Оперативные новости и аналитические материалы мира высоких технологий
Статья

Как привести СЭД в соответствие с требованиями 152-ФЗ?

Бизнес Документооборот Законодательство

Снова близится к концу время, отпущенное операторам персональных данных на приведение своих информационных систем в соответствие с требования закона о персональных данных. В частности, операторам необходимо задуматься о безопасности систем электронного документооборота, которые они используют, и их соответствии требованиям закона.

В конце прошлого года срок вступления в силу требований закона о защите персональных данных перенесли на год. Операторы персональных данных, которые не были готовы привести информационные системы персональных данных (ИСПДн) в соответствие с требованиями закона, перестали было волноваться. Однако теперь, когда осталось полгода до окончания отсрочки, рассчитывать еще на одну не приходится. И снова организации, работающие с персональными данными, озабочены: соответствуют ли их информационные системы требованиям закона? Рассмотрим этот вопрос в аспекте систем электронного документооборота (СЭД), хотя многие положения будут применимы и к другим видам информационных систем.

СЭД и проблема обеспечения защиты персональных данных

Во-первых, зададимся вопросом: имеет ли СЭД отношение к проблеме обеспечения защиты персональных данных? В законе есть определение: "Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация". Любая СЭД, которая имеет в своем составе справочники сотрудников предприятия и контрагентов, содержит и персональные данные.

Классификация ИСПДн, 2010

Увеличить

Источник: DocsVision, "Сертифицированные информационные системы", 2010

Ситуация усугубляется, если предприятие ориентировано на работу с физическими лицами, и СЭД вовлечена в сферу их обслуживания. Это в первую очередь органы государственной власти (особенно тех уровней, где ведется непосредственная работа с населением), организации, работающие с обращениями граждан, медицинские и образовательные учреждения, сфера обслуживания, телекоммуникационные компании, кредитные организации, а также многие другие. Кроме структурированных справочников, являющихся вспомогательным элементом, в СЭД хранятся и обрабатываются документы, что является ее основным назначением. В документах тоже может содержаться информация, относящаяся к категории персональных данных: анкеты, характеристики, персональные дела, истории болезней и т.д. То есть следует признать, что СЭД, как правило, имеет непосредственное отношение к проблеме обеспечения защиты персональных данных.

Что должно соответствовать требованиям 152-ФЗ?

Сегодня мало кто разрабатывает собственную СЭД "с нуля". На рынке представлено достаточно много тиражируемых программных продуктов этого класса, производимых независимыми разработчиками, и заказчики выбирают продукт, наиболее удовлетворяющий требованиям предприятия.

Сейчас заказчики часто спрашивают у производителей, удовлетворяет ли их СЭД требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей ИСПДн требованиям закона. Однако следует понимать, что СЭД, как тиражный программный продукт, не является той ИСПДн, о которой идет речь в законе "О персональных данных".

Обратимся опять к определениям, данным в законе: "Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств". Таким образом, ИСПДн (в данном случае, СЭД) заказчика – это нечто гораздо большее, чем программный продукт, используемый в ее составе.

Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн – это автоматизированная система, а СЭД как программный продукт – это часть комплекса технических средств, средство вычислительной техники. Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных. И никакой документ о соответствии программного продукта СЭД каким-либо требованиям не решит этой проблемы.

Этапы работ по приведению СЭД (ИСПДн) в соответствие с требованиями 152-ФЗ

Итак, мы разобрались, что предприятие-пользователь СЭД (ИСПДн) должно начать с себя, для того чтобы соответствовать требованиям закона. Мы в данном случае говорим "СЭД", подразумевая, что она может являться одной из ИСПДн предприятия, или ее частью. Однако, персональные данные могут обрабатываться и в других автоматизированных системах, и тогда все сказанное здесь применимо и к ним.

Для того чтобы привести свои ИСПДн в соответствие с требованиями 152-ФЗ, предприятию необходимо выполнить следующие этапы работ: обследование предприятия на предмет работы с персональными данными; классификацию ИСПДн; разработку модели угроз нарушения безопасности данных; формирование требований по обеспечению безопасности ПДн; проектирование системы защиты данных; внедрение системы защиты данных; аттестацию или декларирование соответствия ИСПДн.