КиберосноваSGRC
152-ФЗ

Защита персональных данных: автоматизация соответствия 152-ФЗ

Учёт СКЗИ для ИСПДн, инвентаризация информационных систем, контроль мер защиты по ФСТЭК №21 — полный цикл автоматизации 152-ФЗ в единой платформе.
152-ФЗ: Compliance
15+: Шаблонов
РКН: Уведомления
Запросить демоДокументы ИБ

Требования 152-ФЗ к защите персональных данных

152-ФЗ «О персональных данных» обязывает операторов ПДн обеспечить защиту персональных данных при их обработке. Оператор ПДн — любая организация, обрабатывающая данные сотрудников, клиентов, контрагентов.

Штрафы за нарушение 152-ФЗ: обработка без согласия — до 18 млн руб. (повторно), утечка ПДн — оборотные штрафы до 3% выручки (с 2025 г.). Неуведомление РКН — до 300 000 руб.
  • 1
    Определить цели обработки для каждой категории ПДн
  • 2
    Получить согласие субъекта или иметь законное основание
  • 3
    Уведомить Роскомнадзор о начале обработки ПДн
  • 4
    Определить уровень защищённости (УЗ-1 — УЗ-4) по ПП-1119
  • 5
    Разработать модель угроз для каждой ИСПДн
  • 6
    Принять организационные меры: политика, положение, приказы
  • 7
    Принять технические меры по Приказу ФСТЭК №21
  • 8
    Использовать СКЗИ при передаче по открытым каналам
  • 9
    Вести реестр обработки ПДн
  • 10
    Обеспечить права субъектов: доступ, уточнение, удаление

Как КиберОснова помогает с защитой ПДн

Каждое требование 152-ФЗ автоматизировано в единой платформе

Реестр обработки ПДн

Централизованный реестр всех процессов обработки ПДн: цели, категории, сроки, правовые основания. Связь с ИСПДн из модуля инвентаризации.

Модель угроз ИСПДн

Построение модели угроз по методике ФСТЭК 2021. Выбор актуальных угроз из БДУ, определение нарушителей, оценка актуальности.

Комплект документов по ПДн

15+ шаблонов: политика обработки, положение о защите, приказы, согласия, модель угроз, акт определения УЗ. Экспорт в Word/PDF.

Уведомление РКН

Автоформирование уведомления об обработке ПДн на основе данных реестра. Предзаполнение полей, экспорт в формат Роскомнадзора.

Штраф до 3% выручки за утечку ПДн — проверьте, соответствуете ли вы требованиям 152-ФЗ и ФСТЭК №21

Система защиты персональных данных (СЗПДн) по ФСТЭК №21

Приказ ФСТЭК №21 устанавливает требования к техническим мерам защиты ИСПДн в зависимости от уровня защищённости (УЗ-1 — УЗ-4). КиберОснова автоматически подбирает применимые меры в зависимости от присвоенного ИСПДн уровня. Все 317 мер Приказа №21 в КиберОснова →

Типовой состав технических мер СЗПДн

  • Идентификация и аутентификация пользователей — разграничение доступа к ИСПДн по ролям, многофакторная аутентификация для привилегированных пользователей
  • Управление доступом — матрица доступа к категориям ПДн, принцип минимальных привилегий, контроль удалённого доступа
  • Регистрация событий безопасности — журналы действий с ПДн, мониторинг попыток несанкционированного доступа, хранение логов не менее 3 лет
  • Антивирусная защита — защита рабочих мест и серверов ИСПДн от вредоносного ПО, регулярное обновление сигнатур
  • Контроль (анализ) защищённости — регулярный анализ уязвимостей ИСПДн по БДУ ФСТЭК, устранение критических уязвимостей
  • Обеспечение целостности — контроль целостности ПО и данных ИСПДн, защита от несанкционированного изменения
  • СКЗИ при передаче ПДн — применение сертифицированных ФСБ криптосредств при передаче ПДн по открытым каналам

Как КиберОснова помогает с СЗПДн

  • Реестр ИСПДн с привязкой к инвентаризации ИТ-активов
  • Автоматическое определение применимых мер защиты по уровню УЗ
  • Контроль выполнения мер через задачи ИБ с SLA
  • Учёт СКЗИ для ИСПДн по форме ФАПСИ №152 автоматически

Учёт СКЗИ для ИСПДн

Если персональные данные передаются по открытым каналам связи (интернет, публичные сети), оператор ПДн обязан применять СКЗИ, сертифицированные ФСБ России. На каждый экземпляр СКЗИ ведётся поэкземплярный учёт по форме журнала ФАПСИ №152 — это требование распространяется на все ИСПДн, где используется криптографическая защита.

КиберОснова автоматизирует учёт СКЗИ: фиксирует модель, серийный номер, место установки, ответственного пользователя и даты движения по каждому экземпляру криптосредства. Журнал формируется по форме ФАПСИ №152 и экспортируется в Excel/PDF для предъявления при проверках.

Учёт СКЗИ в КиберОснова — подробнее о модуле, требованиях ФАПСИ №152 и примере журнала.

Комплект документов по 152-ФЗ

Все шаблоны готовы в КиберОснова, заполняются по данным из системы, экспортируются в Word/PDF:

  • Политика обработки ПДн
  • Положение о защите ПДн
  • Приказ о назначении ответственного
  • Перечень ПДн, подлежащих защите
  • Перечень ИСПДн
  • Модель угроз безопасности ПДн
  • Акт определения уровня защищённости
  • Согласия на обработку ПДн
  • Уведомление РКН
  • Журнал учёта обращений субъектов ПДн
  • Инструкция по обработке ПДн
  • Регламент реагирования на инциденты с ПДн
FAQ

Часто задаваемые вопросы о защите ПДн

Не нашли ответ? Напишите нам

Связанные разделы

Автоматизируйте защиту ПДн по 152-ФЗ

Реестр обработки, модель угроз, документы, уведомление РКН — всё в единой платформе.