Защита персональных данных и ИСПДн под ключ | NLSec

Защита персональных данных (СЗПДн)

Защита персональных данных и ИСПДн

Помогаем привести обработку персональных данных в управляемое состояние: определить ИСПДн, проверить процессы и документы, подготовить модель угроз, подобрать меры защиты и снизить риски при проверках, инцидентах и изменениях инфраструктуры.

152-ФЗ
ИСПДн
ПП РФ №1119
Приказ ФСТЭК №21
Уведомление РКН
Модель угроз

Когда это актуально

  • сайт, CRM, 1С, HR-система, личный кабинет или приложение собирают данные людей;
  • политика на сайте есть, но процессы, согласия и документы не проверялись;
  • нужно определить ИСПДн, уровень защищенности и меры защиты;
  • есть подрядчики, облака, филиалы, трансграничная передача или риск проверки.

Что такое защита персональных данных и ИСПДн

Защита персональных данных — это не только политика на сайте и чекбокс согласия в форме заявки. Организации нужно понимать, какие персональные данные она обрабатывает, где они хранятся, кто имеет доступ, какие ИСПДн используются, какие подрядчики участвуют в обработке и какие меры защиты реально работают.

NLSec помогает провести обследование процессов обработки персональных данных, определить состав ИСПДн, проверить правовые основания, подготовить комплект документов, сформировать модель угроз, определить уровень защищенности, подобрать организационные и технические меры и подготовить дорожную карту исправлений.

Результат работ — не “папка документов ради проверки”, а понятная система: какие данные обрабатываются, где есть риски, какие документы нужны, какие меры уже работают и что нужно исправить в первую очередь.

Нормативная база по персональным данным

Работы по ИСПДн и защите персональных данных должны опираться на применимые требования, а не на универсальный шаблон документов.

Документ / требованиеЧто регулируетКак связан с услугой
152-ФЗ “О персональных данных”Задает основные обязанности оператора, принципы обработки, права субъектов, требования к обеспечению безопасности и уведомлениям.Используется для проверки правовых оснований, целей обработки, согласий, уведомлений, действий с ПДн и обязанностей оператора.
Постановление Правительства РФ №1119Устанавливает требования к защите персональных данных при их обработке в ИСПДн и подход к определению уровней защищенности.Используется для определения уровня защищенности ИСПДн и требований к защите.
Приказ ФСТЭК России №21Определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн в ИСПДн.Используется для подбора конкретных мер защиты с учетом уровня защищенности и актуальных угроз.
Уведомление РоскомнадзораВо многих случаях оператор обязан уведомить уполномоченный орган о начале или осуществлении обработки персональных данных.Проверяется необходимость подачи, актуализации или уточнения уведомления, а также состав сведений для формы.
Трансграничная передача и инцидентыОтдельно проверяются передача данных за пределы РФ и порядок действий при неправомерном доступе или утечке ПДн.Помогает закрыть риски при использовании зарубежных сервисов, облаков, подрядчиков и при реагировании на инциденты.

Типовые ИСПДн и сценарии обработки

Персональные данные редко живут в одной системе. Обычно они распределены между сайтом, CRM, учетными системами, почтой, файлами, подрядчиками и внешними сервисами.

Сайт и формы заявок

Имя, телефон, email, комментарии, cookies, IP, данные аналитики, заявки, обратная связь и онлайн-запись.

CRM и отдел продаж

Клиенты, лиды, история коммуникаций, сделки, записи звонков, переписка, документы и статусы обработки.

1С и бухгалтерия

Договоры, акты, счета, паспортные данные при необходимости, платежные сведения и данные контрагентов-физлиц.

HR и кадровый учет

Сотрудники, кандидаты, резюме, трудовые документы, больничные, отпуска, зарплатные проекты и обучение.

Личный кабинет или приложение

Профили пользователей, авторизация, история действий, платежи, настройки, обращения в поддержку и технические логи.

Медицина, образование, услуги

Пациенты, учащиеся, родители, записи на прием, расписания, результаты услуг и другие чувствительные сценарии.

Решение необходимо, если…

Приводить персональные данные в порядок стоит не только перед проверкой. Чаще всего проблемы появляются, когда бизнес растет быстрее, чем документы, процессы и технические меры.

