1С:Документооборот как инструмент информационной безопасности: от прав доступа до электронной подписи

«1С:Документооборот» – это мощный инструмент для автоматизации документооборота в организации, который позволяет ускорить процессы, повысить эффективность работы и обеспечить безопасность хранения и передачи документов.

Информационная безопасность — это состояние защищённости информации, при котором обеспечены её конфиденциальность, целостность и доступность.

Как же все-таки информационная безопасность связанна с 1С:Документооборот?

Российская статистика (InfoWatch, 2023) подтверждает тенденцию: 51% утечек вызваны действующими сотрудниками, 15% — бывшими; доля внешних хакеров — всего 13%.

Сотрудники создают угрозы из-за:

1. Универсального доступа ("всем ко всему") без гранулярных ролей.
2. Передачи файлов через почту и мессенджеры (16-54% случаев по InfoWatch).
3. Отсутствия аудита — нет истории действий с документами.

В этих условиях 1С:Документооборот становится не просто системой документооборота, а инструментом снижения рисков информационной безопасности за счёт строгого разграничения доступа, аудита и формализации работы с документами.

В большинстве компаний документы живут в папках на сетевых дисках, почте, мессенджерах и личных ноутбуках. В таких условиях:

1. Сотрудник легко может скачать массив договоров перед увольнением;
2. Невозможно понять, кто менял важный документ и когда;
3. К коммерческой тайне часто имеют доступ люди, которым это не требуется по работе;
4. При компрометации одной учётной записи злоумышленник получает фактически полный доступ ко всем файлам.

Это создаёт высокий риск утечек персональных данных, коммерческой тайны и иной конфиденциальной информации, а также крупных штрафов и репутационных потерь.

Рассмотрим каким рискам подвержен документооборот без автоматизации.

Пока документооборот не формализован и не оцифрован в единой системе, любые регламенты по информационной безопасности остаются «на бумаге».

За первое полугодие 2025 года в России зафиксировано 154 утечки баз данных, в открытый доступ попало почти 198,6 млн строк пользовательских данных.

Лидеры по утечкам — ритейл и сервисы, где документы и CRM используются ежедневно.

Штрафы за утечки ПДн к 2025 году достигают до 500 млн рублей (1–3% выручки оператора при повторных инцидентах).

Согласно ст. 13.11 КоАП РФ (редакция от 30.05.2025), за утечку персональных данных (ПДн) предусмотрены значительные штрафы, зависящие от масштаба инцидента:

Единичный инцидент с базой в 100 тыс. записей подпадает под первую категорию — штраф составит 5–10 млн рублей для юридических лиц.

Ключевые обстоятельства:

1. Обязательное уведомление Роскомнадзора в течение 24 часов после обнаружения.
2. Повторные нарушения влекут оборотные штрафы, рассчитываемые от годовой выручки.
3. Доказательства мер защиты (аудит, шифрование, ролевой доступ) смягчают ответственность.

​Внедрение 1С:Документооборот с корректной настройкой ИБ‑механизмов (права, аудит, хранение ПДн и удаление по срокам) позволяет формально соответствовать требованиям Роскомнадзора и существенно снизить вероятность наступления таких штрафов.

Существует несколько механизмов 1С:Документооборот, которые способствую снижению рисков:

1. Роли и принцип «минимальных привилегий». В 1С:Документооборот права доступа строятся вокруг ролей и полномочий. Сотрудник получает доступ только к тем документам и действиям, которые необходимы ему для работы:

• Права задаются по ролям (руководитель, юрист, бухгалтер, кадровик и т.д.);
• Учитываются подразделение, должность, участие в конкретных процессах;
• Руководитель видит документы своего отдела, но не всей компании;
• Доступ к особо важным документам выдается ограниченному кругу лиц.

Это резко сокращает число людей, которые вообще могут видеть чувствительные документы — значит, уменьшается и количество потенциальных источников утечки.

2. Грифы доступа и ограничение по видам документов. Документы могут маркироваться грифами («Коммерческая тайна», «Служебное пользование», «Общий доступ» и т.п.). Для каждого грифа заранее определяется, кто имеет право:

• Видеть документ;
• Редактировать его;
• Согласовывать и утверждать;
• Экспортировать (выгружать, печатать, отправлять наружу).

Например, документы с грифом «Коммерческая тайна» доступны только узкой группе: финансовый блок, юристы и руководство. Остальным такие документы просто не видны в системе.

3. Настройки доступности по состоянию документа. Доступ к документу зависит от его состояния в процессе:

• На этапе регистрации документ доступен ограниченному кругу сотрудников делопроизводства;
• В статусе «На согласовании» — только согласующим и ответственным;
• В статусе «Утвержден» — редактирование запрещено, возможен только просмотр у тех, кому разрешено;
• После подписания электронной подписью документ фактически «замораживается» — любое изменение потребует новой подписи.

Это предотвращает скрытую подмену уже согласованных договоров и актов.

