Как переводят в электронный вид конфиденциальные документы и персональные данные

Суть оцифровки – преобразование информации в электронный вид, так как это агрегатное состояние дает множество преимуществ. Конечный электронный ресурс, как и изначальный бумажный массив, является собственностью организации и находится в ее зоне ответственности: хранится на ее территории/серверных мощностях, регулируется внутренними регламентами.

А вот в процессе преобразования доступ к этой информации имеет аутсорсер. Как в этом случае исключить риски утечки данных? Недостаточно просто доверять выбранному исполнителю – необходимо, чтобы он обладал технологиями и соответствовал законодательным требованиям по обработке информации данного класса. В статье рассмотрены основные организационные и технологические аспекты подобной оцифровки.

1. Соглашение о конфиденциальности

Это базовая организационная мера, без которой передавать любые документы сторонней организации не стоит, даже если эти документы не содержат особой информации. Этот пункт обязательно должен быть включен в условия соглашения. Если право выполнять работы получит не специализирующаяся на оцифровке компания, требование обяжет ее дополнительно контролировать процесс и может положительно сказаться на качестве итогового ресурса.

Крупные игроки рынка используют такое соглашение по умолчанию и внимательно следят за его выполнением, так как утечка данных заказчика для них – ущерб имиджу и, соответственно, потеря клиентов.

2. Деперсонификация

Документы могут обрабатываться в автоматическом режиме с применением специального программного обеспечения (распознавание текста, классификация по типам, извлечение реквизитов). Но в 95% случаев в процессе также участвует человек – как минимум на этапе проверки (верификации) распознанной информации. А тем более, если требуется индексирование документов с рукописным или плохо читаемым текстом.

Как в этом случае исключить риски утечки информации путем прочтения ее оператором индексирования? Крупные компании решили проблему путем разработки технологий деперсонификации, задолго до вступления в силу механизма обработки персональных данных, предложенного во исполнение Федерального закона №149-ФЗ «Об информации, информационных технологиях и о защите информации».

Деперсонализацию в оцифровке необходимо проводить на уровне скан-образов, что требует довольно сложного программного обеспечения их нарезки. Подобные технологии есть лишь у нескольких крупных компаний.

Для деперсонализации отсканированные изображения нарезаются на фрагменты. Каждый оператор ввода видит и индексирует только определенный массив (например, имена или даты рождения). Исключена возможность прочтения любых связанных данных, например имени и фамилии персоналии. Итоговая индексная база данных собирается по фрагментам в закрытом, защищенном контуре. Сегодня эта технология применяется для оцифровки всех документов, содержащих конфиденциальную информацию и персональные данные: кадровые документы, судебные дела, книги ЗАГС и т.п.

3. Работа в условиях надзора

С этой же целью крупные компании придерживаются жесткой внутренней регламентации. Только таким образом удается выстраивать эффективный конвейер оцифровки, где каждый этап выполняется обученным специалистом, все действия протоколируются, а простой в работах снижен до минимума. Как показала практика оцифровки, особенно выполняемой в рамках госконтрактов, подобная регламентация – реальное подспорье при обработке документов, содержащих персональные данные.

Дело в том, что часто подобные работы контролируются Прокуратурой и Роскомнадзором. Показателен пример ЗАГС, где практически каждый проект выполняется в таких условиях. Для неподготовленной компании-аутсорсера постоянные проверки и необходимость подготовки чуть ли не ежедневных отчетов выливается в значительное увеличение сроков работ и, соответственно, стоимости. У крупных аутсорсеров режим жесткой регламентации заложен в стоимость по умолчанию, поэтому контроль со стороны надзорных органов практически не влияет на скорость и цену работ.

4. Лицензии

Подтвердить компетенции исполнителя в работе с конфиденциальной информацией могут лицензии – на обработку сведений и на их техническую защиту в процессе обработки. Необходимо уточнить их наличие у исполнителя, так как это может обезопасить клиента от ряда претензий при проверках. Некоторые работы, например связанные с обработкой сведений, составляющих государственную тайну, без соответствующей лицензии ФСБ проводиться не могут.

Редкие аутсорсеры обладают такой лицензией. Однако ее наличие говорит о том, что у компании есть сертифицированные помещения, сертифицированные специалисты и отлаженные механизмы работы со Спецсвязью и отделами безопасности заказчиков. Такой компании можно без опаски доверить перевод в электронный вид документов и сведений любого уровня конфиденциальности.

Оцифровка любых документов, содержащих персональные данные граждан, а также сведения, составляющие государственную и коммерческую тайну, связана с множеством рисков. Осуществить ее, не выходя за рамки запланированного бюджета и в срок, можно только тщательно подойдя к выбору аутсорсинговой компании.