152-ФЗ: два способа выполнить все требования регуляторов

Выполнить все требования закона о персональных данных (ПДн) и сопутствующих актов – задача не из лёгких. Нужно подготовить десятки документов, купить, настроить и внедрить средства защиты, обучить сотрудников, следить и разбираться в постановлениях и приказах Роскомнадзора, ФСТЭК и ФСБ. 

При этом за нарушения оштрафуют и ответственную команду, и всю организацию. Период “Это обойдет стороной” уже прошёл. Поправки в КоАП и УК РФ вступили в силу, а уполномоченные ведомства вовсю проводят внеплановые проверки.

Именно поэтому мы создали сервис SafeCloud 152-ФЗ – облачное решение «под ключ», в котором уже реализованы все меры защиты и подготовлены все нужные документы.  

В статье даём инструкцию, как выполнить все требования 152-ФЗ. Также расскажем про наш сервис, который позволит радикально сократить и облегчить этот путь.

Шаг 1. Организационные меры: документы, политики, согласия

Всё  начинается с внушительного пакета документов. Закон предписывает назначить ответственного за обработку персональных данных и подготовить комплект из примерно 50 приказов, политик, инструкций и планов по работе с ПДн. 

Затем нужно организовать работу с ПДн по правилам. Прежде всего, определить цели сбора ПДн – зачем бизнесу нужны эти данные – и зафиксировать их в политике. 

Далее — выбрать правовое основание обработки: как правило, это согласие субъекта данных. В некоторых случаях можно обрабатывать данные и без согласия – например, медорганизациям при первичном приёме.

Важно также определить, какие категории персональных данных вы обрабатываете. Закон делит ПДн на общедоступные, специальные (например, сведения о здоровье, политических взглядах), биометрические и прочие. От этого зависит уровень требований: скажем, работа с биометрическими или медицинскими данными накладывает более строгие обязанности.

Бумажная работа — половина успеха: без неё невозможно перейти к технической защите.

Шаг 2. Технические меры: модель угроз, средства защиты, шифрование

Здесь ключевой ориентир – требования постановления Правительства РФ №1119 и приказов ФСТЭК №17 и №21.

Прежде всего, составляете модель угроз безопасности ПДн – документ, где перечислены актуальные угрозы для ваших информационных систем и данные о нарушителях. 

На базе модели угроз и категорий данных определяется уровень защищённости ИСПДн согласно постановлению №1119. 

Например, если вы обрабатываете чувствительные данные большого числа людей, вам может быть присвоен УЗ-2 или даже УЗ-1 – высокие уровни, требующие максимальных мер защиты. В подтверждение определения уровня составляем акт и протокол оценки ущерба для субъектов ПДн.

Параллельно выясняете, подпадаете ли вы под понятие государственной информационной системы (ГИС) или критической информационной инфраструктуры (КИИ). Для ГИС вместо уровней используют понятие класса защищённости по приказу ФСТЭК №17, а для объектов КИИ действуют свои критерии категорирования. Многие коммерческие организации не считаются ГИС, но могут попасть в категорию КИИ (например, частные медицинские клиники включены в отрасль здравоохранения, критичную для государства).

После наступает самая затратная часть – реализация технических мер защиты. К этому моменту у вас должны быть готовы Техническое задание и Технический проект в соответствии с моделью угроз. 

Согласно приказу ФСТЭК №21, для защиты ПДн предусмотрено 109 мер безопасности, сгруппированных в 15 групп – от контроля доступа и криптографии до аудита безопасности. 

Нужно подобрать и внедрить необходимые средства защиты информации (СЗИ):

• межсетевые экраны (фаерволы)
• системы обнаружения вторжений 
• антивирусы 
• системы резервного копирования 
• средства защиты от НСД (несанкционированного доступа) 
• и т.д.

Причём эти средства должны иметь сертификаты ФСТЭК или подтверждение оценки соответствия в соответствии с ч.1 ст.19 закона 152-ФЗ.

Одно только перечисление необходимых технологий может вызвать головную боль. Но далее начинается самое интересное — нужно не просто купить софт, но и интегрировать друг с другом, настроить десятки параметров согласно политике безопасности и убедиться, что всё это работает без влияния на бизнес-процессы. 

Отдельная задача – криптографическая защита (СКЗИ). Если вы шифруете каналы связи или хранилища с ПДн, обязаны использовать российские криптосредства, одобренные ФСБ. Например, VPN должны быть на основе сертифицированных решений.

Наконец, необходимо уведомить Роскомнадзор о начале обработки персональных данных. В уведомлении указывают сведения об организации, категориях ПДн, мерах защиты и уровне защищенности. Тут тоже есть нюансы – за ошибки в уведомлении могут грозить штрафы. А за неуведомление – штраф до 300 тыс. рублей.

На выходе у вас должна быть создана защищённая ИТ-инфраструктура, соответствующая требуемому уровню. Это значит, что есть технический проект системы защиты, реализованы все нужные СЗИ, настроено резервное копирование, шифрование, сбор логов.

Шаг 3. Обучение персонала и контроль

Закон требует организовать постоянный контроль за соблюдением всех мер и обучение сотрудников, допущенных к работе с персональными данными. 

