Сообщение на тему:"Электронный документооборот. А защищены ли наши данные? — различия между версиями

Материал из Wiki 54
Перейти к: навигация, поиск
(Новая страница: «=='''Информация по теме "Электронный документооборот. А защищены ли наши данные?'''"== Элект…»)
 
Строка 1: Строка 1:
 +
 
=='''Информация по теме "Электронный документооборот. А защищены ли наши данные?'''"==
 
=='''Информация по теме "Электронный документооборот. А защищены ли наши данные?'''"==
  
Строка 6: Строка 7:
 
Электронный документооборот (ЭДО) происходит через систему оператора ЭДО, включенного в сеть доверия ФНС РФ.
 
Электронный документооборот (ЭДО) происходит через систему оператора ЭДО, включенного в сеть доверия ФНС РФ.
 
[[Файл:Exampwqdflplpplle.jpg]]
 
[[Файл:Exampwqdflplpplle.jpg]]
 +
 +
Одна организация отправляет другой файл документа. Адресат получает его через несколько секунд на своем ПК. Процесс можно сравнить с электронной почтой. При передаче документа оператор автоматически проверяет легитимность электронной подписи, которой завизирован документ, и соответствие формата документа требованиям законодательства.
 +
 +
Если документ требует двусторонней подписи, получатель также подписывает его электронной подписью или отказывает в подписи и запрашивает корректировку. Движение документа отправитель может отследить благодаря статусам: «Отправлен», «Получен», «Подписан», «Отказано в подписи».
 +
 +
== '''Преимущества электронного документооборота''' ==
 +
-Прозрачность бизнес-процессов.
 +
 +
Система обеспечивает возможность отслеживания этапов выполнения бизнес-процессов, что делает всю деятельность в организации абсолютно прозрачной для руководства и контролируемой.
 +
 +
-Повышение исполнительской дисциплины.
 +
 +
По статистике 20% полученных заданий не выполняются ответственными за них работниками. Предоставляя полный контроль всех этапов работ для руководства, ECM-система напрямую влияет на исполнительскую дисциплину сотрудников.
 +
 +
-Сокращение затрат времени руководителей и сотрудников.
 +
 +
Использование системы сокращает временные затраты практически на все рутинные операции с документами (создание, поиск, согласование и т.д.). Кроме того, происходит ускорение документооборота и, как следствие, всех процессов в организации.
 +
 +
-Обеспечение конфиденциальности информации.
 +
 +
Утечка конфиденциальной информации может повлечь за собой миллионные убытки организации. В отличие от традиционного "бумажного" документооборота, ECM-система обеспечивает доступ к документам строго в соответствии с назначенными правами пользователей, все действия над документом (чтение, изменение, подписание), протоколируются.
 +
 +
-Легкость внедрения инноваций и обучения.
 +
 +
Благодаря системе оповещения, построенной на базе ECM-системы можно быстро довести новые правила работы до всех сотрудников. Сокращаются сроки обучения новых сотрудников за счет возможности быстрого поиска необходимой для работы информации (положений, инструкций и т.п.). Легко меняются маршруты прохождения и шаблоны документов, после чего сотрудники автоматически начинают работать по-новому.
 +
 +
-Развитие корпоративной культуры.
 +
 +
Процесс внедрения ECM-системы налаживает и поддерживает корпоративную культуру. Оптимизация взаимодействия сотрудников и развитие горизонтальных связей приводят к сплочению команды. В то же время возрастает ответственность каждого сотрудника за качественное выполнение выданного ему задания.
 +
 +
-Рост конкурентных преимуществ.
 +
 +
Внедрение ECM-системы напрямую отражается на конкурентных преимуществах компании перед другими игроками рынка. Повышается скорость и качество обслуживания клиентов за счет ускорения движения информационных потоков и четкого контроля всех процессов. Функционирование даже крупного предприятия становится более мобильным и меньше зависит от конкретных "незаменимых" сотрудников.
 +
 +
== '''Особенности обработки персональных данных в СЭД''' ==
 +
Любая крупная компания использует в своей деятельности программы электронного документооборота. Часто документы, попадающие для обработки в эти системы, содержат персональные данные сотрудников компании и иных лиц, например, клиентов организации. Примером может стать визирование договора с клиентом, содержащего его имя, данные паспорта, ИНН и места жительства.
 +
 +
В связи с этим при заказе разработки или доработки СЭД у интеграторов клиенты предъявляют требования по ее соответствию законодательству о защите персональных данных. Для того чтобы на СЭД распространялись эти нормы, необходимо соблюдение следующих условий:
 +
 +
-она должна иметь в своей структуре справочники, содержащие данные физических лиц;
 +
 +
-сведения должны давать возможность идентифицировать конкретного субъекта персональных данных.
 +
 +
Кроме справочников в СЭД может храниться и другая информация в текстовом виде или в виде сканированных документов – анкеты, истории болезни, личные дела. Особенно много таких данных содержится в СЭД компаний, которые работают в секторе B2С, оказывая услуги именно гражданам. Соответственно, системы документооборота должны защищаться полностью в соответствии с теми требованиями, которые предъявляются к информационным системам персональных данных сообразно уровню их защищенности, установленному постановлением Правительства.
 +
 +
== '''СЭД и ее отношения с общей информационной системой''' ==
 +
Нельзя забывать, что СЭД является только частью общей информационной системы оператора персональных данных и его задачи не решают только приобретение и установка сертифицированного программного продукта. Необходимо соблюдать определенный перечень требований, относящихся ко всей системе. Среди них:
 +
 +
-регулярная проверка того, насколько информационная система оператора соответствует актуальным требованиям законодательства. Такая проверка проводится не реже чем раз в три года силами самой компании-оператора или привлеченных лицензированных специалистов; обеспечение физической защиты автоматизированных рабочих мест, на которых размещены модули, содержащие базы персональных данных, и серверов.
 +
 +
-Физическая защита должна сопровождаться внедрением системы контроля доступа и при возможности учета в журналах всех действий пользователей с персональными данными; обеспечение безопасности материальных носителей данных, например, документов, скан-копии которых переносятся в базу. Вместе с этим необходимо исключить возможность копирования инсайдером информации из СЭД на тот или иной носитель;
 +
 +
-определение лиц, допущенных к работе с модулями, содержащими персональные данные. В компании, работающей с клиентами, это сделать крайне сложно – даже оформляя контракт на мобильную связь, обычный администратор получает доступ к конфиденциальной информации. Тем не менее остается необходимость разграничить права доступа и приказом определить лицо, отвечающее за защиту персональных данных или, для больших компаний, создать отдельное подразделение, на которое возложить выполнение этих задач;
 +
 +
-внедрение сертифицированных средств защиты информации, предусмотренных нормативными актами ФСТЭК России.
 +
 +
 +
При этом, если сертификация предусмотрена в отношении всей информационной системы и применяемых средств защиты, отдельная сертифицированная программа для СЭД не требуется.

