Разграничение прав доступа в системе КЭДО определяет, какие документы и персональные данные видит каждый пользователь: рядовой сотрудник, руководитель подразделения, кадровик и администратор. Настроите матрицу доступа неправильно — и сотрудник увидит чужие зарплаты, а компания получит штраф по 152-ФЗ. Из статьи вы поймёте, как устроены роли в КЭДО, какие требования к управлению доступом предъявляют 152-ФЗ и приказ ФСТЭК № 21, как настроить маршруты и журналирование, и сколько стоит запуск системы с нормальным разграничением. Это часть большого материала про безопасность и персональные данные в КЭДО, где разобраны все направления защиты кадрового документооборота.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое разграничение прав доступа в системе КЭДО
Разграничение прав доступа — механизм, который привязывает набор разрешённых действий к роли пользователя. Один сотрудник может только подписывать свои документы. Другой — создавать приказы на весь штат. Третий видит персональные данные всех работников, четвёртый управляет правами остальных. Кадровый электронный документооборот по своей сути — это информационная система персональных данных, ИСПДн. А раз так, то доступ к ней регулируется не пожеланиями кадровой службы, а требованиями закона.
Зачем вообще это нужно. В системе КЭДО хранятся трудовые договоры, приказы, согласия на обработку данных, сведения о зарплате, иногда исполнительные листы и медицинские документы. Если каждый пользователь видит всё подряд, компания нарушает принцип конфиденциальности из статьи 7 закона 152-ФЗ. И статью 88 Трудового кодекса, которая прямо запрещает работодателю передавать персональные данные работника третьим лицам без письменного согласия. Доступ к данным внутри компании — это та же передача, если её получает лицо, которому она по работе не положена.
В практике Добыто мы видим, что про роли вспоминают в последнюю очередь. Сначала компания гоняется за бесшовной интеграцией с 1С, за мобильным приложением, за скоростью подписания. А матрицу доступа собирают на коленке в последний день перед запуском. Потом удивляются, почему линейный руководитель из соседнего отдела открыл штатное расписание целиком.
Роли пользователей в КЭДО: кто и что видит
Базовая ролевая модель в большинстве систем КЭДО строится на четырёх уровнях. Они отличаются объёмом прав, и это не маркетинг, а отражение реальной структуры кадрового процесса.
- Сотрудник. Видит только свои документы и свои персональные данные. Может формировать отдельные виды заявлений — на отпуск, на изменение данных — и отправлять их на согласование. Подписывает то, что прислал работодатель, через ПЭП или УНЭП.
- Руководитель. К правам сотрудника добавляется согласование документов подчинённых. Например, заявок на отсутствие. Контактные данные своих сотрудников он видит, чужих подразделений — нет.
- Кадровик. Создаёт любые кадровые документы и работает с ними, видит персональные данные всех сотрудников в зоне своей ответственности. В крупных компаниях за каждым подразделением закрепляют отдельного кадрового специалиста, и система сама маршрутизирует заявления к нужному человеку.
- Администратор. Управляет правами всех остальных, заводит и отключает учётки, отслеживает действия пользователей. Это самая чувствительная роль. Администраторов может быть несколько, и каждое их действие должно фиксироваться в журнале.
Помимо этих четырёх есть процессные роли внутри маршрута подписания. Инициатор формирует и отправляет документ. Заполняющий вносит недостающие реквизиты, если их нет. Согласующий проверяет, что всё юридически корректно. Представитель компании подписывает документ от лица организации — обычно гендир или лицо по доверенности с УКЭП на флешке. В небольшой компании один человек закрывает сразу несколько ролей. В компании на три тысячи человек это отдельные специалисты, и система должна понимать, кому в какой момент передать документ.
Мария Ж, HR-эксперт с 13-летним стажем:
«Самая частая ошибка — всем кадровикам выдают одинаковые права на весь штат. А зачем? Кадровик филиала в Казани не должен видеть личные карточки московского офиса. Роли надо нарезать по подразделениям, тогда даже если учётка кадровика утечёт, «слив» будет ограничен его зоной, а не всей базой.»
