Как обеспечить безопасность КЭДО в госучреждениях

Кадровый электронный документооборот — удобный и эффективный инструмент автоматизации для любой организации. Переход на КЭДО выбирают все больше компаний и госучреждения не стали исключением. Однако любое программное обеспечение для госсектора должно соответствовать целому ряду требований. В статье я расскажу о некоторых из них и разберу на примере КЭДО WiseAdvice EmplDocs.

Утечки данных в России

Цифровизация мировой экономики — процесс необратимый и в определенный момент переход на электронный документооборот стал вынужденной мерой для российских компаний. Так как разработать отечественный продукт на тот момент было дорого и долго, многие коммерческие организации закупали и устанавливали зарубежное оборудование и программное обеспечение.

Отсутствие стандартизации и должного уровня защиты приводили к регулярным утечкам информации. Только в госкомпаниях в 2006 году халатность работников и небезопасность оборудования стали причинами 34% утечек. Результатом этого стало создание закона о персональных данных.

Система КЭДО содержит в себе огромное количество персональных данных, коммерческих сведений, а когда речь идет о госпредприятиях, то нельзя забывать и о сведениях, составляющих государственную тайну. Требования к безопасности программного обеспечения, которое хранит конфиденциальную информацию неизбежно будут высокими. 

Утечка информации такого рода грозит критичными последствиями для любой организации: это и финансовые, и репутационные потери и кража личных данных. Именно поэтому информационная безопасность — главное требование для любого программного обеспечения на госпредприятиях. 

Программное обеспечение, используемое на госпредприятиях должно соответствовать ряду требований:

• ПО должно иметь сертификацию ФСБ/ФСТЭК
• ПО должно быть совместимо с защищенными программными комплексами (Астра Линукс, АЛЬТ, РЕДОС)
• Персональные данные граждан РФ не должны передаваться за рубеж

Сертификация ФСТЭК — это важный шаг для разработчиков программного обеспечения и средств защиты информации, позволяющий удостоверится в безопасности своего продукта и возможности использовать его на стратегически важных предприятиях. 

Переход на российское ПО

Термин «импортозамещение» прочно вошел в российскую экономику в 2012 году после событий, связанных с международными санкциями. Тогда в госпрограмме впервые поднялась тема развития независимости экономики страны. 

Появились опасения, что Россия может оказаться в изоляции. В 2015 была разработана национальная платежная система «МИР». Изменения коснулись и систем госзакупок: теперь в них может использоваться только программное обеспечение, внесенное в Единый реестр ПО Минцифры. 

Импортозамещение касается не только отдельных программных продуктов для коммерческих организаций. В 2019 году Госдумой был принят закон о суверенном интернете, предполагающий разработку независимой инфраструктуры для обеспечения бесперебойной работы российских сервисов даже в случае отключения их от зарубежных интернет-серверов. 

В ходе внедрения всех этих планомерных государственных инициатив стало понятно, что внутри страны есть большой запрос на создание отечественных инструментов автоматизации, в том числе систем КЭДО. 

«Безоблачное хранение данных»: On-Premise против Cloud

Когда перед компанией встает задача внедрения какого-либо IT-сервиса, один из важнейших вопросов — а как будут храниться данные? Существует несколько решений, самые распространенные это Cloud и On-Premise. Расскажу подробнее: 

• Cloud — это способ хранения и передачи информации с помощью облака через подключение к Интернету.
• On-Premise — это развертывание ПО на физическом сервере конкретного пользователя без выгрузки данных в облако.

На первый взгляд Cloud-решение выглядит более привлекательным для любой компании. И у него есть объективные плюсы, например: 

• нет необходимости разворачивать все компоненты самостоятельно при установке;
• не нужно использовать инфраструктуру компании;
• можно использовать, даже если это непрофильное решение для конкретной компании;
• не нужны отдельные сотрудники для обслуживания системы.

Установка Cloud-решения кажется проще и быстрее. Однако при выборе такого решения компания не может быть уверена в том, где именно будут храниться ее данные, каким образом происходит их шифрование и у кого еще будет к ним доступ. 

«Это, можно сказать, «Черный ящик» — проверить по факту, где будут храниться данные, к сожалению, нельзя». — Олег Филиппов, СТО WiseAdvice EmplDocs.

О чем еще стоит помнить при выборе Cloud-решений:

1. Компания зависит от вендора программного обеспечения. Это касается в том числе и цены, особенно, если поставщик предоставляет на рынке уникальные услуги. В случае повышения цен у компании не останется другого выбора и придется платить. 
2. Зависимость от доступа. Если поставщик решит внести какие-либо изменения, компании в любом случае придется подстраиваться или как минимум тратить время на согласование этих изменений на своей стороне. 
3. Зависимость от стабильности работы системы. В лицензионном договоре можно и нужно прописать штрафы за нестабильную работу, но даже в этом случае компания-клиент понесет как минимум временные и имиджевые убытки. 
4. Невозможность напрямую повлиять на сотрудников, которые обслуживают систему. 

