Система персональных данных: как классифицировать ИСПДн, выбрать уровень защищенности и соблюсти 152-ФЗ

Руководство по ИСПДн: классификация данных, уровни защищенности, требования к защите и шаги по соблюдению 152-ФЗ.

  • Что такое система персональных данных
  • Какие данные считаются персональными
  • Обязанности оператора ИСПДн
  • Уровни защищенности ИСПДн: как определить и не ошибиться

Основной текст

Российский бизнес ежегодно выплачивает многомиллионные штрафы за нарушения требований к обработке персональных данных. Причина большинства инцидентов - непонимание, что такое система персональных данных (ИСПДн) и как правильно ее защищать. Разбираемся, что входит в ИСПДн, как ее классифицировать, какие уровни защищенности существуют и какие последствия ждут бизнес при нарушениях.

Что такое система персональных данных

Любая организация, которая хранит данные сотрудников, клиентов или партнеров, является оператором персональных данных. Информационная система персональных данных (ИСПДн) - это автоматизированная система компании, работающая с персональной информацией. Это CRM, базы данных, кадровые программы и любое другое ПО, которое собирает, хранит или обрабатывает личную информацию. Проще говоря, если ваш бизнес использует компьютеры и программы для работы с данными клиентов или сотрудников - у вас есть ИСПДн.

Какие данные считаются персональными: 4 категории по степени их чувствительности

Виды ИСПДн

Кросс-функциональные (перекрестные)

Обрабатывают данные разных категорий людей - например, клиентов, сотрудников и партнеров. Крупные компании создают их, чтобы оптимизировать бизнес-процессы и сократить издержки. К примеру, банк может использовать единую платформу для скоринга заемщиков и расчета зарплат.

Функциональные

Решают конкретные задачи в отдельных подразделениях компании. Это CRM-платформы для отдела продаж, кадровые системы в HR-подразделении или маркетинговые платформы для аналитики.

Системы учета и управления

Автоматизируют внутренние процессы - ведут учет рабочего времени, рассчитывают отпуска и больничные, управляют доступом в помещения.

Информационно-справочные

Предоставляют сведения ограниченному кругу пользователей. Например, система проверки контрагентов в юридическом отделе или база лояльности в розничной сети.

Обязанности оператора ИСПДн

Чтобы не переплачивать за безопасность и не нарушать закон, бизнесу важно правильно классифицировать систему ПДн. Оператор отвечает за безопасность персональных данных постоянно - от момента их получения до удаления. Бизнес обязан внедрить систему защиты, способную эффективно противостоять актуальным угрозам.

Конкретные требования к построению такой системы устанавливают _152-ФЗ и Постановление Правительства №1119._ Закон 152-ФЗ отвечает за базовые правила: что можно, что нельзя и кто за это отвечает. Постановление №1119 подсказывает, какие меры безопасности нужно использовать и в какой ситуации. Именно оно устанавливает _4 уровня защищенности (УЗ)_ для системы, в зависимости от того, какие данные вы обрабатываете и сколько у вас клиентов или сотрудников.

Что необходимо сделать на практике: 1. Определите уровень защищенности (УЗ) - какие именно данные вы храните (стандартные или чувствительные). От этого зависит, какие средства защиты вам потребуются. 2. Выберите лицензированные средства защиты (СЗИ) - ФСТЭК и ФСБ утверждают перечень допустимых программ и аппаратных решений. Нельзя использовать любые понравившиеся инструменты - они должны быть одобрены регуляторами.

3. Сформируйте пакет внутренних документов - политику обработки данных, регламенты для сотрудников и реестр процессов, чтобы пройти проверку без вопросов. 4. Уведомите Роскомнадзор - как только начали собирать персональные данные вы обязаны сообщить об этом в контролирующий орган. 5. Заключите правильные договоры с подрядчиками - если вы передаете сведения на аутсорсинг (например, в облако), договор должен обязывать подрядчика защищать данные так же, как это делаете вы.

За соблюдением этих требований следят: - Роскомнадзор - проверяет, как вы собираете данные и реагируете на запросы граждан. - ФСТЭК - оценивает, как вы организовали техническую защиту информации. - ФСБ - контролирует использование шифрования (криптографии). Закон требует от бизнеса не просто наличия документов, но и активной, непрерывнойзащиты информации.

Ошиблись с категорией данных или не учли требования - рискуете получить штраф до 15 млн рублей.

Подберем материалы под вашу задачу

Уровни защищенности ИСПДн: как определить и не ошибиться

Правильный выбор уровня защищенности определяет, сколько вы потратите на системы безопасности и какие меры внедрите. Ошибка ведет _к двум рискам:_ вы переплатите за ненужную защиту или оставите данные уязвимыми, что грозит утечками и штрафами.

