Продукты по направлению

Сервис электронного документооборота с контрагентами

152DOC

Автоматизация процессов соблюдения требований 152-ФЗ «О персональных данных» в облачном сервисе

Безопасность и защита информации

Персональные данные в СЭД

Дарья Алексеева

03.07.2025

581

В связи с общей цифровизацией бизнеса все чаще персональные данные сотрудников и клиентов становятся доступны широкому кругу лиц. Это существенно увеличивает риск их неправомерного использования, поэтому компании должны уделять особое внимание защите персональных данных в СЭД. Рассказываем об угрозах ПДн, связанных с применением электронного документооборота в работе организации, и правилах обеспечения безопасности данных в системах ЭДО.

Бизнес

Персональные данные: между реальностью и заблуждениями

Наталья Немудрая

26.10.2023

1 455

Электронный документооборот дает бизнесу много преимуществ, но вместе с тем требует особых мер по обеспечению конфиденциальности и защиты данных. Помимо Федерального закона от 27 июля 2006 года № 152-ФЗ — ключевого НПА о персональных данных — компании, применяющие СЭД, обязаны ориентироваться на ряд других законодательных актов.

Федеральный закон от 27 июля 2006 года № 149-ФЗ — устанавливает общие принципы правового регулирования в сфере информации, включая обработку ПДн.
Постановление Правительства РФ от 1 ноября 2012 года № 1119 — утверждает правила защиты ПДн при использовании информационных систем.
Приказ ФСТЭК РФ от 18 февраля 2013 года № 21 — содержит перечень мер по обеспечению безопасности ПДн при их обработке в информационных системах.
Приказ Роскомнадзора от 24 февраля 2021 года № 18 — устанавливает требования к содержанию согласия на обработку персональных данных, которые разрешены для распространения субъектом ПДн.

Воспользуйтесь сервисом электронного документооборота Доки

Отправляйте накладные и счета-фактуры в один клик и отслеживайте статусы документов в режиме реального времени

Подробнее

Чтобы разобраться в особенностях защиты персональных сведений, для начала стоит перечислить категории ПДн, определяемые законом № 152-ФЗ.

1 категория — специальные. Сюда относится информация, касающаяся расовой, национальной и религиозной принадлежности субъекта, его философских или политических взглядов, а также сведения о его здоровье и личной жизни.
2 категория — биометрические. Это информация, отражающая биологические или физиологические особенности субъекта, например, фотографии, отпечатки пальцев, рисунок сетчатки глаза и т.д. Биометрические ПДн позволяют безошибочно определить личность субъекта.
3 категория — общедоступные. Это сведения о субъекте, неограниченный доступ к которым предоставляется самим субъектом (ФИО, номер телефона, адрес электронной почты и т.п).
4 категория — любая другая персональная информация, которую нельзя отнести ни к одной из предыдущих категорий.

Узнайте как подать уведомление об обработке персональных данных

Расскажем, кто обязан это сделать, какие сведения указать и как отправить документы в электронном виде быстро и без ошибок

Подробнее

Исходя из особенностей отношений между оператором и субъектами ПДн, можно разделить персональные данные еще на два типа:

ПДн субъектов, с которыми оператор связан трудовыми отношениями (сотрудники);
ПДн субъектов, которые не являются сотрудниками компании (клиенты).

Кроме того, законодательство определяет две категории персональных данных по количеству субъектов, чьи ПДн обрабатывает оператор: до 100 000 субъектов и более 100 000 субъектов.

Безопасность и защита информации

Биометрические данные: как с ними работать

Дарья Алексеева

07.09.2023

1 529

Уровень защищенности ПДн в ЭДО организации — это комплексный показатель. Для его определения необходимо учесть несколько факторов: категория обрабатываемых данных, количество субъектов ПДн, тип отношений между оператором и субъектами, а также тип угроз, актуальных для используемой СЭД.

Угрозы можно разделить на три типа:

1 тип — угрозы, связанные с наличием недокументированных возможностей в системном ПО;
2 тип — угрозы с наличием недокументированных возможностей в прикладном ПО;
3 тип — угрозы, связанные с наличием недокументированных возможностей в ПО, которое используется в информационной системе ПДн.

Когда все исходные данные собраны, можно определить уровень защищенности (УЗ) в конкретной информационной системе с помощью таблицы:

Таблица для определения уровня защищенности

1 УЗ является самым высоким уровнем защищенности, то есть требует обеспечения наиболее серьезной защиты. Следовательно, самым низким УЗ является четвертый.

Хорошая система защиты ПДн базируется на грамотном сочетании инновационных технологий и продуманных организационных решений.

Внутренняя политика по обработке ПДн. Четкий регламент играет первостепенную роль в создании безопасной среды. Внутренняя политика, регулирующая работу сотрудников с персональными данными, позволит компании выстроить четкую систему контроля и управления, обеспечить соответствие требованиям законодательства и заложить прочную основу для формирования корпоративной культуры информационной безопасности.

Обучение сотрудников. Профильное обучение персонала — ключевой инструмент предотвращения утечек, неправомерного использования ПДн и прочих инцидентов. Регулярные образовательные программы должны охватывать весь спектр защитных мер: от базовых правил работы с паролями до сложных схем противодействия угрозам. Особое внимание следует уделить обучению сотрудников с расширенным доступом к конфиденциальной информации, ведь именно они чаще всего становятся мишенью для злоумышленников.

Ограничение доступа к ПДн. Контроль доступа к персональным данным стоит реализовать по принципу необходимости — сотрудник получает доступ только к той информации, обработка которой необходима ему для выполнения рабочих обязанностей.

