CC BY
12УДК 026.06:004.056.5
Повышение эффективности управления работой с персональными данными на основе анализа бизнес-процессов
Т. М. Пестунова, З. В. Родионова, Е. Н. Отто
В статье рассматривается проблема управления организацией обработки персональных данных в соответствии с требованиями законодательства в условиях частых внешних и внутренних изменений. Предложена автоматизированная технология управления изменениями в организации обработки персональных данных на основе бизнес-процессов с использованием оригинальной формы документирования изменений, обеспечивающая эффективную актуализацию внутренней нормативной и распорядительной документации и параметров системы организационно-технической защиты персональных данных.
Ключевые слова: бизнес-процесс, персональные данные, управление изменениями, автоматизированная информационная система, концептуальная модель
1. Введение
В настоящее время все предприятия, организации, учреждения Российской Федерации независимо от организационно-правовых форм обязаны выстроить работу с персональными данными в соответствии с требованиями Закона о персональных данных и других нормативно-правовых актов, принятых во исполнение данного Закона.
В первые годы после принятия закона о персональных данных в 2007-2010 гг. усилия операторов и регулирующих органов были направлены на первичное создание систем защиты персональных данных, однако с течением времени на первый план выходят проблемы поддержания этих систем в актуальном состоянии. Фактическое решение данной задачи связано с организацией нового административного процесса - процесса управления работой с персональными данными. Его владельцем является лицо, ответственное за организацию обработки персональных данных, функции которого определены в [1], а цель состоит в обеспечении соответствия процессов обработки персональных данных требованиям законодательства, эффективного функционирования системы защиты персональных данных в условиях частых внешних и внутренних изменений [2, 3]. К внешним изменениям относятся изменения, обусловленные законодательством или организационно-распорядительными документами вышестоящих органов (министерств, ведомств, государственных регуляторов в сфере работы с персональными данными). Внутренние изменения могут быть обусловлены оптимизацией бизнес-процессов, слиянием компаний, выделением дочерних компаний, технологиями обработки информации в связи с внедрением информационных систем и т.п. Объективные изменения приводят к необходимости поддерживать в актуальном состоянии документационное обеспечение и систему организационно-технической защиты информации.
Целью работы является создание автоматизированной технологии для управления изменениями в процессах обработки персональных данных на основе анализа бизнес-процессов. Внедрение данной технологии повышает эффективность управления изменениями в организации работы с персональными данными за счёт сокращения временных затрат на актуализацию внутренних информационно-справочных, нормативных и распорядительных документов,
а также связанных с ними параметров системы организационно-технической защиты персональных данных.
2. Модель и автоматизированная технология обработки персональных данных на основе бизнес-процессов
Базовая информация для организации работы с персональными данными в соответствии с требованиями законодательства включает в себя [3-7]:
- цель обработки персональных данных;
- перечень обрабатываемых персональных данных;
- перечень лиц, обрабатывающих персональные данные и их полномочия по обработке;
- список материальных носителей, содержащих персональные данные;
- перечень информационных систем персональных данных;
- информацию о движении материальных носителей персональных данных.
Вся эта информация содержится в формальных моделях бизнес-процессов, представленных, в частности, в нотации ЕРС. Опыт показывает, что достаточно универсальным и удобным для документирования форматом представления значительной части такой информации является Информационная Карта Обработки Персональных Данных (далее - ИКОПД). Она отражает различные аспекты корпоративного делопроизводства, связанного с обработкой персональных данных. Форма карты позволяет учитывать значимые с точки зрения исполнения требований законодательства аспекты документирования персональных данных и организации работы с документами, содержащими персональные данные. На рис. 1 приведена примерная форма ИКОПД, соответствующая уровню структурного подразделения. Аналогичные карты могут привязываться не только к статическим организационным единицам, каковыми являются подразделения, но и к динамическим, примерами которых могут являться рабочие группы, временные проектные коллективы, а также бизнес-процессы. ИКОПД организации представляет собой объединение ИКОПД статических и динамических организационных единиц.
ИНФОРМАЦИОННАЯ КАРТА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В СТРУКТУРНОМ ПОДРАЗДЕЛЕНИИ
м пп Наименование документов (групп данных) Наименование субъекга и его персональных данных Копня оригинал Цели обработки Регламента рующие документы Автоматнз нрованная неавтоматн знрованная Место обработки Место хранения (помещение] Срок хранения или условие прекращения Откуда поступ ает Куда передав тся ФИО ответственных за обработку и хранение
ПЕРЕЧЕНЬ АВТОМАТИЗИРОВАННЫХ РАБОЧИХ МЕСТ ПОДРАЗДЕЛЕНИЯ. НА КОТОРЫХ МОГУТ ОБРАБАТЫВАТЬСЯ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Тип (стационарный ПК., ноутбук, иное устройство) Расположение (помещение) Наименование (доменное имя) Пользователи, работающие с ПДн Доступ к каким ИСПДн имеется
Должность ФИО
Руководитель подразделения, ответственный за защиту персональных данных _ _
подпись ФИО
Дата: «_»_20 г.
