На страже безопасности: как компании с закрытым контуром выбрать систему КЭДО

Айрат Сибгатуллин, директор продукта Directum HR Pro

Кадровый электронный документооборот (КЭДО) — эффективный инструмент, с помощью которого компании разных размеров и отраслей добиваются впечатляющих результатов: ускоряют и упрощают HR-процессы, экономят ресурсы, создают комфортные условия для сотрудников. Это подтверждает опыт многих организаций, которые уже перевели работу с кадровыми документами в цифровую плоскость.

При этом чем больше компания и чем сложнее ее бизнес-процессы, тем совершеннее должна быть профильная система. Крупные организации предъявляют особые требования к гибкости ИТ-решений, их масштабируемости, широте функциональности. Отдельный вопрос — насколько качественно в программном продукте продумано все, что касается информационной безопасности.

Эта проблематика особенно актуальна для компаний с закрытым контуром.

Если на предприятии очень высокие требования к безопасности, значит ли это, что ему не по пути с кадровым ЭДО? Конечно, нет. Главное — учесть все нюансы, связанные с защитой информации, и выбрать систему, которая справится с задачей и станет надежной основой цифровизации. Какие возможности она должна предоставлять, будет зависеть от конкретной организации и степени ее «закрытости».

Не все компании одинаково закрыты

Когда речь заходит о КЭДО, под организациями с закрытым контуром обычно подразумевают предприятия, для которых требования безопасности играют решающую роль при выборе информационной системы (ИС). При этом с точки зрения существующих ограничений уровень «закрытости» таких компаний может быть очень разным:

• Есть предприятия, сотрудникам которых разрешено использовать свои устройства (смартфоны, ноутбуки) и даже работать из дома. Каналы связи с внешним миром контролируются, но не более того.
• На следующем уровне домашние рабочие места и личные гаджеты работников исключаются. Для решения производственных задач предоставляются корпоративные устройства. При этом их можно выносить за территорию предприятия, ездить с ними в командировки и т.д. Разница в том, что эти устройства проверены службой безопасности, контролируется среда выполнения клиентских приложений.
• Следующий уровень закрытости предполагает, что устройства не должны выходить за периметр предприятия. В то же время может сохраняться возможность работы с удаленными организациями, например с удостоверяющими центрами (УЦ) и провайдерами СМС, по защищенным каналам.
• Наконец, из действительно закрытого контура не должно уходить ни байта информации. Для выполнения задач может быть отдельная внутренняя сеть, у которой нет связи с интернетом. Чтобы общаться с внешним миром, предусмотрены специальные рабочие места, доступ к которым есть далеко не у всех.

Требования к профильным системам будут отличаться в зависимости от того, к какому типу относится конкретная компания. Но даже в условиях максимальной закрытости можно организовать кадровый ЭДО в полном соответствии с законодательством и с требованиями безопасности. Главное, чтобы информационная система обладала нужным набором свойств.

Требования к системе для КЭДО в закрытом контуре

Соблюдение предписаний регуляторов

Для защиты персональных данных в России действуют общие требования, которые прописаны в Федеральном законе №152-ФЗ. Специальные меры по обеспечению безопасности ПДн разрабатывают Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба безопасности (ФСБ).

В списке требований к операторам можно выделить несколько основных:

• использование антивируса — это самая простая мера, которая помогает защитить систему от вредоносных программ;
• распределение прав доступа по ролям — дает возможность ограничить доступ сотрудников к конфиденциальной информации;
• парольные политики — помогают обеспечить надежную защиту учетных записей;
• фиксация всех событий безопасности в системе — дает возможность отслеживать действия пользователей и оперативно выявлять причины возможных проблем. В системе ведется журнал событий, из которого легко узнать, когда и кто заходил в систему. Неудачные попытки входа могут указывать на попытку атаки и сигнализируют ответственным сотрудникам, что нужно разобратьсяв ситуации и принять меры.

Для примера посмотрим на отечественную систему управления кадровыми процессами и документами в электронном виде Directum HR Pro. В ней реализованы все необходимые меры: предусмотрены широкие возможности назначения доступа к каждой сущности системы, продуманы парольные политики, ведется журнал аудита для оперативной аналитики. Единственное, что остается «на совести» заказчика — это установка антивирусных программ.

Лицензирование деятельности и сертификация продуктов

Важный критерий, который свидетельствует о том, что вендор серьезно подходит к вопросам безопасности, — наличие специальных лицензий и сертификатов как у него самого, так и у разработанных им программных продуктов.

Лицензированием занимаются все те же ФСТЭК и ФСБ.

