Журнал "Information Security/ Информационная безопасность" #3, 2025

Новые оборотные штрафы обсуждали везде: на форумах индивидуальных пред- принимателей (ведь они теперь отвечают за персональные данные наравне с юри- дическими лицами), в группах кадровиков и бухгалтеров, в сообществах самозаня- тых, на бизнес-конференциях любой направленности. Отовсюду выскакивали баннеры о консультировании по 152–ФЗ 1 : дорого, недорого, с гарантией и без. Пик интереса пришелся на 29 мая, так как многие восприняли требования дословно и решили участвовать в гонке "успеть до 30 числа". После дня Х настроение опе- раторов перешло в минорное: не успели, смысла нет что-либо делать, уже поздно. Ничего не поздно, коллеги, интересное только начинается! Как нам жить в новой реальности? Что делать и к чему готовиться? Давайте разбираться вместе. Возьмем сложную, но типичную прак- тическую задачу: как организовать защи- ту персональных данных с нуля? Начните с масштабного аудита информационных систем Руководителю каждого структурного подразделения необходимо провести тотальный анализ всех процессов обра- ботки информации как автоматизиро- ванной, так и неавтоматизированной, в результате которого будут определены все процессы, в которых задействованы персональные данные. При аудите стоит обратить внимание на: l названия документов, l категории персональных данных, l способы обработки, l используемое ПО, l размещение мест хранения как элек- тронных, так и бумажных докумен- тов. В структурном подразделении работ- ники описывают свою рутину руково- дителю в части обработки персональ- ных данных. Непосредственный руко- водитель обобщает информацию, после чего сведения, полученные от разных отделов, собираются воедино. На этом этапе обычно приходит пони- мание, что подразделений без обра- ботки не оказалось, но есть отделы с разнообразной, насыщенной обра- боткой, а есть единичные записи, – например, в производственном отделе кроме табеля может ничего больше не оказаться. Затем следует более интел- лектуальная работа: во время аудита вы поймете, что есть опасные, неопти- мальные и дублирующиеся процессы обработки персональных данных, – например, менеджер согласует с кли- ентом один и тот же договор и в мес- сенджере, и по электронной почте. В этом случае можно либо принять угрозы безопасности, которые несет каждый из имеющихся процессов, либо отказаться от одного из способов ком- муникации и сократить список акту- альных угроз. Далее необходимо будет определить основные направления обработки: сотрудники, клиенты, уво- ленные, соискатели. При необходимо- сти каждое направление можно раз- дробить для более детального рас- смотрения, но в принципе допустимо ограничиться тремя или четырьмя информационными системами персо- нальных данных в организации. Если уволенных объединить с действующи- ми сотрудниками (обычно их невоз- можно безболезненно удалить из базы), то получится как раз три систе- мы. Изучите точки начала и окончания обработки персональных данных Обратите свое внимание на ваш сайт, группы в социальных сетях и боты в мес- сенджерах – необходимо понимать, где хранится, даже временно, информация, которая поступает от клиента. Нужно проверить, как происходит общение с субъектом персональных дан- ных в сообщениях, что происходит после нажатия "купить" на карточке товара, какая информация запрашивается и насколько она вам нужна. Очень важно предупреждать о сборе куки-файлов при попадании на сайт. Нужно стремиться к исключению специальных категорий при обработке на сайте, даже если вы – медицинская организация. Действитель- но ли необходимы настоящие ФИО кли- ента при онлайн-консультировании? Информация, которая собирается через сайт, должна быть минимизирована, то есть всё, от чего можно отказаться, должно быть исключено. Чат-бота надо проверить на запросы лишней инфор- мации. Стоит уделить особое внимание дого- ворам с клиентами и зонам, где про- исходит непосредственное общение сотрудников с физическими лицами: может ли сотрудник просить клиента показать паспорт, какие дополнитель- ные документы можно потребовать, делаются ли копии документов, в каком виде они хранятся и утилизируются? Обработка персональных данных долж- на соответствовать цели и быть мини- мизирована. Совет. Так как работа масштабная, фиксируйте параллельно с персо- нальными данными другие виды кон- фиденциальной информации, напри- мер коммерческую тайну, чтобы потом избежать двойной работы. Совет. Форма обратной связи долж- на содержать пустой чек-бокс с фразой: "Я даю согласие на обра- ботку персональных данных в соот- ветствии с политикой в отношении обработки персональных данных". При этом "согласие" и "политика" – должны быть гиперссылками на соответствующие страницы. 14 • СПЕЦПРОЕКТ Защита персональных данных с нуля до гигиенического минимума конца 2024 г. и до 30 мая этого нарастала истерия по поводу защиты персональных данных. Даже те, кто никогда не зани- мался информационной безопасностью, начали интересоваться темой, а разобравшись на скорую руку, стали консультиро- вать и писать обучающие статьи. С Ксения Шудрова, эксперт по информационной безопасности Фото: Артем Борисенко 1 https://www.consultant.ru/document/cons_doc_LAW_61801/