Информационная безопасность в КЭДО: на что обратить внимание

Сначала разберемся, что такое КЭДО и для чего он нужен. КЭДО (кадровый электронный документооборот) — это инструмент, позволяющий обмениваться кадровыми документами и заверять их электронно, без бумаги и личных встреч.

КЭДО часто путают с ЭДО — электронным документооборотом. Но КЭДО и ЭДО не одно и то же. В чем их отличие:

• ЭДО предполагает обмен документами с юридическими лицами, например, с партнерами.
  
  
• КЭДО — документооборот с физическими лицами: сотрудниками в штате, самозанятыми, устроенными по ГПХ и т. д.

Чтобы легально и безопасно перейти на КЭДО, нужно понимать, какие законы его регулируют. Есть три основных закона, которые обязательно нужно изучить, если вы собираетесь автоматизировать процессы КДП. Перечислим их:

• 63-ФЗ «Об электронной подписи». Содержит общие понятия и положения о том, что такое электронные подписи, какими они бывают, как их получить и т. д.
  
  
• 407-ФЗ «О внесении изменений в ТК РФ в части регулирования дистанционной (удаленной) работы». Определяет порядок работы с удаленными сотрудниками, включая возможность безбумажного кадрового документооборота.
  
  
• 377-ФЗ «О внесении изменений в ТК РФ». Регулирует электронный документооборот в сфере трудовых отношений. До принятие этого закона проводился эксперимент Минтруда и Минцифры по переводу кадрового документооборота в цифровое пространство. Многие наши клиенты перешли на КЭДО именно в рамках этого эксперимента — среди порядка 600 компаний, участвовавших в эксперименте, около 350 пользовались HRlink.
  

Рассмотрим подробнее первый из перечисленных законов — 63-ФЗ «Об электронной подписи». Согласно нему можно использовать три вида подписей:

• УКЭП — усиленная квалифицированная подпись. Получение платное через аккредитованный удостоверяющий центр. Самая надежная из всех. Чаще всего ее использует работодатель, так как это единственный доступный для него вид подписи, а также руководитель КДП. Всем сотрудникам оформлять УКЭП дорого и сложно.
  
  
• УНЭП УЦ — усиленная неквалифицированная подпись, выданная удостоверяющим центром. Она подойдёт всем остальным сотрудникам. Получение тоже платное, но идентификацию личности можно пройти онлайн без похода в удостоверяющий центр.
  
  
• УНЭП Госключ — аналогична предыдущей, но выдается через одноименное приложение.
  
  
• ПЭП — простая электронная подпись. Также подойдёт для сотрудников, в отличие от предыдущих, эта подпись бесплатная, идентификация личности не требуется. Но с ПЭП могут возникнуть сложности, если нужно доказать факт подписания, так как она не оставляет цифровой след.
  
  
• ПЭП ЕСИА — отличается от предыдущей тем, что выдается при личной явке, когда вы обращаетесь за государственными или муниципальными услугами.
  

407-ФЗ регулирует работу с дистанционными и комбинированными сотрудниками. Форматы сотрудничества с такими работниками бывают двух типов:

• Дистанционный — сотрудник полностью удаленный, в офисе не работает.
  
  
• Гибридный — человек может совмещать работу из дома и из офиса, например, два дня в неделю он находится в офисе, остальные — дома.
  
  

В обоих случаях допускается обмен документами электронно, без очного присутствия. Есть исключения, о которых поговорим далее.

Операции, связанные с электронными документами, регулирует 377-ФЗ.

• Разрешает вести кадровые документы электронно без дублирования на бумаге, кроме исключений, о которых расскажем в следующем параграфе.
  
  
• Регулирует порядок внедрения КЭДО в компаниях.
  
  
• Указывает, в каких случаях можно использовать электронные подписи.
  

Сейчас есть всего три вида кадровых документов, которые обязательно нужно оформлять на физическом носителе:

• Акт о несчастном случае.
  
  
• Приказ об увольнении.
  
  
• Документы, связанные с инструктажем по охране труда.
  
  

Что касается последнего пункта, в Госдуму уже внесен законопроект, предлагающий перевести документы об инструктаже в электронный формат. В ближайшее время весь кадровый документооборот может перейти в цифру.

Для легального перевода кадровых процессов в цифровой формат, нужно подписать следующие документы:

• Согласие на обработку персональных данных. Его можно подписывать как на бумаге, так и электронно. Должно включать в себя перечень юрлиц, которые будут участвовать в КЭДО, список данных, которые будут обрабатываться и цель их обработки. Это должно быть обосновано, не стоит указывать в документе те данные, которые нет необходимости обрабатывать для КЭДО.
  
  
• Поручение на обработку персональных данных. Собрав согласия с сотрудников, вы передаете их данные для последующей обработки, например, для трудоустройства. Для этого и оформляется поручение.
  