01

Есть формы на сайте

Заявки, обратная связь, регистрация, подписки, онлайн-запись, личный кабинет или чат собирают данные пользователей.

02

Используются CRM, 1С или HR-системы

Данные клиентов, сотрудников, кандидатов и подрядчиков хранятся в разных системах, но нет единой картины обработки.

03

Документы устарели

Политики, согласия и регламенты есть, но они не отражают реальные системы, подрядчиков, цели и способы обработки.

04

Нет понятной ответственности

Не закреплены ответственные, порядок выдачи доступов, работа с запросами субъектов, инцидентами и подрядчиками.

05

Появились новые сервисы

Организация подключила облака, аналитику, рассылки, телефонию, новые сайты, мобильные приложения или интеграции.

06

Нужно подготовиться к проверке или аудиту

Нужно заранее понять пробелы, актуализировать документы, проверить ИСПДн и снизить риск замечаний.

Политика на сайте — это не вся защита персональных данных

Политика обработки персональных данных важна, но она не заменяет обследование ИСПДн, технические меры, управление доступами и реальные процессы обработки.

Что часто есть только на бумаге

  • политика не соответствует реальным формам и сервисам;
  • согласия не связаны с целями обработки;
  • не описаны CRM, 1С, HR-системы и подрядчики;
  • не проверена необходимость уведомления РКН;
  • не определены уровни защищенности и меры защиты.

Что должно быть в рабочей системе

  • карта процессов обработки ПДн;
  • перечень ИСПДн и ответственных;
  • правовые основания, согласия и уведомления;
  • модель угроз и меры защиты;
  • контроль доступов, инцидентов, подрядчиков и изменений.

Уровни защищенности ИСПДн: что учитывается

Уровень защищенности влияет на состав организационных и технических мер. Его нельзя корректно определить без понимания состава данных, категорий субъектов, объема обработки и актуальных угроз.

Что анализируетсяПочему важноКак влияет на работы
Категории персональных данныхОбычные, специальные, биометрические и иные данные требуют разного уровня внимания.Влияет на требования к документам, доступам, мерам защиты и рискам обработки.
Категории субъектовКлиенты, сотрудники, кандидаты, пациенты, учащиеся, пользователи сайта и другие группы имеют разные сценарии обработки.Помогает определить цели, согласия, права субъектов и порядок взаимодействия.
Количество субъектовМасштаб обработки влияет на риски и требования к организации защиты.Учитывается при определении уровня защищенности и приоритизации мер.
Актуальные угрозыУгрозы зависят от архитектуры, доступа, подрядчиков, удаленной работы и внешних сервисов.Используются при подготовке модели угроз и выборе мер защиты.
Архитектура ИСПДнЛокальная система, облако, сайт, интеграции, филиалы и подрядчики создают разные риски.Определяет меры доступа, журналирования, резервного копирования, защиты каналов и контроля изменений.

Логика услуги

Защита персональных данных и ИСПДн

Практическая защита ПДн

1. Данные и цели 1. Данные и цели
2. ИСПДн и процессы 2. ИСПДн и процессы
3. Документы и уведомления 3. Документы и уведомления
4. Меры защиты и контроль 4. Меры защиты и контроль

Работы по персональным данным должны идти от реальных процессов и систем к документам, мерам защиты и регулярному контролю.

Что входит

Собираем информацию о целях, категориях данных, субъектах, системах, владельцах процессов, подрядчиках и местах хранения.

Обследование процессов обработки

Собираем информацию о целях, категориях данных, субъектах, системах, владельцах процессов, подрядчиках и местах хранения.

Определяем информационные системы, в которых обрабатываются персональные данные, и фиксируем их назначение, владельцев и связи.

Перечень ИСПДн

Определяем информационные системы, в которых обрабатываются персональные данные, и фиксируем их назначение, владельцев и связи.

Проверяем цели обработки, согласия, договоры, основания обработки, действия с ПДн и права субъектов.

Проверка правовых оснований

Проверяем цели обработки, согласия, договоры, основания обработки, действия с ПДн и права субъектов.

Анализируем состав данных, субъектов, объем обработки и угрозы, чтобы определить требования к защите ИСПДн.

