Информация по теме "Электронный документооборот. А защищены ли наши данные?"
Содержание
ЭЛЕКТРОННЫЙ ДОКУМЕНТООБОРОТ
Электронный документооборот (ЭДО) – это способ организации работы с документами, при котором основная масса документов используется в электронном виде и хранится централизованно.
Электронный документооборот (ЭДО) происходит через систему оператора ЭДО, включенного в сеть доверия ФНС РФ.
Одна организация отправляет другой файл документа. Адресат получает его через несколько секунд на своем ПК. Процесс можно сравнить с электронной почтой. При передаче документа оператор автоматически проверяет легитимность электронной подписи, которой завизирован документ, и соответствие формата документа требованиям законодательства.
Если документ требует двусторонней подписи, получатель также подписывает его электронной подписью или отказывает в подписи и запрашивает корректировку. Движение документа отправитель может отследить благодаря статусам: «Отправлен», «Получен», «Подписан», «Отказано в подписи».
Преимущества электронного документооборота
-Прозрачность бизнес-процессов.
Система обеспечивает возможность отслеживания этапов выполнения бизнес-процессов, что делает всю деятельность в организации абсолютно прозрачной для руководства и контролируемой.
-Повышение исполнительской дисциплины.
По статистике 20% полученных заданий не выполняются ответственными за них работниками. Предоставляя полный контроль всех этапов работ для руководства, ECM-система напрямую влияет на исполнительскую дисциплину сотрудников.
-Сокращение затрат времени руководителей и сотрудников.
Использование системы сокращает временные затраты практически на все рутинные операции с документами (создание, поиск, согласование и т.д.). Кроме того, происходит ускорение документооборота и, как следствие, всех процессов в организации.
-Обеспечение конфиденциальности информации.
Утечка конфиденциальной информации может повлечь за собой миллионные убытки организации. В отличие от традиционного "бумажного" документооборота, ECM-система обеспечивает доступ к документам строго в соответствии с назначенными правами пользователей, все действия над документом (чтение, изменение, подписание), протоколируются.
-Легкость внедрения инноваций и обучения.
Благодаря системе оповещения, построенной на базе ECM-системы можно быстро довести новые правила работы до всех сотрудников. Сокращаются сроки обучения новых сотрудников за счет возможности быстрого поиска необходимой для работы информации (положений, инструкций и т.п.). Легко меняются маршруты прохождения и шаблоны документов, после чего сотрудники автоматически начинают работать по-новому.
-Развитие корпоративной культуры.
Процесс внедрения ECM-системы налаживает и поддерживает корпоративную культуру. Оптимизация взаимодействия сотрудников и развитие горизонтальных связей приводят к сплочению команды. В то же время возрастает ответственность каждого сотрудника за качественное выполнение выданного ему задания.
-Рост конкурентных преимуществ.
Внедрение ECM-системы напрямую отражается на конкурентных преимуществах компании перед другими игроками рынка. Повышается скорость и качество обслуживания клиентов за счет ускорения движения информационных потоков и четкого контроля всех процессов. Функционирование даже крупного предприятия становится более мобильным и меньше зависит от конкретных "незаменимых" сотрудников.
КОМУ ПОДОЙДЁТ ЭДО?
ЭДО подойдёт тем, кто
1.Обменивается первичными документами с поставщиками и покупателями
2.Сдает декларацию по НДС
3.Работает с мобильными сотрудниками
4.Проводит кадровые работы с удаленными сотрудниками
5.Организует собрания акционеров
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В СЭД
Защита персональных данных, обрабатываемых в системах электронного документооборота, становится самостоятельной технической задачей, иногда не решается силами самого пользователя СЭД. Программные модули, предназначенные для организации электронного документооборота, не всегда защищены должным образом от внутренних и внешних угроз, а обрабатываемые в них сведения часто относятся к категории конфиденциальной информации.
Особенности обработки персональных данных в СЭД
Любая крупная компания использует в своей деятельности программы электронного документооборота. Часто документы, попадающие для обработки в эти системы, содержат персональные данные сотрудников компании и иных лиц, например, клиентов организации. Примером может стать визирование договора с клиентом, содержащего его имя, данные паспорта, ИНН и места жительства.
В связи с этим при заказе разработки или доработки СЭД у интеграторов клиенты предъявляют требования по ее соответствию законодательству о защите персональных данных. Для того чтобы на СЭД распространялись эти нормы, необходимо соблюдение следующих условий:
-она должна иметь в своей структуре справочники, содержащие данные физических лиц;
-сведения должны давать возможность идентифицировать конкретного субъекта персональных данных.
Кроме справочников в СЭД может храниться и другая информация в текстовом виде или в виде сканированных документов – анкеты, истории болезни, личные дела. Особенно много таких данных содержится в СЭД компаний, которые работают в секторе B2С, оказывая услуги именно гражданам. Соответственно, системы документооборота должны защищаться полностью в соответствии с теми требованиями, которые предъявляются к информационным системам персональных данных сообразно уровню их защищенности, установленному постановлением Правительства.
Как определяются требования к степени защиты СЭД
Нормативно-правовой акт устанавливает четыре уровня, в зависимости от категории данных и количества лиц, сведения о которых обрабатываются в системе. Персональные данные, доверенные компании, делятся на данные сотрудников и клиентов. По классу информации они подразделяются еще на четыре группы:
1 – специальные данные, дополнительная защита которых предусмотрена российским и европейским правом, это сведения о здоровье, интимной жизни, политических и религиозных убеждениях;
2 – биометрическая информация, содержащая сведения о физических особенностях субъекта. Это отпечатки пальцев, фотография, личная подпись;
3 – сведения, переданные субъектом персональных данных, не относящиеся к 1 или 2 группе, но позволяющие получить более подробную информацию о гражданине;
4 – общедоступные данные.
После определения, к какой именно группе защищенности должна относиться СЭД, для выбора технических средств, необходимых для ее работы в режиме защиты персональных данных, нужно построить актуальную модель угроз. В ее основу лягут угрозы трех типов:
угрозы 1-го типа обусловлены присутствием недекларированных (недокументированных) возможностей в системном программном обеспечении, установленном в информационных системах персональных данных;
угрозы 2-го типа обусловлены присутствием недекларированных возможностей в прикладном программном обеспечении, установленном в информационных системах персональных данных;
угрозы 3-го типа не связаны с наличием неявных возможностей во всех типах ПО.
Как именно определяется тип угроз, нормативные акты не регламентируют, компании могут сделать это самостоятельно или поручить подготовить модель угроз разработчику ПО или его интегратору.