Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Делопроизводство и архив
  3. Современное делопроизводство

Создаем электронный архив кредитных досье (часть 3)

0
Журнал «Делопроизводство и документооборот на предприятии» № 9 / 2012
Наталия Носарева
эксперт в сфере ДОУ и архивного дела
В предыдущих двух номерах журнала руководитель архивной службы банка объяснила, по каким принципам решили выстроить работу с электронными кредитными досье в одном из московских банков. Был подробно рассмотрен состав документов кредитных досье, а также способы привязки их электронных образов к конкретным досье; прокомментированы основные реквизиты регистрационной карточки кредитного досье, с помощью которых в дальнейшем можно реализовывать различные «архивные» функции: учет, прием-передачу кредитных досье, поиск и др., а также «специальные» возможности и дополнительные реквизиты. Выявили, какие сведения удобно заполнять из справочников, и проговорили логику такой работы. В этом номере журнала предлагаем обсудить вопрос распределения прав доступа пользователей электронного архива как к информации, содержащейся в кредитных досье, так и к его электронным документам. Важно защитить персональные данные, конфиденциальную информацию, а потому нужно продумать систему дифференцированного доступа пользователей. Описанная в статье методика поможет навести порядок в электронном архиве, в бумагах и головах!
Окончание статьи. Начало в № 07 / 2012, № 08 / 2012
Окончание статьи. Начало в № 07 / 2012, № 08 / 2012

Пришло время задуматься об информационной безопасности нашего детища

Острая необходимость внедрения системы электронного документооборота обусловлена желанием перевести «всю бумажную» информацию в электронный вид и всем «желающим» предоставить право самостоятельно «размещать», «редактировать», «копировать» и «удалять» необходимую информацию. И желательно, чтобы все это происходило с нашим минимальным участием. Но чудес на свете не бывает. И любая система, особенно система электронного документооборота, требует тщательной систематизации вносимой в нее информации, контроля за развитием структуры и качеством наполнения. И главное: нужно посматривать, кабы что не утащили или не уничтожили, то есть обеспечивать безопасность данных.

Тем более что данные, обрабатываемые в такой системе, как электронный архив кредитных досье, содержат информацию, которую можно отнести к «персональным данным»1, требующим повышенной защиты.

Под обеспечением безопасности персональных данных в соответствии с законодательством понимается исключение несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных2.

Работы по обеспечению безопасности персональных данных, да и вообще любой конфиденциальной информации, являются неотъемлемой частью работ по созданию информационных систем. Поэтому еще на этапе разработки системы нужно не забыть о таких основополагающих элементах безопасности, как: кто, когда и как будет вносить в систему данные, кто будет эти данные изменять, а кто будет просто пользоваться трудом ближнего своего.

Конечно, защита данных при их обработке в системах электронного документооборота обеспечивается с помощью всех доступных мер и средств:

  • административными (организационными) мерами с помощью издания и, что особенно важно, – исполнения приказов, инструкций, порядков и правил. Сотрудники, получающие доступ к информации, подписывают различные «соглашения», «заверения», «уверения» о неразглашении коммерческой тайны и персональных данных;
  • с помощью средств технической и информационной защиты выстраиваются различные контуры защиты, обеспечивается криптографирование и шифрование информации;
  • технические средства защиты и охраны обеспечивают защиту помещений, в которых располагаются информационные системы;
  • своевременное копирование данных обеспечивает возможность их восстановления при необходимости.

Но все равно первым шагом на пути защиты информации является грамотная подготовительная работа, направленная на разграничение прав пользователей системы.

Отвечаем на вопросы: «Кто спал на моей кровати, кто ел из моей тарелки?»

Процедуру разграничения прав пользователей необходимо начинать на этапе постановки задачи и написания ТЗ.

В первую очередь нужно хорошо себе представить, что (какой массив метаданных) мы получим в результате разработки и внедрения СЭД. Далее – установить круг пользователей, которые будут:

  • вносить информацию,
  • изменять (редактировать) и
  • пользоваться ею.

Представим, что модуль «Электронный архив» является пирогом, которым нужно накормить всех страждущих, никого не обидев, однако нельзя дать и «лишнего куска». «Лишний кусочек» может оказаться важной и секретной информацией, которая не должна доходить до чужих глаз. Но даже если она (информация) не такая уж важная и секретная, то все равно отобрать потом доступ к ней у пользователя, который уже привык к ней, будет сложно.

