Двухфакторная аутентификация при использовании ЭП в кадровых документах закрывает разрыв между самой подписью и тем, кто за неё нажимает кнопку. Подпись подтверждает целостность документа и авторство, но не отвечает на вопрос, реально ли это сотрудник зашёл в кабинет, или кто-то увёл его логин. Здесь вы разберётесь, как устроены факторы входа, чем ПЭП отличается от входа по сертификату, какие требования к доступу заложил законодатель, и как настроить второй фактор так, чтобы кадровик не собирал потом грабли при проверке. Тема входит в большой блок про кадровый электронный документооборот, где описан весь путь от выбора системы до перевода всего штата в электронный вид.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое двухфакторная аутентификация и зачем она в кадровом ЭДО
Аутентификация — это проверка и подтверждение прав при доступе к информационной системе. Один фактор — это что-то одно: пароль, или токен, или отпечаток. Двухфакторная аутентификация (2FA, два фактора) требует два разных подтверждения из разных категорий. Категории три: то, что вы знаете (пароль, ПИН-код), то, что у вас есть (телефон, юсби-токен, смарт-карта), то, чем вы являетесь (биометрия). Логин с паролем плюс код из СМС — вот вам и второй фактор. И в кадрах это не про красоту, а про то, чтобы заявление на увольнение за работника не подписал кто-то другой.
Тут важно развести два понятия, которые путают постоянно. Электронная подпись отвечает за документ: подтверждает, что его не меняли и что он исходит от конкретного владельца ключа. Аутентификация отвечает за вход: пускает в кабинет именно того, кто имеет право. Подпись без нормального входа — это закрытка в руках того, кто угнал учётку. Поэтому второй фактор работает на этапе доступа, до того как сотрудник вообще доберётся до кнопки подписания.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая путаница на проектах — думают, что раз есть УКЭП, то и вход защищён. Нет. Подпись и вход это разные слои. У человека может быть железная закрытка на флешке, а в кабинет он заходит по одному паролю, который написан на стикере под клавиатурой. Второй фактор как раз закрывает этот зазор.»
Три уровня аутентификации: простая, усиленная, строгая
На рынке информбезопасности факторы входа делят на три уровня, и каждый прямо ложится на кадровые сценарии.
Простая аутентификация — логин и пароль. Самый известный и самый слабый способ. Пароли подсматривают, угадывают, они утекают пачками при сливах баз. Для кадрового кабинета как единственный барьер не годится, если через этот кабинет подписывают что-то серьёзнее заявления на отгул.
Усиленная аутентификация — пароль плюс дополнительный фактор. Как правило это одноразовый пароль (OTP), который приходит по СМС, генерируется отдельным OTP-генератором или приложением. Это и есть та самая двухфакторная схема. Способ надёжнее, но недостаток у него остаётся: серверу представляется только пользователь, а сервер пользователю — нет. Были случаи, когда злоумышленники поднимали фейковые страницы, перехватывали и логин, и пароль, и даже одноразовый код, и спокойно заходили в кабинеты. Поэтому СМС-код это хороший второй фактор, но не панацея.
Строгая аутентификация — вход по криптографии, через инфраструктуру открытых ключей. Здесь не только пользователь представляется серверу, но и сервер пользователю, и оба доверяют третьей стороне — удостоверяющему центру. Это самый надёжный механизм. Когда сотрудник заходит по сертификату на токене, вводя ПИН-код, он фактически проходит двухфакторную аутентификацию: токен (то, что есть) плюс ПИН (то, что знает).
Как вид электронной подписи связан со вторым фактором
Связь прямая, и её надо понимать до выбора системы. Каждый вид подписи тянет за собой свою логику входа.
ПЭП, простая электронная подпись, по сути сама и есть пара «идентификатор плюс ключ». В банках это логин и одноразовый код из СМС, который вы вводите при каждой операции. В корпоративной системе роль ключа может играть доменный пароль — но только если организация внутренним документом закрепила порядок применения ПЭП и обеспечила определение лица, подписавшего документ. То есть приказом директора логины присваиваются конкретным людям, каждый расписывается под порядком, и тогда вход по такому коду уже признаётся подписью. Логин и пароль от Госуслуг — это тоже ПЭП ЕСИА.
НЭП и УКЭП работают иначе. УКЭП живёт на токене или в облаке, и доступ к закрытому ключу всегда защищён ПИН-кодом. Когда ключ неизвлекаемый и подпись формируется на борту токена, закрытка вообще никогда не покидает память устройства, её невозможно скопировать. Тут второй фактор встроен в саму процедуру: без физического носителя и без ПИН подпись не сформируется.