Версия 19:52, 16 декабря 2020

Информация по теме "Электронный документооборот. А защищены ли наши данные?"

Электронный документооборот (ЭДО) – это способ организации работы с документами, при котором основная масса документов используется в электронном виде и хранится централизованно.


Электронный документооборот (ЭДО) происходит через систему оператора ЭДО, включенного в сеть доверия ФНС РФ. Exampwqdflplpplle.jpg

Одна организация отправляет другой файл документа. Адресат получает его через несколько секунд на своем ПК. Процесс можно сравнить с электронной почтой. При передаче документа оператор автоматически проверяет легитимность электронной подписи, которой завизирован документ, и соответствие формата документа требованиям законодательства.

Если документ требует двусторонней подписи, получатель также подписывает его электронной подписью или отказывает в подписи и запрашивает корректировку. Движение документа отправитель может отследить благодаря статусам: «Отправлен», «Получен», «Подписан», «Отказано в подписи».

Преимущества электронного документооборота

-Прозрачность бизнес-процессов.

Система обеспечивает возможность отслеживания этапов выполнения бизнес-процессов, что делает всю деятельность в организации абсолютно прозрачной для руководства и контролируемой.

-Повышение исполнительской дисциплины.

По статистике 20% полученных заданий не выполняются ответственными за них работниками. Предоставляя полный контроль всех этапов работ для руководства, ECM-система напрямую влияет на исполнительскую дисциплину сотрудников.

-Сокращение затрат времени руководителей и сотрудников.

Использование системы сокращает временные затраты практически на все рутинные операции с документами (создание, поиск, согласование и т.д.). Кроме того, происходит ускорение документооборота и, как следствие, всех процессов в организации.

