Защита персональных данных, обрабатываемых в системах электронного документооборота, становится самостоятельной технической задачей, иногда не решается силами самого пользователя СЭД. Программные модули, предназначенные для организации электронного документооборота, не всегда защищены должным образом от внутренних и внешних угроз, а обрабатываемые в них сведения часто относятся к категории конфиденциальной информации.

Особенности обработки персональных данных в СЭД

Любая крупная компания использует в своей деятельности программы электронного документооборота. Они предназначены для совместной работы над документами, осуществления их визирования и согласования. Часто документы, попадающие для обработки в эти системы, содержат персональные данные сотрудников компании и иных лиц, например, клиентов организации. Примером может стать визирование договора с клиентом, содержащего его имя, данные паспорта, ИНН и места жительства.

В связи с этим при заказе разработки или доработки СЭД у интеграторов клиенты предъявляют требования по ее соответствию законодательству о защите персональных данных. Для того чтобы на СЭД распространялись эти нормы, необходимо соблюдение следующих условий:

• она должна иметь в своей структуре справочники, содержащие данные физических лиц;
• сведения должны давать возможность идентифицировать конкретного субъекта персональных данных.

Кроме справочников в СЭД может храниться и другая информация в текстовом виде или в виде сканированных документов – анкеты, истории болезни, личные дела. Особенно много таких данных содержится в СЭД компаний, которые работают в секторе B2С, оказывая услуги именно гражданам. Соответственно, системы документооборота должны защищаться полностью в соответствии с теми требованиями, которые предъявляются к информационным системам персональных данных сообразно уровню их защищенности, установленному постановлением Правительства № 1119.

Как определяются требования к степени защиты СЭД

Нормативно-правовой акт устанавливает четыре уровня, в зависимости от категории данных и количества лиц, сведения о которых обрабатываются в системе. Персональные данные, доверенные компании, делятся на данные сотрудников и клиентов. По классу информации они подразделяются еще на четыре группы:

• 1 – специальные данные, дополнительная защита которых предусмотрена российским и европейским правом, это сведения о здоровье, интимной жизни, политических и религиозных убеждениях;
• 2 – биометрическая информация, содержащая сведения о физических особенностях субъекта. Это отпечатки пальцев, фотография, личная подпись;
• 3 – сведения, переданные субъектом персональных данных, не относящиеся к 1 или 2 группе, но позволяющие получить более подробную информацию о гражданине;
• 4 – общедоступные данные. 

После определения, к какой именно группе защищенности должна относиться СЭД, для выбора технических средств, необходимых для ее работы в режиме защиты персональных данных, нужно построить актуальную модель угроз. В ее основу лягут угрозы трех типов:

• угрозы 1-го типа обусловлены присутствием недекларированных (недокументированных) возможностей в системном программном обеспечении, установленном в информационных системах персональных данных;
• угрозы 2-го типа обусловлены присутствием недекларированных возможностей в прикладном программном обеспечении, установленном в информационных системах персональных данных;
• угрозы 3-го типа не связаны с наличием неявных возможностей во всех типах ПО.

Как именно определяется тип угроз, нормативные акты не регламентируют, компании могут сделать это самостоятельно или поручить подготовить модель угроз разработчику ПО или его интегратору.

Сертифицированное программное обеспечение

Изучая Постановление Правительства и приказы ФСТЭК России, посвященные вопросам обеспечения безопасности информационных систем, содержащих персональные данные, владельцы электронных систем документооборота не всегда могут определиться с ответом на вопрос, обязательна ли сертификация для используемого программного обеспечения. Она требуется для криптографических средств защиты, но нужно ли сертифицировать, к примеру, 1С Документооборот, если он содержит справочники клиентов – физических лиц.

Ответ будет однозначным. Если в системе находятся персональные данные, которые позволяют однозначно идентифицировать то или иное физическое лицо, она должна быть сертифицирована. Обязанность эта возлагается на разработчика, который должен обратиться в ФСТЭК России для сертификации своего продукта согласно установленным требованиям безопасности персональных данных. Следует учитывать, что сертификация имеет особенности:

• оформляется на конкретную версию программного продукта. При выпуске обновления сертифицировать продукт придется заново;
• выдается на определенный срок;
• рассчитана на конкретное количество экземпляров программного продукта;
• исключает возможность существенной доработки или дописывания программы, что часто делается компаниями применительно к 1С.

Если владелец системы электронного документооборота решит аттестовать систему на ее соответствие требованиям защищенности персональных данных, одной сертификации программного обеспечения может не хватить. Дополнительно придется пройти ту же процедуру в отношении встроенных в нее технических средств защиты, как антивирусной, так и криптографической, если передача информации производится по телекоммуникационным каналам связи общего или локального использования.