Чтобы понять, как защитить систему, нужно учесть 4 ключевых аспекта

Законодательство разделяет угрозы на три категории

Как уровень защищенности влияет на риски и затраты бизнеса

УЗТип угрозЧто нужно сделатьПрактическая польза для бизнеса
УЗ-1Угрозы 1-го типа (уязвимости ОС и СУБД)Внедрить максимальный набор средств защиты, включая системы против утечек информации (DLP) и строгое шифрование. Получить аттестат соответствия.Гарантированно проходите проверки Роскомнадзора и ФСТЭК. Повышаете доверие крупных партнеров.
УЗ-2Угрозы 2-го типа (уязвимости прикладного ПО)Установить межсетевой экран, антивирусную защиту, программы контроля доступа.Эффективно защищаете самые уязвимые данные, минимизируя репутационные риски.
УЗ-3Угрозы 3-го типа (человеческий фактор, инсайдеры)Внедрить парольную политику, разграничить права доступа сотрудников, вести журналы действий.Соблюдаете закон с минимальными затратами, фокусируясь на базовой, но надежной защите.
УЗ-4Угрозы 3-го типа в ограниченном проявленииПринять внутреннюю политику обработки данных и получить согласия от субъектов.Легально ведете маркетинг, не неся избыточных затрат на сложные системы безопасности.

Приведем пример. Завод со штатом 5000 сотрудников обрабатывает паспортные данные, медицинские справки для допуска к работе и использует систему контроля доступа с идентификацией по отпечаткам пальцев. - _Какие данные есть_ - иные (паспорта), специальные (медсправки) и биометрические (отпечатки). - _Уровень защищенности_ - наличие биометрии и специальных данных автоматически требует УЗ-2 для этих систем. - _Тип угроз_ - для системы, хранящей паспорта и медсправки, характерен 2-й тип угроз (уязвимости в кадровом ПО), а для системы с отпечатками пальцев - угрозы 1-го типа (атаки на операционную систему сервера).

Требования к защите и организации ИСПДн

После того, как вы определили УЗ, можно приступать к проектированию системы защиты. Конкретные требования к защите ПДн устанавливает _Приказ ФСТЭК № 21._ Организационные меры - это основа, по которой вас будут проверять в случае жалобы или аудита. Они подразумевают разработку и утверждение обязательных документов, регламентирующих порядок взаимодействия с данными, права доступа, процедуры реагирования на инциденты и персональную ответственность сотрудников.

Вам нужно подготовить

К техническим мерам защиты относятся следующие инструменты

Компании, которые внедрили защищённые ИСПДн, не только избегают штрафов, но и демонстрируют клиентам и партнёрам свою надёжность.

Пошаговый план защиты ИСПДн: от аудита до аттестации системы

Компании, которые внедрили защищенные ИСПДн, не только избегают штрафов, но и получают реальное конкурентное преимущество, демонстрируя клиентам и партнерам свою надежность. Следуйте плану - четкий алгоритм действий поможет минимизировать издержки и выстроить систему безопасности последовательно и обоснованно. ###

Шаг 1: Проведите аудит и классифицируйте систему

Составьте полный реестр всех процессов и мест хранения персональной информации. Фиксируете, где и как обрабатываете данные: в CRM, отделах кадров, бухгалтерии. Точно определите категории данных - стандартные (ФИО, телефоны) или специальные (состояние здоровья). На основе этой информации классифицируете ИСПДн по уровням защищенности. ###

Шаг 2: Сформируйте организационно-распорядительную документацию

Вам нужно создать пакет локальных актов, который станет основой для всех процессов (о них мы писали выше). Такие документы доказывают проверяющему органу: у вас порядок, а не хаос. ###

Шаг 3: Внедрите технические средства защиты

Определив уровень защищенности, выберите и внедрите сертифицированные СЗИ. Вам поможет подрядчик - системный интегратор, который подберет сертифицированные СЗИ в соответствии с уровнем защищенности, протестирует и внедрит решения на пилотных зонах перед полномасштабным запуском. Подрядчик также настроит интеграцию средств защиты с вашей IT-инфраструктурой и разработает техническую документацию на систему защиты. ###

Шаг 4: Подготовьте персонал и аттестуйте систему

Обучите команду: проведите инструктажи по использованию защитных механизмов и соблюдению регламентов. Введите в действие все разработанные документы и получите _аттестат соответствия_ (выдается на 3 года и служит весомым доказательством вашей добросовестности).

