Электронная почта остается основным способом коммуникации в бизнесе. Ежедневно в почтовые ящики прилетают десятки договоров, сканов, служебных документов, содержащих персональные данные сотрудников, партнеров, клиентов. В соответствии с ч.1 ст.19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» оператор при обработке персональных данных обязан обеспечивать комплексную защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных.

Государственная политика в сфере защиты персональных данных с каждым годом устрожается, число требований растет. В связи с этим в последнее время все чаще задается вопрос, как просто, удобно и безопасно пересылать персональные данные по e-mail), через веб-интерфейс почтового сервиса. Особенно этот вопрос актуален, когда речь заходит о выполнении комплекса мероприятий по защите персональных данных.

Требования к защищенной передаче конфиденциальных (персональных) данных, согласно приказу ФСТЭК России от 18.02.2013 №21:

  • Передача (подготовка к передаче) по электронной почте по каналам связи, имеющим выход за пределы контролируемой зоны должна осуществляться по TCP-портам: IMAP – 143 и 993; POP3 – 110 и 995; SMTP – 25, 587 и 465; HTTP – 80; HTTPS – 443.

  • Обязательно использование антивирусной защиты данных (АВ3.1).

  • Должна обеспечиваться защита от раскрытия, модификации и навязывания (ввода ложной информации) (ЗИС.3) с помощью защиты каналов связи от несанкционированного физического доступа (подключения) к ним и (или) применения с использованием сертифицированных ФСБ России средств криптографической защиты (далее — СКЗИ) в соответствии с Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 №152.

  • Обязательно обеспечение целостности информационной системы и персональных данных (ОЦЛ), а именно необходимо своевременно обнаруживать и реагировать на поступление в информационную систему персональных данных (далее — ИСПДн) незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию ИСПДн (защита от спама) (ОЦЛ.4).

Передача персональных данных по электронной почте без использования сертифицированного ФСБ России СКЗИ считается разглашением персональных данных и нарушением требований к защите персональных данных. По законодательству РФ нарушители несут ответственность:

  • дисциплинарную (п.«в» ст.81 ТК РФ);
  • гражданско-правовую (ст.151 ГК РФ);
  • административную (ч.1 ст.13.6, ч.6 ст.13.12, ст.13.14, ч.7 ст.13.15 КоАП РФ);
  • уголовную (ст.272 УК РФ).

Таким образом, операторам персональных данных запрещено передавать персональные данные по электронной почте без функционирующей антивирусной защиты (включающей защиту от спама) и сертифицированных ФСБ России СКЗИ. Ответственность за нарушение варьируется от административных штрафов до уголовных наказаний с реальными сроками.

Как правильно пересылать персональные данные

Чтобы осуществлять передачу данных законно и безопасно, необходимо специальное криптографическое и антивирусное программное обеспечение, находящееся в перечне российского ПО и обладающее лицензиями ФСБ и ФСТЭК.

С российскими антивирусами дела обстоят хорошо. Dr.Web и Kaspersky набрали популярность ещё до массового импортозамещения. Версии для бизнеса вполне способны гарантировать все необходимые степени защиты. Тем более, что в линейке обоих разработчиков есть варианты для организаций разной сферы деятельности, в том числе и сферы образования, малого и среднего бизнеса.

Рынок доступного криптографического ПО не так разнообразен. Крупные предприятия разрабатывают СКЗИ под себя для внутреннего использования. Например, «Сигнатура» от ЦБ или «Клиент ВТБ». Массовые разработки, в свою очередь, нацелены на крупный бизнес, что выражается в технических требованиях к серверной части и ценнике. Например, решения «Валидата». Однако и они либо не поддерживают операционные системы на базе Linux, либо не включают опцию шифрования конкретных файлов при отправке их по электронной почте в обход системы электронного документооборота (СЭД).

Остаётся неочевидный вариант — StarForce.

Решения российского разработчика имеют все необходимые документы:

  • Лицензия ФСБ на разработку криптографических средств
  • Лицензия ФСТЭК на производство средств защиты КИ
  • Сертификат ФСТЭК на ПО StarForce Content Enterprise по УД-4

StarForce Content Enterprise – ПО для предотвращения утечек. С его помощью можно передавать персональные данные и быть уверенным в защите. Полный контроль над пересылаемым документом сохраняется вне зависимости от его нахождения.

Как это работает?

  • Документ кодируется в специальный формат, после чего его можно безопасно пересылать.
  • При попытке открытия документа приложение StarForce Reader запрашивает у сервера StarForce разрешение на активацию документа.
  • Пользователь, которому адресован документ получает разрешение и открывает файл.
  • При активации доступа к документу файл привязывается к программно-аппаратным характеристикам компьютера или мобильного устройства, открыть файл можно только на данном устройстве. При попытке открытия копии активированного документа на другом компьютере документ не откроется.
  • Отчёт о попытках открыть документ и результатах активации доступен администратору.

Content Enterpeise работает как самостоятельное решение, а также легко интегрируется с DLP, СЭД, SIEM, IRM, ERP через API.

Если у компании нет необходимости защищать весь документооборот, отдельно можно установить особый модуль для защиты электронных писем – StarForce Letter Pro. Для использования модуля потребуется установить дополнительный почтовый сервер.

Отправляя письмо, сотрудник сможет защитить его в один клик. Письмо сначала будет зашифровано на дополнительном почтовом сервере, а потом уже в защищенном виде отправится через обычный сервер конечному доверенному адресату. Получателю защищенного письма нужно будет установить приложение StarForce Reader. При открытии защищенное письмо так же «привяжется» к устройству, на котором оно открыто. В дальнейшем открыть это письмо на другом устройстве будет невозможно. При пересылке другому адресату сообщение также не откроется.

StarForce Letter Pro можно использовать как компонент в системе StarForce Content Enterprise, а можно установить отдельно.

Этот вариант доступен даже для малого бизнеса, принимающего и отправляющего персональные данные. Например, для интернет-магазина или небольшой типографии.

На наш взгляд, это если и не единственный, то самый удобный способ криптографически защитить обмен электронными письмами. А какие способы защитить персональные данные при пересылке по почте используете вы?