КадрЭДО

Двухфакторная аутентификация в КЭДО: закон и практика 2026

Мария Ж. 12 мин чтения

Двухфакторная аутентификация в КЭДО — это подтверждение входа или подписания вторым фактором (код из приложения, SMS, биометрия) поверх логина и пароля. Для системы, где хранятся паспортные данные, СНИЛС и зарплатные сведения всего штата, от настройки аутентификации зависят и штрафы по 152-ФЗ, и то, устоит ли подписанный сотрудником документ в суде. В статье разберем, когда 2FA фактически обязательна по приказу ФСТЭК N 21, чем код при подписании отличается от кода при входе, какой фактор выбрать для вахтовиков без связи и какие 8 вопросов задать вендору системы кадрового электронного документооборота до подписания договора.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Цена ошибки: во что обходится вход в КЭДО по одному паролю

С 30 мая 2025 года действуют новые части статьи 13.11 КоАП РФ (введены Федеральным законом от 30.11.2024 N 420-ФЗ). Утечка персональных данных от 1 000 до 10 000 человек стоит организации от 3 до 5 млн рублей, от 10 000 до 100 000 человек — от 5 до 10 млн рублей, свыше 100 000 человек — от 10 до 15 млн рублей. Утечка биометрических данных — от 15 до 20 млн рублей. Повторная утечка — оборотный штраф от 1 до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей. Отдельный состав — неуведомление Роскомнадзора об инциденте в течение 24 часов: от 1 до 3 млн рублей для организации. Весной 2026 года арбитражные суды рассмотрели первые дела по этим составам: нормы уже применяются, а не висят на бумаге.

Система КЭДО — это информационная система персональных данных всего штата: паспорта, СНИЛС, адреса, суммы выплат, приказы. Скомпрометированный пароль одного кадровика с широкими правами открывает доступ ко всему массиву. Второй фактор превращает украденный пароль в бесполезный набор символов: без кода с устройства сотрудника вход не состоится.

Движение кадрового документа в системе КЭДО: точки, где нужна защита доступа

2FA и юридическая сила электронной подписи

Здесь главное отличие КЭДО от любого другого корпоративного сервиса. По статье 22.3 ТК РФ большинство кадровых документов работник вправе подписывать простой электронной подписью (ПЭП), если ее использование закреплено соглашением сторон. А ПЭП по статье 5 закона 63-ФЗ — это подпись, которая посредством кодов, паролей или иных средств подтверждает факт формирования подписи определенным лицом. Код из SMS или приложения, который сотрудник вводит при нажатии кнопки «Подписать», юридически является элементом ключа ПЭП, а не просто настройкой безопасности.

Мария Ж, судебный эксперт в сфере трудового права: «Когда работник в споре заявляет, что заявление подписал не он, суд смотрит на то, как система идентифицировала подписанта. Пара логин-пароль плюс код, отправленный на личный номер работника, плюс журнал событий — это три независимых доказательства. Один пароль, который теоретически знал администратор, — это почва для сомнений.»

2FA на вход и 2FA на подписание — это разные механизмы

Код при входе защищает от постороннего доступа к данным. Код при подписании подтверждает волеизъявление конкретного человека в конкретный момент. У части вендоров реализован только первый сценарий, у части подтверждение кодом включается именно на этап подписания, причем самим сотрудником в личном кабинете. Для юридической доказуемости подписи второй сценарий важнее.

Операция Основной риск Рекомендуемая защита
Вход в личный кабинет Просмотр и выгрузка ПДн посторонним Пароль + второй фактор при входе
Подписание документа ПЭП Оспаривание подписи («это не я») Код подтверждения на действие + журнал событий
Действия администратора Массовая выгрузка, изменение маршрутов Обязательная 2FA, отдельный аудит

Обязательна ли двухфакторная аутентификация в КЭДО по закону

Прямой нормы «система КЭДО обязана иметь 2FA» в законодательстве нет. Логика такая. Статья 19 закона 152-ФЗ обязывает оператора принимать технические меры защиты ПДн. Состав мер конкретизирует приказ ФСТЭК России от 18.02.2013 N 21: в нем 15 групп мер, первая — идентификация и аутентификация субъектов доступа (ИАФ). Требования к усилению меры ИАФ.1 прямо предусматривают многофакторную (двухфакторную) аутентификацию: для удаленного доступа с правами администраторов и с правами обычных пользователей, в том числе через интернет. Облачное КЭДО — это всегда удаленный доступ через сеть общего пользования.