Определение уровней защищенности

Анализируем состав данных, субъектов, объем обработки и угрозы, чтобы определить требования к защите ИСПДн.

Готовим модель угроз для ИСПДн и определяем, какие риски нужно закрыть организационными и техническими мерами.

Модель угроз

Готовим модель угроз для ИСПДн и определяем, какие риски нужно закрыть организационными и техническими мерами.

Готовим политики, положения, согласия, инструкции, перечни, матрицы доступа, регламенты и документы по подрядчикам.

Комплект документов

Готовим политики, положения, согласия, инструкции, перечни, матрицы доступа, регламенты и документы по подрядчикам.

Определяем меры управления доступом, регистрации событий, резервного копирования, антивирусной защиты, защиты каналов и контроля изменений.

Подбор мер по ФСТЭК

Определяем меры управления доступом, регистрации событий, резервного копирования, антивирусной защиты, защиты каналов и контроля изменений.

Проверяем необходимость уведомления, актуализации сведений, трансграничной передачи и действий при инцидентах.

Уведомления и взаимодействие с РКН

Проверяем необходимость уведомления, актуализации сведений, трансграничной передачи и действий при инцидентах.

Помогаем внедрить процессы, распределить ответственность, подготовить сотрудников и актуализировать материалы при изменениях.

Сопровождение внедрения

Помогаем внедрить процессы, распределить ответственность, подготовить сотрудников и актуализировать материалы при изменениях.

Что проверяем по сайту, CRM, 1С и HR-системам

Основные риски по персональным данным обычно находятся не в тексте политики, а в реальных точках сбора, хранения и передачи данных. Поэтому проверка должна идти по конкретным системам и процессам.

Зона проверки Что смотрим Типовой результат
Сайт и формы Формы заявок, чекбоксы, согласия, политика, cookies, аналитика, онлайн-запись, рассылки и чаты. Понимание, какие данные собираются публично и что нужно исправить в текстах, формах и сценариях.
CRM Лиды, клиенты, история коммуникаций, звонки, переписка, роли пользователей и интеграции. Матрица доступов, цели обработки, перечень данных и рекомендации по ограничению лишних прав.
1С и бухгалтерия Контрагенты, сотрудники, договоры, акты, платежные сведения, доступ бухгалтерии и выгрузки. Фиксация ИСПДн, владельцев процесса, сроков хранения и требований к доступам.
HR и кадровый контур Кандидаты, резюме, сотрудники, трудовые документы, больничные, обучение и зарплатные проекты. Разделение кадровых процессов, согласий, оснований обработки и доступа к чувствительным данным.
Подрядчики и облака Хостинг, рассылки, аналитика, телефония, колл-центр, интеграторы, внешние CRM и файловые хранилища. Понимание, кому передаются ПДн, нужны ли поручения обработки, ограничения доступа и актуализация уведомлений.

Пример структуры результата

Точный комплект зависит от организации и состава ИСПДн. Ниже — пример того, как может выглядеть итоговый набор материалов.

1. Карта процессов обработки

Цели, категории данных, субъекты, системы, подрядчики, сроки хранения, способы обработки и ответственные.

2. Перечень ИСПДн

Системы, базы, сервисы, интеграции, владельцы, пользователи, места хранения и связи между системами.

3. Правовые основания и согласия

Анализ оснований обработки, согласий, договоров, пользовательских форм, политик и уведомлений.

4. Уровень защищенности и модель угроз

Обоснование уровня защищенности, актуальные угрозы, нарушители и требуемые меры защиты.

5. Комплект документов

Политики, положения, инструкции, матрицы доступа, регламенты, документы по подрядчикам и реагированию.

6. Дорожная карта

Приоритеты исправлений, сроки, ответственные, технические меры, организационные действия и порядок актуализации.

Пример обезличенного результата по ИСПДн

Пример итогового набора после обследования обработки персональных данных в компании с сайтом, CRM, 1С, HR-процессами и несколькими подрядчиками.

Карта обработки ПДн

Показано, какие данные собираются, где хранятся, кто имеет доступ и кому они передаются.

Перечень ИСПДн

Отдельно описаны сайт, CRM, 1С, HR-система, файловые хранилища и связанные подрядчики.