  
• Согласие на обработку и передачу данных третьим лицам. Это необходимо, поскольку КЭДО-платформа не существует автономно, она связана с другими сервисами, например, с сервисом для выдачи ключа электронной подписи, проверки и распознавания документов и т. д. Эти сторонние программы и будут являться третьими лицами. Вам нужно точно знать, куда еще, помимо основного сервиса, уходят данные, и собрать согласия.
  

Так, в HRlink интегрированы все необходимые сервисы:

• Корпоративные порталы.
  
  
• КДП-системы.
  
  
• HR-сервисы
  
  
• Выдача электронных подписей.
  
  
• СЭД.
  
  
• Личные кабинеты.
  
  
• Сервисы уведомлений.
  
  
• АТС.
  

Для информационной безопасности важно правильное разделение по статусам и ролям — от них зависит, какие операции можно проводить с тем или иным документом или данными.

• Физические лица — это люди, которые работают в компании.
  
  
• Сотрудники — часто это определение путают с физическими лицами, но это неверно. Одно физическое лицо может совмещать в себе несколько сотрудников.
  
  
• Роли — от них зависят функции, которые конкретный работник выполняет в рамках кадрового документооборота. В HRlink доступны следующие роли:
  
  
  • работодатель — может подписывать документы от лица компании с помощью УКЭП;
    
    
  • кадровик — расширенные возможности по работе с документами;
    
    
  • сотрудник — дается по умолчанию, есть у всех лиц в компании;
    
    
  • администратор — наделен правами по технической работе с КЭДО-платформой.
    

Еще один важный аспект информационной безопасности связан с размещением и хранением данных. В КЭДО есть два варианта размещения:

• В облачном хранилище. В этом случае данные хранятся на стороне поставщика, это гораздо проще для заказчика, поскольку практически не требует ресурсов с его стороны, безопасность обеспечивает сторона поставщика.
  
  
• На собственных серверах (on-premise). Такой вариант сложнее и дороже, так как нужно обеспечить инфраструктуру, но в этом случае заказчик сам контролирует безопасность данных, может не беспокоиться, что они куда-то передаются, установить дополнительные средства защиты и т. д. Порой стоимость такого решения может быть сопоставима с ценой за внедрение КЭДО-платформы.
  
  

Выбор того или иного решения зависит от возможностей компании и от ее внутренней политики. Прежде чем определить, какой тип размещения вы будете использовать, необходимо проконсультироваться с вашим специалистом по безопасности, который расскажет про все требования и ограничения.

Все документы, которые вы выгружаете из КЭДО-системы, скачиваются в архиве. Согласно приказу Минтруда от 20.09.2022 № 578н, для архива устанавливаются определенные требования. Так, если вы скачиваете электронный документ, в архиве должны быть:

Все эти файлы должны соответствовать единым требованиям, включая формат, название, оформление и т. д. Подробно о них можно почитать в тексте приказа.

Чтобы дать определение, откуда исходит угроза, выделяется два типа нарушителей: внешний и внутренний.

Необходимо убедиться, что поставщик принимает хотя бы базовые меры по безопасности как для внешних, так и для внутренних угроз.

• Для внешней безопасности используются инструменты сканирования от угроз снаружи.
  
  
• Для внутренней безопасности проводится сканирование на наличие устаревших версий, неустраненных уязвимостей.
  
  

Обязательно поинтересуйтесь у поставщика, какими инструментами для обеспечения внешней и внутренней безопасности он пользуется.

Также одним из критериев надежности может быть нахождение КЭДО-платформы в реестре отечественного ПО.

• Во-первых, специалисты тщательно проверяют сервисы по множеству критериев. Если платформа попала в реестр, значит, она прошла проверки.
  
  
• Во-вторых, зарубежное ПО могут отключить из-за санкций, с российским такого не случится.
  

Помимо условий, обозначенных в 152-ФЗ «О персональных данных», особых требований к поставщикам нет. Однако существуют международные стандарты, которые поставщики могут использовать по своему усмотрению. Один из них — ISO/IEC 27001. Это международный стандарт по информационной безопасности.

Этот стандарт определяет следующие критерии к поставщикам:

• Конфиденциальность информации.
  
  
• Целостность информации.
  
  
• Доступность информации.
  
  

Таким образом, важным критерием при выборе поставщика станет соблюдение стандарта ISO/IEC 27001.

В рамках вышеупомянутого 152-ФЗ вы можете потребовать с поставщика соблюдение следующих условий:

• Хранение всех данных на серверах, находящихся на территории РФ. По запросу представители КЭДО-платформы обязаны предоставить адрес, где именно хранятся данные.
  
  
• Проведение внутренней работы в компании — подготовка документов.
  
  
• Предоставление информации об уровне защищенности и о том, как этот уровень был определен.
  
  
• Предоставление акта оценки эффективности.
  

Кроме того, необходимо в обязательном порядке уведомить Роскомнадзор о том, что вы являетесь оператором данных.

Информационная безопасность — один из важнейших критериев выбора КЭДО-платформы. Если вы сейчас принимаете решение и проводите тендер, рекомендуем обратить пристальное внимание на безопасность решения.