном удобстве использования были гарантированы ее конфиденциальность и безопасность — на этот вопрос каждая юридическая фирма отвечает по-своему. Степень защиты информации в компании обычно зависит от уровня резонансности сопровождаемых дел, требований клиента, опасений руководства в отношении утечки информации, а то и не всегда обоснованного стремления к конспиративности всех своих замыслов. Исходя из этого и выбираются те или иные инструменты, обеспечивающие конфиденциальность и сохранность информации: традиционный носитель, защищенный соответствующим программным обеспечением, шифрование электронной переписки, ключ доступа для входа в сеть и т.д.

Игра «в прятки»

Как бы то ни было, наиболее уязвимым в этом отношении является сервер компании. Именно ему чаще всего приходится принимать на себя удар со стороны неожиданно нагрянувших правоохранительных и проверяющих органов. В связи с этим в последнее время на рынке юридических услуг прослеживается тенденция к удаленному хранению сервера. Причем IT-специалисты рекомендуют использовать для этих целей уже не только специально предназначенные дата-центры, но и все больше «перемещаться в виртуальный мир» — кому что больше по душе.

Впрочем, в одном большинство из них едины: традиционному носителю всей жизненно важной для юрфирмы информации в офисе уже не место. Ведь, несмотря на наличие законодательной нормы об адвокатской тайне, на которую так рассчитывает клиент, передавая зачастую свои уставные и прочие документы на хранение адвокату, всем известны случаи «пренебрежения» ею со стороны правоохранительных и контролирующих органов, когда в поле особого внимания попадает клиент адвоката, а то и сам защитник. Минимизировать злоупотребления в виде несанкционированного обыска или изъятия документов и призван так называемый виртуальный сервер, который обычно арендуется юридическими фирмами.

Руководитель направления информационных технологий ЮФ «Международная юридическая служба» Евгений Ткаченко уверен, что любой грамотно построенный бизнес нуждается в максимальной степени защиты информации, и юридическая фирма — не исключение. «Существуют два варианта размещения серверного оборудования в компании. Первый — создание собственной площадки на базе, к примеру, офиса компании. Это позволяет осуществлять, помимо программного, также физический контроль за носителями информации. Однако не дает абсолютной защиты от визита «незваных гостей, — предостерегает эксперт. — Второй вариант — вынесение серверного оборудования на внешнюю площадку. Основой в таком случае могут послужить дата-центры крупных интернет-провайдеров и специализированных компаний. Ими сформированы целые пакеты подобных услуг, именуемые collocation. Спецификой схемы, основанной на удаленном доступе к информации, является необходимость создания защищенного канала связи от офиса компании к площадке, на которой размещен сервер. Данный вариант, хоть и сложнее, но является более защищенным и рекомендуется нами».

В то же время следует учитывать, что любая система защиты информации подвержена различным угрозам. «Это может быть человеческий фактор, отказы и сбои оборудования, другие чрезвычайные ситуации. Если кто-то вас уверяет, что система на 100 % безопасна, скорее всего, он кривит душой либо имеет низкую квалификацию», — убежден IT-менеджер ЮФ «Кибенко, Оника и Партнеры» Александр Куштым. Чтобы сделать работу компьютерной системы более слаженной, специалист рекомендует отделять внешнюю сеть от внутренней, контролировать трафик внутри сети и его выход наружу, разграничивать уровни доступа и права на создание, редактирование, чтение и удаление информации. Немаловажным фактором он считает также обучение сотрудников основным правилам безопасности по работе с данными.

«Идеальной будет система, которая позволяет достичь баланса между защищенностью информации и удобством использования. Третьим важным фактором является стоимость такой системы, которая должна соответствовать общему уровню фирмы и дел, которыми она занимается», — делится стратегической формулой партнер ЮФ «Саенко Харенко» Назар Чернявский. По мнению же руководителя отдела информационно-технического обеспечения ЮФ «Салком» Игоря Дмитриева, идеальная система защиты данных — та, которая вводится сверху, учитывает бизнес-требования в области построения и применения и отвечает специфическим требованиям и ключевым показателям эффективности для бизнес-менеджмента.

