Информация по теме "Электронный документооборот. А защищены ли наши данные?"

Материал из Wiki 54
Перейти к: навигация, поиск



ЭЛЕКТРОННЫЙ ДОКУМЕНТООБОРОТ

Электронный документооборот (ЭДО) – это способ организации работы с документами, при котором основная масса документов используется в электронном виде и хранится централизованно.


Электронный документооборот (ЭДО) происходит через систему оператора ЭДО, включенного в сеть доверия ФНС РФ. Eпроп5978e.jpg

Одна организация отправляет другой файл документа. Адресат получает его через несколько секунд на своем ПК. Процесс можно сравнить с электронной почтой. При передаче документа оператор автоматически проверяет легитимность электронной подписи, которой завизирован документ, и соответствие формата документа требованиям законодательства.

Если документ требует двусторонней подписи, получатель также подписывает его электронной подписью или отказывает в подписи и запрашивает корректировку. Движение документа отправитель может отследить благодаря статусам: «Отправлен», «Получен», «Подписан», «Отказано в подписи».

Преимущества электронного документооборота

-Прозрачность бизнес-процессов.

Система обеспечивает возможность отслеживания этапов выполнения бизнес-процессов, что делает всю деятельность в организации абсолютно прозрачной для руководства и контролируемой.

-Повышение исполнительской дисциплины.

По статистике 20% полученных заданий не выполняются ответственными за них работниками. Предоставляя полный контроль всех этапов работ для руководства, ECM-система напрямую влияет на исполнительскую дисциплину сотрудников.

-Сокращение затрат времени руководителей и сотрудников.

Использование системы сокращает временные затраты практически на все рутинные операции с документами (создание, поиск, согласование и т.д.). Кроме того, происходит ускорение документооборота и, как следствие, всех процессов в организации.

-Обеспечение конфиденциальности информации.

Утечка конфиденциальной информации может повлечь за собой миллионные убытки организации. В отличие от традиционного "бумажного" документооборота, ECM-система обеспечивает доступ к документам строго в соответствии с назначенными правами пользователей, все действия над документом (чтение, изменение, подписание), протоколируются.

-Легкость внедрения инноваций и обучения.

Благодаря системе оповещения, построенной на базе ECM-системы можно быстро довести новые правила работы до всех сотрудников. Сокращаются сроки обучения новых сотрудников за счет возможности быстрого поиска необходимой для работы информации (положений, инструкций и т.п.). Легко меняются маршруты прохождения и шаблоны документов, после чего сотрудники автоматически начинают работать по-новому.

-Развитие корпоративной культуры.

Процесс внедрения ECM-системы налаживает и поддерживает корпоративную культуру. Оптимизация взаимодействия сотрудников и развитие горизонтальных связей приводят к сплочению команды. В то же время возрастает ответственность каждого сотрудника за качественное выполнение выданного ему задания.

-Рост конкурентных преимуществ.

Внедрение ECM-системы напрямую отражается на конкурентных преимуществах компании перед другими игроками рынка. Повышается скорость и качество обслуживания клиентов за счет ускорения движения информационных потоков и четкого контроля всех процессов. Функционирование даже крупного предприятия становится более мобильным и меньше зависит от конкретных "незаменимых" сотрудников.

КОМУ ПОДОЙДЁТ ЭДО?

ЭДО подойдёт тем, кто

1.Обменивается первичными документами с поставщиками и покупателями

2.Сдает декларацию по НДС

3.Работает с мобильными сотрудниками

4.Проводит кадровые работы с удаленными сотрудниками

5.Организует собрания акционеров

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В СЭД

Защита персональных данных, обрабатываемых в системах электронного документооборота, становится самостоятельной технической задачей, иногда не решается силами самого пользователя СЭД. Программные модули, предназначенные для организации электронного документооборота, не всегда защищены должным образом от внутренних и внешних угроз, а обрабатываемые в них сведения часто относятся к категории конфиденциальной информации.


Особенности обработки персональных данных в СЭД

Любая крупная компания использует в своей деятельности программы электронного документооборота. Часто документы, попадающие для обработки в эти системы, содержат персональные данные сотрудников компании и иных лиц, например, клиентов организации. Примером может стать визирование договора с клиентом, содержащего его имя, данные паспорта, ИНН и места жительства.

В связи с этим при заказе разработки или доработки СЭД у интеграторов клиенты предъявляют требования по ее соответствию законодательству о защите персональных данных. Для того чтобы на СЭД распространялись эти нормы, необходимо соблюдение следующих условий:

-она должна иметь в своей структуре справочники, содержащие данные физических лиц;

-сведения должны давать возможность идентифицировать конкретного субъекта персональных данных.