-Обеспечение конфиденциальности информации.

Утечка конфиденциальной информации может повлечь за собой миллионные убытки организации. В отличие от традиционного "бумажного" документооборота, ECM-система обеспечивает доступ к документам строго в соответствии с назначенными правами пользователей, все действия над документом (чтение, изменение, подписание), протоколируются.

-Легкость внедрения инноваций и обучения.

Благодаря системе оповещения, построенной на базе ECM-системы можно быстро довести новые правила работы до всех сотрудников. Сокращаются сроки обучения новых сотрудников за счет возможности быстрого поиска необходимой для работы информации (положений, инструкций и т.п.). Легко меняются маршруты прохождения и шаблоны документов, после чего сотрудники автоматически начинают работать по-новому.

-Развитие корпоративной культуры.

Процесс внедрения ECM-системы налаживает и поддерживает корпоративную культуру. Оптимизация взаимодействия сотрудников и развитие горизонтальных связей приводят к сплочению команды. В то же время возрастает ответственность каждого сотрудника за качественное выполнение выданного ему задания.

-Рост конкурентных преимуществ.

Внедрение ECM-системы напрямую отражается на конкурентных преимуществах компании перед другими игроками рынка. Повышается скорость и качество обслуживания клиентов за счет ускорения движения информационных потоков и четкого контроля всех процессов. Функционирование даже крупного предприятия становится более мобильным и меньше зависит от конкретных "незаменимых" сотрудников.

Особенности обработки персональных данных в СЭД

Любая крупная компания использует в своей деятельности программы электронного документооборота. Часто документы, попадающие для обработки в эти системы, содержат персональные данные сотрудников компании и иных лиц, например, клиентов организации. Примером может стать визирование договора с клиентом, содержащего его имя, данные паспорта, ИНН и места жительства.

В связи с этим при заказе разработки или доработки СЭД у интеграторов клиенты предъявляют требования по ее соответствию законодательству о защите персональных данных. Для того чтобы на СЭД распространялись эти нормы, необходимо соблюдение следующих условий:

-она должна иметь в своей структуре справочники, содержащие данные физических лиц;

-сведения должны давать возможность идентифицировать конкретного субъекта персональных данных.

Кроме справочников в СЭД может храниться и другая информация в текстовом виде или в виде сканированных документов – анкеты, истории болезни, личные дела. Особенно много таких данных содержится в СЭД компаний, которые работают в секторе B2С, оказывая услуги именно гражданам. Соответственно, системы документооборота должны защищаться полностью в соответствии с теми требованиями, которые предъявляются к информационным системам персональных данных сообразно уровню их защищенности, установленному постановлением Правительства.

СЭД и ее отношения с общей информационной системой

Нельзя забывать, что СЭД является только частью общей информационной системы оператора персональных данных и его задачи не решают только приобретение и установка сертифицированного программного продукта. Необходимо соблюдать определенный перечень требований, относящихся ко всей системе. Среди них:

-регулярная проверка того, насколько информационная система оператора соответствует актуальным требованиям законодательства. Такая проверка проводится не реже чем раз в три года силами самой компании-оператора или привлеченных лицензированных специалистов; обеспечение физической защиты автоматизированных рабочих мест, на которых размещены модули, содержащие базы персональных данных, и серверов.

-Физическая защита должна сопровождаться внедрением системы контроля доступа и при возможности учета в журналах всех действий пользователей с персональными данными; обеспечение безопасности материальных носителей данных, например, документов, скан-копии которых переносятся в базу. Вместе с этим необходимо исключить возможность копирования инсайдером информации из СЭД на тот или иной носитель;

-определение лиц, допущенных к работе с модулями, содержащими персональные данные. В компании, работающей с клиентами, это сделать крайне сложно – даже оформляя контракт на мобильную связь, обычный администратор получает доступ к конфиденциальной информации. Тем не менее остается необходимость разграничить права доступа и приказом определить лицо, отвечающее за защиту персональных данных или, для больших компаний, создать отдельное подразделение, на которое возложить выполнение этих задач;

-внедрение сертифицированных средств защиты информации, предусмотренных нормативными актами ФСТЭК России.


При этом, если сертификация предусмотрена в отношении всей информационной системы и применяемых средств защиты, отдельная сертифицированная программа для СЭД не требуется.