Журнал "Information Security/ Информационная безопасность" #3, 2025

Оцените угрозы Прежде чем переходить к моделиро- ванию угроз безопасности (а процесс это небыстрый), нужно понять "уровень напряжения" в вашей отрасли – как в части утечек, так и относительно жалоб, а значит, и внеплановых проверок регу- лятора. Например, продажа физическим лицам рукодельных товаров вызывает у клиента мало напряжения и желания написать жалобу на обработку персо- нальных данных. Таблица с почтовыми адресами также не заинтересует хаке- ров. А вот банковская деятельность, работа с несовершеннолетними, любые медицинские услуги и ЖКХ – это зона опасности как со стороны хакеров, так и со стороны недовольства субъектов. Нужно понимать, что вероятность непосредственно утечки персональных данных для многих организаций остается достаточно низкой, так как интерес в первую очередь представляют либо большие базы данных, либо специ- альные категории. Таблица с номерами телефонов и электронными адресами нескольких клиентов особый интерес вряд ли представляет. Если только среди покупателей не окажется субъект, инте- ресующий злоумышленников. Вспомним утечку пары записей о субъектах у опе- ратора сотовой связи пятилетней–деся- тилетней давности. Тогда злоумышлен- ник охотился не за всей базой, а за актуальными номерами телефонов двух представителей местной власти. И обо- шлась эта утечка злоумышленнику в несколько тысяч рублей. Соответ- ственно, самым слабым звеном будут являться сотрудники в организациях любого масштаба. Уровень лояльности персонала на предприятиях разный, но высокий становится редкостью. На мно- гих рабочих местах есть текучесть кад- ров, и найти там работника, который пойдет на сотрудничество с хакерами, будет несложно. Примите и опишите технические и организационные меры защиты Любая техническая мера должна быть закреплена на бумаге. Начать разра- ботку документации можно со следую- щих документов: l политика в отношении обработки пер- сональных данных, формы согласий, l соглашение о неразглашении, l списки лиц, участвующих в обработке персональных данных, l приказы о назначении ответственных, l инструкции пользователя и админи- стратора. Определить точный состав пакета документов очень сложно, но есть опре- деленный принцип, который поможет упростить эту работу. Выпишите все, что должен предприни- мать оператор из 152–ФЗ. Изучите все статьи, а не только 21-ю, с одноименным названием. Например, из фразы: "изда- ние оператором, являющимся юридиче- ским лицом, документов, определяющих политику оператора в отношении обра- ботки персональных данных" мы выпи- сываем: "политика оператора в отноше- нии обработки персональных данных". Закончив с законом, переходите к ПП 1119 2 , к 21-му приказу ФСТЭК России 3 , а также к 378-му приказу ФСБ России 4 . Есть и отраслевые документы, требо- вания которых необходимо учитывать. Если ИСПДн относится к ГИС, то исполь- зуется 17-й приказ ФСТЭК России 5 , но это только до 01.03.2026, далее приме- няется 117-й приказ ФСТЭК России 6 . Помните: всегда начинаем сверху и дви- гаемся вниз, при любых противоречиях используем формулировки из выше- стоящих нормативно-правовых актов. Каким бы ни был ваш окончательный список, в любом случае документы должны сопровождаться листами озна- комления. Все подписи должны быть посчитаны, даты должны соответство- вать началу работы, ознакомлению или другому событию. Архив нужно держать в актуальном состоянии, иначе он не имеет никакого смысла. Все формы согласий должны соответствовать зако- ну, а согласия на распространение оформляются отдельно. С 1 сентября 2025 г. согласие на обработку данных обязательно должно быть отдельным документом. В защите персональных данных важно уметь расставлять приоритеты, потому что работы много и всю ее за день не переделать. Главное, помните, что реальность должна соответствовать внутренним документам, а документы – информации, которая содержится в уве- домлении об обработке. Операторы персональных данных – это мы все Пора принять простую истину: не существует бизнеса или организации, которые не обрабатывают персональ- ные данные. Даже если у вас всего один сотрудник или вы работаете с клиентами через электронную почту – вы уже оператор. Соответственно, задача защитить персональные дан- ные перестает быть технической или юридической и становится частью управленческой зрелости. Сделать базовый гигиенический минимум по 152–ФЗ сегодня – это не только избе- жать штрафа, но и подготовить фун- дамент для работы в новой, куда более ответственной цифровой эко- номике. l Совет. Задайте себе два вопроса: l Много ли у вас недовольных кли- ентов? l Кого может заинтересовать ваша база данных? • 15 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru 2 http://government.ru/docs/all/84743/ 3 hhttps://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18- fevralya-2013-g-n-21 4 https://normativ.kontur.ru/document?moduleId=1&documentId=240493 5 https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-11-fevralya- 2013-g-n-17 6 https://normativ.kontur.ru/document?moduleId=1&documentId=500478