Итак, какие данные смогут получать пользователи модуля:

  • Перечень кредитных договоров, заключенных кредитной организацией с физическими лицами, который, по сути, является справочником «Договорные документы». Из него пользователю станет известно количество заключенных кредитных договоров, их продуктовый ряд. Также он узнает, передан ли оригинал кредитного договора на архивное хранение, уточнит сроки действия документа, фамилию, отчество заемщика, статус документа (действующий, закрытый) и т.д.
  • Перечень кредитных досье по договорам розничного кредитования физических лиц также является отображением справочника «Кредитные досье» и аккумулирует всю информацию, вносимую в регистрационные карточки кредитного досье: номер и дату кредитного договора, Ф.И.О. клиента и других участников сделки, место хранения досье и сведения о его движении.
  • Перечни документов, содержащихся в кредитных досье, помогут пользователю определить, имеется ли искомый документ в досье; также ему могут быть доступны иные метаданные, которые могут служить отличным аналитическим материалом.
  • Электронные образы документов, входящих в состав кредитных досье, являются копиями оригинальных юридически значимых документов, содержательная часть которых является основным источником информации. Собственно, ради этих документов и создавался электронный архив.

С информацией определились. Теперь следует выяснить, кому из организации необходимо предоставить к ней доступ:

  • в первую очередь это сотрудники, которые будут наполнять электронный архив информацией (сканирующие и размещающие документы), поэтому им будет предоставлен доступ как к справочникам системы, так и к документам досье;
  • ко второй группе пользователей можно отнести сотрудников, которым по роду своей деятельности предоставлен полный доступ к досье клиента на бумажном носителе; в этом случае также необходимо обеспечивать доступ и к справочникам системы, и к электронным документам досье;
  • к третьей группе можно отнести сотрудников, которых не интересует состав документов досье, они только хранят и описывают сами единицы хранения (например, сотрудники архива, принимающие досье на хранение после закрытия кредитного договора); им достаточно предоставить доступ только к справочнику кредитных досье;
  • к четвертой группе пользователей относятся сотрудники, которые не работают со всей массой кредитных досье, они обрабатывают досье, относящиеся к одной категории (например, по кредитам, выданным в марте 2011 года). В этом случае доступ предоставляется только к досье данной категории;
  • пятая группа пользователей работает только с одним видом документов, входящих в состав досье (например, с документами по страхованию объекта залога – это Группа 3, описанная в Таблице 2). Им будет открыт доступ только к определенному справочнику документов, без предоставления права работы как с кредитными досье в целом, так и с документами других категорий.

Таблица 2. Доступ групп пользователей к различным категориям документов

Информация, содержащаяся в документах досье, относится к категории «персональных данных», и поэтому, предоставляя права доступа к кредитным досье, нужно помнить и об этом существенном факторе. Так, доступ к документам по погашению кредита (заявления, графики погашения), по движению ПТС (заявления, акты приема-передачи ПТС) может быть открыт определенной группе пользователей, при этом доступ к личным документам клиента для нее будет закрыт.

С целью разграничения доступа к досье и документам, входящим в его состав, нами был разработан и используется в модуле такой реквизит, как «Статус клиента».

Рассмотрим простой пример: нам всем интересно, ну просто очень интересно, какую заработную плату получают сотрудники соседнего отдела, кем работает жена вышестоящего руководителя и прочие мелочи, несанкционированный доступ к которым может привести к огромному конфликту в коллективе. Поэтому удобно эту информацию прочно скрыть от посторонних глаз с помощью такого статуса клиента, как «сотрудник» (это для тех сотрудников банка, которые взяли у него кредит, т.е. стали еще и клиентами банка).

Итак, мы используем в работе 3 варианта статуса клиентов:

  • сотрудник;
  • VIP (very important person – очень важная персона);
  • обычный клиент.

И с этой точки зрения выделили 2 группы пользователей:

  • первая – имеет полный доступ;
  • вторая – только к персональной информации обычных клиентов (без VIP и сотрудников банка).