«Сохранил» себя — «сохрани» клиента

Создание собственной системы защиты данных является одним из инструментов, который позволяет не только контролировать информацию на более высоком уровне, но и оказывать соответствующие услуги. «Мы не только создали собственную систему защиты данных, но и неоднократно предоставляли нашим клиентам юридические консультации, связанные с предупреждением рисков утечки информации, регулированием ответственности по защите персональных данных, криптографии, защите интеллектуальной собственности и другим сопутствующим вопросам», — рассказывает Сергей Гребенюк, старший юрист ЮБ «Егоров, Пугинский, Афанасьев и Партнеры».

Юридическая компания инвестировала более 100 тыс. дол. США в уникальные технологии и серверы, которые расположены в одной из зарубежных юрисдикций. Такое решение, по словам г-на Гребенюка, было направлено на то, чтобы обеспечить сохранность и неприкосновенность информации клиентов фирмы. Кроме того, это обеспечивает бесперебойную работу различных сервисов (почта, удаленный доступ ко всем документам, архиву и т.д.), что весьма актуально для юристов, которые часто ездят в командировки и имеют возможность продолжать вести дела клиентов. В выбранной юрисдикции очень хорошо защищено право собственности и конфиденциальность, в отличие от стран СНГ.

Информация зачастую выходит за пределы офиса даже не потому, что кто-то хочет ее украсть, а потому, что ее просто выносят из офиса на бумаге, флешках и других носителях.

Еще один немаловажный фактор, который следует учитывать при работе с информацией в электронном виде, — отношение персонала к защищенным данным. «В основе корпоративной безопасности — понимание необходимости защиты данных компании и внимание к самым, даже, казалось бы, незначительным данным. Правильная кадровая политика должна быть подстрахована системой распределения доступа разных категорий сотрудников к разной категории информации. Кроме того, можно ограничить использование в компании таких носителей информации, как флешки, диски и т.д.», — рекомендует советник ЮК «Правовой Альянс» Андрей Горбатенко. По его мнению, в компании должна быть внедрена политика, запрещающая хранить на оборудовании фирмы какие-либо данные, некасающиеся работы.

С советником юрфирмы согласен и генеральный директор компании «Авиком Бизнес Технологии» Евгений Байдаков — в его компании рекомендуют отдавать приоритет не только техническим системам контроля: «Специфика юридического бизнеса состоит в том, что все сотрудники на виду. Тщательный отбор персонала, его мотивация и постоянный контроль работы дают лучший результат, чем использование технических средств. В юридической фирме можно чувствовать настроения сотрудников — в крупной корпорации, например, это невозможно».

Говоря о проблеме хищения и утечки информации сотрудниками юридической фирмы, г-н Байдаковназывает это «разгильдяйством», поскольку информация зачастую выходит за пределы офиса даже не потому, что кто-то хочет ее украсть, а потому, что ее просто выносят из офиса на бумаге, флешках и других носителях. Стандартными средствами защиты данных в этом случае, по его мнению, являются электронный документооборот, а также разработка политик и регламентов работы с информацией, в которых указано, в каких случаях и как именно следует поступать. Такие шаги смогут обеспечить для юрфирмы достаточно высокий уровень информационной безопасности.

Семь раз отмерь

…необходимо соизмерять расходы на защиту информации с масштабом бизнеса.

Однако следует соразмерять средства, которые компания инвестирует в свою информационную безопасность, и стоимость информации, которая может быть похищена, а также критически оценивать ее конфиденциальность. «Юридические компании относятся к категории малого и среднего бизнеса, и те IT-решения, которые используются в области крупного бизнеса, для юристов чаще всего не применимы. Поэтому необходимо соизмерять расходы на защиту информации с масштабом бизнеса», — рекомендует Евгений Байдаков. И обращает внимание на две особенности, связанные со спецификой юридического бизнеса. Во-первых, юристы могут участвовать в крупных клиентских сделках или вести клиентские проекты, по которым разглашения информации быть не должно до момента наступления определенного события. Во-вторых, юристы могут участвовать в судебных процессах, часть сведений по которым должна быть закрытой до принятия судом решения.

Если посмотреть на клиентскую информацию сквозь призму этих двух особенностей, можно прийти к выводу, что информации, действительно являющейся конфиденциальной, в юридических фирмах не так много, как может показаться на первый взгляд. К тому же, со временем информация, учитывая объективные причины, большей частью утрачивает и конфиденциальность, и ценность с точки зрения предмета хищения.