Основные риски Cloud-решений: 

• Кража или изменение данных мошенниками при передаче в облако. Также стоит помнить, что такая передача не соответствует требованиям ФЗ-152 «О персональных данных».
• Доступ третьих лиц к конфиденциальной компании. Здесь речь идет о вендоре ПО и владельце облака.
• Потеря данных в случае, если вендор потеряет российскую аккредитацию и будет вынужден уйти из страны.

Теперь рассмотрим особенности решений On-Premise.

Важно уточнить, что госучреждения могут использовать только решения On-Premise в своих ПО. 

Это связано с требованиями к безопасности, а также запретом на трансграничную передачу персональных данных российских граждан и ограничениями в оплате лицензий и техподдержке. На сегодняшний день госпредприятия в процессе перехода на полностью российское ПО: это значит, что иностранные программы используются только в том случае, если у них нет отечественных аналогов и они не передают данные за пределы страны. 

On-Premise использует внутреннюю IT-инфраструктуру организации и сохраняет данные только в ее контуре. В чем преимущества такого решения: 

1. Снижается риск утечки при передаче данных в хранилище.
2. Доступ к данным возможен только через внутренний интерфейс компании. Это ограничивает доступ для каждого отдельного человека и нет возможности получить все данные сразу. 
3. Технология On-Premise полностью соответствует требованиям ФЗ-152 «О персональных данных».

К персональным данным относится информация, с помощью которой можно идентифицировать человека. То есть даже ФИО без даты рождения и, например номер телефона можно отнести к таким данным. 

Так как любая система КЭДО работает с персональными данными, использовать решение On-Premise лучше с точки зрения защиты.

Кадровый электронный документооборот в госучреждениях

Кадровый электронный документооборот (КЭДО) представляет собой систему для управления кадровыми документами в электронном виде. Для государственных и муниципальных предприятий КЭДО необходим по ряду причин: 

• Эффективность и экономия ресурсов: КЭДО позволяет существенно сократить время и ресурсы, затрачиваемые на кадровый документооборот. 
• Удаленная работа: В условиях роста удаленной работы КЭДО обеспечивает доступность необходимых документов в любое время и из любого места.
• Соответствие законодательству: КЭДО помогает госучреждениям соответствовать требованиям законодательства в области электронного документооборота.

В условиях современных вызовов в области информационной безопасности, использование On-Premise установок программного обеспечения становится ключевым фактором защиты данных в государственных учреждениях России.

Учитывая риски, связанные с утечками данных, а также необходимость обеспечения эффективного и безопасного кадрового документооборота, государственные и муниципальные предприятия должны придерживаться строгих мер безопасности и использовать проверенные и надежные решения.

Разберем на примере ПО WiseAdvice EmplDocs.

По сути программное обеспечение представляет собой оболочку для базы 1С:ЗГУ. То есть все данные, которые видит сотрудник в своем Личном кабинете, вносятся туда кадровиком и не могут попасть извне. 

Тот же принцип работает и в обратную сторону— как только сотрудник совершает какое-то действие, например, подписывает документ или оставляет заявку на отпуск— эта информация отображается в 1С, в котором работает кадровик. Данные не выходят за пределы компании и никакой сторонний сервис их не собирает. 

При выборе системы КЭДО нужно учитывать большой перечень требований и постоянно отслеживать изменения в законодательстве, так как цена ошибки в КДП очень высока. 

WiseAdvice EmplDocs — это система электронного кадрового документооборота, разработанная на платформе 1С:Предприятие 8.3z и полностью подходит для государственных учреждений:

1. Соответствие законодательству и безопасность данных
   Сервис находится в реестре отечественного ПО Минцифры, а значит соответствует требованиям законодательства: 
   • законы о персональных данных, 
   • ограничения на трансграничную передачу данных, 
   • принципы On-Premise, 
   • шифрование,
   • регулярное обновление политики безопасности.
     Это обеспечивает юридическую защищенность и защищает данные от утечек.
2. Эффективность и экономия ресурсов
   Сервис автоматизирует многие процессы кадрового делопроизводства, что позволяет сократить время на обработку документов и уменьшить расходы на бумажные носители и их хранение. Это повышает общую эффективность работы кадровых служб.

Система КЭДО WiseAdvice EmplDocs ценный инструмент для современных государственных учреждений, стремящихся к цифровизации и оптимизации своих процессов.