Пробелы и риски

Зафиксированы несоответствия в согласиях, уведомлении, доступах, документах и договорах с подрядчиками.

План исправлений

Подготовлены действия по документам, уведомлению РКН, модели угроз, доступам и техническим мерам.

Что проверяется перед РКН, аудитом или внутренней проверкой

Проверка должна охватывать не только сайт, но и все точки, где персональные данные собираются, хранятся, передаются, изменяются или удаляются.

Цели и основания обработки

Проверяем, зачем собираются данные, есть ли правовое основание, согласия и соответствие заявленным целям.

Уведомление и реестр операторов

Проверяем, нужно ли уведомление, актуальны ли сведения и нет ли расхождения с реальными процессами.

Политика и формы на сайте

Проверяем формы, чекбоксы, тексты согласий, cookies, аналитику, рассылки и пользовательские сценарии.

Доступы и роли

Проверяем, кто имеет доступ к ПДн, как выдаются и отзываются права, ведется ли контроль изменений.

Подрядчики и облака

Проверяем договоры, поручения обработки, места хранения, трансграничную передачу и внешний доступ.

Инциденты и утечки

Проверяем порядок фиксации инцидентов, внутреннего расследования, уведомления и устранения причин.

Что получает заказчик

Какие данные обрабатываются, где они находятся, кто имеет доступ и какие системы участвуют.

Карту обработки ПДн

Какие данные обрабатываются, где они находятся, кто имеет доступ и какие системы участвуют.

Политики, согласия, регламенты, инструкции, перечни, матрицы и документы по ИСПДн.

Комплект документов

Политики, согласия, регламенты, инструкции, перечни, матрицы и документы по ИСПДн.

Понимание актуальных угроз, уровня защищенности и необходимых организационных и технических мер.

Модель угроз и меры защиты

Понимание актуальных угроз, уровня защищенности и необходимых организационных и технических мер.

Что исправить в первую очередь: документы, доступы, подрядчики, уведомления, технические меры и процессы.

План исправлений

Что исправить в первую очередь: документы, доступы, подрядчики, уведомления, технические меры и процессы.

Документы и артефакты на выходе

АртефактЧто дает заказчикуКогда нужен
Карта процессов обработки ПДнПоказывает, какие данные, где, зачем и на каком основании обрабатываются.На старте работ и при проверке текущего состояния.
Перечень ИСПДнФиксирует информационные системы, в которых обрабатываются персональные данные.Для определения уровней защищенности и мер защиты.
Модель угрозПомогает определить актуальные угрозы и обосновать необходимые меры защиты.При построении системы защиты ИСПДн.
Комплект локальных документовОписывает правила обработки, роли, доступы, обязанности, инциденты и порядок действий.Для управления процессами и подготовки к проверкам.
План внедрения мер защитыПоказывает, какие организационные и технические меры нужно внедрить в первую очередь.Когда нужно перейти от документов к реальной защите.
Материалы по РКН и инцидентамПомогают проверить уведомление, трансграничную передачу, порядок реакции на утечки и актуализацию сведений.Если есть обработка ПДн, внешние сервисы, подрядчики, утечки или изменения в процессах.
Отчет о готовностиФиксирует выявленные пробелы, риски, рекомендации и приоритеты исправления.Перед проверкой, аудитом, запуском новой системы или изменением обработки.

Что нужно от заказчика для старта

Чем точнее исходные данные, тем быстрее можно определить ИСПДн, пробелы в документах и приоритеты исправлений.

Список систем и сервисов

Сайт, CRM, 1С, HR, личные кабинеты, приложения, облака, рассылки, телефония, аналитика и файловые хранилища.

Описание процессов

Какие данные собираются, от кого, зачем, кто обрабатывает, кому передаются и как долго хранятся.

Текущие документы

Политики, согласия, регламенты, договоры, инструкции, уведомления, документы по ИБ и подрядчикам.

Сведения о доступах

Роли пользователей, администраторы, подрядчики, удаленный доступ, учетные записи и порядок выдачи прав.

Сведения о подрядчиках

Облачные сервисы, хостинг, CRM, рассылки, аналитика, колл-центры, интеграторы и внешние обработчики.

