Защита персональных данных с нуля до гигиенического минимума

С конца 2024 г. и до 30 мая этого нарастала истерия по поводу защиты персональных данных. Даже те, кто никогда не занимался информационной безопасностью, начали интересоваться темой, а разобравшись на скорую руку, стали консультировать и писать обучающие статьи.

Автор: Ксения Шудрова, эксперт по информационной безопасности

Новые оборотные штрафы обсуждали везде: на форумах индивидуальных предпринимателей (ведь они теперь отвечают за персональные данные наравне с юридическими лицами), в группах кадровиков и бухгалтеров, в сообществах самозанятых, на бизнес-конференциях любой направленности. Отовсюду выскакивали баннеры о консультировании по 152–ФЗ [1]: дорого, недорого, с гарантией и без. Пик интереса пришелся на 29 мая, так как многие восприняли требования дословно и решили участвовать в гонке "успеть до 30 числа". После дня Х настроение операторов перешло в минорное: не успели, смысла нет что-либо делать, уже поздно. Ничего не поздно, коллеги, интересное только начинается!

Как нам жить в новой реальности? Что делать и к чему готовиться? Давайте разбираться вместе.

Возьмем сложную, но типичную практическую задачу: как организовать защиту персональных данных с нуля?

Начните с масштабного аудита информационных систем

Руководителю каждого структурного подразделения необходимо провести тотальный анализ всех процессов обработки информации как автоматизированной, так и неавтоматизированной, в результате которого будут определены все процессы, в которых задействованы персональные данные.

Совет. Так как работа масштабная, фиксируйте параллельно с персональными данными другие виды конфиденциальной информации, например коммерческую тайну, чтобы потом избежать двойной работы.

При аудите стоит обратить внимание на:

• названия документов,
• категории персональных данных,
• способы обработки,
• используемое ПО,
• размещение мест хранения как электронных, так и бумажных документов.

В структурном подразделении работники описывают свою рутину руководителю в части обработки персональных данных. Непосредственный руководитель обобщает информацию, после чего сведения, полученные от разных отделов, собираются воедино. На этом этапе обычно приходит понимание, что подразделений без обработки не оказалось, но есть отделы с разнообразной, насыщенной обработкой, а есть единичные записи, – например, в производственном отделе кроме табеля может ничего больше не оказаться. Затем следует более интеллектуальная работа: во время аудита вы поймете, что есть опасные, неоптимальные и дублирующиеся процессы обработки персональных данных, – например, менеджер согласует с клиентом один и тот же договор и в мессенджере, и по электронной почте.

В этом случае можно либо принять угрозы безопасности, которые несет каждый из имеющихся процессов, либо отказаться от одного из способов коммуникации и сократить список актуальных угроз. Далее необходимо будет определить основные направления обработки: сотрудники, клиенты, уволенные, соискатели. При необходимости каждое направление можно раздробить для более детального рассмотрения, но в принципе допустимо ограничиться тремя или четырьмя информационными системами персональных данных в организации. Если уволенных объединить с действующими сотрудниками (обычно их невозможно безболезненно удалить из базы), то получится как раз три системы.

Изучите точки начала и окончания обработки персональных данных Обратите свое внимание на ваш сайт, группы в социальных сетях и боты в мессенджерах – необходимо понимать, где хранится, даже временно, информация, которая поступает от клиента.

Совет. Форма обратной связи должна содержать пустой чек-бокс с фразой: "Я даю согласие на обработку персональных данных в соответствии с политикой в отношении обработки персональных данных". При этом "согласие" и "политика" – должны быть гиперссылками на соответствующие страницы.

Нужно проверить, как происходит общение с субъектом персональных данных в сообщениях, что происходит после нажатия "купить" на карточке товара, какая информация запрашивается и насколько она вам нужна. Очень важно предупреждать о сборе куки-файлов при попадании на сайт. Нужно стремиться к исключению специальных категорий при обработке на сайте, даже если вы – медицинская организация. Действительно ли необходимы настоящие ФИО клиента при онлайн-консультировании? Информация, которая собирается через сайт, должна быть минимизирована, то есть всё, от чего можно отказаться, должно быть исключено. Чат-бота надо проверить на запросы лишней информации.

Стоит уделить особое внимание договорам с клиентами и зонам, где происходит непосредственное общение сотрудников с физическими лицами: может ли сотрудник просить клиента показать паспорт, какие дополнительные документы можно потребовать, делаются ли копии документов, в каком виде они хранятся и утилизируются? Обработка персональных данных должна соответствовать цели и быть минимизирована.

