Что требовать от аутсорсера документооборота

Документооборот Аутсорсинг
, Текст: Михаил Демидов
Определены основные критерии для выбора аутсорсера документооборота. В первую очередь, к ним относятся соответствие требованиям законодательства и высокие требования в области ИБ. Об этом заявили специалисты компании DataBank, занимающейся предоставлением решений в области сканирования и обработки электронной документации.

В рамках празднования Международного дня защиты персональных данных (Data Privacy Day) американская компания DataBank обозначила список наиболее важных критериев для выбора провайдера при передаче электронного документооборота на аутсорсинг. К ним относятся необходимость сертификации поставщика СЭД-решений в соответствии со стандартами SAS 70 Type II и PCI DSS (для финансовой информации), необходимость организации процессов проверки личных данных сотрудников, заключения с ними договоров о неразглашении конфиденциальной информации, подготовки работников и организации контроля над исполнением требований к защите документов. Дополнительно SaaS-решения в области СЭД должны поддерживать шифрование, постоянное сохранение резервных копий и регламент восстановления после сбоя.

По мнению отечественных игроков рынка СЭД/ECM, перечисленные у DataBank аспекты и критерии защиты данных являются своего рода квинтэссенцией американского подхода к безопасности информационных систем и лучшими западными практиками защиты СЭД. Тем не менее, чтобы перенести их на реалии российского рынка, нужно расширить список.

По мнению Владимира Горностаева, специалиста по ИБ "Интертраст", в списке DataBank отсутствует требование к сервису преобразования документов, реализация которого обеспечивала бы целостность цифровых документов, полученных после преобразования документов на бумажных носителях. Иными словами, как отмечает специалист, отсутствует требование, а значит и сам механизм защиты электронных документов от подделки и обнаружения искажений информации. "Наличие механизма, обеспечивающего целостность электронных документов, придает уверенность пользователю услуг и повышает ответственность поставщика сервиса преобразования документов при выполнении работ, а также способствует разрешению конфликтных ситуаций, связанных с применением электронных документов в бизнес-процессе", - объясняет он.

Сергей Курьянов, директор по развитию Docsvision, предлагает рассматривать вопрос о защите документооборота шире - как вопрос безопасности в любого рода хостинге систем управления документами, в том числе содержащих личные данные, у внешнего провайдера и роли человеческого фактора в обеспечении этой безопасности. В этом смысле на Западе, по его мнению, существуют гораздо более проработанные подходы, имеются общепринятые стандарты и "лучшие практики": "На нашем рынке аутсорсинг управления корпоративными документами пока находится скорее в стадии экспериментов, но поскольку мы вообще повторяем развитие западной ИТ-практики с гораздо более высокими темпами, то скоро этот вопрос станет актуальным и в нашей стране, и изучать западный опыт вполне своевременно".

Григорий Липич, председатель оргкомитета Docflow, считает, что в любых процедурах можно найти исключительные ситуации, поэтому приведенный DataBank список рекомендаций по обеспечению безопасной обработки документов сложно считать исчерпывающим. Вместе с тем эксперт предполагает, что внедрение описанного комплекса мер позволяет поставщикам услуг по обработке документов существенно повысить уровень уверенности своих потенциальных потребителей в том, что регламенты поведения с конфиденциальной информацией и персональными данными будут соблюдены.

В компаниях-интеграторах отмечают, что полностью полагаться на список указанных требований DataBank нецелесообразно. "Безусловно, наличие у провайдера разнообразных сертификатов, методологий, стандартов в области безопасности хранения и предоставления информации подтверждает его репутацию и является, как правило, следствием его длительного присутствия на рынке и цивилизованного отношения к предоставлению услуг. Однако нужно отдавать себе отчет в том, что сертификация персонала повышает общий уровень культуры обращения с данными и снижает риски технологических сбоев, но не гарантирует отсутствие умышленных утечек или потери конфиденциальной информации (то, что относится к классу внутренних угроз). Огромное количество корпоративной информации сегодня неконтролируемо размещается в интернете – в социальных сетях, на различных хостинговых проектах и т.д. Бороться с этим практически бесполезно. В этом смысле огромный список регалий и достижений провайдера выполняет роль скорее "белого шума", призванного вселить в клиента ощущение безопасности", - констатирует Павел Житнюк, эксперт-аналитик "Корус Консалтинг".

По его словам, для клиента, в первую очередь, сохранность и бесперебойная доступность его данных будут являться важными аспектами и в этом смысле ряд критериев, перечисленных DataBank, обязательны и традиционны для любого провайдера, в том числе в России. Среди них специалист называет защищенность доступа, шифрование, регулярное резервное сохранение информации, и, помимо этого, существуют ГОСТы и сертификация продуктов ФСБ. "Весь этот комплекс мер, с одной стороны, технологически соответствует тем средствам, которые используются во всем мире, с другой – методологической – стороны учитывает специфику российского законодательства в этой области", - подытоживает он.