Какие усиления обязательны, зависит от уровня защищенности ИСПДн по постановлению Правительства N 1119. УЗ-1 присваивается при обработке специальных или биометрических данных либо данных более 100 тысяч субъектов и требует полного набора мер с сертифицированными средствами защиты. Для крупного работодателя или облачного провайдера, обслуживающего сотни компаний, многофакторная аутентификация из рекомендации превращается в фактическую обязанность. Наши специалисты при внедрении Добыто помогают клиенту определить уровень защищенности его ИСПДн и зафиксировать меры в положении о КЭДО.

Калькулятор соответствия 152-ФЗ
Проверка готовности обработки персональных данных работников
Базовый режим. Шесть ключевых требований 152-ФЗ к работодателю. Отметьте то, что выполнено в компании.
соответствие 152-ФЗ
Проверено профессионалами · Источник: dobyto.ru — КЭДО Добыто

Какой второй фактор выбрать: SMS, приложение, биометрия

Факторы не равнозначны: они по-разному ведут себя без связи и по-разному устойчивы к перехвату. Отдельный факт 2026 года: приложение Госключ с февраля поддерживает вход по Face ID и Touch ID, а статус своей подписи можно проверить на портале Госуслуг.

Фактор Работает без связи Устойчивость к перехвату Кому подходит
SMS-код Нет Низкая (SIM-swap, фишинг) Офисный персонал в зоне покрытия
Код на email Нужен интернет Средняя Сотрудники с корпоративной почтой
TOTP-приложение Да Высокая Вахтовики, производства, ИТ
Биометрия (Face/Touch ID) Да Высокая Пользователи смартфонов, Госключ

Отдельная категория — сотрудники без личных смартфонов: рабочие цехов, возрастной персонал. Для них решением становится подписание на кадровом киоске или через кадровика, а для исключительных случаев — бумага, которую статья 22.2 ТК РФ разрешает закрепить локальным актом работодателя.

Виды электронной подписи по 63-ФЗ и роль кодов подтверждения в ПЭП

Мария Ж, соучредитель сервиса КЭДО Добыто: «Выбор фактора — это не ИТ-решение, а кадровое. Если на вахте нет связи, а вы включили SMS-подтверждение, сотрудник физически не сможет подписать уведомление в срок, и просрочка станет риском работодателя, а не работника.»

Образцы документов для запуска КЭДО с защитой доступа

Открыть список документов
Документ Скачать
Приказ о введении КЭДО Скачать
Положение о ведении КЭДО Скачать
Уведомление работнику о переходе на КЭДО Скачать
Заявление о согласии на переход на КЭДО Скачать
Соглашение об использовании ПЭП и НЭП Скачать
Согласие на обработку персональных данных Скачать

Как закрыть требования к аутентификации в Добыто КЭДО

Защита доступа — это всегда два контура: технический (что делает система) и организационный (что закреплено в документах). Технический контур в Добыто устроен так. Вход выполняется по электронной почте или телефону и паролю; при регистрации кабинета пользователь подтверждает адрес кодом, который приходит на его почту, то есть учетная запись изначально привязана к контролируемому сотрудником каналу. Ключевой принцип политики: пароль знает только пользователь, у администратора сервиса и у работодателя доступа к нему нет — это напрямую отвечает на пятый вопрос чеклиста ниже. Забытый пароль сотрудник восстанавливает сам через кнопку «Восстановить пароль», без участия кадровика, что исключает сценарий «администратор знал пароль» в трудовом споре.

