НовостиСобытияКонференцииФорумыIT@Work
Документооборот/ECM:

Блог

Как соотносятся между собой СЭД и защита персональных данных

Андрей Колесов
19.05.2016 10:33:53

На днях увидел "свежеопубликованную" статью по теме – "Защита персональных данных. Соответствие СЭД 152-ФЗ. Начало статьи вселяло оптимизм – очень четкая постановка вопроса:

Цитата
Периодически из уст заказчиков слышен вопрос: «Удовлетворяет ли ваша система требованиям закона о персональных данных?» и в тендерных документациях мелькают требования реализации проекта по защите данных. Но для чего реально необходима эта магическая аббревиатура ИСПДн заказчику, он не всегда в состоянии корректно объяснить. Углубимся в вопрос.


Действительно, тема защиты ПД уже давно является горячей. Более того, на мой взгляд, не просто горячей, а жаренной-пережаренной. Что-то вроде обгоревшего до угольного состояния шашлыка, которые есть явно не хочется, но нужно – деньги уплачены. Вот и ПД – кажется, никто особенно не знает, что это такое и как нужно эти ПД защищать, но точно знают, что защищать нужно. Поскольку эта тема постоянно присутствует даже на центральном ТВ, в том числе с сообщениями о реальных "делах", причем и с "посадками".

Короче говоря, тема ПД чем-то напоминает темы пожарной безопасности или санэпидем-вопросов: при желании инспектор всегда найдет нарушения.

И один из первых шагов по хоть какой-то защите от обвинения является наличие соответствующего пункта в ТЗ: "система должна удовлетворять…" В какой мере удовлетворяет – это уже следующий вопрос, но если в ТЗ такого пункта не будет, то вы будете виноваты на 100%.

Итак, заказчик задает вполне резонный вопрос и хочет услышать ответ от исполнителя, который при случае можно будет "пришить к делу". Короче – заявленная тема статья видится актуальной.

Но вот только я ответа на вполне понятный вопрос там не увидел. Там рассказывает о законодательстве в этой сфере и об общих требованиях к информационным системам с точки зрения ФЗ-152. Такое впечатление, что автор статьи насколько углубился в вопрос, что даже забыл о нем. Типа того, что вас спрашивают "как пройти к библиотеке", а вы начинает в ответ рассказывать о проблемах устройства городского транспорта…

Хотя, на самом деле, в статье все же есть они важный момент, которые позволяет сформулировать ответ СЭД-вендора на вопрос СЭД-заказчика. Я его предлагаю в таком варианте:

"Требования данного закона относятся не к программным продуктам, а к конкретным развернутым у заказчика ИТ-систем. Значительная часть требований относится не к ПО, а к организации работы в ПД, к конкретно реализуемым бизнес-процессам. То есть этот вопрос вы должны адресовать самому себе".

Но услвшав такой ответ, наверное, заказчик переиначит свой вопрос более правильным образом:
"Что мне нужно сделать на этапе проектирования, внедрения и эксплуатации создаваемой ИТ-системы, чтобы она удовлетворяла 152-ФЗ? В какой степени ваше ПО сможет обеспечить такое соответствие, не обнаружатся ли подводные "софтверные" камни?"

Я думаю, что действительно правильным ответом будет такой: "Со стороны программного продукта никаких трудностей или камней нет. Все будет зависеть только от вашего конкретного проекта, в том числе на этапе эксплуатации".
И еще: "Скорее всего, при внедрении СЭД, никаких проблем в 152-ФЗ в принципе не будет, поскольку в вашем проекте никакие ПД там обрабатываться не будут".

Я понимаю некоторую спорность моих "ответов", поэтому интересно услышать мнения по теме.

Комментариев: 6

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.05.2016 10:56:32

Добрый день!
Уважаемый г. Колесов, прошу прощения, что пишу не по теме, но другого канала связи с Вами пока не нашёл.
Хотелось бы усышать Ваше мнение по такому вопросу. Целесообрзно ли рассматривать СЭД как подвид BPM системы? При приобретении новой СЭД искать систему, созданную на ВРM платформе? Т.е имеет ли смысл ставить задачу шире, внедрение в организации ВРМ платформы, а реализованными на ней приложениями станет не только СЭД, а и система закупок, финансовый документооборот, любые рабочие процесы подразделений? Можете ли рекомендовать что-то подобное, примеры внедрения? Речь идёт о мунципалитете. Или лучше не распыляться, создавая неподъёмную систему?
Спасибо.

Алексей.

25.05.2016 11:17:23

Алексей!
Спасибо за обращение.

Начну с оргвопроса. Связаться с любым участником блога очень легко: нужны щелкнуть имя автора (в начала поста или комментария), вы попадаете на его персональную страницу, где внизу есть функция "сообщения" и "е-мейл" - это как раз отправка персональных сообщений.
С сотрудниками редакции в любом случае можно связаться через редакционный адрес - editorial@pcweek.ru, секретарь перешлет письмо сотруднику.
Мой адрес- kolesov@pcweek.ru

Что касается вопроса по существу, то предлагаю такой вариант - завтра напишу ответ в виде поста, там и продолжим обсуждение. Вопрос не простой, но актуальный.
Может быть, напишите мне еще на почту о своей задаче подробнее. Почему у вас возник такой вопрос? Что вас не устраивает в существующей системе, что вы хотите изменить, достичь.

Спасибо,

01.06.2017 12:34:41

"Требования данного закона относятся не к программным продуктам, а к конкретным развернутым у заказчика ИТ-систем. Значительная часть требований относится не к ПО, а к организации работы в ПД, к конкретно реализуемым бизнес-процессам. То есть этот вопрос вы должны адресовать самому себе".

а если уже есть СЭД, с ним то что делать, как его в соотвествие привести, понятно что долго и как Вы написали: "Короче говоря, тема ПД чем-то напоминает темы пожарной безопасности или санэпидем-вопросов: при желании инспектор всегда найдет нарушения", мы прямо так себя и ощущаем, ищем куда ведро с песком поставить. Пытаемся классифицировать и опять вопрос классфикация отменена, собственно что делать с этим СЭДом, может кто сталкивался? куда читать, ткните носом smile:)

01.06.2017 13:09:34

Этому посту же больше года.
Давайте начнем с начала - какие конкретные проблемы у вас? Что вас волнует?

02.06.2017 05:02:50

проблема с защитой ПДн которые пролетают в СЭД, работаем с населением. с чего начать?

02.06.2017 11:56:42

Наверное, надо начинать с консультаций со специалистами.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии