Safe-doc.com — автоматическая подготовка документов
О проекте
Safe-doc — четыре направления деятельности, объединенные в одном ресурсе: подготовка документов для выполнения требований ФЗ №152 (ПД), Государственные информационные системы (ГИС), Центробанк (ЦБ) и электронный документооборот (ЭДО). Поговорим о персональных данных.
Зачем это нужно?
Требования к обработке персональных данных определены Федеральным законом № 152 «О персональных данных». Согласно ему, каждая организация обязана правильно обрабатывать и осуществлять защиту персональных данных своих работников, клиентов и партнеров, а именно: подготовить комплект внутренних документов, зарегистрироваться в качестве оператора персональных данных и внедрить технические средства защиты. За несоблюдение закона предусмотрена ответственность:
- штраф до 500 000 рублей;
- лишение права занимать руководящую должность на 5 лет;
- приостановление деятельности организации на 90 дней;
- конфискация несертифицированных средств защиты информации и шифровальных средств;
- уголовная ответственность в отношении должностных лиц.
Что является несоблюдением закона? Пара... десятков... пунктов, вызывающих трудности у руководителей (отмечу, что перечень больше раза в 2. Подробнее можно прочитать на сайте Роскомназдора).
Согласно ФЗ №152 требуется:
1) зарегистрироваться в качестве оператора персональных данных (за исключением случаев, предусмотренных ч.2 ст.22 ФЗ №152 «О персональных данных»);
2) назначить ответственного за организацию обработки персональных данных;
3) издать документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
4) применять правовые, организационные и технические меры по обеспечению безопасности персональных данных, в том числе:
- определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применять прошедшие в установленном порядке процедуры оценки соответствия средств защиты информации, в том числе: средства защиты от несанкционированного доступа, межсетевого экранирования, контроля защищенности, обнаружения вторжения, антивирусной защиты;
- оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- вести учет машинных носителей персональных данных;
- осуществлять обнаружение фактов несанкционированного доступа к персональным данным и принимать меры по их устранению и устранению негативных последствий несанкционированного доступа;
- осуществлять восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивать регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5) осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных;
6) осуществлять оценку вреда, который может быть причинен субъектам персональных данных, соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
7) осуществлять ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Таким образом, проблем создается так много, что остается два варианта: потратить много (очень много, ооочень много) времени на поиск квалифицированного и, разумеется, дорогого специалиста, который приведет процесс обработки персональных данных в порядок, либо второй вариант — искать иное решение.
Safe-doc.com станет именно «иным» и, пожалуй, самым верным решением.
Реализация правовых и организационных мер защиты персональных данных с использованием сервиса Safe-doc.com позволяет сэкономить:
- время;
- нервные клетки;
- деньги.
Вместо того, чтобы создавать у себя в организации службу по защите информации, один назначенный пользователь делает следующее:
- регистрирует организацию в сервисе Safe-Doc;
- следует элементарным, понятным образованному человеку инструкциям;
- размещает персональные данные сотрудников организации.
При этом сами персональные данные, вносимые в систему, хранятся на сервере, защищенном по требованиям безопасности. Содержание формируемых документов соответствует всем требованиям ФЗ №152 «О персональных данных». Кроме того, онлайн-сервис оснащен удобной системой уведомлений, подсказывающей специалисту, когда и что необходимо сделать.
Как разрабатывался Safe-Doc?
Прототип
Сложность прототипа зашкаливает, но благодаря ему мы избежали массы ошибок, предусмотрели блоки, позволяющие пользоваться системой с комфортом.
Дизайн
Здесь возились долго, ведь сложный сервис с подобным функционалом не должен быть перегружен визуально. Упорство в конечном итоге победило: выбрали неброскую общую цветовую гамму и заострили внимание на основном с помощью элементов красного цвета. Про дизайн лучше не говорить, на него нужно смотреть:
Разработка
Много умных слов скажет наш гуру программинга, Денис.
Денис Осьминин,
технический директор:
«Для разработки сервиса мы использовали подход SPA — Single page application. Такой формат обеспечивает сервису удобство и высокую скорость работы. Кроме того, пользователю не требуется каждый раз при выполнении какого-либо действия ждать загрузки всей страницы, вместо этого клиентская часть приложения запрашивает только необходимые данные с сервера».
При создании клиентской части сервиса был использован фреймворк AngularJS.
Backend — внутренняя, серверная часть — была написана на языке Java с использованием фреймворка Spring.
Spring — универсальный фреймворк с открытым исходным кодом для Java-платформы.
В качестве системы управления базой данных был использован PostgreSQL, который является свободным программным обеспечением с открытым исходным кодом. Эта система наиболее полно соответствует стандартам SQL99. Кроме того, использование open-source ПО позволяет сократить расходы на техническое обслуживание сервиса.
Сервис имеет высокую надежность и обеспечивает защищенность данных клиентов. Так, например, вход на сайт происходит через электронную подпись. Доступ к сервису обеспечивается через протокол HTTPS, который обеспечивает безопасность криптографическим средством OpenSSL.
SSL — криптографический протокол, который обеспечивает безопасность связи. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для их целостности.
В качестве средства защиты использован аппарат КриптоПро CSP 4.0 ФКН, который был выпущен российскими разработчиками.
Подытожим
Сервис запущен, и мы этому безумно рады! Над его разработкой трудились к моменту запуска 9 программистов, 5 специалистов по защите данных и еще много специалистов, которым мы признательны за упорство и труд. Во время работы над проектом выпито более 350 литров кофе.
Иван Ситьков,
руководитель проекта Safe-doc.com:
«Safe-doc.com стал итогом долгой работы большой и слаженной команды. К разработке были привлечены веб-программисты, технические программисты, инженеры, дизайнеры — все они действительно крутые специалисты в своем деле. Мы старались использовать только современные технологии, чтобы с сайтом было легко, удобно, а главное, безопасно работать.
Центр информационной безопасности уже 5 лет занимается защитой информации, поэтому мы знаем как сложно подготовить грамотный документ неподготовленному специалисту. Теперь мы можем предложить готовый инструмент, который позволит организациям самостоятельно создавать грамотные с точки зрения закона документы и избежать штрафов.
На сегодня уже есть компании, которые по достоинству оценили работу Safe-doc.com. Сейчас мы занимаемся продвижением сайта и выстраиванием взаимоотношений с клиентами».
Не будем больше вас утомлять, скоро напишем об оставшихся составных частях Safe-Doc’a:
- ГИС — сервис приведения документации в соответствии с требованиями, предъявляемыми Государственным информационным системам;
- ЦБ — подготовка финансовых организаций и соответствующих подразделений компаний в соответствии со стандартами Банка России (при необходимости, включает технический аудит оборудования);
- ЭДО — облачная система документооборота, позволяющая обмениваться юридически значимой электронной документацией в пределах одной организаций и/или ее подразделений.