Электронная почта остается основным способом коммуникации в бизнесе. Ежедневно в почтовые ящики прилетают десятки договоров, сканов, служебных документов, содержащих персональные данные сотрудников, партнеров, клиентов. В соответствии с ч.1 ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан обеспечивать комплексную защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных.
Государственная политика в сфере защиты персональных данных с каждым годом устрожается, число требований растет. В связи с этим в последнее время все чаще задается вопрос, как просто, удобно и безопасно пересылать персональные данные по e-mail), через веб-интерфейс почтового сервиса. Особенно этот вопрос актуален, когда речь заходит о выполнении комплекса мероприятий по защите персональных данных.
Требования к защищенной передаче конфиденциальных (персональных) данных, согласно приказу ФСТЭК России от 18.02.2013 №21:
Передача персональных данных по электронной почте без использования сертифицированного ФСБ России СКЗИ считается разглашением персональных данных и нарушением требований к защите персональных данных. По законодательству РФ нарушители несут ответственность:
- дисциплинарную (п.«в» ст.81 ТК РФ);
- гражданско-правовую (ст.151 ГК РФ);
- административную (ч.1 ст.13.6, ч.6 ст.13.12, ст.13.14, ч.7 ст.13.15 КоАП РФ);
- уголовную (ст.272 УК РФ).
Таким образом, операторам персональных данных запрещено передавать персональные данные по электронной почте без функционирующей антивирусной защиты (включающей защиту от спама) и сертифицированных ФСБ России СКЗИ. Ответственность за нарушение варьируется от административных штрафов до уголовных наказаний с реальными сроками.
Как правильно пересылать персональные данные
Чтобы осуществлять передачу данных законно и безопасно, необходимо специальное криптографическое и антивирусное программное обеспечение, находящееся в перечне российского ПО и обладающее лицензиями ФСБ и ФСТЭК.
С российскими антивирусами дела обстоят хорошо. Dr.Web и Kaspersky набрали популярность ещё до массового импортозамещения. Версии для бизнеса вполне способны гарантировать все необходимые степени защиты. Тем более, что в линейке обоих разработчиков есть варианты для организаций разной сферы деятельности, в том числе и сферы образования, малого и среднего бизнеса.
Рынок доступного криптографического ПО не так разнообразен. Крупные предприятия разрабатывают СКЗИ под себя для внутреннего использования. Например, «Сигнатура» от ЦБ или «Клиент ВТБ». Массовые разработки, в свою очередь, нацелены на крупный бизнес, что выражается в технических требованиях к серверной части и ценнике. Например, решения «Валидата». Однако и они либо не поддерживают операционные системы на базе Linux, либо не включают опцию шифрования конкретных файлов при отправке их по электронной почте в обход системы электронного документооборота (СЭД).
Остаётся неочевидный вариант — StarForce.
Решения российского разработчика имеют все необходимые документы:
- Лицензия ФСБ на разработку криптографических средств
- Лицензия ФСТЭК на производство средств защиты КИ
- Сертификат ФСТЭК на ПО StarForce Content Enterprise по УД-4
StarForce Content Enterprise – ПО для предотвращения утечек. С его помощью можно передавать персональные данные и быть уверенным в защите. Полный контроль над пересылаемым документом сохраняется вне зависимости от его нахождения.
Как это работает?
- Документ кодируется в специальный формат, после чего его можно безопасно пересылать.
- При попытке открытия документа приложение StarForce Reader запрашивает у сервера StarForce разрешение на активацию документа.
- Пользователь, которому адресован документ получает разрешение и открывает файл.
- При активации доступа к документу файл привязывается к программно-аппаратным характеристикам компьютера или мобильного устройства, открыть файл можно только на данном устройстве. При попытке открытия копии активированного документа на другом компьютере документ не откроется.
- Отчёт о попытках открыть документ и результатах активации доступен администратору.
Content Enterpeise работает как самостоятельное решение, а также легко интегрируется с DLP, СЭД, SIEM, IRM, ERP через API.
Если у компании нет необходимости защищать весь документооборот, отдельно можно установить особый модуль для защиты электронных писем – StarForce Letter Pro. Для использования модуля потребуется установить дополнительный почтовый сервер.
Отправляя письмо, сотрудник сможет защитить его в один клик. Письмо сначала будет зашифровано на дополнительном почтовом сервере, а потом уже в защищенном виде отправится через обычный сервер конечному доверенному адресату. Получателю защищенного письма нужно будет установить приложение StarForce Reader. При открытии защищенное письмо так же «привяжется» к устройству, на котором оно открыто. В дальнейшем открыть это письмо на другом устройстве будет невозможно. При пересылке другому адресату сообщение также не откроется.
StarForce Letter Pro можно использовать как компонент в системе StarForce Content Enterprise, а можно установить отдельно.
Этот вариант доступен даже для малого бизнеса, принимающего и отправляющего персональные данные. Например, для интернет-магазина или небольшой типографии.
На наш взгляд, это если и не единственный, то самый удобный способ криптографически защитить обмен электронными письмами. А какие способы защитить персональные данные при пересылке по почте используете вы?