При организации кадрового электронного документооборота у работодателя остро встает вопрос защиты информации. Как обеспечить безопасность персональных данных сотрудников, как исключить доступ третьих лиц к локальным нормативным актам, как избежать утечки корпоративной информации?
Читайте, каким образом организуется безопасность в КЭДО, какие инструменты применяются для повышения уровня защиты информации и документов, какие локальные акты в этой сфере утверждает работодатель.
- Стороны безопасности в кадровом электронном документообороте
- Аутентификация при работе с сервисом КЭДО
- Разграничение прав доступа к сервису КЭДО
- Электронные подписи и подлинность электронных документов
- Где хранятся электронные документы?
- Человеческий фактор при обеспечении безопасности КЭДО
- Методы обеспечения безопасности КЭДО
- Преимущества сервиса «Добыто. КЭДО»
- Заключение
- Вопросы и ответы
- Список источников
Стороны безопасности в кадровом электронном документообороте
Для начала нужно определить, по каким именно направлениям должна обеспечиваться безопасность кадрового электронного документооборота. Можно выделить 3 таких направления:
- Сохранность документов, их безопасное хранение на сервере, защита персональных данных сотрудников.
- Ограничение прав доступа к информации – определение ролей пользователей в соответствии с их должностями и возможностью работы с электронными документами.
- Фиксирование действий пользователей с документами – отслеживание статуса, проверка подлинности подписания и пр.
Обеспечение безопасности по всем перечисленным направлениям – обязанность оператора кадрового электронного документооборота. Инфраструктура оператора КЭДО должна удовлетворять требованиям Приказа ФСТЭК России от 18 февраля 2013 г. № 21 – в противном случае юридическое лицо не сможет стать оператором. Эти же требования необходимо соблюдать компании, если планируется хранить электронные документы на собственных серверах.
Мнение эксперта. Большинство систем кадрового электронного документооборота могут быть развернуты как в облаке, так и на сервере клиента. В первом случае вся ответственность за безопасность КЭДО будет лежать на операторе, но это не означает, что из-за несоблюдения банальных мер безопасности работодатель не будет нести ответственность.
Аутентификация при работе с сервисом КЭДО
Реализация сервиса КЭДО может быть различной. Часто компании выбирают вариант, когда для кадровой службы используется модуль интеграции с учетной системой, а для рядовых сотрудников предоставляется доступ в личный кабинет через веб-версию. Аутентификация должна быть обязательно двухфакторной (например, логин и пароль, номер телефона и код из SMS), а вход в личный кабинет должен осуществляться через защищенное соединение HTTPS. Корпоративная политика в отношении паролей может включать в себя следующее:
- Регулярное изменение паролей сотрудников, запрет на использование одинаковых паролей для разных сервисов, систем, ПО.
- Использование разных символов и цифр в паролях.
- Запрет на хранение паролей в браузере рабочего компьютера.
Вход в личный кабинет возможен с разных устройств, и работодатель физически не сможет контролировать сотрудников, поэтому базовые принципы безопасной работы с сервисом КЭДО можно отразить в локальном нормативном акте, ознакомить работников с документом под подпись.
Сервис «Добыто. КЭДО» полностью удовлетворяет требованиям по безопасности – все кадровые документы надежно защищены, исключен доступ третьих лиц к документации и персональным данным сотрудников.
Разграничение прав доступа к сервису КЭДО
Каждая система кадрового электронного документооборота состоит из нескольких частей – как минимум, из 2-х компонентов. Первый компонент предназначен для кадровой службы, второй – для остальных сотрудников. Права в зависимости от роли будут отличаться:
- Кадровик – возможность создания, редактирования, удаления электронных документов, подписание документов посредством личной усиленной квалифицированной электронной подписи с машиночитаемой доверенностью. Также сотрудник кадровой службы может создавать шаблоны электронных документов, настраивать маршруты согласования, осуществлять массовую рассылку документов.
- Сотрудник – можно знакомиться с документами, отправленными для этого сотрудника, подписывать их посредством простой или усиленной неквалифицированной электронной подписи, заполнять шаблоны при отправке в кадровую службу типовых документов (например, заявление на отпуск).
Кроме двух указанных ролей в системе кадрового электронного документооборота могут быть реализованы и другие роли – руководитель, администратор и пр. Руководитель может согласовывать электронные документы, подписывать их усиленной квалифицированной электронной подписью юридического лица, отправлять проекты документов на доработку. Администратор может отвечать за технический аспект системы КЭДО, отслеживать и сохранять все действия сотрудников в сервисе, предоставлять права для отдельных групп пользователей.