[fb_button]

Мы собираем файлы cookies, чтобы улучшить этот сайт. Продолжая работу, вы соглашаетесь с политикой конфиденциальности.
ПринятьПодробнее

Соглашение

  • 0. Введение
  • 1. Собираемая информация
  • 2. Условия предоставления информации третьим лицам
  • 3. Защита информации
  • 4. Ограничения ответственности

0. Введение

Соглашение о конфиденциальности информации и обработке персональных данных (далее — Соглашение) действует в отношении всей информации, которую ООО «Авиком Бизнес Технологии» (далее – «Авиком») может получить от любого физического лица, индивидуального предпринимателя, юридического лица (далее – Пользователь) во время использования им любого из сайтов ProjectMate (далее — Сайты ProjectMate).

Использование Сайтов ProjectMate означает безоговорочное согласие Пользователя с настоящим Соглашением и указанными в нём условиями обработки, полученной от него информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сайтов ProjectMate.

1. Собираемая информация

1.1. «Авиком» собирает следующую информацию, которая обеспечивает работу Сайтов ProjectMate, их безопасность и совершенствование:

1.1.1. Личные данные. «Авиком» собирает только те личные данные, которые вы добровольно оставляете на Сайтах ProjectMate для отправки запросов через формы, размещенные на Сайтах ProjectMate или используете для авторизации на Сайтах ProjectMate. «Авиком» использует эти данные для однозначной идентификации Пользователя и предоставления услуг по запросу Пользователя. К личным данным, в частности, относятся: имя Пользователя, адрес электронной почты, телефон, место работы.

1.1.2. Технические данные. В группу входит информация, получаемая автоматически и призванная улучшить работу Сайтов ProjectMate и повысить уровень безопасности. Информация собирается в обезличенном виде и никак не связана с личными данными пользователя. К техническим данным, в частности, относятся: файлы cookie (содержат информацию о странах посещения, загрузках, домене Интернет-провайдера, адресах сайтов, с которых был совершен переход), технические параметры устройства, данные об ошибках, частоте ошибок и сбоев.

2. Условия предоставления информации третьим лицам

2.1 Информация, хранящаяся в Сервисах ProjectMate может быть предоставлена только нижеследующим группам лиц:

2.1.1. Подрядчики «Авикома». «Авиком» пользуется услугами некоторых проверенных третьих лиц, чтобы обеспечивать работу Сайтов ProjectMate, их безопасность, совершенствование и продвижение. К ним относятся, в частности, сервисы Яндекс.Метрика, Google Analytics, LiveInternet. Третьи лица получают доступ к вашей информации только для выполнения задач от имени «Авикома» и в соответствии с настоящим Соглашением.

2.1.2. Представители власти. Информация предоставляется правоохранительным органам в случае, если того требует законодательство и только при наличии соответствующего судебного решения. Это не отменяет того факта, что основной задачей «Авикома» является сохранение данных Пользователя и ответственное с ними обращение.

3. Защита информации

3.1. «Авиком» делает всё возможное для того, чтобы обезопасить Сайты ProjectMate и Пользователя от несанкционированных попыток доступа, изменения, раскрытия или уничтожения хранящейся информации.

3.2. Пользователь при этом осознает возможность возникновения технических неисправностей и сбоев в работе Сайтов ProjectMate и согласен с тем, что у «Авикома» отсутствует техническая возможность предсказать их возникновение, уведомить о них Пользователя заблаговременно, либо полностью исключить вероятность их возникновения. Возникновение таких неисправностей или сбоев вне зависимости от причин и последствий не может быть основанием для применения к «Авикому» мер ответственности.

4. Ограничения ответственности

4.1 «Авиком» не инициирует размещение персональной информации при использовании Сайтов ProjectMate, не контролирует ее достоверность и актуальность, однако «Авиком» оставляет за собой право требовать подтверждения достоверности переданной ему информации Пользователем.

4.2 При размещении (предоставлении «Авикому») персональной информации третьих лиц Пользователь гарантирует, что получил все необходимые разрешения и согласия на указанные действия, а также гарантирует полное и безоговорочное согласие этих лиц с положениями настоящего Соглашения.

4.3 «Авиком» не несет ответственности за сбор, хранение и обработку персональной информации программным обеспечением сторонних разработчиков, сервисы которых используются в Сервисах ProjectMate.