Текущие проблемы и сроки

Проверка, запуск нового сервиса, утечка, запрос клиента, аудит, изменение процессов или необходимость срочного КП.

Типовые ошибки при защите персональных данных

Эти ошибки часто встречаются даже у организаций, у которых уже есть политика на сайте и часть документов.

Документы не отражают реальность

В политике описаны одни процессы, а фактически данные уходят в CRM, облака, рассылки, аналитику и подрядчикам.

Не определены ИСПДн

Организация не понимает, какие системы являются ИСПДн и какие меры защиты к ним применимы.

Нет модели угроз

Меры защиты выбираются “по привычке”, без анализа угроз, уровня защищенности и архитектуры ИСПДн.

Не проверены подрядчики

Данные передаются внешним сервисам, но договоры, поручения обработки, места хранения и доступы не оформлены.

Уведомление устарело

Сведения в уведомлении не соответствуют фактическим целям, категориям данных, системам или способам обработки.

Нет порядка действий при утечке

Не определено, кто фиксирует инцидент, проводит расследование, уведомляет и устраняет причины.

Форматы работ

Работы можно начинать с экспресс-аудита или сразу идти в полный проект по приведению ИСПДн и процессов в порядок.

Предварительный аудит

Подходит, если нужно понять текущее состояние: документы, сайт, формы, ИСПДн, уведомление, подрядчики и основные пробелы.

Приведение в порядок

Полный цикл: карта обработки, перечень ИСПДн, документы, модель угроз, уровни защищенности, меры и дорожная карта.

Сопровождение изменений

Подходит при запуске новых сервисов, подключении подрядчиков, изменении форм, CRM, приложений или внешних интеграций.

Кому подходит услуга

Услуга подходит организациям, которые обрабатывают персональные данные и хотят выстроить защиту не формально, а по сути.

Коммерческие компании

Интернет-магазины, сервисные компании, B2B-поставщики, SaaS-проекты и организации с клиентскими базами.

Государственные и муниципальные организации

Учреждения, где обрабатываются данные граждан, сотрудников, заявителей, учащихся или пациентов.

Медицина и образование

Организации с чувствительными данными, личными кабинетами, журналами, расписаниями и внутренними учетными системами.

Компании с распределенной инфраструктурой

Филиалы, удаленный доступ, подрядчики, облачные сервисы и несколько внутренних систем.

Разработчики и владельцы цифровых сервисов

Сайты, приложения, личные кабинеты, API и платформы, где пользователи оставляют данные.

Организации перед проверкой

Когда нужно быстро понять текущее состояние, закрыть пробелы и подготовить документы.

Как мы работаем

1

Заявка и первичная консультация

Уточняем задачу, состав систем, сроки, текущие проблемы и ожидаемый результат.

2

Сбор исходных данных

Запрашиваем сведения о системах, процессах, документах, подрядчиках, доступах и ИТ-инфраструктуре.

3

Обследование и анализ

Определяем состав ИСПДн, процессы, риски, пробелы в документах и технические меры, которые нужно внедрить.

4

Документы, уровни и модель угроз

Готовим документы, определяем уровни защищенности, модель угроз, перечни и рекомендации по мерам защиты.

5

Внедрение мер и подготовка к проверке

Помогаем настроить доступы, подрядчиков, журналы, резервное копирование, инциденты и актуализацию уведомлений.

6

Передача результата и сопровождение

Передаем документы, отчет и план дальнейших действий. При необходимости сопровождаем внедрение и изменения.

Почему NLSec

Для защиты персональных данных важно совместить регуляторные требования, реальные процессы и технические меры.

Не ограничиваемся политикой на сайте

Проверяем реальные ИСПДн, системы, доступы, подрядчиков, уведомления, процессы и технические меры.

Связываем документы с инфраструктурой

Документы готовятся не в отрыве от бизнеса, а с учетом сайта, CRM, 1С, HR, облаков, приложений и интеграций.

Показываем приоритеты

Заказчик понимает, что исправлять срочно, что можно сделать поэтапно и какие меры действительно нужны.

Помогаем с техническими мерами

Оцениваем доступы, журналирование, резервное копирование, защиту каналов, учетные записи и другие меры.