Специалист кадровой службы в зависимости от предоставленных ему прав также может играть роль администратора – например, разрешать или запрещать отдельным категориям сотрудников создавать и редактировать шаблоны. Это удобно, когда в компании есть несколько обособленных структурных подразделений со своими кадровиками – в каждом филиале работники отдела кадров смогут создавать собственные шаблоны электронных документов.
Мнение эксперта. В сервисе «Добыто. КЭДО» сотрудники могут выпускать УНЭП. Выпуск электронной подписи займет не более 10-15 минут, после чего работники смогут подписывать любые электронные документы, для которых в соответствии с действующим законодательством и локальными нормативными актами разрешено использование усиленной неквалифицированной электронной подписи.
Электронные подписи и подлинность электронных документов
На законодательном уровне использование электронной подписи регулируется законом № 63-ФЗ. В законе даются определения электронных подписей и общие принципы электронного документооборота. В плане безопасности КЭДО работодателю важно знать следующее:
- Рядовые сотрудники для подписания электронных документов могут пользоваться простой или усиленной неквалифицированной электронной подписью.
- Выпуск электронных подписей для сотрудников – обязанность работодателя.
- УНЭП сотрудников выпускают в удостоверяющем центре, но ряд сервисов КЭДО, например, система «Добыто. КЭДО» позволяет сделать это дистанционно прямо через личный кабинет.
- Работодатель, как представитель компании, подписывает документы усиленной квалифицированной электронной подписью юридического лица – получать УКЭП нужно только лично в ФНС.
- Кадровик при подписании кадровых документов от лица компании пользуется УКЭП физического лица и машиночитаемой доверенностью.
- Сотрудник при наличии личной УКЭП или УНЭП вправе пользоваться этой электронной подписью при подписании кадровых документов.
Электронная подпись является аналогом собственноручной подписи только при выполнении нескольких условий. Во-первых, электронная подпись должна удовлетворять требованиям закона № 63-ФЗ. Во-вторых, в компании должен быть издан локальный нормативный акт, в котором оговорено условие, когда и какие виды электронных подписей могут быть признаны аналогами собственноручных подписей. На практике это означает, что при отсутствии соответствующего ЛНА работодатель или сотрудник могут оспорить любой электронный документ, подписанный простой или усиленной неквалифицированной электронной подписью. Усиленная квалифицированная электронная подпись всегда имеет юридическую силу, и оспорить электронные документы, подписанные УКЭП, нельзя.
Где хранятся электронные документы?
Сервис кадрового электронного документооборота – это онлайн-платформа, посредством которой при участии оператора КЭДО осуществляется обмен электронными документами. Сами документы могут храниться в облаке или на сервере работодателя. У каждого из вариантов есть как преимущества, так и недостатки:
- Хранение в облаке (модель SaaS). Не требуется установка и сложная настройка системы, не нужно выделять место для хранения файлов, в т.ч. архивных электронных документов (некоторые кадровые документы должны храниться до 75 лет после вывода из документооборота). Минус – обеспечение безопасности КЭДО осуществляет разработчик системы, и крупные компании не всегда хотят, чтобы доступ к персональным данным и документации был у третьей стороны.
- Хранение на собственном сервере (модель On-Premise). В среднем и крупном бизнесе, где работодатель может позволить себе содержать службу собственной безопасности, есть смысл в хранении электронных документов на собственных серверах. Минус – необходимо разворачивать систему на локальном хранилище, самостоятельно заниматься вопросами защиты информации.
Сервис «Добыто. КЭДО» предоставляется как по модели SaaS, так и On-Premise. Клиент может сам выбрать подходящий вариант в зависимости от наличия подходящей инфраструктуры и требований по информационной безопасности.
Человеческий фактор при обеспечении безопасности КЭДО
Сотрудники должны знать основы информационной безопасности при работе с электронными документами и системой кадрового электронного документооборота. Чаще всего незнание, игнорирование основ приводит к серьезным проблемам, включая утечку информации. Часто в компаниях встречаются следующие проблемы:
- Сотрудники не завершают сеанс работы (не выходят из учетной записи), когда покидают кабинет.
- Работники знают пароли друг друга – нет гарантии, что конкретный электронный документ подпишет определенный сотрудник.
- Отсутствие антивирусного ПО на мобильном телефоне, где используется сервис КЭДО.
Не стоит исключать и умышленное нарушение правил безопасности – например, когда сотрудник перед увольнением или из-за лишения премии пытается навредить работодателю. Логирование, т.е. запись логов (действий в системе) поможет отследить подозрительную активность и попытки несанкционированного доступа к кадровым электронным документам. В системе «Добыто. КЭДО» предусмотрена защита от несанкционированного доступа, инструменты отслеживания активности пользователей – исключен доступ третьих лиц к персональной информации, электронным документам.