Нормативные требования к доступу: 152-ФЗ, ФСТЭК и Трудовой кодекс
КЭДО регулируется статьями 22.1-22.3 Трудового кодекса и законом 377-ФЗ, который их ввёл. Но как только речь заходит о доступе к персональным данным, подключается отдельный пласт регулирования. Статья 19 закона 152-ФЗ обязывает оператора принимать меры от неправомерного доступа к данным. Конкретику этих мер задаёт приказ ФСТЭК России от 18.02.2013 № 21 в редакции от 14.05.2020.
Приказ № 21 содержит 15 групп организационных и технических мер. Первые две напрямую про доступ: идентификация и аутентификация субъектов доступа (группа ИАФ) и управление доступом субъектов к объектам доступа (группа УПД). Сюда же относится регистрация событий безопасности — группа РСБ, то самое журналирование действий пользователей. Набор обязательных мер зависит от уровня защищённости ИСПДн. Их четыре, от УЗ4 до УЗ1, и определяются они по постановлению Правительства РФ от 01.11.2012 № 1119 — в зависимости от категории данных, числа субъектов и типа актуальных угроз.
Кадровые системы почти всегда обрабатывают данные сотрудников, и эффективность принятых мер оператор обязан оценивать не реже одного раза в три года. Для государственных информационных систем добавляется приказ ФСТЭК № 17 и обязательная аттестация. Подать первичное уведомление об обработке персональных данных в Роскомнадзор можно через портал персональных данных Роскомнадзора — это первый шаг, который многие пропускают.
Теперь про деньги. С 30 мая 2025 года ответственность ужесточили федеральным законом от 30.11.2024 № 420-ФЗ. Утечка данных от 1 000 до 10 000 человек обойдётся компании в 3-5 млн руб. От 10 000 до 100 000 — в 5-10 млн руб. Свыше 100 000 — в 10-15 млн руб. А за повторную утечку любой категории ввели оборотный штраф: от 1 до 3% годовой выручки, не менее 20 млн руб. и не более 500 млн руб. Скидку в 50% за быструю оплату отменили, дела по юрлицам рассматривает арбитраж. О выявленной утечке оператор обязан уведомить Роскомнадзор в течение 24 часов, а отчитаться о результатах внутреннего расследования — за 72 часа по статье 21 закона 152-ФЗ.
Мария Ж, судебный эксперт по трудовому праву:
«Когда заходит разговор про оборотные штрафы, безопасники в компании оживляются первыми. И правильно делают. Я думаю, экономить на разграничении доступа сейчас — это держать мину под собственным бюджетом. Один обиженный сотрудник скачал базу через чужую учётку, и вот вам уже не «головняк» кадровика, а дело в арбитраже на проценты от выручки.»
Образцы документов для настройки доступа и перехода на КЭДО
Открыть список документов
| Документ | Скачать |
|---|---|
| Положение о ведении КЭДО | Скачать |
| Приказ об утверждении Положения о КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Уведомление работнику о переходе на КЭДО | Скачать |
| Заявление о согласии на переход на КЭДО | Скачать |
| Заявление об отказе от перехода на КЭДО | Скачать |
| Согласие на обработку персональных данных | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Согласие на проверку службой безопасности | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
Как технически реализуется разграничение доступа
На уровне системы доступ держится на нескольких механизмах, и для IT-специалиста именно они важнее всего. Идентификация и аутентификация — пользователь входит по связке логин и пароль, часто с подтверждением через одноразовый пароль или вход через доверенный сервис. Дальше работает ролевая матрица: система по внутренним алгоритмам определяет, какому кадровику отправить заявление, какие разделы личного кабинета показать, какие скрыть. В личном кабинете администратора это настраивается через управление доступностью разделов — например, блок с контактами компании можно скрыть у всех, кроме руководителей.
Маршрутизация — отдельная история. Гибкая система позволяет собирать процессы любой сложности: параллельные и последовательные согласования, выбор вида подписи на каждом этапе, блоки-задачи. После подписания трудового договора задача автоматически уходит в административную службу на подготовку рабочего места. А при увольнении — в IT-службу, чтобы закрыли учётную запись и пропуск. Вот это закрытие учётки при увольнении — критичный момент. Если кэдошник забыл деактивировать доступ, бывший работник какое-то время технически способен заходить в систему. Наши специалисты закладывают автоматическое отключение в маршрут увольнения, чтобы это не зависело от памяти кадровика.
