— 152-ФЗ в первую очередь это закон про ваши обязанности перед людьми, чьи данные вы обрабатываете, действенные меры, а затем уже про бумаги, которые эти меры отображают.
Реализация необходимых тех.требований ФСТЭК, комплект документов и сопутствующие указания
документов
уведомлений за год
базовых требований
— Обсудим нагрузку, объемы обработки, структуру сети. Выясним необходимость внедрения комплекса с выбором должного уровня защиты.
Всё по полочкам
Модернизация и защита сети
Мы проанализируем действующий уровень угроз, составим список мер и поможем в реализации.
Комплекс ОРД
После настройки сети и рабочих мест реализованные меры перекладываются на бумагу.
Структура и отчетность
Соблюдайте все принятые меры по утвержденному плану. Поддерживайте новую сеть. Защищайте ПДн сотрудников и клиентов.
Уведомления и запросы
Автоуведомления в телеграм-боте или по эл.почте о предстоящих мероприятиях. Ситуационные запросы.
— Уже оказываем оправданное доверие
В чем наше основное преимущество?
Комплексное решение под ключ, а не просто бумаги.
Выполняя все требования федерального закона и гос.служб по нашим инструкциям и методичкам, вы также избежите ужасных штрафов.
Индивидуальный подход. Подайте заявку с помощью анкетирования.
В стоимость подписки на год входит:
Анализ бизнес-процессов и локальной сети, передача брифинга и тех.задания по модернизации сети, рабочих станций и сервера;
Формирование ключевых технических документов и итогового комплекта организационно-распорядительной документации;
Инструкция по заведению НПА;
Юридическая поддержка в рамках ПДн;
Скрипт чек-бокса для сайта с установкой;
Автоматические оповещения по эл.почте и телеграм-боте;
Мини-экспертная система в телеграм-боте;
Юридическое сопровождение при проверках.
Анализ уровня угроз, проект по модернизации, комплект ОРД для уровня защищенности № 2.
Субъектов ПДн до 100 тыс.,
отсутствуют спец.категории и биометрия.
Анализ уровня угроз, проект по модернизации, комплект
ОРД для компаний с уровнем защищенности № 1.
Данная система относится к крупному бизнесу или к компаниям c категорией ПДн — биометрия, например, мед.клиники.
Соответствуйте всем требованиям 152-ФЗ
Модернизация и весь процесс обновления может занять до одного месяцев. Запуск самой документации несколько утомительный, требует внимательности. С нашей инструкцией и юридической поддержкой процесс упорядочивается и упрощается.
— Закон является социально значимым. Принимая меры по защите ПДн, вы вкладываетесь в стабилизацию общества и экономики. Для вашего бизнеса прагматичная выгода дальнего действия.
Данила Антонов, разработчик
— Каждый ваш запрос — частица для размышления и часть будущего, на которое мы с вами можем повлиять. Мы активно реагируем на любой вопрос.
Татьяна Зимина, главный юрист
Некоторые вопросы
Федеральный закон о персональных данных ФЗ-152 и все сопутствующие требования уполномоченных государственных служб, является гибкой нормой права, которая потребует от вас самостоятельного рассуждения и анализа обстоятельств для принятия правомочного решения.
Кто должен соблюдать ФЗ-152?
Все физические лица или юридические лица с любой организационно-правовой формой, если они обрабатывают и хранят любые сведения о человеке, даже обезличенные, в бумажном или цифровом виде.
Что такое обезличенные персональные данные?
Сведения о человеке из общедоступных сведений, по которым его нельзя достоверно идентифицировать. Например, эл.почта + имя — это обезличенные персональные данные, а если моб.телефон + фио — это уже не обезличенные сведения, а именно общедоступная категория персональных данных. В обоих случаях мы имеем дело с персональными данными, которые необходимо защищать и правильно обрабатывать, если ведется их сбор и хранение, будь то с помощью средств ЭВМ или на бумаге.