Рис. 1. Примерная форма ИКОПД подразделения
Достоинством такой формы является многофункциональность и компактность представления базовой информации для организации работы с персональными данными. Во-первых, на основе информации, содержащейся в карте, можно сформировать требуемые по законодательству документы: перечень персональных данных, перечень информационных систем персональных данных, перечень лиц, имеющих доступ к информационным системам персональных данных, с указанием необходимых прав для выполнения должностных обязанностей. Во-
вторых, на основе информации, отраженной в карте, удобно осуществлять сбор обязательств о неразглашении персональных данных. В-третьих, формируется первичная информация о компьютерах, на которых ведется обработка персональных данных, необходимая для установки и настройки средств защиты информации. В-четвертых, ИКОПД удобно использовать для ознакомления субъектов персональных данных с целями и технологическими процессами обработки его персональных данных.
Вместе с тем любые изменения в рабочих процессах, затрагивающие состав обрабатываемых ПДн, цели и способы обработки, места обработки и хранения, список сотрудников, обрабатывающих ПДн, приводят к необходимости актуализации карты. Такие изменения подразделяются на две группы:
- изменения в составе обрабатываемых ПДн, обусловленные изменением внешней и внутренней нормативной базы (от изменений в законодательстве до изменений форм документов делопроизводства);
- технологические изменения в организации работы с ПДн (организационно-штатные и кадровые изменения, территориальные перемещения, новые бизнес-процессы, изменения способов обработки в связи с автоматизацией, введение/сокращение рабочих мест и др.).
Трудоемкость процесса поддержания карт в актуальном состоянии является существенным недостатком данного подхода. Снижение трудоёмкости процесса актуализации ИКОПД может быть достигнуто посредством его автоматизации и отслеживания изменений в бизнес-процессах. Автоматизированная информационная система (далее - АИС) для этих целей может создаваться как самостоятельное приложение либо как модуль в корпоративных информационных системах. В частности, если значительную часть персональных данных составляют персональные данные сотрудников оператора, то АИС для актуализации ИКОПД целесообразно интегрировать с системами автоматизации кадрового делопроизводства, которые существуют практически во всех организациях. Такое решение аргументируется следующими объективными факторами:
- в системах кадрового делопроизводства уже содержится часть информации, необходимой для формирования карты (организационная структура, штатная расстановка структурных подразделений, данные о сотрудниках);
- изменения организационной структуры и кадрового состава являются наиболее частыми по сравнению с другими факторами, влияющими на изменение информации, содержащейся в карте;
- информация об изменении организационной структуры и кадрового состава первым делом отображается в системах кадрового делопроизводства.
Отчёты, предоставляемые АИС ИКОПД, обеспечивают своевременную актуализацию внутренней документации по организации обработки персональных данных (перечень персональных данных, списки допущенных к работе в ИСПДн лиц и др.).
При введении в эксплуатацию АИС ИКОПД процесс актуализации ИКОПД осуществляется следующим образом.
При поступлении информации об изменениях в бизнес-процессах организации информация анализируется на предмет влияния этих изменений на обработку персональных данных. Следует заметить, что при наличии формальных моделей бизнес-процессов этот анализ тоже может быть автоматизирован.
Если изменения затрагивают процесс обработки персональных данных, то на основе полученной информации определяется «ключевая информация» для поиска в АИС ИКОПД (примерами может быть: увольнение/прием сотрудника, изменения состава ПДн документа, реорганизация структурных подразделений, введение нового документа, появление новых мест обработки ПДн, внедрение новой ИСПДн).
На основе «ключевой информации» осуществляется поиск подразделений, карты которых затронули изменения. При их обнаружении проводится актуализация их карт на основе вновь поступившей информации. После актуализации проект обновлённой карты подразделения направляется его руководителю для утверждения (через СЭД или на бумажном носителе) и
создается отчет об изменениях, который необходим для учета изменений ИКОПД и корректирования настроек средств защиты информации. После подписания карты руководителем подразделения в АИС ИКОПД меняется её статус с «проект» на «утверждено».
Если при поиске по ключевой информации не было обнаружено подразделений, карты которых затронули изменения, осуществляется выяснение причины отсутствия карт. Если обработка ПДн некоторым подразделением началась в результате изменения бизнес-процессов, то формируется новая карта на основе информации изменившегося бизнес-процесса. Затем проект карты проходит процесс утверждения, аналогичный процессу внесения изменений в действующие карты подразделений.
Модель описанного бизнес-процесса формирования и актуализации ИКОПД с использованием автоматизированной информационной системы представлена на рис. 2.
