Тема: Утримання даних

Руслана МИКОЛЮК,
керівник київського офісу АФ «Династія»

Захист інформації в юридичній фірмі є не менш важливим, аніж захист клієнта та його інтересів — чим вищий його рівень, тим більша довіра до юридичної фірми

На даному етапі розвитку суспільства уявити своє життя без інформаційних технологій (ІТ), зок­рема комп’ютерних, практично неможливо. Юридичний бізнес не є винятком і широко використовує ІТ-рішення у повсякденні. Прикладом цього є способи захисту та зберігання інформації.

Для початку спробуємо визначитися з самим поняттям захисту інформації. Відповідно до Закону України «Про інформацію» від 13 січня 2011 року (№ 2938-V) захист інформації — сукупність правових, адміністративних, організаційних, технічних та інших заходів, що забезпечують збереження, цілісність інформації та належний порядок доступу до неї. Так, заходів багато, а ефективності від них мало. Нічого не залишається, як самостійно захистити важливі дані.

Інформація буває різною

Зрозуміло, що в збереженні деякої інформації немає необхідності, і її розповсюдження лише на користь юридичній чи фізичній особі. Залежно від порядку доступу до інформації Закон України «Про інформацію» поділяє її на відкриту та інформацію з обмеженим доступом. У свою чергу, інформація з обмеженим доступом поділяється на конфіденційну, таємну та службову.

При співпраці з клієнтами перед юридичною фірмою в першу чергу постають проблеми збереження конфіденційної інформації, зокрема інформації про фізичну особу, а також інформації, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом. Найбільш поширеним способом визначення рамок конфіденційності є визначення в договорі, який прямо визначає, які дані є конфіденційною інформацією.

Також юристи зобов’язані зберігати та захищати персональні дані працівників і клієнтів — фізичних осіб, інсайдерську інформацію, комерційну таємницю, яка їм стала відома в ході виконання своїх обов’язків. Якщо юридична компанія є адвокатською, то адвокати та інші співробітники пов’язані також адвокатською таємницею. Однозначно, є що захищати!

Ненадійні джерела

Здобути інформацію, що знаходиться на збереженні в юридичної фірми, сьогодні можна через декілька джерел. Перш за все це електрон­на пошта. Рівень захищеності залежить від постачальника послуг і від технології, які ним застосовуються, а саме: шифрування даних, застосування подвійної автентифікації, складного паролю тощо.

Майже всі компанії використовують зовнішні носії інформації (флеш-накопичувачі, компакт-дис­ки тощо). У компаніях дуже поширена ­практика заборони їх використання саме з метою запобігання викраденню інформації.

Мобільний зв’язок є необхідним атрибутом будь-якої роботи. Своє першочергове призначення (організація зустрічі) він давно втратив і став пристроєм для передання інформації, тобто став потенційно найбільшим джерелом витоку інформації. Окрім мобільного зв’язку, який можуть прослуховувати (найчастіше несанкціоновано, тобто незаконно), широкого розповсюдження набули програми інтернет-телефонії (SKYPE, VIBER та інші програми), які можливо прослуховувати. Стаціонарні телефони також не є винятком.

Величезним витоком інформації можуть слугувати так звані хмарні технології (Dropbox, Google Drive тощо) Їхня революційна поява та широка практика використання, на мою думку, не є досягненням для юристів, а радше небезпекою та є застереженням до використання, оскільки інформація не захищається. Ця проблема є всесвітньою і широко обговорюється саме рівень захищеності інформації, розміщеної на сервері, але вона реально на сьогодні не розв’язана.

Також компанії використовують різноманітні програми обліку та звітності (Avicom ProjectMate, 1-С Бухгалтерия, TerraSoft тощо). Однозначно ці програми є незамінними для оперативного обліку проектів, часу співробітників, оплати від клієнтів, контролю керівниками за компа­нією. Проте через роботу цих програм через всесвітню мережу є можливість витоку інформації або несанкціонованого доступу та неправомірного використання зловмисниками.

Захист даних

Можливими ІТ-рішеннями для розв’язання проблеми захищеності інформації можуть бути такі.

По-перше, створення надійної корпоративної мережі. У загальному вигляді корпоративну мережу можна побудувати на різних каналах зв’язку — від виділених ліній (аналогових і цифрових) до комутованих цифрових, у тому числі й на оптоволоконних, супутникових, радіо- й мікрохвильових каналах, та на базі різних протоколів і технологій ISDN, Х.25, Frame Relay і АТМ.

По-друге, це забезпечення адекватного, тобто достатнього для збереження інформації, шифрування. При цьому треба мати на увазі, що заборона використовувати зовнішні накопичувачі інформації не буде перешкодою для витоку інформації.

Одним із різновидів захисту інформації можна вважати використання електронного підпису, оскільки цифровий підпис забезпечує автентичність повідомлення та неспростовність застосування особистого ключа, тобто відбувається автентифікація власника цифрового підпису. Відповідно до ДСТУ ­4145-2002 використання електронного підпису викликане саме необхідністю забезпечити надійне функціонування комп’ютеризованих систем оброб­лення інформації, що висуває високі вимоги щодо цілісності та автентичності даних, які надходять, зберігаються та обробляються в цих системах. Електронний підпис застосовується в органах доходів і зборів та в Державній реєстраційній службі і при укладенні зовнішньоекономічних договорів.

По-третє, це безпосередній контроль ІТ-фахівців за діяльністю працівників, моніторинг документообігу, обмеження доступу до документів клієнта працівників, не зай­нятих роботою з ним, тощо.

Також не треба забувати про фізичне знищення непотрібних відпрацьованих документів, їх копій. Тут також використовуються технології, але не інформаційні — наприк­лад, шредер.

До інших способів захисту інформації можна віднести:

— навчання персоналу, яке включатиме перш за все інформування про важливість дотримання конфіденційності та відповідальність за її поширення чи розголошення;

— підписання з працівниками угод про конфіденційність. Це доз­волить притягти винного у поширенні (розголошенні) конфіденційної інформації працівника до відповідальності;

— визначення ступеня важливості інформації та рівня доступу до неї. Мається на увазі, що доступ до важливої інформації має бути обмежений і контролюватися конкретним керівником (або уповноваженою особою). Це надасть можливість визначити коло осіб, які мають доступ до інформації. Найбільшим ступенем захисту мають охоронятися оригінали правовстановлюючих документів — збереження їх у сейфі, передача лише за актом прийому-передачі уповноваженим особам тощо;

— запровадження внутрішніх регламентів, порядків, які визначатимуть порядок доступу до інформації і її використання при виконанні професійних обов’язків тощо.

У цей період розвитку ІТ-технологій прислів’я «хто володіє інформацією — володіє світом» не є актуальним, важливіше правильно аналізувати, шифрувати, створювати, передавати інформацію і при цьому вміти її зберегти. ІТ-технології відкривають нові можливості — користуйтеся дбайливо!