4. Рабочие группы, организации и контуры доступа. В холдингах и группах компаний можно:

• Разделить доступ по организациям (каждому юридическому лицу — свой контур документов);
• Настраивать рабочие группы по проектам;
• Ограничивать доступ к документам по отделам (бухгалтерия не видит кадровый архив, HR не видит часть финансовых документов).

Так выстраивается модель, при которой каждый видит только свой «срез» информационного пространства.

Рассмотрим технические механизмы 1С:Документооборот предотвращения утечек:

1. Аудит и журнал действий (доступно в стандартной поставке). Каждое действие с документом полностью фиксируется в журнале регистрации:

• Кто открыл, изменил, согласовал, скачал или удалил документ;
• Точное время совершения операции;
• IP-адрес устройства и тип подключения.

Журнал позволяет:

• Быстро обнаруживать аномалии (массовое скачивание, подозрительные действия);
• Проводить внутренние расследования инцидентов;
• Предоставлять доказательства контролирующим органам (РКН, ФСТЭК).

2. Ролевой контроль доступа (доступно в стандартной поставке). Настройка прав исключает массовый доступ:

• Роли "Чтение без файлов", "Только просмотр";
• Ограничение по видам документов и статусам;
• Запрет печати/экспорта для рядовых пользователей.

3. Электронная подпись и целостность данных. Использование квалифицированной электронной подписи:

• Гарантирует неизменность документа после подписания;
• Связывает документ и действие с конкретным сотрудником;
• Позволяет юридически значимо подтвердить, что документ не изменялся после утверждения.

Попытка заменить утверждённый документ новым вариантом без прохождения повторного согласования сразу становится заметной.

4. Централизованная аутентификация и защита учётных записей. При интеграции с доменной инфраструктурой и использованием дополнительных механизмов защиты можно:

• Организовать единый вход с корпоративными политиками паролей;
• Включить двухфакторную аутентификацию для критичных ролей;
• Ограничить доступ к системе по IP-адресам, VPN и времени.

Это защищает систему от простых атак через фишинговые письма и подбор паролей.

Точных публичных метрик в открытых источниках не подтверждено — такие данные компании не афишируют из соображений ИБ. Ниже приведены реальные кейсы, где улучшилась безопасность документов и контроль доступа.

1. Комус (13 000 АРМ) — крупнейший частный кейс. Масштаб: 13 000 автоматизированных рабочих мест по всей России — крупнейшая частная установка 1С:Кабинет сотрудника.

ИБ-результаты:

• Централизованный контроль за 85% кадрового ЭДО ("1С:Кабинет сотрудника");
• Единая база заменила разрозненные Excel/почту → исключены утечки при увольнениях;
• Ролевой доступ: HR видит только кадровые документы, финансы — финансовые;
• Аудит: >8 000 кадровых документов под полным контролем действий.

Эффект: Хаос файлов на сетевых дисках/почте устранён, коммерческая тайна защищена ролями и ЭЦП.

2. Почта России (36 000 АРМ) — замена DocsVision. Масштаб: 36 000 рабочих мест — крупнейшее государственное внедрение 1С:Документооборот КОРП.

ИБ-результаты:

• Миграция с DocsVision на 1С:Документооборот обеспечила единый аудит для всех сотрудников;
• Разграничение по филиалам: каждый видит только свои документы;
• ЭЦП на всех этапах: утверждённые документы защищены от изменений;
• Журналы событий: все действия (просмотр, скачивание, печать) фиксируются.

• Централизованный контроль в распределённой сети (тысячи отделений) минимизировал риски внутренних угроз.

1С:Документооборот превращает хаотичный документооборот в контролируемую цифровую среду с полным аудитом действий и ролевым контролем доступа. Роли вместо общих папок, ЭЦП вместо Word-документов, аудит вместо "неизвестно кто менял" — это не просто удобство, а реальная защита от штрафов ФЗ-152 в 5–500 млн рублей.

Интеграция 1С:ДО 3.0 с SIEM, DLP и СКУД через API создаёт единую ИБ-экосистему, минимизируя затраты на дублирующие монолитные решения.

В 2026 году, с усилением проверок Роскомнадзора по 152-ФЗ и обязательным ЭДО для УПД, 1С:Документооборот 3.0 становится критически важным инструментом комплаенса.

СЭД хранит и согласовывает подписанные УПД из учетных систем, обеспечивает полный аудит действий и ролевой контроль доступа. Инвестиции окупаются за 3-6 месяцев, предотвращая штрафы 5-10 млн руб. за утечку 100 тыс. ПДн.

Специалисты компании «1С:БИЗНЕС РЕШЕНИЯ» помогут Вам освоить все возможности 1С:Документооборот, помогут установить и настроить программу, проведут бесплатную демонстрацию и ответят на вопросы! 

Узнайте подробнее о возможностях программы и получите бесплатную консультацию!