Безопасность персональных данных в HR-системах: технические и организационные меры

Утечки персональных данных стали еженедельной новостью в российских медиа. Каждая такая утечка бьёт по репутации компании, приводит к штрафам и часто становится поводом для массового ухода клиентов и сотрудников. В HR-контексте персональные данные особенно чувствительны: резюме, контактные данные, сведения о зарплатах и карьере, фотографии, результаты интервью. Защита этих данных это не опциональная задача, а обязательная часть зрелой HR-функции.

Разделим меры защиты на три уровня: инфраструктурный, процессный и человеческий. На каждом уровне работают свои инструменты, и упущения на любом из них могут привести к инциденту, вне зависимости от того, насколько хорошо защищены остальные уровни.

Инфраструктурный уровень начинается с выбора места хранения данных. Закон о локализации требует, чтобы данные российских граждан физически хранились на территории России. При выборе HR-платформы обязательно запрашивайте документ о расположении серверов. Облачные провайдеры российского рынка (Яндекс Cloud, VK Cloud, SberCloud, MTS Cloud) имеют сертификаты и готовы предоставить подтверждения. Международные провайдеры (AWS, Azure, GCP) подходят только для обработки данных нерезидентов или для обработки после первичного накопления в российской инфраструктуре.

Шифрование данных. Данные должны быть зашифрованы и при передаче, и при хранении. При передаче это стандартный TLS 1.3 с современными шифрами. При хранении это шифрование на уровне базы данных или на уровне файловой системы. Ключи шифрования должны храниться отдельно от зашифрованных данных, лучше всего в специализированных системах управления ключами (KMS). Доступ к ключам ограничивается минимальным числом администраторов.

Сегментация сети. HR-система не должна быть доступна из публичного интернета напрямую. Доступ организуется через VPN или через bastion-хост с двухфакторной аутентификацией. Административная панель вынесена в отдельную сеть с белыми списками IP-адресов. Пользовательский интерфейс для сотрудников и кандидатов работает в публичной сети, но с усиленной защитой на уровне web application firewall.

Журналирование и мониторинг. Каждое действие с персональными данными должно быть залогировано: кто получил доступ, когда, к какой информации, какое действие выполнил. Логи защищены от изменений (append-only), хранятся отдельно от основной системы. Настроены автоматические алерты на подозрительные активности: массовое скачивание данных, доступ в нерабочее время, обращения к данным, не связанным с текущими задачами сотрудника.

Резервное копирование. Бэкапы критичны для восстановления после сбоев, но одновременно создают риск утечки. Бэкапы должны шифроваться тем же ключом, что и основная база, храниться в отдельной локации (но тоже на территории России), быть защищены от несанкционированного доступа. Политика хранения бэкапов согласована со сроками обработки персональных данных: не дольше, чем нужно для восстановления.

Процессный уровень охватывает организацию работы с данными внутри компании. Первое — политика управления доступом. Принцип минимальных привилегий: каждый сотрудник имеет доступ только к тем данным, которые нужны ему для текущих задач. Рекрутер по разработке не видит вакансии маркетинга. HR-администратор не видит скоринг кандидатов. Ролевая модель построена явно, утверждена руководством, пересматривается раз в полгода.

Процедура предоставления и отзыва доступов. При найме нового HR-сотрудника ему выдаются только те доступы, которые нужны для начала работы. Дополнительные доступы предоставляются по запросу через формализованную процедуру. При увольнении все доступы отзываются в течение часа, не позднее. Процесс автоматизирован через интеграцию с системой управления пользователями.

Политика паролей и двухфакторная аутентификация. Сложные пароли длиной не менее двенадцати символов, обязательная двухфакторная аутентификация для всех сотрудников с доступом к персональным данным. Менеджер паролей для хранения паролей (не таблицы Excel, не стикеры на мониторе). Регулярная смена паролей раз в девяносто дней для критичных систем.

Обработка инцидентов. Заранее прописанный план действий на случай утечки данных. Кто первым реагирует, кого уведомляют в компании, в каком порядке привлекается команда безопасности и юристов, когда и как информируются субъекты данных и регулятор. Согласно законодательству, при утечке уведомление в Роскомнадзор должно быть отправлено в течение 24 часов с момента обнаружения, а субъектам данных сообщение направляется не позднее 72 часов.

Регулярный аудит. Раз в квартал проверяется соблюдение внутренних политик безопасности. Кому реально предоставлены доступы, совпадают ли они с политикой, нет ли «мертвых» учётных записей уволенных сотрудников. Раз в год — независимый аудит систем безопасности с привлечением внешних экспертов. Результаты аудита документируются и устраняются в приоритетном порядке.

Человеческий уровень — самое слабое звено в любой системе безопасности. Регулярное обучение HR-команды основам информационной безопасности: как распознавать фишинговые письма, как обращаться с паролями, что делать при подозрительной активности. Симуляционные фишинговые атаки раз в квартал для проверки готовности команды. Отдельные занятия для новых сотрудников в первые дни работы.

Политика удалённой работы. Доступ к HR-системе с личных устройств сотрудников это высокий риск. Оптимальное решение: корпоративные устройства с преднастроенной защитой, VPN, политикой обновлений. Если личные устройства всё же используются, они должны соответствовать минимальным требованиям: актуальная ОС, антивирус, полное дисковое шифрование, экран блокировки с таймаутом.

Работа с подрядчиками. Внешние рекрутеры, консультанты, аудиторы часто получают доступ к персональным данным кандидатов. Каждый такой доступ оформляется договором о неразглашении, ограничивается минимально необходимым объёмом данных, временно по сроку действия проекта. После завершения работы доступы отзываются, а имеющиеся у подрядчика копии данных удаляются по письменному подтверждению.

Техническое обеспечение соответствия 152-ФЗ. Автоматическая очистка резюме старше срока хранения. Функция экспорта всех данных по конкретному кандидату в машиночитаемом виде (для ответа на запросы о предоставлении информации). Функция полного удаления всех данных кандидата по одной кнопке (для выполнения запросов на отзыв согласия). Всё это должно быть встроено в HR-платформу по умолчанию.

Безопасность — это культура, а не проект. Её нельзя купить разовым внедрением продвинутого продукта. Она строится годами через дисциплину в процессах, постоянное обучение команды, регулярные проверки и готовность вкладываться в скучные, но критичные базовые меры. Компании, где такая культура сформирована, значительно реже становятся объектами утечек и сохраняют доверие клиентов и сотрудников в долгосрочной перспективе.