Соответствие законодательству

о ПДн (152-ФЗ)

Приведем все процессы обработки персональных данных в соответствие с законодательством перед проверкой Роскомнадзора

Почему это важно

Согласно последним поправкам в 152-ФЗ, компании обязаны уведомлять Роскомнадзор о планах собирать и обрабатывать ПДн

Самостоятельное приведение деятельности компании в соответствие с требованиями законодательства требует существенных трудозатрат со стороны ключевых сотрудников и отвлечения их от основных обязанностей. При этом сохраняется риск невыполнения всех необходимых требований и получения совокупных штрафов при проверках до 24 млн руб.
Почему это важно

Решение будет
полезно, если

Осуществляете или только планируете осуществлять сбор и обработку любых категорий персональных данных
Ваша компания попала в перечень организаций, подлежащих аудиту ПДн Роскомнадзора — плановому или внеплановому
Отсутствует или давно не обновлялся комплект документов в области обработки ПДн, а также не налажены процессы уведомления регулятора об инцидентах с ПДн

Наше решение

мы предлагаем

  • Учет всех процессов обработки и передачи персональных данных, в том числе и в ИСПДн
  • Полностью адаптированный под специфику вашей компании и оптимизированный на основании опыта прохождения проверок комплект ЛНА и ОРД для соответствия требованиям законодательства
  • Непрерывную поддержку наших экспертов на всех этапах реализации проекта

вы получите

  • Снижение рисков получения штрафа от регулятора в случае внедрения всех рекомендаций перед прохождением проверок — все необходимые документы предоставит наша команда
  • Оптимизацию времени сотрудников бизнес-подразделений
на вопросы приведения в соответствие с 152-ФЗ —
не более 3 часов в день для каждого работника
  • Полный комплект инструментов для самостоятельной подготовки и прохождения проверок в будущем

Наш подход
к реализации

01
Обследование и анализ процессов обработки и защиты персональных данных
Обследование и анализ процессов обработки и защиты персональных данных
Определим несоответствия требованиям законодательства и подготовим рекомендации по их устранению
02
 Подготовка необходимых внутренних документов
Подготовка необходимых внутренних документов
Разработаем проекты локально-нормативных актов и организационно-распорядительных документов, необходимых для приведения
в соответствие с требованиями законодательства
03
Создание модели угроз безопасности ПДн
Создание модели угроз безопасности ПДн
Разработаем модель угроз безопасности персональных данных и акты определения уровней ее защищенности при обработке
04
Разработка требований к системе защиты персональных данных
Разработка требований к системе защиты персональных данных
Подготовим техническое задание и план совершенствования системы защиты персональных данных
За 132 рабочих дня провели комплексный аудит по 152-ФЗ в крупном ритейлере
За 132 рабочих дня подготовили необходимую документацию согласно требованиям регуляторов, снизили риски утечки ПДн в группе компаний ритейлера, а также разработали рекомендации по повышению уровня защищенности благодаря внедрению СЗИ и методологии DevSecOps
ситуация
Клиент — группа компаний с крупной сетью розничных магазинов в нескольких федеральных округах РФ. Из-за больших объемов персональных данных сотрудников, клиентов и подрядчиков требовалась комплексная защита, особенно в свете готовящегося законопроекта об оборотных штрафах за утечки ПДн.
решение
  • Обследовали более 380 процессов по обработке персональных данных и подготовили для каждого юридического лица отчеты с рекомендациями по актуализации документов.
  • Проанализировали уровень защищенности информационных систем ПДн, включая процесс разработки, эффективность средств защиты и их соответствие законодательству.
результат
  • Снизили риски утечек ПДн и возможных штрафов со стороны регуляторов.
  • Определили уровень защищенности ИТ-систем и предложили рекомендации по модернизации инфраструктуры.
  • Повысили уровень доверия сотрудников и клиентов к защите их персональных данных.
Выстроили комплексную защиту 7 ИСПДн в крупной страховой компании
Модернизировали процессы обработки персональных данных в соответствии с 152-ФЗ и помогли перейти компании к результативному подходу в информационной безопасности
ситуация
Компания развивает мобильное приложение и веб-портал для оформления договоров страхования. При этом обрабатываются персональные данные клиентов, контрагентов, соискателей и сотрудников, включая обмен со страховыми агентами.
решение
  • Выявили семь ИСПДн вместо двух заявленных, обнаружили несоответствие требованиям законодательства и подготовили организационно-распорядительную документацию.
  • Спроектировали систему защиты ИСПДн и помогли усилить безопасность конечных точек для повышения уровня защиты персональных данных.
результат
  • Минимизировали риски штрафных санкций со стороны регуляторов благодаря внедрению технического решения, учитывающего актуальные угрозы и стратегию киберустойчивости.
  • Упрощен процесс работы с запросами субъектов ПДн, а уровень доверия клиентов, сотрудников и партнеров к защите данных значительно вырос.

