Безопасный кадровый документооборот: кому выдать УКЭП, кому УНЭП, и для чего нужен загранпаспорт
Цифровизация в компаниях наконец-то дошла до HR-отделов. Это стало возможно благодаря появлению в России нормативной базы, которую ждали много лет. Рассказываем, как обеспечить легитимность и безопасность цифрового подписания при переходе на электронный кадровый документооборот (КЭДО)
Какие электронные подписи выбрать
Для целей кадрового документооборота используются простые (ПЭП) и усиленные электронные подписи — квалифицированные (УКЭП) и неквалифицированные (УНЭП).
Какой электронной подписью подписать кадровый документ — ПЭП, УНЭП, УКЭП, Госключ? Их применение регулируют 63-ФЗ и 377-ФЗ. Они указывают, какие кадровые документы какими подписями можно подписать. Исходя из положений этих законов, эффективнее всего использовать УКЭП для работодателя и УНЭП — для работников.
Александр Быков
руководитель проектов развития бизнеса Directum
«Усиленной квалифицированной подписью работодатель сможет заверить все виды документов, которые в принципе можно вести в электронном виде. В Трудовом кодексе России описаны варианты, когда можно использовать и другие виды ЭП, но чтобы не разбираться в каждой конкретной ситуации, со стороны работодателя лучше задействовать УКЭП. Кроме того, это полностью исключит риск признания документа недействительным.
Для работника оптимальный вариант — УНЭП. Согласно закону, он сможет заверить этой подписью любой кадровый документ. Функциональность УКЭП для рядового специалиста избыточна, к тому же эта подпись дороже. Если же взять простую, то она имеет ограничения, и не обеспечивает достаточную безопасность долговременного хранения заверенных документов».
Также в ТК РФ появилось понятие Госключа. Это технология мобильного подписания, используя которую можно получить и УКЭП, и УНЭП. Сгенерировать подписи легко. Например, для УНЭП понадобится только смартфон и подтвержденная учетная запись на Госуслугах. С УКЭП чуть сложнее — дополнительно нужен будет заграничный паспорт нового образца с биометрическими данными и технология NFC в телефоне, чтобы эту информацию распознать. Еще «бонусы» Госключа: приложение бесплатное и всегда под рукой, с его помощью легко организовать массовую выдачу подписей.
«Есть три вида документов, которые по-прежнему обязательно дублируются на бумаге. Это приказ об увольнении, акт о несчастном случае на производстве и документ о прохождении работником инструктажа по охране труда. Остальные можно спокойно создавать и подписывать только в электронном виде».
Безопасность разных видов ЭП
Случай из судебной практики: как сотрудника уволили против его желания, и при чем тут УНЭП ПЭП — это наименее защищенный вид подписи. Она существует в той информационной системе (ИС), в которой была сформирована, поэтому выгрузить кадровые документы проблематично. Фактически безопасность ПЭП определяется добросовестностью разработчика ИС, так как сама по себе не содержит средств защиты. Зато это самый дешевый вариант.
Усиленные подписи основаны на криптографических алгоритмах шифрования, которые разработчик обязан использовать в соответствии с законодательством. К их безопасности предъявляются конкретные требования регуляторов, а безопасность регламентирована. УНЭП удовлетворяет всем правилам безопасности, при этом доступна по цене.
УКЭП выдают аккредитованные организации — удостоверяющие центры ФНС, Казначейства и коммерческие. Эта подпись самая дорогая, но и наиболее надежная: предполагает либо мобильное, либо локальное (токены) подписание. Облачной она не бывает. По ТК РФ пользоваться ей обязаны в основном руководители.
Александр Быков
«Главное, что нужно понимать, — электронная подпись гораздо надежнее бумажной. Подделать подпись на бумажном документе намного проще, особенно когда заверяется только последний лист. Конечно, меры защиты от подмены есть (прошивка, визирование, печати), но применяются они далеко не всегда, требуют времени и ресурсов. Да и сами подписи на бумаге подделывали всегда и продолжают это делать.
Электронная подпись становится недействительной, если поменялся хоть один бит в документе. Подделать документ с ЭП очень сложно.
Часто звучат опасения относительно того, что устройство — тот же токен — могут украсть. Это вопрос цифровой гигиены. Сама технология — максимально безопасна, всё остальное определяет человеческий фактор. Если владелец ключа бесконтрольно и бездумно передает его из рук в руки, конечно, такой формат ненадежен. Если же человек проявляет осознанный и грамотный подход, подписывать документы УКЭП весьма безопасно, особенно если используются токены с неизвлекаемыми ключами.
С облачной УНЭП — всё то же самое, технология надежна. Более того, в этом случае владелец ключа делит ответственность за безопасность с Удостоверяющим центром, который этот ключ хранит».
Кстати, в России прослеживается тенденция отказа от RSA, криптографического алгоритма с открытым ключом, и переход на отечественные стандарты, закрепленные ГОСТ. Во многом этому способствуют усилия лидеров рынка, таких как КриптоПро, «Актив».
Идентификация при получении ЭП
Чтобы подтвердить, что подпись действительно принадлежит конкретному лицу, при ее выдаче удостоверяющий центр обязан провести идентификацию.
Согласно 63-ФЗ есть два варианта. Первый — личное присутствие, когда сотрудник УЦ смотрит в глаза человеку и сверяет документы. Второй — с помощью ЕСИА (Единой системы идентификации и аутентификации). Если у человека есть подтвержденный профиль на Госуслугах, считается, что его личность установлена.
Александр Быков
Дальнейшее развитие механизма связано с биометрией. Первые шаги в этом направлении уже сделаны — к примеру, биометрические данные интегрированы в загранпаспорта нового образца. Однако практика подтверждения личности таким способом пока не особо распространена. Массовый пользователь относится к биометрии осторожно и даже предвзято.
Исходя из всех этих факторов, требований безопасности и положений закона, очевидно, что подобрать систему для реализации КЭДО не так-то просто. Самое главное — убедиться, что в ней доступны базовые виды подписи: УНЭП для работников и УКЭП для работодателя. Также имеет смысл проверить, насколько удобно реализован механизм подписания, какие технологии используются, есть ли интеграция с Госключом, настроена ли идентификация через ЕСИА и какие вариант реализации УНЭП доступны — облачная или мобильная, если облачная, то у каких провайдеров.
Источник: Cyber Media
Комментарии 0