В связи с общей цифровизацией бизнеса все чаще персональные данные сотрудников и клиентов становятся доступны широкому кругу лиц. Это существенно увеличивает риск их неправомерного использования, поэтому компании должны уделять особое внимание защите персональных данных в СЭД. Рассказываем об угрозах ПДн, связанных с применением электронного документооборота в работе организации, и правилах обеспечения безопасности данных в системах ЭДО.
Требования закона к защите персональных данных в СЭД
Электронный документооборот дает бизнесу много преимуществ, но вместе с тем требует особых мер по обеспечению конфиденциальности и защиты данных. Помимо Федерального закона от 27 июля 2006 года № 152-ФЗ — ключевого НПА о персональных данных — компании, применяющие СЭД, обязаны ориентироваться на ряд других законодательных актов.
-
Федеральный закон от 27 июля 2006 года № 149-ФЗ — устанавливает общие принципы правового регулирования в сфере информации, включая обработку ПДн.
-
Постановление Правительства РФ от 1 ноября 2012 года № 1119 — утверждает правила защиты ПДн при использовании информационных систем.
-
Приказ ФСТЭК РФ от 18 февраля 2013 года № 21 — содержит перечень мер по обеспечению безопасности ПДн при их обработке в информационных системах.
-
Приказ Роскомнадзора от 24 февраля 2021 года № 18 — устанавливает требования к содержанию согласия на обработку персональных данных, которые разрешены для распространения субъектом ПДн.
Типы персональных данных
Чтобы разобраться в особенностях защиты персональных сведений, для начала стоит перечислить категории ПДн, определяемые законом № 152-ФЗ.
-
1 категория — специальные. Сюда относится информация, касающаяся расовой, национальной и религиозной принадлежности субъекта, его философских или политических взглядов, а также сведения о его здоровье и личной жизни.
-
2 категория — биометрические. Это информация, отражающая биологические или физиологические особенности субъекта, например, фотографии, отпечатки пальцев, рисунок сетчатки глаза и т.д. Биометрические ПДн позволяют безошибочно определить личность субъекта.
-
3 категория — общедоступные. Это сведения о субъекте, неограниченный доступ к которым предоставляется самим субъектом (ФИО, номер телефона, адрес электронной почты и т.п).
-
4 категория — любая другая персональная информация, которую нельзя отнести ни к одной из предыдущих категорий.
Исходя из особенностей отношений между оператором и субъектами ПДн, можно разделить персональные данные еще на два типа:
-
ПДн субъектов, с которыми оператор связан трудовыми отношениями (сотрудники);
-
ПДн субъектов, которые не являются сотрудниками компании (клиенты).
Кроме того, законодательство определяет две категории персональных данных по количеству субъектов, чьи ПДн обрабатывает оператор: до 100 000 субъектов и более 100 000 субъектов.
Как определить уровень защищенности данных
Уровень защищенности ПДн в ЭДО организации — это комплексный показатель. Для его определения необходимо учесть несколько факторов: категория обрабатываемых данных, количество субъектов ПДн, тип отношений между оператором и субъектами, а также тип угроз, актуальных для используемой СЭД.
Угрозы можно разделить на три типа:
-
1 тип — угрозы, связанные с наличием недокументированных возможностей в системном ПО;
-
2 тип — угрозы с наличием недокументированных возможностей в прикладном ПО;
-
3 тип — угрозы, связанные с наличием недокументированных возможностей в ПО, которое используется в информационной системе ПДн.
Когда все исходные данные собраны, можно определить уровень защищенности (УЗ) в конкретной информационной системе с помощью таблицы:
Как организовать защиту информации в ЭДО
Хорошая система защиты ПДн базируется на грамотном сочетании инновационных технологий и продуманных организационных решений.
Хранение персональных данных в СЭД
Ключевой элемент защиты ПДн — это правильная организация их обработки и хранения. Перечислим ключевые моменты.
Инфраструктура хранения информации
При выборе сервиса для обработки и хранения данных компании сталкиваются с двумя основными вариантами: облачные технологии и собственные серверные решения. Каждый из этих подходов имеет свои плюсы и минусы.
Криптографическая защита
Криптография выступает в качестве фундаментальной составляющей системы безопасности данных. Использование передовых алгоритмов шифрования создает надежную преграду для действий злоумышленников, делая информацию недоступной для прочтения без специального доступа.