Журналирование фиксирует, кто, когда и какой документ открыл, подписал, выгрузил. Вся цепочка подписей хранится с отметками времени — это защита при проверке ГИТ и в суде. Когда речь идёт о массовых операциях, например о рассылке локального нормативного акта на ознакомление всему штату, важна ещё и архитектура: система должна держать тысячи одновременных обращений. Тот же кадровик при приёме отдела не оформляет каждого поштучно, а пользуется массовым подписанием документов ЭЦП в рамках своей роли.
Отдельный вопрос — где физически лежат данные. Облачная поставка удобна для распределённых компаний и удалёнщиков, доступ есть из любой точки. Локальная (on-premise) разворачивается во внутреннем контуре, под VPN-периметром, и даёт безопасникам полный контроль. В 2025 году запросов на локальное развёртывание у среднего и крупного бизнеса стало заметно больше — как раз из-за внимания к информационной безопасности. В сервисе Добыто доступны облачная, локальная и гибридная поставки, выбор зависит от требований службы ИБ. При облачной схеме, к слову, согласий на обработку данных нужно два: одно работодателю-оператору, другое — провайдеру.
Как настроить разграничение прав доступа в КЭДО: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите уровень защищённости ИСПДн по постановлению № 1119 — от этого зависит набор обязательных мер ФСТЭК.
- Шаг 2. Опишите роли в Положении о КЭДО: сотрудник, руководитель, кадровик, администратор, плюс процессные роли маршрута.
- Шаг 3. Нарежьте права кадровиков по подразделениям, а не на весь штат. Закрепите за каждым свою зону ответственности.
- Шаг 4. Настройте маршруты согласования и подписания с выбором вида подписи на каждом этапе.
- Шаг 5. Включите автоматическое отключение учётки в маршрут увольнения и проверьте, что журналирование событий фиксирует все действия.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Мы всегда закладываем 2-3 дня на пилотную группу перед тем, как раскатать роли на всю компанию. На пилоте вылезают все грабли: то руководитель видит лишнее, то заполняющему не хватает прав. Лучше отловить это на десяти учётках в «проме», чем на пяти тысячах. Это экономит клиенту месяц на переделках.»
Ошибки при настройке прав доступа в КЭДО
Разберу частые промахи, которые встречаются в проектах. Каждый стоит денег — прямых или репутационных.
Ошибка первая: единые права для всех кадровиков. Делают так ради скорости — проще выдать всем полный доступ, чем нарезать по отделам. Цена ошибки: при утечке одной учётки скомпрометирована вся база, а не сегмент. При штате свыше 100 000 человек это уже коридор штрафа 10-15 млн руб. за первую утечку.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Ошибка вторая: учётка уволенного остаётся активной. Кадровик забыл удалить работника из базы, доступ не закрылся. Мотив простой — ручная процедура, про неё забывают в текучке. Цена: бывший сотрудник сохраняет техническую возможность зайти в систему, а это прямой риск несанкционированного доступа по статье 19 закона 152-ФЗ.
Ошибка третья: нет журналирования или его не проверяют. Систему настроили, а регистрацию событий безопасности отключили, чтобы не нагружать сервер. Цена: при проверке ГИТ или РКН нечем доказать, кто и когда работал с документом. Цепочка подписей с отметками времени — это и есть доказательство в суде.
Ошибка четвёртая: администраторских прав слишком много. Роль администратора раздают руководителям отделов для удобства. Цена: чем больше учёток с полными правами, тем шире поверхность атаки. Администраторов должно быть ровно столько, сколько нужно, и каждое их действие — под журналом.
Настройка ролей и маршрутов — тот этап, на котором ошибка дороже всего обходится. Если в команде нет выделенного специалиста по ИБ или матрица доступа уже разрослась до сотен пользователей, разумнее не собирать её вручную. В Добыто мы помогаем спроектировать ролевую модель под структуру компании и закрываем автоматику отключения учёток при увольнении.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Айтишники любят сделать «из коробки» и забыть. А в кадровом доступе так нельзя — структура компании меняется каждый месяц, кто-то перешёл в другой отдел, кого-то схантили. Матрицу доступа надо пересматривать, иначе через год у вас половина учёток с правами, которые человеку давно не нужны.»