Крупные кредитные организации, особенно те, которые имеют территориально удаленные структурные подразделения, как правило, при предоставлении прав доступа к информации учитывают и территориальное деление организации. Некоторые работники головного офиса в соответствии со своими должностными обязанностями и компетенцией будут иметь доступ к документам, размещаемым в модуле сотрудниками как головного офиса, так и филиалов. Т.е. какие-то сотрудники головного офиса будут иметь полный доступ, а какие-то – только к документам, внесенным в систему этим офисом. А вот сотрудники филиалов всегда будут видеть данные только по своему территориальному подразделению.

Тот же принцип можно применять и к продуктовому ряду. Сотрудники, работающие, например, в отделе, основным направлением деятельности которого является ипотечное кредитование, не имеют доступа к досье по кредитам другого продуктового ряда.

При предоставлении пользователям прав необходимо учитывать и действия, которые пользователь может совершать в системе по отношению к регистрационным формам: просмотр, редактирование, удаление.

Также права доступа устанавливаются и на сохраняемый в системе документ: полный доступ, изменение, просмотр.

Удаление элементов системы – самое ответственное право, оно обычно предоставляется только администратору или технологу системы. Да, это не очень удобно, зато исключит возможность несанкционированного уничтожения данных. Технически операция выглядит так: обычный пользователь только помечает документ на уничтожение, а позже администратор сможет осуществить само удаление.

Не стоит забывать и о таком элементе защиты, как протоколирование всех действий пользователей в системе. Это поможет видеть «историю» элемента системы и контролировать действия пользователей.

Итак, посмотрите, сколько условий нужно учесть при разграничении прав пользователей. Однако любое предоставление прав к системе должно быть санкционировано, т.е. должно быть решение должностных лиц, обладающих соответствующими полномочиями о предоставлении прав пользователям.

На первом этапе внедрения системы можно ограничиться узким кругом пользователей и очень ограничить им права. Желательно предоставить только право «просмотра» как справочников, так и документов.

Конечно, основанием для предоставления прав тому или иному лицу будет круг его должностных обязанностей (других оснований нет и не должно быть). Но при внедрении системы необходимо издать распорядительный документ (например, приказ), который «узаконит» распределение прав пользователей.

Далее, как правило, в организации происходит постоянная кадровая ротация (кто-то приходит на работу, кто-то увольняется, кого-то переводят на другую должность). Поэтому предоставление прав к системе является, так сказать, «постоянным» бизнес-процессом, который нужно держать в «законном» русле. Т.е. любое подключение пользователя, любое предоставленное право должно быть санкционировано – оформлено в соответствии с правилами служебного делопроизводства: с помощью заявки или служебной записки, на которой стоит виза службы безопасности и положительная резолюция руководителя.

Работаем по принципу читального зала

При разработке нашей системы мы решили, что определенной группе пользователей, в которую вошли участники одного бизнес-процесса, будет предоставлено право доступа к справочнику кредитных досье (право просмотра регистрационных карточек кредитных досье и привязанных к нему регистрационных карточек документов).

Таким образом, сотрудник, принадлежащий к этой группе, может найти необходимое ему досье, просмотреть, какие документы имеются в наличии (этой информации бывает достаточно), а затем при необходимости «заказать» доступ к электронным образам нужных ему документов.

Это решение разработчиками системы было оформлено в виде специальной кнопки, расположенной на панели регистрационной карточки кредитного досье «Право доступа», нажатие на которую открывает специальное окошко (показано на Рисунке 13 на следующей странице). С помощью этой функции оператор системы сможет предоставить пользователю (в зависимости от его компетенции) право просмотра «всех документов досье» или документов определенной группы. Обращаю ваше внимание, что это право можно ограничить временными рамками.

Но мне кажется, предоставление прав доступа к досье и документам досье таким способом – достаточно трудоемкий процесс, который значительно усложнит работу оператора системы. При этом нужно отметить, что опять появляется «человеческий фактор», который имеет тенденцию ошибаться.

Рисунок 13
* * *

Хотелось бы, чтобы работу по предоставлению прав доступа за нас выполняла машина, в крайнем случае – человек, но по заявке и один раз. С одной стороны, создание групп3 – трудоемкий процесс, но он позволит вам один раз конкретному пользователю системы предоставить конкретные права – и вы забудете об этом пользователе до момента его перехода на другую должность или увольнения.

Мы рассмотрели важнейший этап внедрения системы электронного документооборота – предоставление прав пользователям, который является одним из опорных столбов системы обеспечения информационной безопасности данных.

