Персональные данные в СЭД и ЭДО: правила работы, защита и частые ошибки
Отдел продаж:
Отдел продаж
График работы

В связи с общей цифровизацией бизнеса все чаще персональные данные сотрудников и клиентов становятся доступны широкому кругу лиц. Это существенно увеличивает риск их неправомерного использования, поэтому компании должны уделять особое внимание защите персональных данных в СЭД. Рассказываем об угрозах ПДн, связанных с применением электронного документооборота в работе организации, и правилах обеспечения безопасности данных в системах ЭДО.

Электронный документооборот дает бизнесу много преимуществ, но вместе с тем требует особых мер по обеспечению конфиденциальности и защиты данных. Помимо Федерального закона от 27 июля 2006 года № 152-ФЗ — ключевого НПА о персональных данных — компании, применяющие СЭД, обязаны ориентироваться на ряд других законодательных актов.

  • Федеральный закон от 27 июля 2006 года № 149-ФЗ — устанавливает общие принципы правового регулирования в сфере информации, включая обработку ПДн.
  • Постановление Правительства РФ от 1 ноября 2012 года № 1119 — утверждает правила защиты ПДн при использовании информационных систем.
  • Приказ ФСТЭК РФ от 18 февраля 2013 года № 21 — содержит перечень мер по обеспечению безопасности ПДн при их обработке в информационных системах.
  • Приказ Роскомнадзора от 24 февраля 2021 года № 18 — устанавливает требования к содержанию согласия на обработку персональных данных, которые разрешены для распространения субъектом ПДн.

Чтобы разобраться в особенностях защиты персональных сведений, для начала стоит перечислить категории ПДн, определяемые законом № 152-ФЗ.

  • 1 категория — специальные. Сюда относится информация, касающаяся расовой, национальной и религиозной принадлежности субъекта, его философских или политических взглядов, а также сведения о его здоровье и личной жизни.
  • 2 категория — биометрические. Это информация, отражающая биологические или физиологические особенности субъекта, например, фотографии, отпечатки пальцев, рисунок сетчатки глаза и т.д. Биометрические ПДн позволяют безошибочно определить личность субъекта.
  • 3 категория — общедоступные. Это сведения о субъекте, неограниченный доступ к которым предоставляется самим субъектом (ФИО, номер телефона, адрес электронной почты и т.п).
  • 4 категория — любая другая персональная информация, которую нельзя отнести ни к одной из предыдущих категорий.

Исходя из особенностей отношений между оператором и субъектами ПДн, можно разделить персональные данные еще на два типа:

  • ПДн субъектов, с которыми оператор связан трудовыми отношениями (сотрудники);
  • ПДн субъектов, которые не являются сотрудниками компании (клиенты).

Кроме того, законодательство определяет две категории персональных данных по количеству субъектов, чьи ПДн обрабатывает оператор: до 100 000 субъектов и более 100 000 субъектов.

Уровень защищенности ПДн в ЭДО организации — это комплексный показатель. Для его определения необходимо учесть несколько факторов: категория обрабатываемых данных, количество субъектов ПДн, тип отношений между оператором и субъектами, а также тип угроз, актуальных для используемой СЭД.

Угрозы можно разделить на три типа:

  • 1 тип — угрозы, связанные с наличием недокументированных возможностей в системном ПО;
  • 2 тип — угрозы с наличием недокументированных возможностей в прикладном ПО;
  • 3 тип — угрозы, связанные с наличием недокументированных возможностей в ПО, которое используется в информационной системе ПДн.

Когда все исходные данные собраны, можно определить уровень защищенности (УЗ) в конкретной информационной системе с помощью таблицы:

1 УЗ является самым высоким уровнем защищенности, то есть требует обеспечения наиболее серьезной защиты. Следовательно, самым низким УЗ является четвертый.

Хорошая система защиты ПДн базируется на грамотном сочетании инновационных технологий и продуманных организационных решений.

Внутренняя политика по обработке ПДн. Четкий регламент играет первостепенную роль в создании безопасной среды. Внутренняя политика, регулирующая работу сотрудников с персональными данными, позволит компании выстроить четкую систему контроля и управления, обеспечить соответствие требованиям законодательства и заложить прочную основу для формирования корпоративной культуры информационной безопасности.
Обучение сотрудников. Профильное обучение персонала — ключевой инструмент предотвращения утечек, неправомерного использования ПДн и прочих инцидентов. Регулярные образовательные программы должны охватывать весь спектр защитных мер: от базовых правил работы с паролями до сложных схем противодействия угрозам. Особое внимание следует уделить обучению сотрудников с расширенным доступом к конфиденциальной информации, ведь именно они чаще всего становятся мишенью для злоумышленников.
Ограничение доступа к ПДн. Контроль доступа к персональным данным стоит реализовать по принципу необходимости — сотрудник получает доступ только к той информации, обработка которой необходима ему для выполнения рабочих обязанностей.
Программное обеспечение для кадрового учета. При выборе сервиса, используемого для кадрового учета и внутреннего ЭДО, следует опираться на такие критерии, как функциональность, соответствие требованиям законодательства, обеспечение мер защиты информации (шифрование, механизмы аутентификации), совместимость с другими учетными системами, наличие техподдержки и регулярных обновлений.
Предлагаем современное облачное решение для обмена электронными документами — «Доки» от ГК «Астрал». Сервис позволяет вести взаимодействие с контрагентами и контролирующими органами, соблюдая все нормы законодательства РФ. Круглосуточная служба поддержки поможет клиентам на всех этапах обслуживания: от запуска системы и подключения контрагентов до обмена документами и отправки отчетов в государственные органы.