Стоимость внедрения КЭДО с разграничением доступа в 2026 году
Итоговая сумма зависит от численности персонала, выбранного тарифа, вида подписи и схемы поставки — облако или локальный контур. Разграничение прав и журналирование входят в функциональность тарифов, отдельной платы за саму ролевую модель нет.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 ₽ за сотрудника / мес | до 25 сотрудников, ПЭП и УНЭП |
| Бизнес — оптимальный для среднего бизнеса с полным набором функций | от 50 ₽ за сотрудника / мес | неограниченно сотрудников, ПЭП, УНЭП и УКЭП, электронный архив |
| Корпорация — для крупного бизнеса с расширенными требованиями и SLA | по запросу | выделенный сервер, SLA 99.9%, API и кастомные интеграции |
Тариф Бизнес действует от минимальной оплаты 50 сотрудников за 30 000 ₽ в год. Локальная поставка с выделенным сервером и SLA относится к тарифу Корпорация и рассчитывается индивидуально. Чтобы прикинуть бюджет под численность и схему поставки, посмотрите актуальные тарифы сервиса Добыто — там видно, что входит в каждый пакет.
Выводы: разграничение доступа в КЭДО
Разграничение прав доступа в КЭДО — не опция, а требование закона. Базовая ролевая модель строится на четырёх уровнях: сотрудник видит своё, руководитель согласует подчинённых, кадровик работает со штатом своей зоны, администратор управляет правами и отвечает за журнал. Сверху накладываются процессные роли маршрута. Управление доступом регулируют статья 19 закона 152-ФЗ, приказ ФСТЭК № 21 с его группами мер ИАФ, УПД и РСБ, а уровень защищённости ИСПДн определяется постановлением № 1119.
На практике критичны три вещи. Нарезать права кадровиков по подразделениям, а не выдавать всем доступ ко всему штату. Закрывать учётку автоматически при увольнении, не полагаясь на ручную процедуру. Держать включённым журналирование — именно цепочка подписей с отметками времени становится доказательством при проверке ГИТ и Роскомнадзора. Эффективность мер защиты оператор обязан оценивать минимум раз в три года, а о выявленной утечке уведомлять Роскомнадзор в течение 24 часов.
В ближайшее время внимание к доступу будет только расти. Оборотные штрафы за повторную утечку — от 1 до 3% годовой выручки, не менее 20 млн руб. — уже сделали тему ИБ первым вопросом на старте любого проекта внедрения. Запросы на локальную поставку и закрытый контур усиливаются, и компании, которые выстроят ролевую модель грамотно сейчас, избавят себя от дорогих переделок потом.
Часто задаваемые вопросы
Сколько ролей должно быть в системе КЭДО?
Какой нормативный акт регулирует доступ к персональным данным в КЭДО?
Что грозит за утечку персональных данных сотрудников?
Нужно ли отключать доступ сотрудника при увольнении?
Что такое уровень защищённости ИСПДн и зачем его определять?
Облачная или локальная поставка безопаснее для разграничения доступа?
Как часто нужно проверять эффективность мер защиты доступа?
Можно ли дать кадровику доступ только к своему подразделению?
Что фиксирует журналирование в системе КЭДО?
Сколько администраторов должно быть в системе КЭДО?
Какие подписи используют разные роли в КЭДО?
Грамотно разграничить доступ — значит не просто включить роли, а связать их со структурой компании, маршрутами согласования и автоматикой отключения учёток. На этом этапе ошибаются чаще всего, и цена ошибки выросла вместе с оборотными штрафами по 152-ФЗ.
За время работы сервиса Добыто мы подключили сотни компаний — от небольших организаций до распределённых структур с филиалами в разных регионах. Помогаем спроектировать ролевую модель под вашу структуру и настроить разграничение так, чтобы оно прошло проверку ГИТ и Роскомнадзора без замечаний.
- Гибкая маршрутизация согласования: параллельные и последовательные маршруты, выбор вида подписи на каждом этапе
- Автозакрытие этапа по таймауту и автоматическое отключение учётки при увольнении
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Три вида поставки: облачная, on-premise, гибридная — под требования ИБ и VPN-периметр компании
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Готовый коннектор с 1С (ЗУП, ERP, бухгалтерия) — кадровик работает в привычном интерфейсе
- Поэтапное внедрение — по подразделениям, по типам документов, по категориям сотрудников
Следите за нашими каналами
Никакой воды — только важное и новости первыми.