Алексей Ветров
Эксперт по защите данных IC-TECH
Для малого бизнеса и ИП закон не делает исключений: нужно соблюдать требования ФЗ-152. Но при небольшом штате (1–10 человек) достаточно внедрить базовый набор организационных и технических мер, без сложных систем и дорогостоящего ПО.
Главное — чтобы эти меры были реальными и документально оформленными.
Главное — чтобы эти меры были реальными и документально оформленными.
Обоснование по законодательству
- ФЗ-152, ст. 18.1: оператор обязан принимать правовые, организационные и технические меры для выполнения требований закона.
- ФЗ-152, ст. 19: меры должны обеспечивать защиту ПДн от неправомерного доступа, уничтожения, изменения, блокирования и распространения.
- Приказ ФСТЭК № 21: определяет минимальные требования к защите ИСПДн в зависимости от уровня угроз (для микробизнеса чаще всего 4-й уровень).
Минимальный набор мер для малого штата
Организационные:
- назначить ответственного за организацию обработки ПДн (приказ);
- утвердить политику по обработке ПДн и ознакомить сотрудников;
- оформить согласия на обработку ПДн (от клиентов и работников);
- вести журнал доступа к данным (кто и когда работает с базами);
- прописать порядок уничтожения данных по окончании целей обработки.
Технические:
- защита компьютеров паролями и антивирусом;
- ограничение прав доступа (только тем, кому нужно по работе);
- регулярное обновление ОС и программ;
- резервное копирование данных (например, на внешний диск или в облако);
- использование https (SSL-сертификата) для сайта;
- настройка защиты Excel/CRM паролем, если данные там хранятся.
Пример
ИП ведёт учёт клиентов в Excel и использует сайт с формой заявки.
- Назначил себя ответственным,
- оформил политику ПДн и согласия на сайте,
- поставил пароль на файл Excel,
- сделал резервную копию на внешний диск,
- установил антивирус и включил https.
Этого уровня защиты достаточно для малого бизнеса, если всё закреплено документально.
Частые ошибки
- Полностью полагаться на «здравый смысл» и не оформлять документы.
- Использовать общие пароли для всех сотрудников.
- Не делать резервных копий (потеря файла = утечка и нарушение).
- Игнорировать сайт: формы без https и без согласия на обработку ПДн.
Рекомендации и выводы
- Для малого бизнеса достаточно базовых мер — главное, чтобы они реально работали и были описаны в документах.
- Начните с политики, ответственного, согласий, антивируса и паролей.
- Для сайта обязательно https и политика ПДн.
- Документируйте даже простые меры: Роскомнадзор проверяет наличие регламентов, а не «уровень технологий».
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
