Safe-doc — четыре направления деятельности, объединенные в одном ресурсе: подготовка документов для выполнения требований ФЗ №152 (ПД), Государственные информационные системы (ГИС), Центробанк (ЦБ) и электронный документооборот (ЭДО). Поговорим о персональных данных.
Требования к обработке персональных данных определены Федеральным законом № 152 «О персональных данных». Согласно ему, каждая организация обязана правильно обрабатывать и осуществлять защиту персональных данных своих работников, клиентов и партнеров, а именно: подготовить комплект внутренних документов, зарегистрироваться в качестве оператора персональных данных и внедрить технические средства защиты. За несоблюдение закона предусмотрена ответственность:
• штраф до 500 000 рублей;
• лишение права занимать руководящую должность на 5 лет;
• приостановление деятельности организации на 90 дней;
• конфискация несертифицированных средств защиты информации и шифровальных средств;
• уголовная ответственность в отношении должностных лиц.
Что является несоблюдением закона? Пара... десятков... пунктов, вызывающих трудности у руководителей (отмечу, что перечень больше раза в 2. Подробнее можно прочитать на сайте Роскомназдора).
1) зарегистрироваться в качестве оператора персональных данных (за исключением случаев, предусмотренных ч.2 ст.22 ФЗ №152 «О персональных данных»);
2) назначить ответственного за организацию обработки персональных данных;
3) издать документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
4) применять правовые, организационные и технические меры по обеспечению безопасности персональных данных, в том числе:
• определить угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• применять прошедшие в установленном порядке процедуры оценки соответствия средств защиты информации, в том числе: средства защиты от несанкционированного доступа, межсетевого экранирования, контроля защищенности, обнаружения вторжения, антивирусной защиты;
• оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• вести учет машинных носителей персональных данных;
• осуществлять обнаружение фактов несанкционированного доступа к персональным данным и принимать меры по их устранению и устранению негативных последствий несанкционированного доступа;
• осуществлять восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивать регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• осуществлять контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
5) осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных;
6) осуществлять оценку вреда, который может быть причинен субъектам персональных данных, соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
7) осуществлять ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Таким образом, проблем создается так много, что остается два варианта: потратить много (очень много, ооочень много) времени на поиск квалифицированного и, разумеется, дорогого специалиста, который приведет процесс обработки персональных данных в порядок, либо второй вариант — искать иное решение.
Safe-doc.com станет именно «иным» и, пожалуй, самым верным решением.
Реализация правовых и организационных мер защиты персональных данных с использованием сервиса Safe-doc.com позволяет сэкономить:
• время;
• нервные клетки;
• деньги.
Вместо того, чтобы создавать у себя в организации службу по защите информации, один назначенный пользователь делает следующее:
• регистрирует организацию в сервисе Safe-Doc;
• следует элементарным, понятным образованному человеку инструкциям;
• размещает персональные данные сотрудников организации.
При этом сами персональные данные, вносимые в систему, хранятся на сервере, защищенном по требованиям безопасности. Содержание формируемых документов соответствует всем требованиям ФЗ №152 «О персональных данных». Кроме того, онлайн-сервис оснащен удобной системой уведомлений, подсказывающей специалисту, когда и что необходимо сделать.
Сложность прототипа зашкаливает, но благодаря ему мы избежали массы ошибок, предусмотрели блоки, позволяющие пользоваться системой с комфортом.
Здесь возились долго, ведь сложный сервис с подобным функционалом не должен быть перегружен визуально. Упорство в конечном итоге победило: выбрали неброскую общую цветовую гамму и заострили внимание на основном с помощью элементов красного цвета. Про дизайн лучше не говорить, на него нужно смотреть:
Много умных слов скажет наш гуру программинга, Денис.
Денис Осьминин, технический директор:
«Для разработки сервиса мы использовали подход SPA — Single page application. Такой формат обеспечивает сервису удобство и высокую скорость работы. Кроме того, пользователю не требуется каждый раз при выполнении какого-либо действия ждать загрузки всей страницы, вместо этого клиентская часть приложения запрашивает только необходимые данные с сервера».
При создании клиентской части сервиса был использован фреймворк AngularJS.
Backend — внутренняя, серверная часть — была написана на языке Java с использованием фреймворка Spring.
Spring — универсальный фреймворк с открытым исходным кодом для Java-платформы.
В качестве системы управления базой данных был использован PostgreSQL, который является свободным программным обеспечением с открытым исходным кодом. Эта система наиболее полно соответствует стандартам SQL99. Кроме того, использование open-source ПО позволяет сократить расходы на техническое обслуживание сервиса.
Сервис имеет высокую надежность и обеспечивает защищенность данных клиентов. Так, например, вход на сайт происходит через электронную подпись. Доступ к сервису обеспечивается через протокол HTTPS, который обеспечивает безопасность криптографическим средством OpenSSL.
SSL — криптографический протокол, который обеспечивает безопасность связи. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для их целостности.
В качестве средства защиты использован аппарат КриптоПро CSP 4.0 ФКН, который был выпущен российскими разработчиками.
Сервис запущен, и мы этому безумно рады! Над его разработкой трудились к моменту запуска 9 программистов, 5 специалистов по защите данных и еще много специалистов, которым мы признательны за упорство и труд. Во время работы над проектом выпито более 350 литров кофе.
Иван Ситьков, руководитель проекта Safe-doc.com:
«Safe-doc.com стал итогом долгой работы большой и слаженной команды. К разработке были привлечены веб-программисты, технические программисты, инженеры, дизайнеры — все они действительно крутые специалисты в своем деле. Мы старались использовать только современные технологии, чтобы с сайтом было легко, удобно, а главное, безопасно работать.
Центр информационной безопасности уже 5 лет занимается защитой информации, поэтому мы знаем как сложно подготовить грамотный документ неподготовленному специалисту. Теперь мы можем предложить готовый инструмент, который позволит организациям самостоятельно создавать грамотные с точки зрения закона документы и избежать штрафов.
На сегодня уже есть компании, которые по достоинству оценили работу Safe-doc.com. Сейчас мы занимаемся продвижением сайта и выстраиванием взаимоотношений с клиентами».
Не будем больше вас утомлять, скоро напишем об оставшихся составных частях Safe-Doc’a:
• ГИС — сервис приведения документации в соответствии с требованиями, предъявляемыми Государственным информационным системам;
• ЦБ — подготовка финансовых организаций и соответствующих подразделений компаний в соответствии со стандартами Банка России (при необходимости, включает технический аудит оборудования);
• ЭДО — облачная система документооборота, позволяющая обмениваться юридически значимой электронной документацией в пределах одной организаций и/или ее подразделений.