Мария Ж, судебный эксперт по трудовому праву:
«Когда разбираешь трудовой спор, первым делом смотришь, как был устроен вход. Если работник подписывал ПЭП, а в организации нет ни приказа о порядке применения, ни подписанного согласия — суд легко вынесет, что определить подписанта нельзя. Вся юридическая значимость держится на регламенте плюс на втором факторе, который доказывает, что заходил именно он.»
Госключ как готовая двухфакторная схема для кадров
Госключ — мобильное приложение от Минцифры, через которое работник формирует УНЭП или УКЭП и подписывает документы со смартфона. Его базовый документ — постановление Правительства от 1 декабря 2021 года № 2152, которое регулирует правила формирования и использования усиленной неквалифицированной подписи. Приложение доступно во всех четырёх маркетах: для iOS, Android, Huawei, и на RuStore.
Для кадров Госключ хорош тем, что авторизация и установка идут через портал Госуслуг. А значит, второй фактор уже встроен на стороне государства: чтобы попасть в Госключ, у человека должна быть подтверждённая учётная запись Госуслуг и подтверждённый номер телефона. Гусключ как раз и закрывает вопрос доверия — сотрудник, который не готов ставить облачную подпись от коммерческого удостоверяющего центра, часто соглашается на госключ, потому что выпуск этой подписи обеспечен государством.
В 2025 году Минцифры провело три мероприятия по упрощению требований к аутентификации. В октябре 2025 появилась делегированная аутентификация через мобильное приложение Госуслуг: если на телефоне стоит МП Госуслуги, пароль от учётной записи вручную вводить уже не надо. Удобнее для сотрудника, но кадровику важно понимать, что фактор подтверждения личности при этом никуда не делся — он просто перенесён в защищённое приложение. До конца текущего периода Минцифры дорабатывает интеграцию с единой биометрической системой, и подтверждённая биометрия станет ещё одним вариантом входа.
Настройка входа — тот момент, где компании чаще всего спотыкаются: то СМС-шлюз не подключили, то порядок применения ПЭП не описали, то тайм-аут кабинета забыли выставить, и доступ остаётся открытым после ухода сотрудника с рабочего места. В сервисе Добыто мы настраиваем второй фактор и регламент входа вместе с запуском КЭДО, чтобы вы не собирали замечания при первой же проверке.
Какие требования к аутентификации заложил закон
Прямого требования «включите двухфакторную аутентификацию» в Трудовом кодексе нет. Но есть набор норм, которые в совокупности к ней подводят. Перевод кадровых документов в электронный вид регулируют статьи 22.1-22.3 ТК РФ. Перевод сотрудника на КЭДО без его согласия запрещён, согласие фиксируется отдельно по статье 22.2. Виды и применение подписей регулирует 63-ФЗ, его профи зовут «тройкой». Перевод кадрового документооборота в электронный вид заложил 377-ФЗ, тот самый «377-й закон».
Дальше включается защита персональных данных по 152-ФЗ: кадровая система обрабатывает паспорта, СНИЛС, сведения о здоровье, и обеспечить аутентификацию пользователя на этапах доступа — это требование к защищённости. Здесь же стоит обеспечить защиту от перехвата и фальсификации данных при входе. На практике это и означает второй фактор плюс шифрование канала. Серьёзные операторы КЭДО держат аттестат соответствия требованиям безопасности информации, лицензии ФСТЭК и ФСБ, и хранят данные в собственном центре обработки данных на территории России. Подробнее про методику можно почитать в материалах Роструда на портале Онлайнинспекция.рф, где разбирают вопросы электронного кадрового документооборота.
Образцы документов для настройки КЭДО и входа сотрудников
Открыть список документов
| Документ | Скачать |
|---|---|
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Правила обработки персональных данных | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
Механизмы второго фактора: что выбрать под кадровый кабинет
Вариантов второго фактора несколько, и они отличаются по надёжности и по удобству для сотрудника. Перечислю по порядку, как их применяют на практике.
Одноразовый пароль по СМС — самый массовый. Пришёл код, ввёл, зашёл. Дёшево, привычно всем, даже возрастным сотрудникам 50 плюс. Минус один: уязвим к фишингу и перехвату, если кто-то увёл сим-карту.
OTP-генератор или приложение-аутентификатор — код генерируется на устройстве, без сети. Надёжнее СМС, потому что нечего перехватывать в канале. Бывает и в виде токена с экранчиком, и в виде брелка Рутокен с OTP.
