Соответствие законодательству
о ПДн (152-ФЗ)
Приведем все процессы обработки персональных данных в соответствие с законодательством перед проверкой Роскомнадзора
Почему это важно
Согласно последним поправкам в 152-ФЗ, компании обязаны уведомлять Роскомнадзор о планах собирать и обрабатывать ПДн
Самостоятельное приведение деятельности компании в соответствие с требованиями законодательства требует существенных трудозатрат со стороны ключевых сотрудников и отвлечения их от основных обязанностей. При этом сохраняется риск невыполнения всех необходимых требований и получения совокупных штрафов при проверках до 24 млн руб.
Самостоятельное приведение деятельности компании в соответствие с требованиями законодательства требует существенных трудозатрат со стороны ключевых сотрудников и отвлечения их от основных обязанностей. При этом сохраняется риск невыполнения всех необходимых требований и получения совокупных штрафов при проверках до 24 млн руб.
Решение будет
полезно, если
Осуществляете или только планируете осуществлять сбор и обработку любых категорий персональных данных
Ваша компания попала в перечень организаций, подлежащих аудиту ПДн Роскомнадзора — плановому или внеплановому
Отсутствует или давно не обновлялся комплект документов в области обработки ПДн, а также не налажены процессы уведомления регулятора об инцидентах с ПДн
Наше решение
мы предлагаем
- Учет всех процессов обработки и передачи персональных данных, в том числе и в ИСПДн
- Полностью адаптированный под специфику вашей компании и оптимизированный на основании опыта прохождения проверок комплект ЛНА и ОРД для соответствия требованиям законодательства
- Непрерывную поддержку наших экспертов на всех этапах реализации проекта
вы получите
- Снижение рисков получения штрафа от регулятора в случае внедрения всех рекомендаций перед прохождением проверок — все необходимые документы предоставит наша команда
- Оптимизацию времени сотрудников бизнес-подразделений на вопросы приведения в соответствие с 152-ФЗ — не более 3 часов в день для каждого работника
- Полный комплект инструментов для самостоятельной подготовки и прохождения проверок в будущем
Наш подход
к реализации
01
Обследование и анализ процессов обработки и защиты персональных данных
Определим несоответствия требованиям законодательства и подготовим рекомендации по их устранению
02
Подготовка необходимых внутренних документов
Разработаем проекты локально-нормативных актов и организационно-распорядительных документов, необходимых для приведения
в соответствие с требованиями законодательства
03
Создание модели угроз безопасности ПДн
Разработаем модель угроз безопасности персональных данных и акты определения уровней ее защищенности при обработке
04
Разработка требований к системе защиты персональных данных
Подготовим техническое задание и план совершенствования системы защиты персональных данных
За 132 рабочих дня провели комплексный аудит по 152-ФЗ в крупном ритейлере
За 132 рабочих дня подготовили необходимую документацию согласно требованиям регуляторов, снизили риски утечки ПДн в группе компаний ритейлера, а также разработали рекомендации по повышению уровня защищенности благодаря внедрению СЗИ и методологии DevSecOps
ситуация
Клиент — группа компаний с крупной сетью розничных магазинов в нескольких федеральных округах РФ. Из-за больших объемов персональных данных сотрудников, клиентов и подрядчиков требовалась комплексная защита, особенно в свете готовящегося законопроекта об оборотных штрафах за утечки ПДн.
решение
- Обследовали более 380 процессов по обработке персональных данных и подготовили для каждого юридического лица отчеты с рекомендациями по актуализации документов.
- Проанализировали уровень защищенности информационных систем ПДн, включая процесс разработки, эффективность средств защиты и их соответствие законодательству.
результат
- Снизили риски утечек ПДн и возможных штрафов со стороны регуляторов.
- Определили уровень защищенности ИТ-систем и предложили рекомендации по модернизации инфраструктуры.
- Повысили уровень доверия сотрудников и клиентов к защите их персональных данных.
Выстроили комплексную защиту 7 ИСПДн в крупной страховой компании
Модернизировали процессы обработки персональных данных в соответствии с 152-ФЗ и помогли перейти компании к результативному подходу в информационной безопасности
ситуация
Компания развивает мобильное приложение и веб-портал для оформления договоров страхования. При этом обрабатываются персональные данные клиентов, контрагентов, соискателей и сотрудников, включая обмен со страховыми агентами.
решение
- Выявили семь ИСПДн вместо двух заявленных, обнаружили несоответствие требованиям законодательства и подготовили организационно-распорядительную документацию.
- Спроектировали систему защиты ИСПДн и помогли усилить безопасность конечных точек для повышения уровня защиты персональных данных.
результат
- Минимизировали риски штрафных санкций со стороны регуляторов благодаря внедрению технического решения, учитывающего актуальные угрозы и стратегию киберустойчивости.
- Упрощен процесс работы с запросами субъектов ПДн, а уровень доверия клиентов, сотрудников и партнеров к защите данных значительно вырос.