Предложенная методика в настоящее время прошла апробацию в рамках университета, где обработка персональных данных присутствует в 86 подразделениях, в ней задействовано примерно 750 сотрудников. Актуализация базовой информации о персональных данных одним сотрудником при неавтоматизированной организации процесса требовала примерно 29 рабочих дней, в том числе: составление (редактирование) формы - 3 дня; выявление изменений бизнес-процессов подразделения - 17 дней; внесение изменений в формы - 9 дней. Объективные обстоятельства функционирования современных вузов требуют постоянного совершенствования организационной структуры и технологических процессов, в том числе связанных с обработкой персональных данных.
Одним из наиболее значимых факторов любого вуза являются периодические изменения кадрового состава при окончании учебного года, а часто и по окончании семестров. Этот фактор является постояннодействующим, поэтому даже в условиях стабильной организационной структуры актуализация ИКОПД должна проводиться не реже 2-х раз в год (в начале семестров), а также при изменениях расстановки кадров по должностям, связанных с обработкой персональных данных. При автоматизации процесса не требуется время на составление формы, сокращается время на анализ бизнес-процесса, так как анализируются только те ИКОПД, которые затронули изменения. Таким образом, время на изменение ИКОПД занимает не более двух дней: один день на внесение (загрузку) обновленной информации в АИС и один день на анализ бизнес-процессов по ключевой информации. В результате при внедрении предложенного подхода с использованием АИС ИКОПД указанные затраты сокращаются более чем в 10 раз.
3. Заключение
Разработана автоматизированная технология на основе контроля изменений нормативно-правовой базы и бизнес-процессов, затрагивающих обработку персональных данных. Для учета изменений разработана структура специального информационно-справочного документа - ИКОПД, отражающего аспекты делопроизводства организации, связанные с обработкой персональных данных. Спроектирована формальная модель бизнес-процесса управления изменениями и концептуальная модель АИС ИКОПД, схематично представленная на рис. 3.
АИС ИКОПД реализована на платформе «1С: Предприятие 8.3.» (конфигурация «Зарплата и кадры»), что позволило интегрировать её с подсистемой управления персоналом, обеспечивающей предоставление актуальной информации об оргструктуре и кадровом составе вуза. Архитектура информационной системы реализована в двух разных режимах, позволяющих разработку и администрирование производить в режиме «толстого клиента», а пользователям предоставить возможность работы в режиме «тонкого клиента» через сеть.
Внедрение предложенной технологии позволило повысить эффективность управления изменениями в процессах работы с персональными данными за счёт сокращения временных затрат на актуализацию внутренних нормативных документов и параметров системы организационно-технической защиты.
Рис. 2. Модель бизнес-процесса формирования и актуализации ИКОПД
( Код документа > / _ > , \ ( Источник а
Статус Место передачи У^ подразделения у ___J ___у \ поступления у
о
отт
От Н.
.Е
а,
в о н о
и
д
о Р
.В
а в о н
нут
с
е Пе
00
2
Рис. 3. Концептуальная модель АИС ИКОПД
Литература
1. Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных».
2. Родионова З. В. Анализ аспектов информационной безопасности на основе формальных моделей бизнес-процессов / Т. М. Пестунова, З. В. Родионова, С. Д. Горинова // Доклады ТУСУР. Томск. 2014. № 2 (32). С. 150-156.
3. Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ.
4. Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
5. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
7. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
8. Гречишкина Т. Ю. Моделирование и разработка информационной системы для анализа безопасности персональных данных // В сборнике: Информационно-телекоммуникационные системы и технологии» (ИТСиТ-2014). Материалы Всероссийской научно-практической конференции. Кемерово, 2014. С. 35-36.
9. Пестунова Т. М. Информационная система управления правами доступа на основе анализа бизнес-процессов / Т. М. Пестунова, З. В. Родионова // Доклады ТУСУР. 2010. № 2 (22), ч. 2. С. 253-256.
Статья поступила в редакцию 22.01.2016
Пестунова Тамара Михайловна
к.т.н., заведующий кафедрой «Информационная безопасность» ФГБОУ ВО «НГУЭУ», тел. +7(913) 9225305, e-mail: t.m.pestunova@nsuem.ru.
Родионова Зинаида Валерьевна
к.т.н., доцент кафедры «Экономическая информатика» ФГБОУ ВО «НГУЭУ», тел. +7(962) 8394394, e-mail: z.v.rodionova@nsuem.ru.
Отто Елена Николаевна
специалист по кадровому делопроизводству ФГБОУ ВО «НГУЭУ», тел. +7(913)7099952, e-mail: e.n.otto@nsuem.ru.
Appropriate processing of personal data based on business process approach T. Pestunova, Z. Rodionova, E. Otto
The article describes the issue of appropriate processing of personal data in accordance with Russian legislation. The issue is analyzed in the context of common business changes. The technology is designed for automated generation and actualization of personal data based on business process approach. The technology is well suited for effective management of personal data.
Keywords: business process, personal data, change management, automated information system, conceptual model.