Программное обеспечение для кадрового учета. При выборе сервиса, используемого для кадрового учета и внутреннего ЭДО, следует опираться на такие критерии, как функциональность, соответствие требованиям законодательства, обеспечение мер защиты информации (шифрование, механизмы аутентификации), совместимость с другими учетными системами, наличие техподдержки и регулярных обновлений.

Предлагаем современное облачное решение для обмена электронными документами — «Доки» от ГК «Астрал». Сервис позволяет вести взаимодействие с контрагентами и контролирующими органами, соблюдая все нормы законодательства РФ. Круглосуточная служба поддержки поможет клиентам на всех этапах обслуживания: от запуска системы и подключения контрагентов до обмена документами и отправки отчетов в государственные органы.

Ключевой элемент защиты ПДн — это правильная организация их обработки и хранения. Перечислим ключевые моменты.

Узнайте как как заполнить и подать уведомление об обработке ПДн в РКН

Воспользуйтесь онлайн-сервисом и подайте документы через интернет — быстро и удобно

Подробнее

Инфраструктура хранения информации

При выборе сервиса для обработки и хранения данных компании сталкиваются с двумя основными вариантами: облачные технологии и собственные серверные решения. Каждый из этих подходов имеет свои плюсы и минусы.

Облачные платформы привлекают своей гибкостью и возможностью быстрого масштабирования ресурсов. Однако для их безопасного использования критически важно тщательно подходить к выбору поставщика услуг, обращая особое внимание на репутацию его продуктов и уровень предлагаемых гарантий безопасности.

Локальные серверы предоставляют компаниям полный контроль над инфраструктурой хранения данных. При этом необходимо учитывать существенные затраты на обеспечение должного уровня защищенности и техническую поддержку системы.

Криптографическая защита

Криптография выступает в качестве фундаментальной составляющей системы безопасности данных. Использование передовых алгоритмов шифрования создает надежную преграду для действий злоумышленников, делая информацию недоступной для прочтения без специального доступа.

В контексте электронного документооборота особое внимание криптозащите следует уделять как при хранении данных на серверах, так и при их передаче через сетевые каналы. Это касается не только ПДн сотрудников, но и всей конфиденциальной информации, включая сведения о заработной плате и другие финансовые показатели.

Безопасность на уровне СУБД

Системы управления базами данных являются ключевым звеном в обеспечении безопасного ЭДО. При применении СУБД все ПДн хранятся в системе с широким спектром защитных механизмов.

Многоуровневый доступ — позволяет гибко настраивать права сотрудников, четко ограничивая круг лиц, которые занимаются обработкой конфиденциальной информации.
Журнал учета операций — здесь фиксируются действия пользователей, время доступа и другие важные параметры для последующего анализа.
Резервное копирование — обеспечивает сохранность персональных данных и возможность их восстановления в случае технических сбоев или кибератак.
Встроенная криптозащита — предоставляет дополнительный уровень безопасности через шифрование на уровне базы данных, усиливая общий уровень защищенности ИС.

Продукты по направлению

Доки

Продукты 1С

152DOC

Система электронного документооборота может быть интегрирована в учетную систему, которая уже используется для управления бизнес-процессами, например, 1С.

Тарифы Доки

500 документов на 1 год

3 500 ₽

Стоимость одного документа 7 ₽

Ключевое преимущество интеграции заключается в том, что использование ЭДО не требует изменения привычных рабочих процессов. Сотрудники продолжают работать в уже знакомом интерфейсе, имея при этом доступ к полному функционалу СЭД.

Хорошим примером такого интеграционного решения является 1С: Документооборот — платформа для автоматизации управления документами и бизнес-процессами. Разработанная на базе 1С:Предприятие, эта система предлагает комплексное решение для организации электронного документооборота любой сложности. Кроме того, здесь предусмотрен широкий спектр настроек для хранения и обработки персональных данных в соответствии с требованиями законодательства: возможность разграничения доступа для сотрудников, регистрация действий с ПДн (просмотр, изменений, удаление), работа с согласиями на обработку персональных данных и прочими конфиденциальными документами.

Не менее важно для обеспечения защиты ПДн разработать эффективную систему мониторинга и аудита используемого сервиса ЭДО. Это позволит не только находить и оперативно устранять потенциальные угрозы, но также формировать более профессиональный подход к информационной безопасности среди сотрудников.

Для комплексного аудита безопасности ЭДО можно использовать следующие инструменты:

тестирование на проникновение — моделирование реальных кибератак для выявления слабых мест СЭД;
автоматизированный анализ — применение специализированного ПО для обнаружения уязвимостей в СЭД;
проверка кода — детальное исследование исходного кода системы на наличие потенциальных уязвимостей;
стандартизация — проверка соответствия информационной инфраструктуры действующим нормативам безопасности.

Обеспечение информационной безопасности — это непрерывный процесс, требующий постоянного совершенствования и адаптации к новым угрозам. Для создания надежной системы защиты необходимо придерживаться комплексного подхода.

Актуализировать ПО. Своевременное обновление всех компонентов СЭД защищает от многих известных уязвимостей.
Использовать многофакторную аутентификацию. Многоуровневая система подтверждения личности повышает безопасность аккаунтов и защищает их от несанкционированного доступа.
Профильное обучение персонала. Регулярное повышение осведомленности сотрудников о современных угрозах и методах их предотвращения повышает общий уровень устойчивости системы.
Резервное копирование. Обязательный инструмент при обработке большого объема ПДн в организации, минимизирующий риски их потери.
Криптография. Применение современных методов шифрования в сервисах ЭДО обеспечивает конфиденциальность информации при ее хранении и обработке.