Учитываем изменения

Новые формы, подрядчики, сервисы, интеграции и утечки требуют актуализации документов и процессов.

Работаем до понятного результата

Итог — не набор шаблонов, а комплект материалов, дорожная карта и понятная ответственность.

Как подтверждаем качество результата

В услугах по информационной безопасности важно заранее зафиксировать границы работ, ожидаемый результат, формат документов и ответственность сторон. Это снижает риск формальных отчетов, которые нельзя применить на практике.

Фиксируем рамки работ

До старта согласуются системы, процессы, документы, доступы, ограничения, сроки и ожидаемые артефакты.

Передаем применимые материалы

Отчеты, матрицы, модели, регламенты и рекомендации привязываются к реальной инфраструктуре и задачам заказчика.

Показываем следующие шаги

В результате есть не только описание текущего состояния, но и приоритеты: что сделать срочно, что планово, что проверить повторно.

Стоимость и сроки

Стоимость зависит от объема обработки персональных данных, количества ИСПДн, состава инфраструктуры, текущего состояния документов и необходимости внедрения технических мер.

Что влияет на стоимость

  • количество систем, сайтов, форм, сервисов и баз данных;
  • количество процессов обработки и категорий субъектов;
  • наличие CRM, 1С, HR-систем, личных кабинетов, приложений и облаков;
  • количество филиалов, пользователей и подрядчиков;
  • текущее состояние документов, уведомлений и СЗИ;
  • нужна ли подготовка к проверке, аудит после инцидента или срочная актуализация.

Как получить расчет

Оставьте заявку и кратко опишите инфраструктуру: какие системы используются, какие данные обрабатываются, есть ли текущие документы, уведомление РКН, подрядчики и какие сроки важны. После уточнения вводных можно подготовить состав работ и КП.

Рассчитать стоимость

FAQ

  • Что такое ИСПДн?

    ИСПДн — это информационная система персональных данных. В нее могут входить базы данных, программное обеспечение, серверы, рабочие места, облачные сервисы и процессы, через которые организация обрабатывает персональные данные.

  • Достаточно ли просто разместить политику обработки персональных данных на сайте?

    Нет. Политика на сайте важна, но сама по себе она не закрывает вопросы защиты персональных данных. Нужно понимать, какие данные собираются, где они хранятся, кто имеет доступ, какие документы действуют внутри организации и какие технические меры применяются.

  • Нужно ли уведомлять Роскомнадзор?

    Во многих случаях оператор должен подать уведомление о начале или осуществлении обработки персональных данных. Есть исключения, поэтому необходимость уведомления нужно проверять по конкретной ситуации, целям обработки и способам обработки данных.

  • Что такое уровень защищенности персональных данных?

    Уровень защищенности ИСПДн определяется по составу данных, категориям субъектов, объему обработки и актуальным угрозам. От уровня зависит набор организационных и технических мер защиты.

  • Что такое модель угроз для ИСПДн?

    Модель угроз описывает возможные угрозы безопасности персональных данных и помогает определить, какие меры защиты нужны для конкретной информационной системы и процессов обработки.

  • Что делать при утечке персональных данных?

    Нужно зафиксировать инцидент, ограничить ущерб, провести внутреннее расследование и выполнить обязанности по уведомлению уполномоченного органа в установленные сроки.

  • Можно ли заказать только документы без внедрения СЗИ?

    Можно начать с документов и обследования, но для реальной защиты часто требуется внедрение или настройка технических мер: управление доступом, регистрация событий, резервное копирование, антивирусная защита, криптографическая защита и другие меры.

  • Какие документы нужны по персональным данным?

    Состав зависит от процессов, но обычно нужны политика обработки, согласия, положения, регламенты, перечни ИСПДн, матрицы доступа, модель угроз, инструкции и документы по взаимодействию с подрядчиками.

  • Сколько времени занимает работа?

    Срок зависит от количества систем, процессов, пользователей, филиалов и текущего состояния документов. Небольшой аудит и базовая документация могут занимать меньше времени, комплексная работа с несколькими ИСПДн и внедрением мер — дольше.

Нужно привести персональные данные в порядок?

Оставьте заявку — уточним состав ИСПДн, текущие документы, уведомления, риски и подготовим понятный план работ.