Отпечатки пальцев в СКУД: позиция Минцифры РФ
Путаница с использованием биометрии для прохода в офис? Минцифры России дало официальные разъяснения 📌
Какой закон главный?
Обработка отпечатков пальцев в корпоративных СКУД регулируется только Федеральным законом № 152-ФЗ «О персональных данных».
➡️ Закон № 128-ФЗ — только для госорганов
➡️ Закон № 572-ФЗ — только для лица и голоса в ЕБС
Ключевое условие легальности
📝 Обязательно требуется письменное согласие сотрудника (ст. 11 152-ФЗ).
Кроме того:
🛑 Нельзя отказать в доступе на работу из-за отказа от биометрии
✅ Нужно предоставить альтернативу: карту, брелок или пин-код
🔗 Подробнее в нашей статье
Риски нарушений
Штрафы для юрлиц по ст. 13.11 КоАП РФ достигают 20 миллионов рублей + репутационные потери.
Чек-лист легального СКУД по отпечаткам пальцев:
🔹 получите письменное согласие
🔹 предусмотрите альтернативу прохода
🔹 закрепите порядок в локальном акте
🔹 используйте защищенное оборудование
Теперь у бизнеса есть ясность. Легальное использование отпечатков пальцев в СКУД возможно при соблюдении этих правил.
Ликвидируем безграмотность в области персональных данных. Подписаться💙
#биометрия
Путаница с использованием биометрии для прохода в офис? Минцифры России дало официальные разъяснения 📌
Какой закон главный?
Обработка отпечатков пальцев в корпоративных СКУД регулируется только Федеральным законом № 152-ФЗ «О персональных данных».
➡️ Закон № 128-ФЗ — только для госорганов
➡️ Закон № 572-ФЗ — только для лица и голоса в ЕБС
Ключевое условие легальности
📝 Обязательно требуется письменное согласие сотрудника (ст. 11 152-ФЗ).
Кроме того:
🛑 Нельзя отказать в доступе на работу из-за отказа от биометрии
✅ Нужно предоставить альтернативу: карту, брелок или пин-код
🔗 Подробнее в нашей статье
Риски нарушений
Штрафы для юрлиц по ст. 13.11 КоАП РФ достигают 20 миллионов рублей + репутационные потери.
Чек-лист легального СКУД по отпечаткам пальцев:
🔹 получите письменное согласие
🔹 предусмотрите альтернативу прохода
🔹 закрепите порядок в локальном акте
🔹 используйте защищенное оборудование
Теперь у бизнеса есть ясность. Легальное использование отпечатков пальцев в СКУД возможно при соблюдении этих правил.
Ликвидируем безграмотность в области персональных данных. Подписаться
#биометрия
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥7❤3👍3
🔒 Конфиденциальность и искусственный интеллект
В эпоху повсеместного использования нейросетей критически важно помнить о безопасности данных. Каждый ваш запрос к ИИ — это цепочка операций, в которой конфиденциальная информация может покинуть пределы вашего контроля ⚠️
В соответствии с законом о персональных данных, ответственность за обработку и распространение персональных данных лежит на вас, как на операторе. Закон не делает исключений для нейросетей: передача данных через запрос приравнивается к их распространению третьим лицам.
🚫 Какие данные НЕЛЬЗЯ передавать в нейросети?
🪪 Персональные данные
ФИО, паспортные данные, СНИЛС, номера телефонов, адреса электронной почты.
❗️Важно: даже без прямого указания ФИО, совокупность данных (например, e-mail + описание ситуации) позволяет идентифицировать человека.
🤫 Служебная и коммерческая тайна
Внутренние документы, пароли, проекты договоров, инструкции, данные CRM. Передача таких сведений может нарушать трудовой договор и условия контрактов с клиентами.
🩻 Биометрические и специальные категории персональных данных
Информация о состоянии здоровья, религиозных и политических взглядах, судимости. Их обработка требует письменного согласия субъекта.
Это не теория, а реальность 🧨
Яркий пример — официально подтверждённый инцидент с ChatGPT в марте 2023 года. Из-за сбоя в программе некоторые пользователи видели заголовки чужих чатов, а в ряде случаев — имена, e-mail и части банковских карт других пользователей. Это доказывает: даже техническая ошибка на стороне провайдера может привести к утечке.
Что делать? Практические шаги
✅ Анонимизируйте данные
Перед отправкой в нейросеть замените реальные имена, номера и уникальные описания на шаблонные значения [ИМЯ_КЛИЕНТА], [НОМЕР_ЗАЯВКИ]
✅ Не используйте публичные нейросети и Telegram-боты для работы с внутренней и клиентской информацией. Вы не можете контролировать, куда и кому передаются ваши запросы
✅ Получите согласие
Если передача персональных данных необходима, убедитесь, что у вас есть явное согласие субъекта на это
Помните: ваша экспертность проявляется не только в умении использовать новые технологии, но и в способности делать это безопасно и в рамках закона.
Ликвидируем безграмотность в области персональных данных. Подписаться💙
#безопасность #ии
В эпоху повсеместного использования нейросетей критически важно помнить о безопасности данных. Каждый ваш запрос к ИИ — это цепочка операций, в которой конфиденциальная информация может покинуть пределы вашего контроля ⚠️
В соответствии с законом о персональных данных, ответственность за обработку и распространение персональных данных лежит на вас, как на операторе. Закон не делает исключений для нейросетей: передача данных через запрос приравнивается к их распространению третьим лицам.
