Как организовать удалённую работу сотрудников: регламенты, инструкции и доступ к 1С
Как правильно организовать дистанционную работу сотрудников с точки зрения оформления и информационной безопасности: какие нужны регламенты и инструкции (положение о дистанционной работе, инструкция по удалённому доступу и ИБ), требования ТК РФ и 152-ФЗ. Кратко о технических решениях для удалённой работы с 1С на сервере организации — терминальный доступ, VPN, веб-клиент, облако.
Удалённая работа удобна, но при доступе к корпоративным системам и персональным данным требует и юридического оформления, и технических мер защиты. Разберём, какие документы подготовить и как безопасно организовать удалённую работу с 1С на сервере организации.
Как оформить: трудовые требования
Дистанционная (удалённая) работа регулируется главой 49.1 Трудового кодекса РФ. Её оформляют трудовым договором или дополнительным соглашением о дистанционной работе (постоянной, временной или комбинированной); при временном переводе по инициативе работодателя может издаваться локальный акт. В документах фиксируют режим, порядок взаимодействия, использование оборудования и обмен документами.
Регламенты и инструкции
С точки зрения информационной безопасности при удалённом доступе к ИСПДнИнформационная система персональных данных — Совокупность персональных данных в базах данных и обеспечивающих их обработку информационных технологий и технических средств. действуют те же требования (152-ФЗ, приказ ФСТЭКФедеральная служба по техническому и экспортному контролю — Регулятор технической защиты информации (ИСПДн, ГИС, КИИ); ведёт реестр сертифицированных СЗИ. №21) — их закрепляют в документах:
- Положение (регламент) о дистанционной работе — общий порядок, режим, оборудование, каналы связи;
- Инструкция по удалённому доступу — как подключаться (защищённый канал), запрет работать с чужих и личных незащищённых устройств, запрет сохранять персональные данные на локальном компьютере;
- Инструкция по обеспечению безопасности при работе в ИСПДн и по парольной и антивирусной защите — они распространяются и на удалённые рабочие места (готовые образцы — в разделе образцов);
- Учёт доступа — кто и к каким ресурсам допущен удалённо, с возможностью быстро отозвать доступ.
Технические решения для работы с 1С на сервере
Главный принцип — данные не должны покидать защищённый периметр организации. Распространённые варианты:
- Терминальный доступ (RDP / сервер терминалов). Сотрудник подключается к серверу и работает с 1С прямо на нём; на его устройство передаётся только «картинка», а сами данные остаются на сервере. Это самый безопасный вариант.
- Защищённый канал (VPN). Доступ к серверу открывают только через VPN; если по каналу передаются персональные данные и это следует из модели угроз, применяют сертифицированное СКЗИСредство криптографической защиты информации — Шифровальное (криптографическое) средство; применение и учёт регулируют приказы ФСБ. — ГОСТ VPN.
- Веб-клиент или тонкий клиент 1С. Опубликованная база 1С по HTTPS — доступ через браузер или тонкий клиент без установки полной конфигурации у пользователя.
- 1С в облаке (аренда). Если 1С размещена у провайдера, он выступает обработчиком по вашему поручению — оформляется поручение на обработку. Про выбор между облаком и своим сервером — в статье про 1С.
Дополнительно: двухфакторная аутентификация, ограничение доступа по перечню лиц и (по возможности) по адресам, антивирус и обновления на сервере, журналирование действий, резервное копирование и запрет выгрузки персональных данных на личные устройства.
Главное
Удалённую работу оформляют по главе 49.1 ТК РФ (договор или допсоглашение), а информационную безопасность закрепляют регламентом о дистанционной работе и инструкциями по удалённому доступу, ИБИнформационная безопасность — Состояние защищённости информации и поддерживающей инфраструктуры от угроз., паролям и антивирусу. Для работы с 1С безопаснее всего терминальный доступ к серверу через защищённый канал (VPN, при необходимости сертифицированный ГОСТ VPN), чтобы персональные данные не покидали периметр; облачная 1С оформляется поручением на обработку. Ключевые меры — 2FA, ограничение и учёт доступа, антивирус, журналирование, резервное копирование и запрет локального сохранения ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)..