"Вариации в данном списке критериев возможны, основываясь как раз на предпочтениях той или иной компании-поставщика или компании-клиента, но в целом список можно назвать как полным, так и объективным", - считает Василий Овчинников, эксперт по ИБ компании ЭОС. Говоря о переносе списка в условия отечественного рынка, он упомянут о возникновении ряда сложностей. Например, по его словам, если сертификация PCI DSS в отечественных условиях успешно проводится и является столь же необходимой, то сертификация SAS 70 Type II уже не является таковой и требуется ее адекватная замена. Господин Овчинников также подчеркнул, что указанные критерии относятся не только к поставщикам услуг, связанных с управлением документацией, но также и к поставщикам услуг по оцифровке документов, которая в ближайшие несколько лет может стать актуальной и необходимой в России.

Рассуждая о перспективах массового появления на российском рынке аутсорсинговых провайдеров СЭД, игроки рынка отметили, что, в целом, на них будут распространяться указанные требования. Тем не менее, уже сейчас есть единичные случаи похожих проектов — Владимир Горностаев приводит пример, когда для организации электронного документооборота в обществах группы используется единая СЭД. "Такие провайдеры могли бы выступать в качестве поставщика услуг, связанных с управлением документами, но корпоративная политика запрещает это делать. Но, кто знает, может быть, придет время, когда и это ограничение будет снято", - резюмирует специалист.

"Речь идет, скорее всего, о том, смогут ли выходящие на наш рынок вендоры управления документацией предоставить сопоставимый уровень сертификации защищенности своих услуг или нет. У тех, кто захочет предлагать такие услуги нашим корпоративным заказчикам просто нет выбора - они либо дадут такой уровень защищенности, либо не получат заказчиков, - объясняет Сергей Курьянов. - Корпоративные заказчики проходят аудит своей безопасности по международным стандартам и не будут пользоваться услугами, которые нельзя сертифицировать для такого аудита". Однако, по словам специалиста, на рынке присутствует множество малых предприятий, которых вопросы безопасности волнуют меньше, чем вопросы стоимости управления документацией; и для них вполне возможно существование SaaS решений без сертификатов безопасности услуг хостинг-провайдера, на основе его "заявленной" безопасности и полноты технологий шифрования и защиты коммуникаций, используемых в решении.

Павел Житнюк считает, что развитие SaaS в России будет идти по пути альянсов, заключаемых между провайдерами самих сервисов (ИТ-компаниями, вендорами) и их технологическими партнерами (телеком-, хостинг-провайдерами), потому что первые обладают компетенциями в области консалтинга по работе с бизнес-приложениями и занимаются их продажей, развитием, вторые – создают и поддерживают площадки для размещения (хостинга) этих сервисов. Задачи по защите данных будут попадать, в основном в сферу ответственности провайдера площадки – специалист говорит о том, что уже сейчас некоторые российские хостинг-провайдеры предоставляют услуги в соответствии с 1-ФЗ об электронно-цифровой подписи и 152-ФЗ о защите персональных данных.

"Вместе с тем, такие аспекты информационной безопасности, как наличие многоуровневой системы доступа к документам клиента, методик работы с его конфиденциальными данными, не имеют широкого распространения в России и во многом в силу отсутствия таких запросов у самих клиентов, - считает Житнюк. - Но с развитием рынка SaaS, общей культуры в области ИТ и безопасности российские провайдеры смогут предоставлять сопоставимый с западным уровень сервиса по защите данных (с упором на соблюдение требований российского законодательства)". Он полагает, что подобные решения появятся через 3-4 года.

Похожего мнения придерживается и Сергей Петренко, эксперт компании "АйТи" в области защиты информации и непрерывности бизнеса: "Уже известны случаи появления отечественных операторов персональных данных, оказывающих свои услуги государственным и коммерческим организациям. Можно ожидать появления и центров управления СЭД, работающих аналогичным образом". Специалист предполагает, что они возникнут не раньше начала 2011 года.

"Если рассуждать насчет перспектив выхода на российский рынок вендоров, предоставляющих уровень сервиса, соответствующий описанным рекомендациям, то в ближней перспективе считаю это маловероятным", - полагает Григорий Липич. Во-первых, по его словам, создание подобной инфраструктуры является достаточно затратным процессом, а количество клиентов, готовых заказывать такие услуги на стороне, пока невелико. Соответственно, считает специалист, провайдер таких услуг будет достаточно долго окупать инвестиции. Во-вторых, отмечает господин Липич, организации, которые хотят быть на 100% уверенными в отсутствии утечки информации, скорее в обозримой перспективе, предпочтут не заказывать подобного уровня услуги на стороне, а организовать необходимые процессы внутри организации.