В контексте электронного документооборота особое внимание криптозащите следует уделять как при хранении данных на серверах, так и при их передаче через сетевые каналы. Это касается не только ПДн сотрудников, но и всей конфиденциальной информации, включая сведения о заработной плате и другие финансовые показатели.
Безопасность на уровне СУБД
Системы управления базами данных являются ключевым звеном в обеспечении безопасного ЭДО. При применении СУБД все ПДн хранятся в системе с широким спектром защитных механизмов.
-
Многоуровневый доступ — позволяет гибко настраивать права сотрудников, четко ограничивая круг лиц, которые занимаются обработкой конфиденциальной информации.
-
Журнал учета операций — здесь фиксируются действия пользователей, время доступа и другие важные параметры для последующего анализа.
-
Резервное копирование — обеспечивает сохранность персональных данных и возможность их восстановления в случае технических сбоев или кибератак.
-
Встроенная криптозащита — предоставляет дополнительный уровень безопасности через шифрование на уровне базы данных, усиливая общий уровень защищенности ИС.
Интеграция с 1С
Система электронного документооборота может быть интегрирована в учетную систему, которая уже используется для управления бизнес-процессами, например, 1С.
Тарифы Доки
Ключевое преимущество интеграции заключается в том, что использование ЭДО не требует изменения привычных рабочих процессов. Сотрудники продолжают работать в уже знакомом интерфейсе, имея при этом доступ к полному функционалу СЭД.
Хорошим примером такого интеграционного решения является 1С: Документооборот — платформа для автоматизации управления документами и бизнес-процессами. Разработанная на базе 1С:Предприятие, эта система предлагает комплексное решение для организации электронного документооборота любой сложности. Кроме того, здесь предусмотрен широкий спектр настроек для хранения и обработки персональных данных в соответствии с требованиями законодательства: возможность разграничения доступа для сотрудников, регистрация действий с ПДн (просмотр, изменений, удаление), работа с согласиями на обработку персональных данных и прочими конфиденциальными документами.
Контроль защиты персональных данных в СЭД
Не менее важно для обеспечения защиты ПДн разработать эффективную систему мониторинга и аудита используемого сервиса ЭДО. Это позволит не только находить и оперативно устранять потенциальные угрозы, но также формировать более профессиональный подход к информационной безопасности среди сотрудников.
Для комплексного аудита безопасности ЭДО можно использовать следующие инструменты:
-
тестирование на проникновение — моделирование реальных кибератак для выявления слабых мест СЭД;
-
автоматизированный анализ — применение специализированного ПО для обнаружения уязвимостей в СЭД;
-
проверка кода — детальное исследование исходного кода системы на наличие потенциальных уязвимостей;
-
стандартизация — проверка соответствия информационной инфраструктуры действующим нормативам безопасности.
Практические советы по усилению защищенности ПДн
Обеспечение информационной безопасности — это непрерывный процесс, требующий постоянного совершенствования и адаптации к новым угрозам. Для создания надежной системы защиты необходимо придерживаться комплексного подхода.
-
Актуализировать ПО. Своевременное обновление всех компонентов СЭД защищает от многих известных уязвимостей.
-
Использовать многофакторную аутентификацию. Многоуровневая система подтверждения личности повышает безопасность аккаунтов и защищает их от несанкционированного доступа.
-
Профильное обучение персонала. Регулярное повышение осведомленности сотрудников о современных угрозах и методах их предотвращения повышает общий уровень устойчивости системы.
-
Резервное копирование. Обязательный инструмент при обработке большого объема ПДн в организации, минимизирующий риски их потери.
-
Криптография. Применение современных методов шифрования в сервисах ЭДО обеспечивает конфиденциальность информации при ее хранении и обработке.
Популярные вопросы
Можно ли хранить сканы паспортов в СЭД?
Можно, но только с письменного согласия субъекта ПДн.
Обязательна ли ЭП для ПДн в ЭДО?
Электронная подпись необходима для любого юридически значимого ЭДО, независимо от того, какие ПДн обрабатываются в документообороте компании.
Как контролировать уволенных сотрудников, которые имели доступ к ПДн в СЭД?
В данном случае организации достаточно заблокировать или удалить из системы учетную запись уволенного сотрудника.