• Журнал «Делопроизводство и документооборот на предприятии» сентябрь 2012
  • Рубрика Современное делопроизводство

Создаем электронный архив кредитных досье

  • Рейтинг 5
  • 0 комментариев
  • 15109 просмотров
Окончание статьи, начало в № 7` 2012

В предыдущих двух номерах журнала руководитель архивной службы банка объяснила, по каким принципам решили выстроить работу с электронными кредитными досье в одном из московских банков. Был подробно рассмотрен состав документов кредитных досье, а также способы привязки их электронных образов к конкретным досье; прокомментированы основные реквизиты регистрационной карточки кредитного досье, с помощью которых в дальнейшем можно реализовывать различные «архивные» функции: учет, прием-передачу кредитных досье, поиск и др., а также «специальные» возможности и дополнительные реквизиты. Выявили, какие сведения удобно заполнять из справочников, и проговорили логику такой работы.
В этом номере журнала предлагаем обсудить вопрос распределения прав доступа пользователей электронного архива как к информации, содержащейся в кредитных досье, так и к его электронным документам. Важно защитить персональные данные, конфиденциальную информацию, а потому нужно продумать систему дифференцированного доступа пользователей.
Описанная в статье методика поможет навести порядок в электронном архиве, в бумагах и головах!



Пришло время задуматься об информационной безопасности нашего детища

Острая необходимость внедрения системы электронного документооборота обусловлена желанием перевести «всю бумажную» информацию в электронный вид и всем «желающим» предоставить право самостоятельно «размещать», «редактировать», «копировать» и «удалять» необходимую информацию. И желательно, чтобы все это происходило с нашим минимальным участием. Но чудес на свете не бывает. И любая система, особенно система электронного документооборота, требует тщательной систематизации вносимой в нее информации, контроля за развитием структуры и качеством наполнения. И главное: нужно посматривать, кабы что не утащили или не уничтожили, то есть обеспечивать безопасность данных.

Тем более что данные, обрабатываемые в такой системе, как электронный архив кредитных досье, содержат информацию, которую можно отнести к «персональным данным»1, требующим повышенной защиты.

Под обеспечением безопасности персональных данных в соответствии с законодательством понимается исключение несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных2.

Работы по обеспечению безопасности персональных данных, да и вообще любой конфиденциальной информации, являются неотъемлемой частью работ по созданию информационных систем. Поэтому еще на этапе разработки системы нужно не забыть о таких основополагающих элементах безопасности, как: кто, когда и как будет вносить в систему данные, кто будет эти данные изменять, а кто будет просто пользоваться трудом ближнего своего.

Конечно, защита данных при их обработке в системах электронного документооборота обеспечивается с помощью всех доступных мер и средств:

  • административными (организационными) мерами с помощью издания и, что особенно важно, – исполнения приказов, инструкций, порядков и правил. Сотрудники, получающие доступ к информации, подписывают различные «соглашения», «заверения», «уверения» о неразглашении коммерческой тайны и персональных данных;
  • с помощью средств технической и информационной защиты выстраиваются различные контуры защиты, обеспечивается криптографирование и шифрование информации;
  • технические средства защиты и охраны обеспечивают защиту помещений, в которых располагаются информационные системы;
  • своевременное копирование данных обеспечивает возможность их восстановления при необходимости.

Но все равно первым шагом на пути защиты информации является грамотная подготовительная работа, направленная на разграничение прав пользователей системы.

Отвечаем на вопросы:
«Кто спал на моей кровати, кто ел из моей тарелки?»

Процедуру разграничения прав пользователей необходимо начинать на этапе постановки задачи и написания ТЗ.

В первую очередь нужно хорошо себе представить, что (какой массив метаданных) мы получим в результате разработки и внедрения СЭД. Далее – установить круг пользователей, которые будут:

  • вносить информацию,
  • изменять (редактировать) и
  • пользоваться ею.

Представим, что модуль «Электронный архив» является пирогом, которым нужно накормить всех страждущих, никого не обидев, однако нельзя дать и «лишнего куска». «Лишний кусочек» может оказаться важной и секретной информацией, которая не должна доходить до чужих глаз. Но даже если она (информация) не такая уж важная и секретная, то все равно отобрать потом доступ к ней у пользователя, который уже привык к ней, будет сложно.

