Требования к информационным системам с электронным документооборотом


Статья: Кадровый электронный документооборот. Особенности. Внедрение. Сложные моменты (Хоруженко Е.) ("Кадровик.ру", 2014, N 1) {КонсультантПлюс}


Перевод кадрового документооборота в электронный вид заметно отличается от внедрения обычных информационных систем электронного документооборота (СЭДО), не затрагивающих кадровое делопроизводство.

Самое главное - кадровые СЭДО подпадают под действие Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", который устанавливает требования к оператору персональных данных (ПДн) и его информационным системам. Подробно требования к информационным системам, содержащим персональные данные, указаны в документе, утвержденном Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Требования). Самое существенное в этой области - требования законодателя об обязательности мер по защите персональных данных.

Знакомясь с этим документом, следует обратить особое внимание на то, что в соответствии с п. 6 Требований угрозы информационной безопасности персональных данных для кадровых СЭДО в подавляющем большинстве организаций могут быть классифицированы как угрозы минимум 1-го типа (недекларированные возможности системного программного обеспечения) и 2-го типа (недекларированные возможности прикладного программного обеспечения).

Пункты 8 - 11 указанных Требований описывают 4 уровня защищенности информационных систем, при этом для большинства организаций, обрабатывающих персональные данные только своих работников и не оперирующих персональными данными третьих лиц, Требования указывают на необходимость обеспечения 2-го уровня защищенности информационной системы.

В соответствии с п. 15 Требований организация - оператор персональных данных для достижения 2-го уровня защищенности информационной системы должна:

- организовать режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права в них находиться;

- обеспечить сохранность носителей персональных данных;

- обеспечить утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

- обеспечить использование средств защиты информации, прошедших оценку соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

- назначить должностное лицо (работника), ответственное за обеспечение безопасности персональных данных в информационной системе;

- сделать так, чтобы доступ к содержанию электронного журнала сообщений информационной системы имелся исключительно у должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

Все кадровые СЭДО должны не реже 1 раза в 3 года проходить аудит на предмет соответствия требованиям Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", причем этот контроль может проводиться организацией как самостоятельно, так и с привлечением на договорной основе юридических лиц/индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных"). Такие лицензии выдаются ФСБ России в соответствии с Постановлением Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации".

Следует учесть, что должностное лицо организации, ответственное за обеспечение безопасности персональных данных, должно обладать соответствующей квалификацией, поэтому при определении требований к данному работнику нужно ориентироваться на Постановление Правительства РФ N 1119 и Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Рекомендуется включить в требования к должности, зафиксированные в должностной инструкции, соответствующие положения, например, о необходимости прохождения курсов повышения квалификации по теме "Защита персональных данных" продолжительностью не менее 72 ч в лицензированном учебном центре или наличия профильного высшего образования в сфере защиты информации.

Возможно, в вашей организации есть подразделение, в обязанности которого входит защита информации или защита коммерческой тайны. И в составе такого подразделения, скорее всего, уже есть сотрудник, чья квалификация позволяет обеспечивать выполнение требований Закона "О персональных данных" и получать положительные заключения по результатам проверок регулирующими органами.