Алексей Ветров
Эксперт по защите данных IC-TECH
В этом поле указывается какие технические и программные средства применяются для защиты персональных данных в вашей информационной системе или при работе с ними.
Важно:
Указывать нужно реально используемые меры, а не «копировать из интернета» сложные криптосредства, которых у вас нет.
Для малого бизнеса и ИП достаточно базового набора: антивирус, пароли, резервное копирование, https для сайта.
Крупные компании могут добавлять сертифицированные средства защиты, межсетевые экраны, криптографию и т. д.
Важно:
Указывать нужно реально используемые меры, а не «копировать из интернета» сложные криптосредства, которых у вас нет.
Для малого бизнеса и ИП достаточно базового набора: антивирус, пароли, резервное копирование, https для сайта.
Крупные компании могут добавлять сертифицированные средства защиты, межсетевые экраны, криптографию и т. д.
Обоснование по законодательству
- ФЗ-152, ст. 19: оператор обязан применять меры для защиты ПДн.
- Приказ ФСТЭК № 21: определяет состав организационных и технических мер в зависимости от уровня защищённости.
- ФЗ-152, ст. 22: уведомление должно содержать сведения о мерах по обеспечению безопасности ПДн.
Что можно указать
Для малого бизнеса, ИП, сайтов:
- парольная защита рабочих станций и файлов;
- антивирусное программное обеспечение;
- резервное копирование данных;
- ограничение доступа сотрудников к ПДн;
- использование защищённого протокола https на сайте.
Для компаний среднего масштаба:
- межсетевой экран (firewall);
- разграничение доступа по ролям;
- журналы доступа и действий сотрудников;
- регулярные обновления ОС и ПО;
- шифрование каналов передачи данных (VPN, TLS).
Для крупных организаций и операторов критичных ПДн:
- сертифицированные средства защиты информации (ФСТЭК, ФСБ);
- криптографические средства защиты (СКЗИ);
- системы предотвращения вторжений (IDS/IPS);
- централизованное управление доступом.
Пример формулировки для уведомления (микробизнес)
«Применяются антивирусное ПО, парольная защита рабочих станций и файлов, ограничение доступа сотрудников, резервное копирование, защищённое соединение https для сайта.»
Частые ошибки
- Указывать меры, которых фактически нет (например, «шифрование СКЗИ», хотя реально используется только Excel с паролем). При проверке это выявится.
- Писать «меры не применяются» — уведомление не примут.
- Указывать слишком общо: «используются технические меры» без конкретики.
Рекомендации и выводы
- Указывайте только реально применяемые средства.
- Для малого бизнеса хватит базового набора: антивирус, пароли, https, резервное копирование.
- Чем больше данных и выше риски — тем серьёзнее перечень.
- Лучше заранее составить внутренний регламент: чтобы формулировки в уведомлении совпадали с документами по 152-ФЗ.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