Вход по сертификату на токене с ПИН-кодом — строгая аутентификация. Юсби-токен или смарт-карта плюс ПИН. Закрытка не покидает память устройства. Для кадров, где подписывают приёмы, переводы, увольнения, это самый чистый вариант, хотя и требует раздать сотрудникам флешки.
Биометрия — отпечаток пальца, форма лица. Фактор, неотделимый от человека. На смарт-картах со сканером шаблон отпечатка формируется и хранится прямо на устройстве, картинка отпечатка никогда не покидает носитель. Чаще идёт третьим фактором поверх токена и ПИН, когда речь о доступе к особо чувствительным данным.
Вход через подтверждённую учётную запись Госуслуг — удобен тем, что вся проверка личности уже сделана государством. Сюда же ложится привязка кабинета к учётке Госуслуг, соцсетей или почты по технологии SSO, чтобы сотрудник не выдумывал новый логин и пароль.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Мы обычно не гоним всех на токены. Для линейного персонала, который подписывает в основном ознакомления с ЛНА и заявления, хватает входа через Госуслуги плюс одноразка. А вот для кадровиков и руководителей, у кого права на приём и увольнение, ставим строгий вход по сертификату. Так и денюжки экономятся, и риски закрыты там, где они реально есть.»
Как настроить двухфакторный вход в кадровый кабинет: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите, кто и что подписывает. Разделите сотрудников на группы по правам: линейный персонал, кадровики, руководители. Для каждой группы свой уровень входа.
- Шаг 2. Закрепите порядок применения подписей во внутреннем документе — положении о КЭДО. Укажите, какими подписями подписываются какие документы и какой механизм входа применяется.
- Шаг 3. Соберите согласия сотрудников на переход в КЭДО по статье 22.2 ТК РФ. Без согласия переводить нельзя.
- Шаг 4. Включите второй фактор в системе: вход через Госуслуги, СМС-код, OTP или сертификат на токене — в зависимости от группы.
- Шаг 5. Настройте тайм-аут кабинета, чтобы сессия закрывалась автоматически, и доступ не оставался открытым после ухода сотрудника от компьютера.
- Шаг 6. Проверьте всё на пилотной группе перед раскатыванием на всю компанию. Так вы соберёте грабли на десятке человек, а не на тысяче.
Типичные ошибки при настройке аутентификации в КЭДО
Ошибка первая: единственный пароль на вход и больше ничего. Делают так ради скорости запуска — один логин проще раздать. Цена ошибки: при сливе или подборе пароля посторонний попадает в кабинет и может подписать документ от имени работника. Дальше трудовой спор, где работодателю придётся доказывать, что подписант определён. Прямой убыток — проигранный иск плюс штраф по статье 5.27 КоАП до 50 000 рублей за нарушение трудового законодательства.
Ошибка вторая: нет регламента применения ПЭП. Систему запустили, а порядок не описали, согласия не собрали. Делают по невнимательности, кажется мелочью. Цена: подпись ПЭП без регламента и без определения лица подписавшего теряет юридическую значимость, документ можно оспорить.
Ошибка третья: не настроен тайм-аут сессии. Сотрудник отошёл, кабинет открыт, доступ к информации получает кто угодно мимо проходящий. Стоит копейки в настройке, а закрывает целый класс рисков утечки персональных данных.
Мария Ж, HR-эксперт с 13-летним стажем:
«Самый частый затык даже не в технике, а в людях. Сотрудники переписывают коды-одноразки в общий чат, чтобы коллега подписал за них, пока они в отпуске. Это убивает весь смысл второго фактора. Поэтому в положение о КЭДО мы прямо вшиваем запрет на передачу учётки и кодов, и под этим положением каждый расписывается.»
Стоимость внедрения КЭДО с защищённым входом в 2026 году
Итоговая стоимость зависит от численности персонала, выбранного тарифа и набора подключаемых функций — в том числе механизмов аутентификации и интеграций. Тарифы сервиса КЭДО Добыто считаются за рабочее место в месяц, без скрытых позиций.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО. ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса. ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив, приоритетная поддержка | от 50 ₽ за сотрудника / мес* | неограниченно сотрудников |
| Корпорация — для крупного бизнеса с SLA. Всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции | по запросу | расширенные требования |
*По тарифу Бизнес минимальная оплата — 50 сотрудников за 30 000 ₽ в год. На итоговую сумму влияет число рабочих мест, выбор видов подписи и набор интеграций с учётной системой. Чтобы посчитать точно под свой штат, посмотрите актуальные тарифы сервиса Добыто КЭДО — там разложены все позиции по каждому тарифу.