Ключевой элемент защиты ПДн — это правильная организация их обработки и хранения. Перечислим ключевые моменты.

Инфраструктура хранения информации

При выборе сервиса для обработки и хранения данных компании сталкиваются с двумя основными вариантами: облачные технологии и собственные серверные решения. Каждый из этих подходов имеет свои плюсы и минусы.

Облачные платформы привлекают своей гибкостью и возможностью быстрого масштабирования ресурсов. Однако для их безопасного использования критически важно тщательно подходить к выбору поставщика услуг, обращая особое внимание на репутацию его продуктов и уровень предлагаемых гарантий безопасности.
Локальные серверы предоставляют компаниям полный контроль над инфраструктурой хранения данных. При этом необходимо учитывать существенные затраты на обеспечение должного уровня защищенности и техническую поддержку системы.

Криптографическая защита

Криптография выступает в качестве фундаментальной составляющей системы безопасности данных. Использование передовых алгоритмов шифрования создает надежную преграду для действий злоумышленников, делая информацию недоступной для прочтения без специального доступа.

В контексте электронного документооборота особое внимание криптозащите следует уделять как при хранении данных на серверах, так и при их передаче через сетевые каналы. Это касается не только ПДн сотрудников, но и всей конфиденциальной информации, включая сведения о заработной плате и другие финансовые показатели.

Безопасность на уровне СУБД

Системы управления базами данных являются ключевым звеном в обеспечении безопасного ЭДО. При применении СУБД все ПДн хранятся в системе с широким спектром защитных механизмов.

  • Многоуровневый доступ — позволяет гибко настраивать права сотрудников, четко ограничивая круг лиц, которые занимаются обработкой конфиденциальной информации.
  • Журнал учета операций — здесь фиксируются действия пользователей, время доступа и другие важные параметры для последующего анализа.
  • Резервное копирование — обеспечивает сохранность персональных данных и возможность их восстановления в случае технических сбоев или кибератак.
  • Встроенная криптозащита — предоставляет дополнительный уровень безопасности через шифрование на уровне базы данных, усиливая общий уровень защищенности ИС.
Продукты по направлению

Система электронного документооборота может быть интегрирована в учетную систему, которая уже используется для управления бизнес-процессами, например, 1С.

3 500
шт
Стоимость одного документа 7 ₽

Ключевое преимущество интеграции заключается в том, что использование ЭДО не требует изменения привычных рабочих процессов. Сотрудники продолжают работать в уже знакомом интерфейсе, имея при этом доступ к полному функционалу СЭД.

Хорошим примером такого интеграционного решения является 1С: Документооборот — платформа для автоматизации управления документами и бизнес-процессами. Разработанная на базе 1С:Предприятие, эта система предлагает комплексное решение для организации электронного документооборота любой сложности. Кроме того, здесь предусмотрен широкий спектр настроек для хранения и обработки персональных данных в соответствии с требованиями законодательства: возможность разграничения доступа для сотрудников, регистрация действий с ПДн (просмотр, изменений, удаление), работа с согласиями на обработку персональных данных и прочими конфиденциальными документами.

Не менее важно для обеспечения защиты ПДн разработать эффективную систему мониторинга и аудита используемого сервиса ЭДО. Это позволит не только находить и оперативно устранять потенциальные угрозы, но также формировать более профессиональный подход к информационной безопасности среди сотрудников.

Для комплексного аудита безопасности ЭДО можно использовать следующие инструменты:

  • тестирование на проникновение — моделирование реальных кибератак для выявления слабых мест СЭД;
  • автоматизированный анализ — применение специализированного ПО для обнаружения уязвимостей в СЭД;
  • проверка кода — детальное исследование исходного кода системы на наличие потенциальных уязвимостей;
  • стандартизация — проверка соответствия информационной инфраструктуры действующим нормативам безопасности.

Обеспечение информационной безопасности — это непрерывный процесс, требующий постоянного совершенствования и адаптации к новым угрозам. Для создания надежной системы защиты необходимо придерживаться комплексного подхода.

  • Актуализировать ПО. Своевременное обновление всех компонентов СЭД защищает от многих известных уязвимостей.
  • Использовать многофакторную аутентификацию. Многоуровневая система подтверждения личности повышает безопасность аккаунтов и защищает их от несанкционированного доступа.
  • Профильное обучение персонала. Регулярное повышение осведомленности сотрудников о современных угрозах и методах их предотвращения повышает общий уровень устойчивости системы.
  • Резервное копирование. Обязательный инструмент при обработке большого объема ПДн в организации, минимизирующий риски их потери.
  • Криптография. Применение современных методов шифрования в сервисах ЭДО обеспечивает конфиденциальность информации при ее хранении и обработке.
Читайте по теме
Узнавайте самые интересные новости первыми
Комментарии для сайта Cackle
Получите электронную подпись для работы на госпорталах, для участия в торгах и ЭДО

Хотите разобраться
в сервисах Астрал?

Подробные инструкции,
решения проблем
и ответы на вопросы
в Базе знаний

autohello-finger