Как переводят в электронный вид конфиденциальные документы и персональные данные
Суть оцифровки – преобразование информации в электронный вид, так как это агрегатное состояние дает множество преимуществ. Конечный электронный ресурс, как и изначальный бумажный массив, является собственностью организации и находится в ее зоне ответственности: хранится на ее территории/серверных мощностях, регулируется внутренними регламентами.
Многие аутсорсеры не держат постоянный штат, а привлекают сотрудников под определенные проекты. Так поступают практически все мелкие фирмы. Поэтому с точки зрения обеспечения конфиденциальности преимущество имеют крупные профильные игроки, которые имеют:
1. регулярный, обученный и проверенный штат,
2. опыт масштабирования бригад оцифровки за счет массового обучения новых сотрудников,
3. отработанную систему контроля соблюдения установленных правил.
А вот в процессе преобразования доступ к этой информации имеет аутсорсер. Как в этом случае исключить риски утечки данных? Недостаточно просто доверять выбранному исполнителю – необходимо, чтобы он обладал технологиями и соответствовал законодательным требованиям по обработке информации данного класса. В статье рассмотрены основные организационные и технологические аспекты подобной оцифровки.
1. Соглашение о конфиденциальности
Это базовая организационная мера, без которой передавать любые документы сторонней организации не стоит, даже если эти документы не содержат особой информации. Этот пункт обязательно должен быть включен в условия соглашения. Если право выполнять работы получит не специализирующаяся на оцифровке компания, требование обяжет ее дополнительно контролировать процесс и может положительно сказаться на качестве итогового ресурса.
Крупные игроки рынка используют такое соглашение по умолчанию и внимательно следят за его выполнением, так как утечка данных заказчика для них – ущерб имиджу и, соответственно, потеря клиентов.
2. Деперсонификация
Показательный пример обработки персональных данных – начатая в 2006 г. оцифровка оперативно-справочных картотек МВД, право выполнить которую было доверено корпорации ЭЛАР. Граждане увидели результаты этой работы в виде значительного сокращения сроков выдачи загранпаспортов.
По условиям обработки персонализированные данные выйти за пределы хранилищ не могли, поэтому отсканированные образы «нарезались» на фрагменты прямо в здании МВД. Извлеченные индексы собирались обратно здесь же. Невозможность использовать для передачи данных общественные сети потребовала также применения услуг спецсвязи и шифрованных носителей.
Документы могут обрабатываться в автоматическом режиме с применением специального программного обеспечения (распознавание текста, классификация по типам, извлечение реквизитов). Но в 95% случаев в процессе также участвует человек – как минимум на этапе проверки (верификации) распознанной информации. А тем более, если требуется индексирование документов с рукописным или плохо читаемым текстом.
Как в этом случае исключить риски утечки информации путем прочтения ее оператором индексирования? Крупные компании решили проблему путем разработки технологий деперсонификации, задолго до вступления в силу механизма обработки персональных данных, предложенного во исполнение Федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Деперсонализацию в оцифровке необходимо проводить на уровне скан-образов, что требует довольно сложного программного обеспечения их нарезки. Подобные технологии есть лишь у нескольких крупных компаний.
Для деперсонализации отсканированные изображения нарезаются на фрагменты. Каждый оператор ввода видит и индексирует только определенный массив (например, имена или даты рождения). Исключена возможность прочтения любых связанных данных, например имени и фамилии персоналии. Итоговая индексная база данных собирается по фрагментам в закрытом, защищенном контуре. Сегодня эта технология применяется для оцифровки всех документов, содержащих конфиденциальную информацию и персональные данные: кадровые документы, судебные дела, книги ЗАГС и т.п.
3. Работа в условиях надзора
С этой же целью крупные компании придерживаются жесткой внутренней регламентации. Только таким образом удается выстраивать эффективный конвейер оцифровки, где каждый этап выполняется обученным специалистом, все действия протоколируются, а простой в работах снижен до минимума. Как показала практика оцифровки, особенно выполняемой в рамках госконтрактов, подобная регламентация – реальное подспорье при обработке документов, содержащих персональные данные.
Дело в том, что часто подобные работы контролируются Прокуратурой и Роскомнадзором. Показателен пример ЗАГС, где практически каждый проект выполняется в таких условиях. Для неподготовленной компании-аутсорсера постоянные проверки и необходимость подготовки чуть ли не ежедневных отчетов выливается в значительное увеличение сроков работ и, соответственно, стоимости. У крупных аутсорсеров режим жесткой регламентации заложен в стоимость по умолчанию, поэтому контроль со стороны надзорных органов практически не влияет на скорость и цену работ.
4. Лицензии
Редкие компании обладают лицензией ФСБ на обработку сведений, составляющих государственную тайну. Однако ее наличие говорит о том, что этой компании можно доверить оцифровку документов любого уровня конфиденциальности.
Подтвердить компетенции исполнителя в работе с конфиденциальной информацией могут лицензии – на обработку сведений и на их техническую защиту в процессе обработки. Необходимо уточнить их наличие у исполнителя, так как это может обезопасить клиента от ряда претензий при проверках. Некоторые работы, например связанные с обработкой сведений, составляющих государственную тайну, без соответствующей лицензии ФСБ проводиться не могут.
Редкие аутсорсеры обладают такой лицензией. Однако ее наличие говорит о том, что у компании есть сертифицированные помещения, сертифицированные специалисты и отлаженные механизмы работы со Спецсвязью и отделами безопасности заказчиков. Такой компании можно без опаски доверить перевод в электронный вид документов и сведений любого уровня конфиденциальности.
Оцифровка любых документов, содержащих персональные данные граждан, а также сведения, составляющие государственную и коммерческую тайну, связана с множеством рисков. Осуществить ее, не выходя за рамки запланированного бюджета и в срок, можно только тщательно подойдя к выбору аутсорсинговой компании.
Короткая ссылка на материал: //cnews.ru/link/a4406