Кадры решают всё: какой толк от межсетевого экрана, если бухгалтер отправил базу клиентов себе на личную почту? Поэтому необходимо проводить регулярные инструктажи и обучающие занятия по информационной безопасности. С сотрудников берут соглашение о неразглашении персональных данных, их обязанностях и ответственности.

Кроме обучения, необходимо наладить внутренний аудит безопасности ПДн. Раз в год (или чаще) ответственное лицо должно проверять, все ли меры выполняются, актуализированы ли документы, установлены ли обновления на СЗИ и т.д. 

Если произошла утечка или нарушение защиты, компания должна провести служебное расследование и уведомить Роскомнадзор об инциденте в течение 24 часов.

К слову о штрафах и проверках. Максимальные штрафы для юридических лиц выросли многократно – вплоть до 3% от годового оборота. Появилась и уголовная ответственность для должностных лиц за определённые нарушения. 

Прокуратура активно использует право запрашивать документы вне рамок плановых проверок. Например, в 2024 году многие компании получили требование от прокуратуры предоставить комплект документов по ПДн и КИИ в сжатые сроки. Если в такой ситуации у вас не окажется хотя бы одного из десятков нужных документов или мер – ждите неприятностей.

В итоге бизнес фактически должен помнить о кибербезопасности каждый день, что для небольших компаний зачастую непосильно.

Почему появился SafeCloud 152-ФЗ и какие проблемы он решает

Идея создать сервис, закрывающий все требования по персональным данным, возникла не на пустом месте. На рынке не хватало комплексного решения, которое помогло бы бизнесу выполнить закон без необходимости становиться экспертом в информационной безопасности. SafeCloud 152-ФЗ появился в 2023 году именно как ответ на запрос: «Дайте нам одно решение для всего, чтобы и инфраструктура, и защита, и документы сразу были готовы».

Рассмотрим главные фишки сервиса:

• Аттестованная защищённая инфраструктура. SafeCloud 152-ФЗ развёрнут на базе облачной платформы, которая прошла оценку соответствия требованиям регуляторов. Фактически, это облако УЗ-2 (второго уровня защищённости) и класса К2 по приказу ФСТЭК №17. Такой уровень нужен для работы с чувствительными персональными данными. Например, в SafeCloud можно размещать системы, содержащие медицинскую тайну, биометрические данные, сведения о детях и т.д. . Не нужно строить дата-центр – вы пользуетесь готовым облачным кластером с нужными сертификатами.
  
• Полный комплекс мер безопасности “из коробки”. В составе SafeCloud уже есть всё, что прописано в законе: межсетевые экраны, системы обнаружения вторжений, средства резервного копирования, шифрование каналов, мониторинг событий безопасности и т.д. Например, используются отечественные решения:
  — ViPNet для защищённых VPN и межсетевого экранирования
  — “Соболь-4” для защиты от несанкционированного доступа при загрузке
  — Secret Net Studio для защиты виртуальных машин
  — антивирус Касперского – они сертифицированы и интегрированы в платформу.
  Таким образом, все технические меры уже реализованы внутри сервиса. Вам не придётся ломать голову, как подобрать нужный класс СЗИ или СКЗИ – мы сделали это за вас на этапе создания продукта.
  
• Полный пакет документации и шаблонов. Мы помогаем адаптировать их под особенности вашей организации и обойти подводные камни.
  
• Эксперты на связи. Мало внедрить технологии – нужны люди, которые всем этим будут управлять. Мы поможем со всем — вплоть до обучения ваших сотрудников. По отзывам клиентов, это одно из ключевых преимуществ: можно позвонить и посоветоваться в любое время, чего крупные провайдеры обычно не предлагают.
  
• Распределение ответственности и снижение рисков. Используя SafeCloud, компания частично перекладывает ответственность за соблюдение мер на провайдера. Конечно, оператор ПДн (вы) формально всё равно отвечает перед законом, но мы выступаем подрядчиком, который несёт ответственность за техническую защиту и стабильность инфраструктуры. SafeCloud гарантирует время доступности систем – не более 20 минут простоя в случае аварии. Для бизнеса это значит минимизацию рисков простоев и утечек: данные в безопасности, а сервисы всегда работают.
  
• Экономическая эффективность. Мы стремимся снизить стоимость владения (TCO) для клиента. Если собрать все затраты на серверы, лицензии СЗИ, поиск специалистов, обучение, аудит – бюджет получится внушительным, особенно для среднего бизнеса. Облачный же сервис позволяет получить всё сразу по модели подписки, без капитальных расходов на оборудование.

Первыми опробовали сервис компании «Тактикум», и «Добрый доктор». Они подчёркивают, что для них  ценен не только набор технологий, но и подход команды. Партнёрские отношения выходят за рамки формального договора: мы глубоко вникаем в проблемы клиента и стараемся их решить наиболее удобным способом. 

Итак, SafeCloud 152-ФЗ отвечает на главный запрос рынка: «Как выполнить ВСЕ требования регуляторов по персональным данным – и не сойти с ума?». Вы можете убедиться в этом сами – заполните короткую форму, мы свяжемся и предложим решение под вашу ситуацию.