наши
преимущества
Экспертиза
Детально погружаемся в бизнес-процессы компании, чтобы учесть все особенности вашего бизнеса и подготовить в соответствии с этим отчетные документы
Доверие
Регулярно обучаемся, участвуем
в мероприятиях Роскомнадзора и следим
за обновлениями законодательства
и правоприменительной практикой
>14 лет
Реализуем проекты в разных отраслях по приведению
в соответствие с законодательством
в области персональных данных
ПОДКЛЮЧИТЕСЬ К ЦЕНТРУ
МОНИТОРИНГА КИБЕРБЕЗОПАСНОСТИ
(SOC)
Обеспечьте мониторинг событий и анализ инцидентов в режиме 24/7
Часто задаваемые
вопросы
01
Персональные данные (ПДн) — любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу — субъекту персональных данных. К персональным данным относятся ФИО, ИНН, СНИЛС, номер мобильного телефона и другие сведения.
02
Федеральный закон № 152-ФЗ «О персональных данных» содержит требования к процессам обработки ПДн в рамках бизнес-процессов — например, в процессе кадрового делопроизводства и взаимодействия с покупателями, а также к реализации организационных и технических мер защиты ПДн. Соответствие требованиям 152-ФЗ предполагает выполнение ряда мероприятий:
- исключение избыточной обработки ПДн в ходе деятельности компании своевременный сбор согласий на обработку ПДн у работников, кандидатов, клиентов и т.д.
- регламентация и внедрения ряда организационных мер по защите ПДн, например, обеспечения физической безопасности, управление инцидентами ИБ, в том числе — связанных с утечками ПДн
- внедрение ряда технических мер защиты, например, средств антивирусной защиты и межсетевых экранов и т.д.
- непрерывное взаимодействие с субъектами ПДн и государственными органами, например, передача уведомлений об обработке ПДн и сведений об утечках ПДн в Роскомнадзор и т.д.
03
Под требования регуляторов подпадают все — юридические и физические лица, государственные, региональные и муниципальные органы. Например, коммерческие компании могут обрабатывать данные настоящих и бывших сотрудников, соискателей, клиентов, представителей подрядных организаций и посетителей компании. Данные всех перечисленных лиц подлежат защите в соответствии с требованиями 152-ФЗ. Однако требования закона не распространяются на:
- обработку ПДн физическими лицами исключительно для личных и семейных нужд
- процессы хранения, комплектования, учета и использования ПДн в архивных документах в соответствии с законодательством РФ
- персональные данные, относящиеся к государственной тайне.
04
Сейчас нарушение законодательства об обработке и защите ПДн предусматривает только административные меры ответственности. Например, за невыполнение требований по публикации на сайте компании политики в отношении обработки ПДн грозит штраф до 60 000 руб.
Максимальный размер штрафа в действующей редакции КоАП РФ предусмотрен за нарушение требований по локализации баз данных ПДн и может достигать 24 000 000 руб.
Однако в Государственной Думе прошли первое чтение законопроекты, ужесточающие ответственность за утечки ПДн. По отдельным статьям операторов ПДн ожидает оборотный штраф до 3% от годовой выручки в размере до 500 000 000 рублей, а также лишение свободы сроком до 10 лет.
Максимальный размер штрафа в действующей редакции КоАП РФ предусмотрен за нарушение требований по локализации баз данных ПДн и может достигать 24 000 000 руб.
Однако в Государственной Думе прошли первое чтение законопроекты, ужесточающие ответственность за утечки ПДн. По отдельным статьям операторов ПДн ожидает оборотный штраф до 3% от годовой выручки в размере до 500 000 000 рублей, а также лишение свободы сроком до 10 лет.
05
Состав и содержание таких мер зависит от особенностей обрабатываемых ПДн и актуальных угроз безопасности ПДн согласно Методике ФСТЭК России. Для соответствия требованиям 152-ФЗ рекомендуем компаниям разработать: Политику в отношении обработки и защиты ПДн — документ необходимо опубликовать на официальном сайте компании
- Положение или Регламент в отношении обработки ПДн
- Положение или Регламент в отношении защиты ПДН
- Документ, определяющий цели обработки ПДн в компании
- Комплект шаблонов документов, необходимых для реализации требований 152-ФЗ — формы согласий на обработку ПДн, шаблоны ответов на обращения субъектов ПДн и т.д.
06
Для реализации требуемых 152-ФЗ технических мер защиты необходимо использовать средства:
- идентификации и аутентификации, например, Active Directory
- обеспечения защищенного удаленного доступа (VPN)
- защиты беспроводных соединений
- сбора событий ИБ (SIEM)
- антивирусной защиты
- криптографической защиты информации (СКЗИ) для шифрования информации, передающейся по открытым каналам связи
- межсетевого экранирования.
Связаться
с нами
с нами
Ольга Трофимова
Руководитель направления консалтинга