Компании, которым нужен второй фактор на каждый вход, используют вход через аккаунты Яндекса и ВКонтакте: аутентификацию в этом случае усиливают механизмы самих платформ, включая их собственные вторые факторы (код в приложении, пуш-подтверждение), а требование входить именно этим способом фиксируется в положении о КЭДО. Организационный контур дополняет технический: система ведет журнал событий по каждому документу, маршруты подписания определяют, кто и в какой последовательности получает доступ, а перечень мер защиты и регламент восстановления доступа закрепляются в локальных актах на старте внедрения. О программах для усиленных подписей за пределами кабинета КЭДО мы писали в обзоре программ для подписания документов ЭЦП.

Подписание кадрового документа в личном кабинете Добыто КЭДО

Настройка аутентификации, маршрутов подписания и уровня защищенности ИСПДн — та часть внедрения КЭДО, где ошибка проявляется не сразу, а в момент проверки или трудового спора. В Добыто эти параметры закладываются на старте вместе с положением о КЭДО, чтобы потом не переделывать локальные акты под уже работающую систему.

Настроить защищенный вход в КЭДО

Типовые ситуации: потерян телефон, сменился номер, сотрудник уволился

Ни один из лидеров выдачи не отвечает на главный операционный вопрос HR: что делать, когда второй фактор недоступен. Рабочий регламент по четырем сценариям.

Утеря телефона. Сотрудник сообщает в поддержку сервиса или администратору, доступ и подпись блокируются, после установления личности выпускается новый доступ. В практике Добыто деактивация выполняется через поддержку в тот же день, а подписанные документы никуда не исчезают — они хранятся в аккаунте и доступны с компьютера.

Смена номера или смартфона. Приложение удаляется со старого устройства, привязка переносится на новое; до переноса действует тот же регламент, что при утере.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Увольнение. Доступ к кабинету блокируется в день увольнения, но архив подписанных документов работодатель обязан хранить в сроки по части 8 статьи 22.1 ТК РФ и приказу Росархива: блокировка учетной записи не равна удалению данных.

Отказ ставить приложение на личный телефон. Принудить нельзя — телефон личное имущество. Работодатель предлагает альтернативный фактор (код на почту, корпоративное устройство) или закрепляет исключительные бумажные случаи в локальном акте по статье 22.2 ТК РФ.

Мария Ж, эксперт по внедрению КЭДО: «Регламент восстановления доступа стоит прописать в положении о КЭДО заранее: кто блокирует, в какой срок, как подтверждается личность. Тогда потерянный телефон — это процедура на час, а не остановка документооборота.»

Чеклист безопасника: 8 вопросов вендору КЭДО про аутентификацию

Совет «уточните у поставщика» бесполезен без списка. Вот проверяемые вопросы. 1. Есть ли второй фактор на вход и включается ли он принудительно политикой администратора? 2. Есть ли подтверждение кодом на этап подписания, а не только на вход? 3. Какие факторы поддерживаются: SMS, email, TOTP, биометрия? 4. Работает ли фактор offline (критично для площадок без связи)? 5. Имеет ли администратор сервиса или работодателя доступ к паролям пользователей (правильный ответ — нет)? 6. Ведется ли журнал попыток входа и событий подписания и можно ли выгрузить его для суда или SIEM? 7. Одинакова ли функциональность в облачной и on-premises версии (на рынке есть примеры, когда во внутренней поставке 2FA отсутствует)? 8. Каков регламент блокировки и восстановления доступа при утере устройства и при увольнении?

Ответы фиксируйте письменно на этапе пресейла: расхождение между презентацией и договором — типовая причина конфликтов после внедрения.

Стоимость КЭДО с защищенным доступом: тарифы Добыто

Итоговая стоимость зависит от численности сотрудников, выбранного тарифа, необходимых видов подписи и модулей интеграции. Механизмы защиты входа доступны на всех тарифах.