Итак, какие данные смогут получать пользователи модуля:

  • Перечень кредитных договоров, заключенных кредитной организацией с физическими лицами, который, по сути, является справочником «Договорные документы». Из него пользователю станет известно количество заключенных кредитных договоров, их продуктовый ряд. Также он узнает, передан ли оригинал кредитного договора на архивное хранение, уточнит сроки действия документа, фамилию, отчество заемщика, статус документа (действующий, закрытый) и т.д.
  • Перечень кредитных досье по договорам розничного кредитования физических лиц также является отображением справочника «Кредитные досье» и аккумулирует всю информацию, вносимую в регистрационные карточки кредитного досье: номер и дату кредитного договора, Ф.И.О. клиента и других участников сделки, место хранения досье и сведения о его движении.
  • Перечни документов, содержащихся в кредитных досье, помогут пользователю определить, имеется ли искомый документ в досье; также ему могут быть доступны иные метаданные, которые могут служить отличным аналитическим материалом.
  • Электронные образы документов, входящих в состав кредитных досье, являются копиями оригинальных юридически значимых документов, содержательная часть которых является основным источником информации. Собственно, ради этих документов и создавался электронный архив.

С информацией определились. Теперь следует выяснить, кому из организации необходимо предоставить к ней доступ:

  • в первую очередь это сотрудники, которые будут наполнять электронный архив информацией (сканирующие и размещающие документы), поэтому им будет предоставлен доступ как к справочникам системы, так и к документам досье;
  • ко второй группе пользователей можно отнести сотрудников, которым по роду своей деятельности предоставлен полный доступ к досье клиента на бумажном носителе; в этом случае также необходимо обеспечивать доступ и к справочникам системы, и к электронным документам досье;
  • к третьей группе можно отнести сотрудников, которых не интересует состав документов досье, они только хранят и описывают сами единицы хранения (например, сотрудники архива, принимающие досье на хранение после закрытия кредитного договора); им достаточно предоставить доступ только к справочнику кредитных досье;
  • к четвертой группе пользователей относятся сотрудники, которые не работают со всей массой кредитных досье, они обрабатывают досье, относящиеся к одной категории (например, по кредитам, выданным в марте 2011 года). В этом случае доступ предоставляется только к досье данной категории;
  • пятая группа пользователей работает только с одним видом документов, входящих в состав досье (например, с документами по страхованию объекта залога – это Группа 3, описанная в Таблице 2). Им будет открыт доступ только к определенному справочнику документов, без предоставления права работы как с кредитными досье в целом, так и с документами других категорий.
Таблица 2

Доступ групп пользователей к различным категориям документов

СвернутьПоказать
Доступ к категориям документов (справочникам)

Информация, содержащаяся в документах досье, относится к категории «персональных данных», и поэтому, предоставляя права доступа к кредитным досье, нужно помнить и об этом существенном факторе. Так, доступ к документам по погашению кредита (заявления, графики погашения), по движению ПТС (заявления, акты приема-передачи ПТС) может быть открыт определенной группе пользователей, при этом доступ к личным документам клиента для нее будет закрыт.

С целью разграничения доступа к досье и документам, входящим в его состав, нами был разработан и используется в модуле такой реквизит, как «Статус клиента».

Рассмотрим простой пример: нам всем интересно, ну просто очень интересно, какую заработную плату получают сотрудники соседнего отдела, кем работает жена вышестоящего руководителя и прочие мелочи, несанкционированный доступ к которым может привести к огромному конфликту в коллективе. Поэтому удобно эту информацию прочно скрыть от посторонних глаз с помощью такого статуса клиента, как «сотрудник» (это для тех сотрудников банка, которые взяли у него кредит, т.е. стали еще и клиентами банка).

Итак, мы используем в работе 3 варианта статуса клиентов:

  • сотрудник;
  • VIP (very important person – очень важная персона);
  • обычный клиент.

И с этой точки зрения выделили 2 группы пользователей:

  • первая – имеет полный доступ;
  • вторая – только к персональной информации обычных клиентов (без VIP и сотрудников банка).

Крупные кредитные организации, особенно те, которые имеют территориально удаленные структурные подразделения, как правило, при предоставлении прав доступа к информации учитывают и территориальное деление организации. Некоторые работники головного офиса в соответствии со своими должностными обязанностями и компетенцией будут иметь доступ к документам, размещаемым в модуле сотрудниками как головного офиса, так и филиалов. Т.е. какие-то сотрудники головного офиса будут иметь полный доступ, а какие-то – только к документам, внесенным в систему этим офисом. А вот сотрудники филиалов всегда будут видеть данные только по своему территориальному подразделению.

Тот же принцип можно применять и к продуктовому ряду. Сотрудники, работающие, например, в отделе, основным направлением деятельности которого является ипотечное кредитование, не имеют доступа к досье по кредитам другого продуктового ряда.

При предоставлении пользователям прав необходимо учитывать и действия, которые пользователь может совершать в системе по отношению к регистрационным формам: просмотр, редактирование, удаление.