Надеюсь, что наш опыт поможет вам в работе. Удачи!

Окончание статьи. Начало в № 07 / 2012, № 08 / 2012

Сноски 3

  1. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу» (согласно п. 1 ст. 3 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»). Вернуться назад
  2. Ст. 2 Положения «Об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных», утв. постановлением Правительства РФ от 17.11.2007 № 781. Вернуться назад
  3. Действия технолога по предоставлению прав зависят от возможности системы: одна предоставляет возможность индивидуального подхода к решению этого вопроса, другая обеспечивает групповое решение. СЭД Директум, на платформе которой мы разрабатывали свой электронный архив кредитных досье, позволяет создавать различные группы пользователей, для которых устанавливается определенный набор прав. Вернуться назад
Оценить статью
0 Коментариев
s
В избранное
Версия для печати
Отправить по почте

Выбери свой вариант доступа

Получать бесплатные
статьи на e-mail
Подписаться на
журнал на почте
Подписаться на
журнал сейчас
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Для того, чтобы оставить комментарий, необходимо авторизоваться

Комментарии 0

Рекомендовано для вас

Кто и как отвечает в организации за работу с персональными данными

Делопроизводство и архив
№ 04 / 2024
Современное делопроизводство

Показываем, как оформить приказ о назначении ответственного за организацию работы с персональными данными, как можно прописать его обязанности в должностной инструкции. Как оформить перечень работников, допущенных к работе с персональными данными (приказ и формулировки для должностных инструкций). Какое наказание могут понести эти категории лиц в случае нарушений: штрафы для работников доходят до 800 000 руб., а для организаций – до 18 000 000 руб.(систематизировали варианты нарушений и административную ответственность за них в виде таблиц). Как их планируют еще ужесточить! В Уголовном кодексе дело дойдет до лишения свободы. Объясняем, кто подпадает под дисциплинарную, административную и уголовную ответственность.

Юлия Жижерина
юрист по трудовому праву

Как учитывать и хранить «гибридные» дела

Делопроизводство и архив
№ 04 / 2024
Современное делопроизводство

В новых архивных Правилах 2023 года появилась целая глава, посвященная работе с «гибридными» делами (включающими одновременно и бумажные, и электронные документы). За разъяснениями по ее применению мы обратились к разработчикам новых Правил – во ВНИИДАД. Из статьи вы узнаете, в какой том «гибридного» дела что следует включать. Как отражать такие дела в номенклатуре дел, а также в описях бумажных и электронных дел при их передаче на архивное хранение. Как делать «перекрестные» ссылки в описях, чтобы легче было находить разные тома одного «гибридного» дела. Как в описи отражать электронные подлинники и скан-копии документов. Когда может потребоваться оцифровка бумажных подлинников и, наоборот, распечатка электронных оригиналов. Наличие электронного фонда пользования для бумажных подлинников не приводит автоматически к формированию «гибридного» дела. Как появление закона о замещающем сканировании может повлиять на судьбу «гибридных» дел.

Никита Ивановский
старший научный сотрудник отдела документоведения Всероссийского научно-исследовательского института документоведения и архивного дела
Анна Бороздина
заместитель заведующего отделом документоведения Всероссийского научно-исследовательского института документоведения и архивного дела

Как документировать уничтожение персональных данных

Делопроизводство и архив
№ 04 / 2024
Современное делопроизводство

Штраф за неуничтожение в заданные сроки персональных данных для организации сейчас доходит до 500 000 руб., и Госдума рассматривает законопроект о его увеличении в несколько раз! Поэтому давайте разберемся, в каких ситуациях, в какие сроки надо уничтожать персданные, как это документально подтвердить, сколько потом хранить такие доказательства. Правила документирования установлены Роскомнадзором – объясняем, что он требует. Показываем образцы приказа о создании комиссии, акта об уничтожении персданных, уведомления работника об уничтожении персональных данных, которые использовались неправомерно. Предлагаем формулировки для ЛНА о порядке уничтожения таких конфиденциальных сведений, для договоров об обязательстве контрагента уничтожить передаваемые ему персданные.

