Как компании не потерять деньги и репутацию из-за документов: выбираем самый безопасный КЭДО

Зачем компании думать о безопасности системы электронного кадрового документооборота

Каждый работодатель ежедневно обрабатывает документы сотрудников, следовательно, он выступает оператором персональных данных. Права и обязанности таких операторов регулируют два основных нормативно-правовых акта:

1. Закон от 27.07.2006 № 152-ФЗ «О персональных данных» — в нем описаны общие требования и порядок обработки персональных данных, а также ответственность за нарушение правил обработки. 

2. Приказ ФСТЭК от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» — в этом документе уже описаны конкретные требования к работе и защите информационных систем персональных данных. Проще говоря, те действия, которые обязаны выполнять компании, чтобы исключить риск утечки данных из внутренних электронных систем — в том числе из системы электронного кадрового документооборота.

Вот и получается, что при переходе на электронный кадровый документооборот всем без исключения компаниям-работодателям важно подобрать максимально безопасный сервис КЭДО. Для этого стоит сосредоточиться на оценке следующих важных моментов.

Где хранятся данные

Один из ключевых аспектов безопасности системы КЭДО — выбор между облачным и локальным сервером. 

Локальный сервер позволяет организовать более высокий уровень контроля и защиты данных, так как он находится под прямым наблюдением компании. Система КЭДО on-premise (организация кадрового документооборота на базе собственной ИТ-инфраструктуры) позволяет:

• разместить сервис хранения во внутреннем контуре,

• проще и быстрее персонализировать решение,

• предотвратить потенциально возможный доступ к системе за счет организации закрытого контура.

Кроме этого, при локальном размещении системы кадрового электронного документооборота не нужно просить сотрудников заполнить еще одно согласие на обработку и передачу персональных данных — ведь документы остаются внутри организации. Так что можно с уверенностью сказать, что самый безопасный сервер — локальный сервер. 

Важно! Кадровый документооборот в государственном секторе может быть реализован только в формате on-premise — на собственном физическом сервере организации. Это же касается и кадрового документооборота в банке.

У локального размещения есть и минусы — значительные инвестиции в оборудование и его обслуживание. Кроме того, возможны проблемы с доступом к данным у сотрудников, которые работают на удаленке. Да и внедрение КЭДО в этом случае занимает обычно больше времени, чем переход на облачный сервис.

Облачные сервисы КЭДО могут предложить более гибкое решение и простую масштабируемость. Данные доступны пользователю в любой точке мира, что особенно удобно для компаний со множеством филиалов или удаленными сотрудниками. Плюс компании можно не думать о серверном размещении.

Однако работа с облачными хранилищами более рискованная: компания уже не может снизить риск возможных утечек данных или несанкционированного доступа со стороны поставщика услуг.

Кроме того, работодателю придется дополнительно организовать архив кадровых документов. Но справедливости ради, многие облачные решения дополнительно предлагают взять на себя и это.

Если компания решает остановиться на облачной системе КЭДО, то следует заранее узнать у провайдера:

• как обеспечивается шифрование данных,

• каким образом пользователь заходит в систему — есть ли двухфакторная авторизация,

• есть ли резервное копирование данных и логирование процессов,

• где расположены дата-центры и как обеспечивается их безопасность,

• проводит ли оператор КЭДО независимый аудит безопасности системы (это не обязательное, но желательное условие),

• какие гарантии и ответственность прописаны в договоре.

Какой бы вариант размещения системы КЭДО вы ни выбрали, помните, что ответственность за соблюдением информационной безопасности кадрового делопроизводства лежит на работодателе.

Как обеспечивается безопасность

Рассуждая о безопасности КЭДО, прежде всего надо понимать, что вопрос защиты от внешних и внутренних угроз актуальнее для облачных решений. Основные пункты, на которые в этом случае надо обратить внимание, мы описали в предыдущем разделе. Однако и к размещению КЭДО на собственных серверах есть определенные требования, вытекающие из НПА.

Мы разделили требования к безопасности на два блока.

Защита на уровне самой системы КЭДО

Что должно быть в сервисе:

• настройка входа (в том числе двухфакторная авторизация с помощью телефона) и разрешительная система доступа в соответствии с функциональными правами конкретного пользователя,

• разграничение ролей,

• протоколирование действий пользователей с доступом к конфиденциальной информации,

• шифрование файлов документов с использованием средств криптозащиты информации (СКЗИ),

• учет печатных и электронных копий. 