Мнение эксперта. Даже самая защищенная система кадрового электронного документооборота может оказаться уязвимой к опасностям из-за человеческого фактора. Информационная грамотность, обучение сотрудников основам безопасности – одно из важных направлений для защищенного от угроз кадрового ЭДО.
Методы обеспечения безопасности КЭДО
С технической точки зрения системы КЭДО являются достаточно защищенными, но это не означает, что компания не должна беспокоиться об информационной безопасности. Можно выделить несколько основных подходов для защищенного КЭДО. К таким подходам относится следующее:
- Использование усиленных электронных подписей. Простая электронная подпись практически не защищена, и с ее помощью подписать документ может любой человек, а не конкретный сотрудник. Использование УНЭП гарантирует, что электронный документ подпишет определенный сотрудник. В системе «Добыто. КЭДО» выпуск усиленных неквалифицированных электронных подписей для сотрудников осуществляется бесплатно.
- Отслеживание интернет-трафика. Установка фаерволов и межсетевых экранов позволяет работодателю отслеживать как входящий, так и исходящий сетевой трафик. При подозрительной активности можно предупредить атаки или попытки краж персональных данных.
- Резервное копирование документов. Необходимо регулярно копировать электронные документы, хранить их на локальных хранилищах. При наличии резервных копий восстановление в случае атаки, повреждения оборудования не вызовет проблем.
- Антивирусное ПО. На рынке представлено большое количество антивирусных программ – не стоит экономить на этом простом, но достаточно действенном инструменте обеспечения информационной безопасности.
Не забывайте про регулярное обновление программ и сервисов. Разработчики при выпуске обновления и патчей не только улучшают функционал программ, но и устраняют возможные уязвимости. Как правило, обновления системы КЭДО проходят незаметно для пользователей – не требуется вручную обновлять программное обеспечение. Исключение – модули интеграции, когда при выпуске нового обновления может потребоваться установка (интеграция) обновленной версии.
Преимущества сервиса «Добыто. КЭДО»
Система кадрового электронного документооборота «Добыто. КЭДО» предназначена для внутреннего обмена кадровыми документами, их формирования и подписания. В системе реализованы все инструменты для безопасного КЭДО.
Среди плюсов сервиса «Добыто. КЭДО» можно отметить следующее:
- Хранение документов в сертифицированном дата-центре – соответствие ГОСТ 57580, 152-ФЗ, ISO 27001/27017/27018/ 27701, PCI.
- Выпуск ПЭП и УНЭП для сотрудников (бесплатно).
- Возможность работы с кадровыми электронными документами без интернета.
Для кадровой службы предусмотрен модуль интеграции с учетными системами. Можно работать в 1С:ЗУП или Битрикс24 – кадровику не потребуется изучать новое программное обеспечение для КЭДО.
Заключение
- Безопасность в КЭДО обеспечивается как со стороны оператора кадрового электронного документооборота, так и со стороны работодателя.
- Сервис «Добыто. КЭДО» позволяет безопасно обмениваться кадровыми документами – он полностью удовлетворяет требованиям российского законодательства.
- Сервис может использоваться для юридически значимой документации, в т.ч. для трудовых договоров, личных карточек сотрудников и других документов, содержащих персональные данные.
Вопросы и ответы
Возможна ли кража или утеря электронных документов при облачном хранении?
Оператор КЭДО имеет все необходимые технические возможности для защиты информации. В сервисе «Добыто. КЭДО» все электронные документы хранятся на серверах, расположенных на территории РФ. Регулярно создаются резервные копии всей информации, поэтому исключена утеря электронных документов.
Может ли кадровик подписывать документы от лица руководителя?
Нет. Во-первых, пользоваться чужой электронной подписью для подписания документов запрещено. Во-вторых, руководитель в качестве юридического лица подписывает документы только своей УКЭП. Специалисты кадровой службы для подписания юридически значимых документов пользуются личной УКЭП и машиночитаемой доверенностью.
Сотрудник увольняется – он будет иметь доступ к системе КЭДО?
Нет – достаточно удалить такого сотрудника из системы. Сделать это может кадровик через модуль «Добыто. КЭДО». После удаления сотрудника из списка доступ к системе будет прекращен. Не забывайте своевременно удалять и добавлять сотрудников в систему – это еще один из инструментов обеспечения безопасности кадрового электронного документооборота.