14 декабря 2023

Закупка КЭДО
в госучреждениях

При закупке программного обеспечения для государственных учреждений, особенно для хранения и обработки конфиденциальной информации, безопасность становится на первое место. Необходимо выбирать ПО, которое обладает высоким уровнем защиты от несанкционированного доступа и утечки данных. В случае нарушения безопасности могут произойти серьезные последствия, такие как утечка критической информации, кража личных данных, финансовые потери или даже ухудшение репутации.

КЭДО требует высокого уровня безопасности, поскольку содержит персональные данные сотрудников компании, а также сведения, представляющие собой тайну переписки, коммерческую и государственную тайну.
Екатерина Александрова
Product Manager EmplDocs

Содержание

Тенденция к цифровизации мировой экономики привела Россию к вопросу выбора стратегии развития. Коммерческие компании массово устанавливали новое оборудование и программное обеспечение, которое было разработано за рубежом, потому что это было быстрее и дешевле, чем самостоятельно разрабатывать программный продукт.

Но ситуация на рынке менялась, оборудование не было безопасным, стандартизированным, происходили регулярные массовые утечки данных. В 2006 году 34% утечек информации произошло в госкомпаниях из-за халатности сотрудников и уязвимости программного обеспечения. Это привело к созданию закона о персональных данных.

С тех пор стало ещё больше Интернет-сервисов, биометрии и хранилищ таких данных, а соответственно — больше манёвра для мошенников. Приведём статистику аналитического агентства InfoWatch по типам утечек данных:
Распределение утечек по умыслу и типу данных 2013 – 2019 гг, Источник: InfoWatch
Информационная безопасность стала самым важным требованием для программного обеспечения в госучреждениях. Особенно остро этот вопрос касается предприятий специального назначения и закрытого типа.

Курс на импортозамещение

В 2012 году в России впервые подняли вопрос о развитии независимости экономики и ввели госпрограмму развития. Вскоре произошли события, связанные с санкциями, и термин «импортозамещение» вошёл в жизнь экономики страны надолго.

В 2015 году из-за опасения, что Россия окажется в изоляции, была введена национальная платежная система «МИР». А также ввели запрет в системах госзакупок на использование программного обеспечения, не включенного в Единый реестр ПО Минцифры.

В 2019 году Госдума принимает закон о суверенном интернете. Регуляторы в лице Роскомнадзора и Совета безопасности России начали разработку инфраструктуры для российских сервисов на случай отключения от всемирной сети.

Cloud не вариант

Когда вы планируете подключать IT-сервисы, вы должны задавать себе такие вопросы, задавать вопросы директору или службе безопасности. В интернете много статей, почему стоит выбирать Cloud-решение. И они действительно правы:
это удобно, не нужно разворачивать всё;
не нужно использовать свою инфраструктуру;
не нужно нанимать сотрудников, которые будут обслуживать эту систему;
это решение может быть непрофильным для вашей компании.
В итоге, это проще для компании. Поэтому чтобы не тратить время и не разбираться мы устанавливаем Cloud-решения. Но задайте себе вопросы:
Знаем ли мы где будут хранятся данные?
На территории Российской Федерации или нет?
А как осуществляется доступ к этим данным?
Как осуществляется шифрование этих данных?
Программное обеспечение может устанавливаться на базы данных в разных форматах. Самые распространенные — Cloud и On-Premise.

Что это значит:
Cloud установка ПО — это хранение или передача данных через облако с подключением к сети Интернет;
On-Premise установка — это разворачивание программы и её компонентов на физическом сервере пользователя, без выгрузки данных в облака.
Чтобы обеспечить бесперебойность и безопасность работы государственных и муниципальных предприятий используется On-Premise установка программ. Это связано с высокими рисками хранения данных и поддержания базы в облаке.

Cloud — Полная зависимость от вендора

1
Зависимость от стоимости
Если Cloud-провайдер поменяет цены на свои услуги и сервисы, то нам придется за это платить. Тем более, если поставщик решения уникален на рынке, у нас не будет другого выбора, кроме как оплатить услуги — искать альтернативы будет просто невыгодно.
2
Зависимость от доступа
3
Зависимость от стабильности работы системы
Если что-то пойдёт не так, то мы не сможем повлиять на сотрудников, которые обслуживают внешние системы, или мотивировать их быстрее решить проблему.

Даже если по лицензионному договору предусмотрены какие-либо штрафы за нестабильную работу, мы будем больше терять как покупатели — имиджем и издержками.

Если вы намерены подключить Cloud-решение, мы подготовили для вас чек-лист критериев, который стоит обсуждать провайдерами.
Чек-лист, какие данные надо выяснить перед внедрением Cloud-решений
Хранение в облаке связано с доступом к этому конкретному облаку в любой момент времени из-за этого появляются высокие риски:
1
Данные из облака злоумышленникам легче перехватить, изменить или украсть. Передача данных в облако не соответствует требования 152-ФЗ о хранении ПДн.
При хранении данных в Cloud высокий риск утечки и кражи данных, в то время как хранение данных на собственном сервере безопасно.
2
Хранение в облаке обеспечивается третьими лицами, которых нельзя контролировать
  • Вендор ПО или владелец облака может воспользоваться данными
  • Владелец облака может отключить обеспечение
3
Обслуживание облачных решений обеспечивается лицензионным соглашением
  • Вендор может потерять российскую аккредитацию и уйти с рынка и все данные уйдут с ним.
  • При невозможности оплаты или изменениях договора лицензии в одностороннем порядке есть риск потерять данные.
Есть не только обычные облака с полным доступом к данным, но и более современные безопасные протоколы. Тем не менее, это не гарантирует защиты от несанкционного вмешательства или потери лицензионной поддержки.