Финансовые риски

С 30 мая 2025 года штрафные санкции для юрлиц стали значительно выше, а за повторные нарушения введены _оборотные санкции_, исчисляемые в процентах от выручки компании, а не в виде фиксированной суммы.

Прямое влияние на бизнес-показатели

Сокращение операционной прибыли

Штрафы в размере 1-3% от выручки могут «поглотить» значительную часть квартальной прибыли среднего бизнеса.

Блокировка развития

Средства, запланированные на маркетинг, закупки или модернизацию, придется направлять на оплату санкций.

Потеря инвестиционной привлекательности

Компания с репутацией «нарушителя» и риском приостановки деятельности становится менее интересна инвесторам и партнерам.

Санкции для юридических лиц за утечку персональной информации

НарушениеШтраф
Компрометация данных 1 000-10 000 человек3-5 млн рублей
Разглашение информации 10 000-100 000 физических лиц5-10 млн рублей
Нарушение при обработке свыше 100 000 записей10-15 млн рублей
Раскрытие специальных категорий сведений (состояние здоровья, убеждения)10-15 млн рублей
Компрометация биометрических данных15-20 млн рублей
Повторный случай нарушения требований защитыОборотный штраф 1-3% от годового объема выручки (нижний порог - 20-25 млн рублей, верхний лимит - 500 млн рублей)

Реальный кейс реализации ИСПДн и последствия недостаточной защиты

  1. Успешная модернизация системы защиты в страховой компании

  2. Крупная страховая организация инициировала _масштабное обновление системы защиты ПДн_ при обработке медицинских полисов ДМС.

  3. Компания обрабатывала специальные категории данных о здоровье _500 000+_ клиентов, что требовало соответствия _УЗ-2._

  4. На первом этапе команда экспертов провела аудит ИТ‑инфраструктуры, который выявил зоны риска в ИТ-системах компании.

  5. По результатам аудита специалисты развернули комплексную систему безопасности: - настроили DLP-систему; - зашифровали каналы передачи данных между филиалами; - разграничили доступ к медицинской информации между страховыми агентами, медучреждениями и бухгалтерией.

  6. После установки системы мониторинга инцидентов бизнес начал реагировать на угрозы не за сутки, а за 15 минут.

Результаты через 6 месяцев

Судебные последствия недостаточной защиты данных в МФО

Рассмотрим другой пример - как слабая система безопасности и идентификации приводит к прямым финансовым и репутационным потерям. Микрофинансовая организация столкнулась с иском от гражданина, который утверждал, что никогда не подписывал договор займа и не давал согласия на использование своих персональных данных.

В ходе судебного разбирательства выяснилось, что договор был заключен _дистанционно через сайт с использованием_ _SMS-кода,_ отправленного на номер, зарегистрированный на другое лицо.

Суд установил, что в компании отсутствовала надежная система идентификации клиентов, что привело к несанкционированной обработке данных и заключению договора. Результат: суд обязал компанию удалить персональные данные истца и прекратить их обработку, что подтвердило прямую связь между недостатками в системе защиты и финансовыми потерями.

FAQ

FAQ

Что такое система персональных данных (ИСПДн)?

Система персональных данных - это любые программы и базы, где вы храните и обрабатываете данные клиентов, сотрудников или партнеров: CRM, кадровые системы и даже Excel-таблицы с телефонами и email клиентов.

Каким компаниям нужно защищать персональные данные?

Всем. Если вы храните данные сотрудников, клиентов или контрагентов, вы являетесь оператором ПДн. Это относится даже к небольшим компаниям с базой клиентов в Excel.

Обязательно ли регистрировать ИСПДн?

Да, но не саму систему, а факт обработки конфиденциальных сведений. Закон обязывает организации информировать Роскомнадзор до начала работы с персональными данными. Исключения - случаи, когда:

- обрабатываете только данные сотрудников;

- собираете контакты для разовых пропусков;

- получили данные из общедоступных источников.

Как понять, насколько защищена ИСПДн?

Чтобы понять, насколько защищена система, необходимо установить уровень защищенности. УЗ зависит от категории данных и числа людей, чьи сведения вы храните. Чем выше уровень - тем серьезнее должны быть меры защиты: от паролей до шифрования и специального ПО.

Что будет, если не защищать систему персональных данных?

Бизнесу грозят штрафные санкции: от 3 до 20 млн руб., а за повтор - до 3 % от выручки. Кроме денег вы теряете клиентов, партнёров и репутацию.

{{cta}}

Обсудить статью: Система персональных данных: как…

Отправить через: