Безопасность данных КЭДО при размещении в облаке - Сервис кадрового электронного документооборота Comply Consent

При переходе компании на электронный документооборот особое внимание уделяется безопасности данных. Нельзя просто хранить цифровые документы и информацию о сотрудниках на любом сервисе. Важно, чтобы облачное хранилище соответствовало рекомендациям регулятора.

О том, как хранить цифровую документацию и что делать для обеспечения безопасности — рассказали в статье.

КЭДО: где используется, какие преимущества и недостатки

Кадровый электронный документооборот активно используется средними и крупными компаниями в разных сферах деятельности. Эксперимент по внедрению начался с ноября 2021 года, когда было подписано соответствующее постановление. Планируется, что к 2024 году большая часть предприятий перейдет на цифровое делопроизводство.

Преимущества КЭДО для работодателей:

1. Экономия денег. Цифровую документацию не нужно распечатывать, отправлять курьером, благодаря чему экономится значительная часть денежных ресурсов компании. Для крупной компании экономия составляет до 40% в год.  
2. Сокращение времени при подписании документов. Если в компании работают удаленные и дистанционные сотрудники, процесс подписания соглашений затягивается на 5-7 дней. Электронные документы подписываются за 5 минут, вне зависимости от местоположения работников.
3. Доступ к документам из любой точки. При наличии сети интернет доступ к программе для КЭДО можно получить с любого устройства. Например, сервис Comply.Consent работает на смартфонах, ПК и планшетах.
4. Быстрый поиск файлов. По названию документа файл можно найти за считанные секунды, чего нельзя сказать о поиске в бумажном архиве.
5. Просмотр истории редактирования. В программе отображаются все изменения, вносимые в документ.
6. Безопасность и сохранность данных. Информация хранится на защищенных серверах, а для обеспечения максимальной сохранности система делает резервные копии. Это исключает риск утери данных в случае переезда компании или ремонта офиса.

Из минусов можно отметить финансовые затраты, без которых не получится перейти на КЭДО. Нужно выбрать и оплатить систему, выпустить ЭП для сотрудников. Еще есть риск, что не все работники согласятся на цифровое делопроизводство. В этом случае у кадровой службы возникнут сложности, которые могут привести к ошибкам и штрафам со стороны надзорных органов.

Какие угрозы могут быть в КЭДО

Чтобы обеспечить должный уровень безопасности, важно определить список угроз. Они могут быть внешними и внутренними:

1. Внешние (искусственные) угрозы исходят от хакеров и лиц, которые не работают в организации. Еще сюда относят обстоятельства непреодолимой силы (естественные угрозы) — аварии, катаклизмы, погодные явления и так далее. Они не зависят от того, что происходит внутри организации. Проблема с естественными угрозами решается резервным копированием — система копирует данные, которые хранятся на других серверах.
2. Внутренние угрозы поступают непосредственно от работников предприятия. Условно их можно разделить на два вида: преднамеренные — когда сотрудник передает конфиденциальную информацию третьим лицам, и непреднамеренные — утечка данных из-за незнания, неправильного обращения с системой или пренебрежения правилами безопасности.

Чтобы минимизировать риски, нужно обучить сотрудников работать в системе и разработать специальную инструкцию, в которой будет описан подробный алгоритм действий. Дополнительно следует уделить внимание вопросу конфиденциальности сведений и правилам использования учетной записи.

Почему безопасность электронного делопроизводства становится актуальной?

Помимо возможности утечки данных, еще одна причина, по которой нужно уделить особое внимание защите информации, — штрафы со стороны контролирующих органов. Например, за неправильную обработку данных компании грозит штраф до 500 тысяч рублей, а за отсутствие локализации данных в России — до 18 миллионов рублей.

Если партнеры и сотрудники узнают о взломе и утечке персональных данных, это негативно скажется на репутации организации и привлечет внимание Роскомнадзора и других государственных органов.

Какие изменения произошли в парадигме защиты электронных документов

Основная опасность исходит от искусственно созданных угроз — хакерских атак, фишинга и так далее. Поэтому важно выбрать надежную систему для ведения кадрового цифрового делопроизводства.

Что такое облачные системы КЭДО

Это современные интернет-сервисы, которые помогают вести цифровой документооборот, без установки ПО на компьютер. Функционал позволяет оперативно передавать и хранить данные в облачном пространстве.

Преимущества облачных сервисов:

1. Большой выбор предложений. На российском рынке представлены разные сервисы, предлагающие услуги ведения КЭДО. Благодаря этому можно легко подобрать партнера, который будет на 100% отвечать вашим требованиям.
2. Обеспечение безопасности. Компании, предлагающие подобные услуги, осведомлены о требованиях регулятора, поэтому хранение данных осуществляется с учетом норм российского законодательства.
3. Минимум рисков. Если сервис не оправдает ожиданий работодателя, можно перейти на другую систему. В отличие от разработки собственного ПО, вы ничего не теряете, отказавшись от услуг.
4. Легкая настройка под нужды компании. К примеру, Comply.Consent отличается гибкой настройкой под сервис клиента.

Как работают облачные сервисы

Обычно интернет-сервисы используют дата-центры для хранения информации. Это значит, что кадровая документация хранится не у работодателя, доступ к ней возможен через специальный сервис.  

Сервисы и владельцы дата-центров гарантируют клиентам безопасность благодаря системе шифрования информации. Пункт о безопасности данных прописывается в соглашении между сервисом и клиентом.

Доступ к документам, хранящимся в облаке, есть только у владельцев аккаунтов.

Как повысить безопасность

Согласно Федеральному закону № 149-ФЗ «Об информации, информационных технологиях и о защите информации», для обеспечения безопасности данных можно использовать правовые, технические и организационные меры. Они позволяют обеспечить защиту информации от несанкционированного доступа, изменения, блокирования и других неправомерных действий.

Технические меры

Рассмотрим технические меры, которые помогут повысить безопасность:

1. Использование защитного сетевого оборудования. Сюда относятся маршрутизаторы, шифроваторы, сетевые шлюзы и так далее.
2.  Внедрение двухфакторной аутентификации. Если сотрудники имеют доступ к персональным сведениям работников, рекомендуется использовать двухуровневую систему защиты. Например, для входа вводится пароль и код из SMS.
3. Установка на устройство антивирусной программы. Это позволит защититься от вирусных атак.
4. Применение технологии блокчейна для сохранности сведений и исключения подделки информации в документах.

Организационные меры

Один из способов защититься от утечки данных — разграничить права пользователей. Суть заключается в том, что рядовые сотрудники не имеют доступ к важной информации, а следовательно, не могут преднамеренно или непреднамеренно передать сведения третьим лицам.

Доступ к конфиденциальной информации должен быть только у тех сотрудников, которым она необходима для выполнения должностных обязанностей. Дополнительно можно настроить сохранение истории запросов документации. Так в случае изменения или удаления документа можно быстро установить, какие сотрудники с ним работали.  

Заключение

Для защиты кадровой информации нужно выбрать надежного партнера, который гарантирует безопасность данных и руководствуется нормами законодательства РФ. Современные сервисы поддерживают высокие стандарты безопасности: документация передается по защищенному каналу с использованием технологии шифрования.

Для минимизации риска внутренних угроз важно обучить сотрудников работе в системе, уделив особое внимание вопросу безопасности. Часто утечки случаются из-за того, что сотрудник использовал незащищенный канал связи при входе в учетную запись. Решение: подробная инструкция и обучение.