Преимущества хранения данных на собственной инфраструктуре On-Premise:
избежание других мест хранения данных и уменьшение вероятности уязвимости;
ограничение доступа к данным через интерфейс, что делает невозможным получение всех данных;
соблюдение ФЗ о персональных данных.

Персональные данные сотрудников

По 152-ФЗ к персданным относится любая информация, которая поможет идентифицировать человека. Даже ФИО человека без даты рождения, без почты, без номера телефона — это уже персональные данные. Поэтому если мы работаем с такими данными, то мы должны получать согласие на обработку, запись, хранение, распространение и удаление от человека, который нам передает эти персональные данные.

Все цели должны быть прописаны непосредственно в Согласии на обработку персональных данных. Распространение, обработка, запись и другая работа с ПДн регламентируется законом 152-ФЗ.
С 1 марта 2023 года были существенные изменения в части удаления, распространения и передачи этих данных на сторону иностранных контрагентов или иностранных государств. Если у вас есть сервисы, есть услуги, по которым вы должны передавать персональные зарубеж, то необходимо получить разрешение от Роскомнадзора в 10-дневный срок.
Если планируете хранить ПДн у себя, то для этого используется On-Premise: развертывание решения на своей инфраструктуре. Поддержка и работа в таком решение осуществляется посредством внутренней сети компании.

EmplDocs в части On-Premise можно развернуть с помощью двух кликов:
1
в 1C подключается расширение Личный кабинет сотрудника EmplDocs
2
с помощью установщика — веб-приложение EmplDocs, через которое взаимодействуют сотрудники и руководители.
Верхнеуровневая архитектура EmplDocs
Все данные, которые будут использоваться, хранятся в 1С. Никаких дополнительных баз или систем не возникает. Данные, которые отражаются в веб-приложении для сотрудника, всегда будут актуальны.

Требования к ПО на предприятиях — только On-Premise

Коммерческие компании начали переходить на российское обеспечение самостоятельно, это также связано с запретом на трансграничную передачу персональных данных граждан РФ и большими ограничениями в оплате лицензий и техподдержке.

Госучреждения находятся в переходном периоде, в течение которого надо полностью перейти с иностранного ПО на российское. На практике это значит, что можно пользоваться иностранным программным обеспечением, если нет аналога в России и если решение не передаёт никакие данные зарубеж.

Значимость использования отечественного ПО в госкомпаниях:
1
Сертификация ПО ФСБ/ФСТЭК для обеспечения наивысшего уровня безопасности.
2
Совместимость с защищенными программными комплексами, используемыми в госучреждениях
  • Астра Линукс,
  • АЛЬТ,
  • РЕДОС.
AstraLinux - это российская операционная система, основанная на открытом исходном коде Linux. Она разработана с учетом высоких требований к безопасности и используется в государственных учреждениях, военных и коммерческих организациях. В AstraLinux предусмотрено шифрование, контроль доступа и аудит системы.
3
Ограничение использования зарубежного ПО и переход на российское ПО в будущем.
4
Требование использовать отечественные аналоги ПО, если они существуют, например «1С:Предприятие 8.3z».
ФСТЭК является важным шагом для организаций, занимающихся разработкой и производством средств защиты информации, чтобы убедиться в их соответствии требованиям безопасности и использовать их в государственных организациях и критически важных объектах.
Хотите больше полезных материалов?
Подпишитесь на нашу рассылку. Дважды в месяц рассказываем о том, что ещё стоит почитать из сферы КЭДО и HCM
Подпишитесь на нашу рассылку. Дважды в месяц рассказываем о том, что ещё стоит почитать из сферы КЭДО и HCM
Хотите больше полезных материалов?

EmplDocs — Безопасный КЭДО для госучреждений

На основе принципов On-Premise также работает решение EmplDocs для автоматизации кадровых процессов и КЭДО в госкомпаниях. Никакие данные не могут попасть вовне, потому что решение представляет из себя оболочку для базы 1С:ЗГУ клиента.
Схема обмена данными в EmplDocs и 1С:ЗУП
Команда разработки WiseAdvice EmplDocs применяет эти знания на практике, поэтому все разработанные решения соответствуют критериям безопасности.

Группа компаний обслуживает бесперебойную работу больших корпораций и маленьких предприятий. Регулярно актуализирует политику безопасности и обновляет безопасность ПО, чтобы соответствовать требованиям рынка и государства. Обеспечивается наивысший уровень безопасности в том числе для работы с гостайной.

Для кадрового специалиста в на стороне 1С нет дополнительно приложения: все функции Личного кабинета сотрудника доступны в 1С в привычной среде, с которой работает Кадровый специалист.

Появляется новая вкладка «Личный кабинет сотрудника» в которой отражаются заявки, документы, которые отправил сотрудник.

На стороне 1С происходит гибкая настройка всех функций Личного кабинета сотрудника. Компания может кастомизировать Личный кабинет под свои бизнес-процессы:
настроить различные типы заявок,
изменить ролевой доступ к разделам с учетом взаимоотношения сотрудника и компании,
подключить англоязычный интерфейс,
изменить настройки под корпоративный стиль,
и прочее.
223-ФЗ и 44-ФЗ — не проблема
Наша проектная команда имеет успешный опыт работы с проектами по 223-ФЗ и 44-ФЗ. Отвечаем требованиям, которые обычно предъявляются подрядчикам для участия в тендерах
Поделиться статьей

Материалы

Госключ как подпись
«Бесплатный сыр» – не только в мышеловке. Госключ как средство ЭП на примере EmplDocs
Экономия в 6 раз с КЭДО
Кейс внедрения КЭДО в крупной строительной компании. Подробный расчёт в цифрах внутри.