Так, у компании Directum есть:

• лицензия ФСБ № 0005028 на осуществление разработки, производства и распространение шифровальных (криптографических) средств;
• лицензия ФСТЭК № 1034 на деятельность по разработке и производству средств защиты конфиденциальной информации;
• лицензия ФСТЭК № 1818 на деятельность по технической защите конфиденциальной информации.

Платформа в основе системы Directum HR Pro также имеет сертификат соответствия ФСТЭК № 4467 по требованиям безопасности информации.

Все эти документы подтверждают квалификацию компании по работе с самыми чувствительными видами информации.

Возможность организовать подписание документов

В зависимости от степени «закрытости» у предприятия может сохраняться возможность взаимодействия с внешним удостоверяющим центром для того, чтобы организовать выдачу электронных подписей для сотрудников. Однако в случае с максимально закрытыми предприятиями такой вариант исключается и остается только одна опция — создать свой собственный УЦ. Понадобится также специальное программное обеспечение, например КриптоПро DSS или КриптоПро Ключ.

Универсальная информационная система для КЭДО должна «уметь» работать с обоими сценариями. К примеру, среди клиентов компании Directum есть закрытые организации, которые тем не менее работают с внешними облачными УЦ (коммерческий банк «Кубань Кредит»), а есть те, кто пользуется внутренним УЦ для организации легитимного подписания кадровых документов. В обоих форматах работа идет на 100% легитимно и безопасно. К продуктам КриптоПро есть готовый коннектор.

В случае если сотрудникам запрещено использовать личные устройства, оптимальный вариант — организовать коллективные рабочие места. Они могут быть созданы на предприятии в общих помещениях — в столовой, комнате отдыха, библиотеке или на проходной. Работник может в удобное время воспользоваться компьютером или инфокиоском для отправки заявления на отпуск или ознакомления с документом. При этом логин и пароль у каждого индивидуальный.

Работа с уязвимостями

В любой информационной системе могут быть ошибки, которые создают уязвимости. Разработчики и злоумышленники постоянно ищут их, правда, каждый для своих целей. Особо тщательное внимание этому аспекту уделяют организации финансовой отрасли. Здесь действуют строгие требования к проверкам систем и срокам устранения уязвимостей. Банки тщательно сканируют программные продукты на наличие проблем, прежде чем допустить их в свою инфраструктуру. Это относится и к ПО для КЭДО.

Уязвимости бывают разных уровней критичности: критические (Crit), высокие (High), средние (Medium) и низкие (Low). Банки придерживаются политики, согласно которой системы даже с одной high-уязвимостью не допускаются к использованию.

Чтобы работать с такими заказчиками, вендорам приходится уделять особое внимание работе с уязвимостями. Даже если сегодня проблем нет, это не значит, что они не появятся завтра. Задача производителя ПО — оперативно выпускать патчи для устранения уязвимостей и обеспечивать бесперебойное функционирование систем.

В Directum HR Pro для обнаружения слабых мест проводятся специальные сканирования. При этом вендор не только самостоятельно исследует работу ПО с помощью автоматизированных сканирований и пентестов, но и изучает данные от клиентов, которые также обследуют систему и сообщают об обнаруженных уязвимостях.

On-premises-поставка

На рынке информационных систем сложился многолетний тренд — уход «в облака». При этом организации с закрытым контуром всегда разворачивали ПО on-premises. События в России и мире, произошедшие в последние годы, также способствуют тому, что все больше компаний возвращаются к варианту локального размещения.

Компания Directum предлагает своим клиентам обе опции — cloud и on-premises, но вендор всегда был ориентирован в первую очередь на крупный бизнес, который всегда настороженно относился к облакам. Благодаря опыту работы с такими компаниями Directum обладает всеми нужными компетенциями и готов применять накопленную экспертизу, внедряя КЭДО в организации с закрытым контуром.

Продуманная архитектура

Специфика системы для кадровых процессов в том, что к ней должны иметь доступ все сотрудники — как правило, через личный кабинет. Архитектурно оптимальный вариант — разместить его в так называемой демилитаризованной зоне (DMZ). В этом случае ЛК становится отдельным интерфейсом с ограниченными правами доступа и минимальным набором данных.

Для дополнительной защиты можно использовать прокси-серверы и API-менеджеры. Важно, чтобы система давала возможность гибко настраивать взаимодействие с такими сервисами.

В случае с Directum HR Pro архитектура системы не является монолитной и может быть адаптирована совместно со специалистами службы безопасности. Ее можно разделить на слои и добавить рубежи защиты между элементами. Это обеспечивает высокий уровень безопасности при работе с кадровыми документами.

Внедрение КЭДО в организации с закрытым контуром — задача вполне выполнимая. Как видно, даже строжайшие требования безопасности не препятствуют переводу кадровых процессов в цифру. Главное — выбрать надежное и продуманное ИТ-решение, которое откроет компании доступ ко всем бонусам цифровизации.