Марина Дячук
частнопрактикующий юрист

Документы по годовому общему собранию акционеров и участников (в АО и ООО)

Делопроизводство и архив
№ 03 / 2024
Современное делопроизводство

Когда ООО и АО должны провести годовые общие собрания своих владельцев. Какие документы по подготовке и проведению общих собраний участников (в ООО) и акционеров (в АО) надо оформлять. Сколько и где их хранить. Как формировать в дела. Описываем требования законодательства (которые порой конфликтуют между собой или содержат устаревшие формулировки). Показываем, как их реально выполнить на практике. Штрафы за ошибки для организаций доходят до 700 000 рублей. Поэтому важно быть очень внимательными при подготовке и проведении собраний высшего органа управления общества, при дальнейшем хранении документальных доказательств того, что все было сделано так, как надо!

Сергей Россол
корпоративный консультант МКА «Калинин, Трач и партнеры»

Сколько дней отводится для ответа на обращение?

Делопроизводство и архив
№ 10 / 2020
Современное делопроизводство

Вы поймете, на какие обращения можно ответить в течение 30 дней, и обнаружите, что на большинство обращений физических и юридических лиц коммерческая организация должна отвечать в течение 7 календарных дней (приводим ссылки на законы и судебную практику). Еще объясняем, когда действуют другие варианты сроков: 3 дня, 5 дней, 10 дней, 45 дней и др. Даем примеры расчета даты ответа на календаре – ​для сроков по Закону об обращениях граждан и исчисляемых по Гражданскому кодексу РФ (их методики различаются).

Сергей Россол
корпоративный консультант МКА «Калинин, Трач и партнеры»

Порядок разработки номенклатуры дел

Делопроизводство и архив
№ 12 / 2009
Современное делопроизводство

В конце года необходимо составить (или актуализировать имеющуюся) номенклатуру дел на следующий год. Если в вашей организации ее еще нет, то эта статья поможет исправить данную ошибку. Ведь без номенклатуры дел невозможно систематизировать имеющиеся документы и наладить соблюдение сроков их хранения. Мы объяснили, какие документы необходимо включить в номенклатуру дел, как сформировать заголовки дел (которые потом будут переноситься на их обложки), как их проиндексировать, как установить сроки хранения, какую структуру номенклатуры выбрать, чем отличается номенклатура дел организации от номенклатуры структурного подразделения, как оформить, подписать, согласовать и утвердить документ, что заполняется перед началом делопроизводственного года и что — по его окончании.

Быкова Т.А.
доцент кафедры документоведения РГГУ, кандидат исторических наук

Личные карточки и личные дела: систематизация, оперативное хранение и передача в архив

Делопроизводство и архив
№ 04 / 2018
Современное делопроизводство

По каким правилам хранить личные карточки и личные дела: где, как и сколько? Как вести Журнал регистрации личных дел, как заполнять их обложки? Что нужно сделать после увольнения сотрудника с его личной карточкой и личным делом? Когда их передавать в архив? Каковы плюсы и минусы сшива карточек и дел разных людей в общие наряды (дела) по году увольнения, как при этом систематизировать документы внутри? Как в описи дел по личному составу на передачу документов из отдела кадров в архив формулировать заголовки дел и томов (что в них включать в зависимости от выбранного способа систематизации)? Каковы особенности написания дат в описи дел? Что делать, если ранее уволенный человек вернулся работать в вашу организацию?

Рудина Наталья
генеральный директор архивной фирмы, www.arhivdocument.ru
Евгения Кожанова
специалист по ДОУ и кадровому делопроизводству

Обработка входящей корреспонденции

Делопроизводство и архив
№ 02 / 2012
Современное делопроизводство

Эта статья посвящена участку работы, который есть в любой организации. Новичкам она поможет грамотно организовать данный процесс. А опытным специалистам – обучить своих подопечных. Ведь статья написана практиком, имеющим многолетний опыт работы как в классическом советском бумажном делопроизводстве, так и в смешанном документообороте современных банков. Даны советы, на что стоит обратить внимание в самом начале – при получении документа. Далее анализируются все этапы обработки: прием и сортировка корреспонденции, регистрация, направление на рассмотрение руководству, принятие управленческого решения (наложение резолюции), направление документа на исполнение, контроль исполнения и подшивка в дело исполненного документа. Наглядно демонстрируется, как ход обработки входящего документа отражается на нем самом в виде появления новых реквизитов / отметок, а также в регистрационных формах организации.

Наталия Носарева
эксперт в сфере ДОУ и архивного дела