Кто должен вступить в реестр операторов ПДн на портале РКН?
Все физические и юридические лица, которые обрабатывают любые персональные данные (обезличенные или необезличенные) с помощью средств автоматизации (речь идет об ЭВМ, накопителях, телефонах, камерах наблюдения и т.д.) или хранят их на внешних магнитных или оптических накопителях. Даже если у вас овощная лавка, но есть сайт, на котором размещена метрика, либо у вас заключен договор с водителем-подрядчиком, либо установлена одна камера наблюдения.
В каком случае не нужно вставать в реестр операторов ПД?
Вариант только один: если вы не обрабатываете персональные данные с использованием любого цифрового устройства, будь то компьютер, ноутбук, планшет, смартфон, не храните данные на встроенных или внешних накопителях носителях, например, USB-flash, любой магнитный или оптический диск, не передаете и не получаете персональные данные с помощью сети. В цифровом виде ПДн у вас отсутствуют полностью. То есть вы запоминаете информацию в своей голове, записываете информацию в блокноте, вставать в реестр в таком случае не нужно. Но как только вы сохранили эксель с чужими ПДн на флэшку, формально необходимо встать в реестр операторов ПДн. При этом отсутствие в реестре в качестве оператора никак не связано с отсутствием необходимости выполнять требования ФЗ-152 по отношению к обработке и защите ПДн. Речь в данном вопросе о реестре операторов и об отсутствии обработки ПДн в цифровом виде.
В каких случаях можно не вести документацию согласно ФЗ-152?
Мы видим всего 2 варианта:
- Например, вы продаете товары с лавки на улице, у вас нет договора с подрядчиком, арендодателем, отсутствуют камеры наблюдения, вы не ведете клиентский учет ни в каком виде, на вашем сайте не установлены формы обратной связи и метрики.
- У вас есть сайт без метрик и форм обратной связи, только с альтернативными (анонимными) источниками контактирования, например, с помощью известных мессенджеров.
В обоих примерах вы работаете один или с людьми, но без официальных бумаг. Телефонные разговоры не пишутся, видеонаблюдение отсутствует.
Важно: голос и лицо – это тоже персональные данные (категория биометрических ПДн). Это означает, что в случае какой-либо обработки (например, наблюдение или хранение) данных по телефону (запись телефонных разговоров) или с помощью видеосъемки (камеры наблюдения), будет считаться, что вы обрабатываете персональные данные. В таком случае необходимо вести документацию и встать в реестр операторов ПДн.
Почему в пакетах нет УЗ 3 или 4?
Исходя из определений требуемых мер для уровня защиты 3 или 4 по приказу и методике ФСТЭК, по современным меркам такие установки практически недостижимы, поскольку реализации требуют, например, полной изоляции локальной сети, исключая постоянный доступ в Интернет. Все компании имеют как минимум одну точку доступа и постоянное нахождение в Интернете. На сегодняшний день наличие постоянного Интернета для отлаженной работы любого бизнеса является нормой.
Какая последовательность действий?
Сначала нужно разобраться, что именно защищать и на каком уровне, потом внедрить необходимые меры и описать все процедуры на бумаге. Далее — целый год важно четко следовать утвержденным планам и инструкциям, особенно при реагировании на сбои или инциденты. И на всех этапах беречь персональные данные сотрудников и клиентов.
Спектр работ с персональными данными можно охарактеризовать как междисциплинарную комплаенс-систему, направленную на обеспечение законности, безопасности и этичности всех процессов обработки информации, касающейся сведений о человеке. В разделе обработки персональных данных воздвигается комплексная ответственная дисциплина, а не «бумажная» формальность. В итоге спектр работ по модернизации вашей компьютерной сети и рабочих мест имеет четко обозначенную структуру.
Техническое и документальное погружение с положительными последствиями
Приведите свою организацию в полное соответствие с требованиями 152-ФЗ, в юридическом и техническом плане.