Защита на уровне инфраструктуры компании

Компания со своей стороны должна предусмотреть:

• возможность закрыть доступ к системе для пользователей вне закрытого контура организации,

• защищенную передачу данных по каналам связи,

• наличие средств защиты и контроля на рабочих местах пользователей,

• обеспечение контроля информационной безопасности.

Можно ли разграничить роли

Говоря о безопасности КЭДО, стоит отдельно выделить возможность разграничения прав доступа сотрудников к разным типам документов — это позволит гарантировать конфиденциальность и целостность данных.

Важно понимать, что каждый пользователь должен иметь доступ только к той информации, которая необходима для выполнения его рабочих обязанностей.

Например, HR-специалисты могут иметь доступ к персональным данным сотрудников только в рамках своей компетенции, в то время как бухгалтер-расчетчик может видеть документы, необходимые для корректного начисления зарплаты.

Разграничение ролей доступа также минимизирует вероятность утечек конфиденциальной информации и злоупотреблений со стороны сотрудников. 

Настройка ролей должна быть доступна только пользователю с правами администратора — ИТ-специалисту или HR-директору.

Важно! Дополнительно убедитесь в том, что система КЭДО логирует действия пользователей — отслеживает и записывает каждый шаг. Это требование обычно приходит от специалистов по информационной безопасности. Если вдруг случится утечка данных, компании нужно будет провести внутреннее расследование и отчитаться о нем в течение 24 часов в Роскомнадзор. Логирование поможет быстро понять, что случилось.

С какими электронными подписями можно работать

Электронные кадровые документы подписывают электронной подписью — одной из трех видов.

Простая электронная подпись (ПЭП) — бесплатная, сотрудник может получить ее, даже не идентифицируя личность. Такая подпись не оставляет цифровой след, поэтому определить, меняли документ после подписания или нет — невозможно. А если сотрудник работает с гостайной, то применять ПЭП и вовсе запрещено. Так что в плане безопасности ПЭП — не самый лучший вариант. 

Еще есть ПЭП ЕСИА (Госуслуги). Она также не оставляет цифровой след, но получить ее можно, только лично посетив специальный центр обслуживания.

Усиленная неквалифицированная подпись (УНЭП) — такие подписи выдает удостоверяющий центр, который проверяет личность получателя УНЭП. Если документ подписан УНЭП, то можно быть уверенным, что файл не изменяли после подписания. Более надежная, чем ПЭП.

Усиленная квалифицированная подпись (УКЭП) — получить такую подпись можно только в аккредитованном удостоверяющем центре, платно. Самая безопасная электронная подпись, которая полностью заменяет собственноручную подпись.

Электронная подпись от Госключа — бесплатные УКЭП или УНЭП, которые можно выпустить через мобильное приложение Госключ. 

В системе КЭДО должна быть возможность работы со всеми видами электронных подписей. При этом выпускать дорогую УКЭП каждому сотруднику необязательно — им будет достаточно УНЭП и ПЭП. А вот представителю компании (директору или кадровику, действующему по доверенности) без КЭП уже не обойтись.

Важно! Обязательно убедитесь, что в системе кадрового электронного документооборота есть встроенная проверка действительности сертификата в момент подписания. Иначе сотрудник может подписать документ неактуальной подписью — это чревато штрафами и возможными проблемами в будущем.

Коротко о безопасном КЭДО

Подведем итог и еще раз подсветим основные моменты, на которые надо обратить внимание, выбирая систему кадрового электронного документооборота.

Сервис должен располагаться на безопасном сервере, в нем должны быть встроенные настройки безопасности, а также возможность разграничить пользовательские роли и работать с разными видами электронных подписей. 

Со всем этим поможет LDM.КЭДО — система электронного кадрового документооборота от отечественного разработчика ГК ЛАНИТ. Из-за локального размещения системы на серверах заказчика и соответствия всем ключевым требованиям безопасности LDM.КЭДО выбирают банки, производственные компании, госорганизации и другие компании, которым важно обеспечить безопасность персональных данных сотрудников. А благодаря более чем 30-летнему опыту работы, кроме внедрения электронного кадрового документооборота, мы также можем комплексно подойти к настройке безопасности всех данных вашей компании.