наши
преимущества

Экспертиза
Детально погружаемся в бизнес-процессы компании, чтобы учесть все особенности вашего бизнеса и подготовить в соответствии с этим отчетные документы
Доверие
Регулярно обучаемся, участвуем
в мероприятиях Роскомнадзора и следим
за обновлениями законодательства
и правоприменительной практикой
>14 лет
Реализуем проекты в разных отраслях по приведению
в соответствие с законодательством
в области персональных данных

ПОДКЛЮЧИТЕСЬ К ЦЕНТРУ

МОНИТОРИНГА КИБЕРБЕЗОПАСНОСТИ

(SOC)

Обеспечьте мониторинг событий и анализ инцидентов в режиме 24/7

Часто задаваемые
вопросы

01
Персональные данные (ПДн) — любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу — субъекту персональных данных. К персональным данным относятся ФИО, ИНН, СНИЛС, номер мобильного телефона и другие сведения.
02
Федеральный закон № 152-ФЗ «О персональных данных» содержит требования к процессам обработки ПДн в рамках бизнес-процессов — например, в процессе кадрового делопроизводства и взаимодействия с покупателями, а также к реализации организационных и технических мер защиты ПДн. Соответствие требованиям 152-ФЗ предполагает выполнение ряда мероприятий:
  • исключение избыточной обработки ПДн в ходе деятельности компании своевременный сбор согласий на обработку ПДн у работников, кандидатов, клиентов и т.д.
  • регламентация и внедрения ряда организационных мер по защите ПДн, например, обеспечения физической безопасности, управление инцидентами ИБ, в том числе — связанных с утечками ПДн
  • внедрение ряда технических мер защиты, например, средств антивирусной защиты и межсетевых экранов и т.д.
  • непрерывное взаимодействие с субъектами ПДн и государственными органами, например, передача уведомлений об обработке ПДн и сведений об утечках ПДн в Роскомнадзор и т.д.
03
Под требования регуляторов подпадают все — юридические и физические лица, государственные, региональные и муниципальные органы. Например, коммерческие компании могут обрабатывать данные настоящих и бывших сотрудников, соискателей, клиентов, представителей подрядных организаций и посетителей компании. Данные всех перечисленных лиц подлежат защите в соответствии с требованиями 152-ФЗ. Однако требования закона не распространяются на:
  • обработку ПДн физическими лицами исключительно для личных и семейных нужд
  • процессы хранения, комплектования, учета и использования ПДн в архивных документах в соответствии с законодательством РФ
  • персональные данные, относящиеся к государственной тайне.
04
Сейчас нарушение законодательства об обработке и защите ПДн предусматривает только административные меры ответственности. Например, за невыполнение требований по публикации на сайте компании политики в отношении обработки ПДн грозит штраф до 60 000 руб.

Максимальный размер штрафа в действующей редакции КоАП РФ предусмотрен за нарушение требований по локализации баз данных ПДн и может достигать 24 000 000 руб.

Однако в Государственной Думе прошли первое чтение законопроекты, ужесточающие ответственность за утечки ПДн. По отдельным статьям операторов ПДн ожидает оборотный штраф до 3% от годовой выручки в размере до 500 000 000 рублей, а также лишение свободы сроком до 10 лет.
05
Состав и содержание таких мер зависит от особенностей обрабатываемых ПДн и актуальных угроз безопасности ПДн согласно Методике ФСТЭК России. Для соответствия требованиям 152-ФЗ рекомендуем компаниям разработать: Политику в отношении обработки и защиты ПДн — документ необходимо опубликовать на официальном сайте компании
  • Положение или Регламент в отношении обработки ПДн
  • Положение или Регламент в отношении защиты ПДН
  • Документ, определяющий цели обработки ПДн в компании
  • Комплект шаблонов документов, необходимых для реализации требований 152-ФЗ — формы согласий на обработку ПДн, шаблоны ответов на обращения субъектов ПДн и т.д.
06
Для реализации требуемых 152-ФЗ технических мер защиты необходимо использовать средства:
  • идентификации и аутентификации, например, Active Directory
  • обеспечения защищенного удаленного доступа (VPN)
  • защиты беспроводных соединений
  • сбора событий ИБ (SIEM)
  • антивирусной защиты
  • криптографической защиты информации (СКЗИ) для шифрования информации, передающейся по открытым каналам связи
  • межсетевого экранирования.

Связаться
с нами

Ольга Трофимова
Ольга Трофимова
Руководитель направления консалтинга