Что писать в графе «Технические и организационные меры» при минимальной ИТ-инфраструктуре?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Даже если в компании всего один компьютер и сайт с формой обратной связи, графу нужно заполнять. Закон не требует сложных описаний, но важно перечислить хотя бы базовые меры, которые вы реально применяете для защиты персональных данных.

Минимальные меры состоят из организационных (регламенты, приказы, назначение ответственного) и технических (защита компьютеров и сайта).

Обоснование по законодательству

• ФЗ-152, ст. 18.1: оператор обязан принимать правовые, организационные и технические меры для выполнения требований закона.
• ФЗ-152, ст. 19: меры должны обеспечивать защиту ПДн от неправомерного доступа, уничтожения, изменения, блокирования, распространения и других незаконных действий.
• Приказ ФСТЭК № 21: устанавливает базовые требования к защите информационных систем ПДн в зависимости от уровня угроз.

Что можно указать при минимальной инфраструктуре

Организационные меры:

• назначено ответственное лицо за обработку ПДн;
• утверждена политика обработки ПДн;
• утверждены приказы и регламенты по работе с ПДн;
• установлен порядок доступа и хранения данных;
• проводится инструктаж сотрудников по работе с ПДн.

Технические меры:

• использование антивирусного ПО;
• установка паролей на компьютеры и аккаунты;
• регулярное обновление операционной системы и программ;
• резервное копирование данных;
• использование SSL-сертификата для сайта (https);
• ограничение доступа к базе ПДн только уполномоченным лицам.

Пример формулировки для уведомления:

«Назначен ответственный за организацию обработки ПДн. Утверждена политика обработки ПДн. Используются антивирусное ПО, пароли на рабочие станции, резервное копирование. Доступ к данным ограничен. Передача данных через сайт осуществляется по протоколу https.»

Частые ошибки

• оставлять поле пустым — Роскомнадзор не примет уведомление;
• писать «меры не применяются» — это нарушение закона;
• указывать меры, которых на самом деле нет (при проверке несоответствие выявится).

Рекомендации и выводы

• Даже минимальная защита должна быть описана — это обязательная часть уведомления.
• Перечисляйте только те меры, которые реально внедрены.
• Для микробизнеса достаточно базового набора: политика, ответственный, пароли, антивирус, https.
• При росте компании список мер нужно расширять и отражать в документах по 152-ФЗ.

Нет времени разбираться в нюансах?

Заполним уведомление за Вас!

Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.

Оставить заявку