Как двухфакторный вход реализован в сервисе Добыто
В Добыто вход в кабинет сотрудника настраивается под группу: можно пускать по корпоративной учётке через SSO, по отдельному логину с паролем плюс второй фактор, или привязать кабинет к учётке Госуслуг. Поверх этого работает тайм-аут сессии и двухфакторная аутентификация, которые настраиваются и помогают избежать доступа третьих лиц к информации. Данные размещаются в собственном центре обработки данных на территории России, у сервиса есть лицензии ФСТЭК и ФСБ.
Подписывать кадровые документы при этом можно любым видом подписи — ПЭП, УНЭП, УКЭП — в том числе через госключ для тех сотрудников, кто доверяет именно государственному приложению. Для линейного персонала это снимает сопротивление при переходе: подписать документ УКЭП онлайн можно прямо со смартфона, без визита в отдел кадров. Сама цепочка подписей фиксируется с отметками времени, что выручает при проверках и в суде.
Если нужно проверить уже подписанный документ или подписать файл онлайн, отдельные инструменты есть в Добыто.Подпись. А выбрать программы для подписания документов ЭЦП под свою задачу стоит ещё на этапе проектирования, чтобы потом не переделывать маршруты.
Проверка электронной подписи онлайн — сервис Добыто
Выводы: двухфакторная аутентификация при работе с ЭП в кадрах
Подпись и вход — это два разных слоя защиты, и путать их нельзя. Электронная подпись подтверждает документ, аутентификация пускает в систему нужного человека. Двухфакторная схема требует подтверждения из двух категорий: знание, владение, биометрия. Прямого требования включить 2FA в Трудовом кодексе нет, но статьи 22.1-22.3 ТК РФ, 63-ФЗ, 377-ФЗ и 152-ФЗ в совокупности заставляют обеспечить надёжный доступ и определение лица, подписавшего документ.
Под разные группы сотрудников подходят разные механизмы: для линейного персонала хватает входа через Госуслуги и одноразового кода, для кадровиков и руководителей с правами на приём и увольнение нужен строгий вход по сертификату на токене с ПИН-кодом. Обязательные пункты на старте — порядок применения подписей в положении о КЭДО, собранные по статье 22.2 согласия, настроенный тайм-аут сессии и обкатка на пилотной группе до массового запуска.
В ближайшее время вход будет всё больше уходить в сторону Госуслуг и биометрии: делегированная аутентификация через мобильное приложение Госуслуг уже работает с октября 2025 года, интеграция с единой биометрической системой дорабатывается. Кадровику стоит закладывать в систему гибкость по способам входа, чтобы не переделывать настройки под каждое новое упрощение от Минцифры.
Часто задаваемые вопросы
Обязательна ли двухфакторная аутентификация для КЭДО по закону?
Чем аутентификация отличается от электронной подписи?
Является ли вход по токену с ПИН-кодом двухфакторной аутентификацией?
Можно ли использовать СМС-код как второй фактор для кадров?
Как Госключ обеспечивает второй фактор?
Что такое делегированная аутентификация через Госуслуги?
Достаточно ли логина и пароля для ПЭП в кадровом кабинете?
Какой штраф грозит за слабую защиту доступа в кадровой системе?
Можно ли подписывать кадровые документы за работника по его коду?
Нужен ли разный уровень входа для разных сотрудников?
Зачем нужен тайм-аут сессии в кадровом кабинете?
Помогает ли двухфакторная аутентификация при проверке ГИТ и в суде?
Вы разобрались, как устроены факторы входа и как они связаны с видом подписи. Теперь дело за настройкой под ваш штат: где хватит входа через Госуслуги, а где нужен токен с ПИН-кодом, как описать порядок применения ПЭП и закрыть согласия по статье 22.2 ТК РФ. Сервис Добыто подключил к КЭДО более 500 компаний и настраивает безопасный вход вместе с запуском, чтобы вы прошли первую же проверку без замечаний.
Мы ведём проект от первого согласия до момента, когда кадровик работает самостоятельно, и закладываем пилот перед раскатыванием на всю компанию.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Двухфакторный вход и настраиваемый тайм-аут сессии для защиты доступа к персональным данным
- Вход через корпоративную учётку по SSO или через подтверждённую запись Госуслуг
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Данные в собственном ЦОД на территории России, лицензии ФСТЭК и ФСБ, соответствие 152-ФЗ
- Юридическая обвязка из коробки: положение о КЭДО, порядок применения подписей, формы согласий
- Сопровождение до первых 50 подписаний и обкатка на пилотной группе перед массовым запуском