Оцените угрозы

Прежде чем переходить к моделированию угроз безопасности (а процесс это небыстрый), нужно понять "уровень напряжения" в вашей отрасли – как в части утечек, так и относительно жалоб, а значит, и внеплановых проверок регулятора.

Совет. Задайте себе два вопроса:
- Много ли у вас недовольных клиентов?
- Кого может заинтересовать ваша база данных?

Например, продажа физическим лицам рукодельных товаров вызывает у клиента мало напряжения и желания написать жалобу на обработку персональных данных. Таблица с почтовыми адресами также не заинтересует хакеров. А вот банковская деятельность, работа с несовершеннолетними, любые медицинские услуги и ЖКХ – это зона опасности как со стороны хакеров, так и со стороны недовольства субъектов.

Нужно понимать, что вероятность непосредственно утечки персональных данных для многих организаций остается достаточно низкой, так как интерес в первую очередь представляют либо большие базы данных, либо специальные категории. Таблица с номерами телефонов и электронными адресами нескольких клиентов особый интерес вряд ли представляет. Если только среди покупателей не окажется субъект, интересующий злоумышленников. Вспомним утечку пары записей о субъектах у оператора сотовой связи пятилетней–десятилетней давности. Тогда злоумышленник охотился не за всей базой, а за актуальными номерами телефонов двух представителей местной власти. И обошлась эта утечка злоумышленнику в несколько тысяч рублей. Соответственно, самым слабым звеном будут являться сотрудники в организациях любого масштаба. Уровень лояльности персонала на предприятиях разный, но высокий становится редкостью. На многих рабочих местах есть текучесть кадров, и найти там работника, который пойдет на сотрудничество с хакерами, будет несложно.

Примите и опишите технические и организационные меры защиты

Любая техническая мера должна быть закреплена на бумаге. Начать разработку документации можно со следующих документов:

• политика в отношении обработки персональных данных, формы согласий,
• соглашение о неразглашении,
• списки лиц, участвующих в обработке персональных данных,
• приказы о назначении ответственных,
• инструкции пользователя и администратора.

Определить точный состав пакета документов очень сложно, но есть определенный принцип, который поможет упростить эту работу.

Выпишите все, что должен предпринимать оператор из 152–ФЗ. Изучите все статьи, а не только 21-ю, с одноименным названием. Например, из фразы: "издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных" мы выписываем: "политика оператора в отношении обработки персональных данных". Закончив с законом, переходите к ПП 1119 [2], к 21-му приказу ФСТЭК России [3], а также к 378-му приказу ФСБ России [4].

Есть и отраслевые документы, требования которых необходимо учитывать. Если ИСПДн относится к ГИС, то используется 17-й приказ ФСТЭК России [5], но это только до 01.03.2026, далее применяется 117-й приказ ФСТЭК России [6].

Помните: всегда начинаем сверху и двигаемся вниз, при любых противоречиях используем формулировки из вышестоящих нормативно-правовых актов. Каким бы ни был ваш окончательный список, в любом случае документы должны сопровождаться листами ознакомления. Все подписи должны быть посчитаны, даты должны соответствовать началу работы, ознакомлению или другому событию. Архив нужно держать в актуальном состоянии, иначе он не имеет никакого смысла. Все формы согласий должны соответствовать закону, а согласия на распространение оформляются отдельно. С 1 сентября 2025 г. согласие на обработку данных обязательно должно быть отдельным документом.

В защите персональных данных важно уметь расставлять приоритеты, потому что работы много и всю ее за день не переделать. Главное, помните, что реальность должна соответствовать внутренним документам, а документы – информации, которая содержится в уведомлении об обработке.

Операторы персональных данных – это мы все

Пора принять простую истину: не существует бизнеса или организации, которые не обрабатывают персональные данные. Даже если у вас всего один сотрудник или вы работаете с клиентами через электронную почту – вы уже оператор. Соответственно, задача защитить персональные данные перестает быть технической или юридической и становится частью управленческой зрелости. Сделать базовый гигиенический минимум по 152–ФЗ сегодня – это не только избежать штрафа, но и подготовить фундамент для работы в новой, куда более ответственной цифровой экономике.

1. https://www.consultant.ru/document/cons_doc_LAW_61801/ 
2. http://government.ru/docs/all/84743/ 
3. https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 
4. https://normativ.kontur.ru/document?moduleId=1&documentId=240493 
5. https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17 
6. https://normativ.kontur.ru/document?moduleId=1&documentId=500478