Кроме справочников в СЭД может храниться и другая информация в текстовом виде или в виде сканированных документов – анкеты, истории болезни, личные дела. Особенно много таких данных содержится в СЭД компаний, которые работают в секторе B2С, оказывая услуги именно гражданам. Соответственно, системы документооборота должны защищаться полностью в соответствии с теми требованиями, которые предъявляются к информационным системам персональных данных сообразно уровню их защищенности, установленному постановлением Правительства.

Как определяются требования к степени защиты СЭД

Нормативно-правовой акт устанавливает четыре уровня, в зависимости от категории данных и количества лиц, сведения о которых обрабатываются в системе. Персональные данные, доверенные компании, делятся на данные сотрудников и клиентов. По классу информации они подразделяются еще на четыре группы:

1 – специальные данные, дополнительная защита которых предусмотрена российским и европейским правом, это сведения о здоровье, интимной жизни, политических и религиозных убеждениях;

2 – биометрическая информация, содержащая сведения о физических особенностях субъекта. Это отпечатки пальцев, фотография, личная подпись;

3 – сведения, переданные субъектом персональных данных, не относящиеся к 1 или 2 группе, но позволяющие получить более подробную информацию о гражданине;

4 – общедоступные данные.

После определения, к какой именно группе защищенности должна относиться СЭД, для выбора технических средств, необходимых для ее работы в режиме защиты персональных данных, нужно построить актуальную модель угроз. В ее основу лягут угрозы трех типов:

угрозы 1-го типа обусловлены присутствием недекларированных (недокументированных) возможностей в системном программном обеспечении, установленном в информационных системах персональных данных;

угрозы 2-го типа обусловлены присутствием недекларированных возможностей в прикладном программном обеспечении, установленном в информационных системах персональных данных;

угрозы 3-го типа не связаны с наличием неявных возможностей во всех типах ПО.

Как именно определяется тип угроз, нормативные акты не регламентируют, компании могут сделать это самостоятельно или поручить подготовить модель угроз разработчику ПО или его интегратору.

Сертифицированное программное обеспечение

Если в системе находятся персональные данные, которые позволяют однозначно идентифицировать то или иное физическое лицо, она должна быть сертифицирована. Обязанность эта возлагается на разработчика, который должен обратиться в ФСТЭК России для сертификации своего продукта согласно установленным требованиям безопасности персональных данных. Следует учитывать, что сертификация имеет особенности:

-оформляется на конкретную версию программного продукта. При выпуске обновления сертифицировать продукт придется заново;

-выдается на определенный срок;

-рассчитана на конкретное количество экземпляров программного продукта;

-исключает возможность существенной доработки или дописывания программы.


СЭД и ее отношения с общей информационной системой

Нельзя забывать, что СЭД является только частью общей информационной системы оператора персональных данных и его задачи не решают только приобретение и установка сертифицированного программного продукта. Необходимо соблюдать определенный перечень требований, относящихся ко всей системе. Среди них:

-регулярная проверка того, насколько информационная система оператора соответствует актуальным требованиям законодательства. Такая проверка проводится не реже чем раз в три года силами самой компании-оператора или привлеченных лицензированных специалистов; обеспечение физической защиты автоматизированных рабочих мест, на которых размещены модули, содержащие базы персональных данных, и серверов.

-Физическая защита должна сопровождаться внедрением системы контроля доступа и при возможности учета в журналах всех действий пользователей с персональными данными; обеспечение безопасности материальных носителей данных, например, документов, скан-копии которых переносятся в базу. Вместе с этим необходимо исключить возможность копирования инсайдером информации из СЭД на тот или иной носитель;

-определение лиц, допущенных к работе с модулями, содержащими персональные данные. В компании, работающей с клиентами, это сделать крайне сложно – даже оформляя контракт на мобильную связь, обычный администратор получает доступ к конфиденциальной информации. Тем не менее остается необходимость разграничить права доступа и приказом определить лицо, отвечающее за защиту персональных данных или, для больших компаний, создать отдельное подразделение, на которое возложить выполнение этих задач;

-внедрение сертифицированных средств защиты информации, предусмотренных нормативными актами ФСТЭК России.


При этом, если сертификация предусмотрена в отношении всей информационной системы и применяемых средств защиты, отдельная сертифицированная программа для СЭД не требуется.



ИСТОЧНИКИ

защита данных в сэд

просто про ЭДО

что такое ЭДО