Тариф Для кого Стоимость Что входит
Старт Небольшие компании, начинающие переход на КЭДО от 30 руб. за сотрудника / мес До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка
Бизнес Средний бизнес с полным набором функций от 50 руб. за сотрудника / мес Без лимита сотрудников, ПЭП/УНЭП/УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив
Корпорация Крупный бизнес с расширенными требованиями и SLA По запросу Все из Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции

Актуальные условия и состав тарифов сверяйте на странице тарифов Добыто КЭДО: для крупных внедрений с выделенным сервером и SLA стоимость рассчитывается индивидуально.

Выводы: двухфакторная аутентификация в КЭДО

2FA в КЭДО решает две задачи одновременно: защищает персональные данные штата (цена утечки — от 3 млн рублей до 3% годовой выручки) и укрепляет юридическую силу ПЭП, поскольку код подтверждения по смыслу 63-ФЗ является элементом ключа подписи. Прямой обязанности внедрять 2FA закон не формулирует, но усиления меры ИАФ.1 приказа ФСТЭК N 21 делают ее фактически обязательной для удаленного доступа к ИСПДн, а облачное КЭДО — это всегда удаленный доступ. Практическое решение: фактор выбирайте от условий работы персонала (без связи — TOTP или биометрия, не SMS), регламент восстановления доступа и блокировки при увольнении закрепите в положении о КЭДО до запуска, а вендора проверяйте по чеклисту из 8 вопросов с письменной фиксацией ответов.

Частые вопросы о двухфакторной аутентификации в КЭДО

Обязан ли работник устанавливать приложение-аутентификатор на личный телефон?
Нет, обязать нельзя: телефон — личное имущество. Работодатель предлагает альтернативу (код на email, корпоративное устройство) или закрепляет исключительные бумажные случаи локальным актом по статье 22.2 ТК РФ.
Заменяет ли вход через Госуслуги или Яндекс ID вторую аутентификацию сервиса?
Частично: при таком входе работают механизмы защиты самой платформы, включая ее второй фактор. Но подтверждение действия подписания внутри КЭДО этим не заменяется — это отдельный механизм.
Какой уровень защищенности ИСПДн у типичной системы КЭДО?
Чаще всего УЗ-3 или УЗ-2 по постановлению Правительства N 1119. УЗ-1 присваивается при обработке биометрии, специальных категорий или данных более 100 000 субъектов — это типично для облачных провайдеров, обслуживающих много компаний.
Может ли сотрудник отказаться от 2FA, если она включена принудительно?
Если политика закреплена в положении о КЭДО и локальных актах, требование правомерно как условие доступа к системе. Работнику при этом должен быть доступен хотя бы один реализуемый для него фактор.
Фиксирует ли система КЭДО неудачные попытки входа?
Должна: регистрация событий безопасности (группа мер РСБ приказа ФСТЭК N 21) входит в состав мер для всех уровней защищенности. Возможность выгрузки журнала — обязательный вопрос вендору.
Нужно ли отдельное согласие на обработку номера телефона для отправки кодов?
Номер телефона — персональные данные, поэтому его обработка должна иметь основание. На практике оно закрепляется в согласии на обработку ПДн и соглашении об использовании ПЭП, где номер указывается как канал получения кодов подтверждения.

Двухфакторная аутентификация работает только внутри правильно выстроенного КЭДО: с локальными актами, соглашением об использовании ПЭП, маршрутами подписания и электронным архивом. Добыто КЭДО закрывает этот контур целиком: сервис включен в реестр отечественного ПО (запись N 22664), а внедрение с настройкой доступа и шаблонов занимает от одного дня.

Что получает компания на практике:

  • Вход сотрудников по паролю, который недоступен ни администратору, ни работодателю
  • Подписание кадровых документов ПЭП и УНЭП без доплаты за выпуск подписей
  • Маршруты согласования и журнал событий по каждому документу
  • Соответствие требованиям 377-ФЗ, 63-ФЗ и 152-ФЗ с готовыми шаблонами локальных актов
  • Регламент восстановления доступа при утере устройства через поддержку
  • Электронный архив с хранением по срокам Росархива

Запустить КЭДО с защитой доступа

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

Поделиться:

Попробуйте ДОБЫТО КЭДО

Подписывайте кадровые документы электронно. Оставьте заявку и начните работу.