Заказчик должен осознавать, что процесс сертификации программных продуктов и аттестации системы защиты персональных данных очень длителен – иногда занимает несколько месяцев. По его завершении может выясниться, что появились новые угрозы, не учтенные в модели, или изменились требования контролирующих органов, и проведенная работа по подготовке системы уже не соответствует требованиям текущего момента.

Частично этот вопрос решается тем, что сейчас сертификация разрешена для отдельных поколений программных продуктов. На практике это означает, что сертифицируется первая версия программного продукта, а после ее обновления вместо сертификации достаточно будет только пройти процедуру инспекционного контроля со стороны ФСТЭК РФ. Инспекция должна выявить, продолжает ли программа соответствовать требованиям, предъявляемым для обеспечения защиты персональных данных. Она завершится успешно для разработчика, если обновление не касалось таких функций программы, как:

• механизм разграничений прав доступа;
• криптографический механизм;
• способы ведения логов.

СЭД и ее отношения с общей информационной системой

Нельзя забывать, что СЭД является только частью общей информационной системы оператора персональных данных и его задачи не решают только приобретение и установка сертифицированного программного продукта. Необходимо соблюдать определенный перечень требований, относящихся ко всей системе. Среди них:

• регулярная проверка того, насколько информационная система оператора соответствует актуальным требованиям законодательства. Такая проверка проводится не реже чем раз в три года силами самой компании-оператора или привлеченных лицензированных специалистов;
• обеспечение физической защиты автоматизированных рабочих мест, на которых размещены модули, содержащие базы персональных данных, и серверов. Физическая защита должна сопровождаться внедрением системы контроля доступа и при возможности учета в журналах всех действий пользователей с персональными данными;
• обеспечение безопасности материальных носителей данных, например, документов, скан-копии которых переносятся в базу. Вместе с этим необходимо исключить возможность копирования инсайдером информации из СЭД на тот или иной носитель;
• определение лиц, допущенных к работе с модулями, содержащими персональные данные. В компании, работающей с клиентами, это сделать крайне сложно – даже оформляя контракт на мобильную связь, обычный администратор получает доступ к конфиденциальной информации. Тем не менее остается необходимость разграничить права доступа и приказом определить лицо, отвечающее за защиту персональных данных или, для больших компаний, создать отдельное подразделение, на которое возложить выполнение этих задач;
• внедрение сертифицированных средств защиты информации, предусмотренных нормативными актами ФСТЭК России.

При этом, если сертификация предусмотрена в отношении всей информационной системы и применяемых средств защиты, отдельная сертифицированная программа для СЭД не требуется.

Судебная практика, связанная с обработкой персональных данных в СЭД

Вопросы, связанные с неправомерной обработкой персональных данных, обрабатываемых в системах электронного документооборота, часто становятся предметом рассмотрения судов. Обычно эта категория споров развивается между работодателем и сотрудником и является следствием того или иного затянувшегося трудового конфликта, в котором работник использует нарушения законодательства о защите персональных данных, допущенные работодателем, как инструмент для давления на него.

Так, Мосгорсуд в 2017 году рассматривал спор, сутью которого стало размещение работодателем в СЭД переписки с работником. Произошла эта ситуация не в частной компании, а в Министерстве юстиции РФ, а в систему электронного документооборота попало заявление работника и ответ его руководства на него. Гражданин уволился по собственному желанию. До этого его руководство, по его мнению, умышленно распространило его персональные данные, в том числе о месте жительства, в системе СЭД Минюста России, о чем он сообщил первому заместителю министра и просил служебную проверку. Но его просьба удовлетворена не была, поэтому он обратился в суд с иском о понуждении такую проверку провести. В первой инстанции он получил отказ, суд не нашел в действиях Минюста нарушений Федерального закона «О персональных данных». Позиция апелляционной инстанции совпала с позицией первой.

Но так легко для работодателя заканчиваются не все споры. В производстве судов крайне часты иски о возмещении вреда, причиненного разглашением персональных данных работников организации. Персонал берет из СЭД требуемую ему информацию о других сотрудниках или клиентах и передает ее третьим лицам. При предъявлении иска к конкретному гражданину, совершившему правонарушение, его работодатель, не обеспечивший надлежащую защиту персональных данных, что входит в его обязанности, может быть привлечен к суду в качестве соответчика и вынужден также компенсировать моральный ущерб.

Забота о надлежащей защите СЭД, если в ней хранятся персональные данные, должна стать задачей, актуальной для всех компаний-операторов. Это позволит избежать рисков привлечения к административной и гражданской ответственности.