Также права доступа устанавливаются и на сохраняемый в системе документ: полный доступ, изменение, просмотр.

Удаление элементов системы – самое ответственное право, оно обычно предоставляется только администратору или технологу системы. Да, это не очень удобно, зато исключит возможность несанкционированного уничтожения данных. Технически операция выглядит так: обычный пользователь только помечает документ на уничтожение, а позже администратор сможет осуществить само удаление.

Не стоит забывать и о таком элементе защиты, как протоколирование всех действий пользователей в системе. Это поможет видеть «историю» элемента системы и контролировать действия пользователей.

Итак, посмотрите, сколько условий нужно учесть при разграничении прав пользователей. Однако любое предоставление прав к системе должно быть санкционировано, т.е. должно быть решение должностных лиц, обладающих соответствующими полномочиями о предоставлении прав пользователям.

На первом этапе внедрения системы можно ограничиться узким кругом пользователей и очень ограничить им права. Желательно предоставить только право «просмотра» как справочников, так и документов.

Конечно, основанием для предоставления прав тому или иному лицу будет круг его должностных обязанностей (других оснований нет и не должно быть). Но при внедрении системы необходимо издать распорядительный документ (например, приказ), который «узаконит» распределение прав пользователей.

Далее, как правило, в организации происходит постоянная кадровая ротация (кто-то приходит на работу, кто-то увольняется, кого-то переводят на другую должность). Поэтому предоставление прав к системе является, так сказать, «постоянным» бизнес-процессом, который нужно держать в «законном» русле. Т.е. любое подключение пользователя, любое предоставленное право должно быть санкционировано – оформлено в соответствии с правилами служебного делопроизводства: с помощью заявки или служебной записки, на которой стоит виза службы безопасности и положительная резолюция руководителя.

Работаем по принципу читального зала

При разработке нашей системы мы решили, что определенной группе пользователей, в которую вошли участники одного бизнес-процесса, будет предоставлено право доступа к справочнику кредитных досье (право просмотра регистрационных карточек кредитных досье и привязанных к нему регистрационных карточек документов).

Таким образом, сотрудник, принадлежащий к этой группе, может найти необходимое ему досье, просмотреть, какие документы имеются в наличии (этой информации бывает достаточно), а затем при необходимости «заказать» доступ к электронным образам нужных ему документов.

Это решение разработчиками системы было оформлено в виде специальной кнопки, расположенной на панели регистрационной карточки кредитного досье «Право доступа», нажатие на которую открывает специальное окошко (показано на Рисунке 13 на следующей странице). С помощью этой функции оператор системы сможет предоставить пользователю (в зависимости от его компетенции) право просмотра «всех документов досье» или документов определенной группы. Обращаю ваше внимание, что это право можно ограничить временными рамками.

Но мне кажется, предоставление прав доступа к досье и документам досье таким способом – достаточно трудоемкий процесс, который значительно усложнит работу оператора системы. При этом нужно отметить, что опять появляется «человеческий фактор», который имеет тенденцию ошибаться.

Рисунок 13
СвернутьПоказать
* * *

Хотелось бы, чтобы работу по предоставлению прав доступа за нас выполняла машина, в крайнем случае – человек, но по заявке и один раз. С одной стороны, создание групп3 – трудоемкий процесс, но он позволит вам один раз конкретному пользователю системы предоставить конкретные права – и вы забудете об этом пользователе до момента его перехода на другую должность или увольнения.

Мы рассмотрели важнейший этап внедрения системы электронного документооборота – предоставление прав пользователям, который является одним из опорных столбов системы обеспечения информационной безопасности данных.

Надеюсь, что наш опыт поможет вам в работе. Удачи!


Сноски

СвернутьПоказать
  1. «Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу» (согласно п. 1 ст. 3 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных»). Вернуться назад

  2. Ст. 2 Положения «Об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных», утв. постановлением Правительства РФ от 17.11.2007 № 781. Вернуться назад

  3. Действия технолога по предоставлению прав зависят от возможности системы: одна предоставляет возможность индивидуального подхода к решению этого вопроса, другая обеспечивает групповое решение. СЭД Директум, на платформе которой мы разрабатывали свой электронный архив кредитных досье, позволяет создавать различные группы пользователей, для которых устанавливается определенный набор прав. Вернуться назад

Вернуться к Конкурсному голосованию

на
Электронная подписка за 8400 руб. Печатная версия за YYY руб.

  1 голос

Нет комментариев
Свернуть форму комментария Комментировать

  • Добавить
Закрыть
Закрыть

  • Отправить
Закрыть

Подписка


на журналы


Все поля обязательны.
Закрыть

Задать вопрос для интервью
  • Отправить
9 Мая – Всероссийский праздник День победы.