🚫 Какие данные НЕЛЬЗЯ передавать в нейросети?
🪪 Персональные данные
ФИО, паспортные данные, СНИЛС, номера телефонов, адреса электронной почты.
❗️Важно: даже без прямого указания ФИО, совокупность данных (например, e-mail + описание ситуации) позволяет идентифицировать человека.
🤫 Служебная и коммерческая тайна
Внутренние документы, пароли, проекты договоров, инструкции, данные CRM. Передача таких сведений может нарушать трудовой договор и условия контрактов с клиентами.
🩻 Биометрические и специальные категории персональных данных
Информация о состоянии здоровья, религиозных и политических взглядах, судимости. Их обработка требует письменного согласия субъекта.
Это не теория, а реальность 🧨
Яркий пример — официально подтверждённый инцидент с ChatGPT в марте 2023 года. Из-за сбоя в программе некоторые пользователи видели заголовки чужих чатов, а в ряде случаев — имена, e-mail и части банковских карт других пользователей. Это доказывает: даже техническая ошибка на стороне провайдера может привести к утечке.
Что делать? Практические шаги
✅ Анонимизируйте данные
Перед отправкой в нейросеть замените реальные имена, номера и уникальные описания на шаблонные значения [ИМЯ_КЛИЕНТА], [НОМЕР_ЗАЯВКИ]
✅ Не используйте публичные нейросети и Telegram-боты для работы с внутренней и клиентской информацией. Вы не можете контролировать, куда и кому передаются ваши запросы
✅ Получите согласие
Если передача персональных данных необходима, убедитесь, что у вас есть явное согласие субъекта на это
Помните: ваша экспертность проявляется не только в умении использовать новые технологии, но и в способности делать это безопасно и в рамках закона.
Ликвидируем безграмотность в области персональных данных. Подписаться
#безопасность #ии
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🤔1💯1
⁉️ Уничтожили персональные данные? Правильно оформите этот факт!
Завершение обработки персональных данных — такая же важная процедура, как и их сбор. Недостаточно просто удалить файл или запись в базе. Факт уничтожения необходимо документально подтвердить. Это прямое требование законодательства РФ (ч.7 ст.21 ФЗ-152, Приказ Роскомнадзора № 179 от 28.10.2022).
🎯 Когда требуется уничтожение ПДн?
Организация обязана уничтожить персональные данные в следующих случаях:
🚫 Выявление неправомерной обработки
Пример: Новый менеджер добавил в рассылку компании клиентов с предыдущего места работы без их согласия. Эти контакты придётся удалить, т.к. основание для их обработки отсутствует.
🎯 Достижение цели обработки
Пример: Резюме соискателя, не прошедшего по конкурсу, хранилось в кадровом резерве. Срок хранения, предусмотренный согласием кандидата, истек, соответсвенно цель обработки достигнута — данные подлежат уничтожению.
📣 Отзыв субъектом согласия на обработку
Пример: Клиент направил в компанию заявление об отзыве согласия на обработку своих ПДн для маркетинговых рассылок. Его контактные данные (email, телефон) необходимо удалить из всех рассылочных сервисов.
📄 Как правильно оформить уничтожение?
Факт уничтожения фиксируется в Акте об уничтожении персональных данных. Форма акта должна соответствовать требованиям Приказа РКН № 179.
Что обязательно указать в акте:
✔️ Перечень данных (например, ФИО, паспортные данные, контакты).
✔️ Тип носителя (бумажный документ, электронный носитель, база данных и т.п.).
✔️ Способ уничтожения (физическое уничтожение носителя, стирание электронных данных, удаление записи в БД).
✔️ Причину (отзыв согласия, истечение срока хранения и т.д.).
✔️ Дату проведения процедуры.
✔️ Состав комиссии или данные ответственного лица.
💻 Особый случай: удаление из ИСПДн
Если данные хранились в информационной системе (ИСПДн), одного акта недостаточно. Требуется техническое подтверждение:
🔎 Лог-файл (выгрузка из журнала событий). Этот файл доказывает, что запись была удалена из системы.
🗃️ Срок хранения доказательств
Сам акт об уничтожении и приложенный к нему лог-файл — также подлежат хранению.
⚠️ Срок их хранения составляет 3 года с даты уничтожения соответствующих персональных данных.
Ликвидируем безграмотность в области персональных данных. Подписаться💙
#уничтожение
Завершение обработки персональных данных — такая же важная процедура, как и их сбор. Недостаточно просто удалить файл или запись в базе. Факт уничтожения необходимо документально подтвердить. Это прямое требование законодательства РФ (ч.7 ст.21 ФЗ-152, Приказ Роскомнадзора № 179 от 28.10.2022).
🎯 Когда требуется уничтожение ПДн?
Организация обязана уничтожить персональные данные в следующих случаях:
🚫 Выявление неправомерной обработки
Пример: Новый менеджер добавил в рассылку компании клиентов с предыдущего места работы без их согласия. Эти контакты придётся удалить, т.к. основание для их обработки отсутствует.
🎯 Достижение цели обработки
Пример: Резюме соискателя, не прошедшего по конкурсу, хранилось в кадровом резерве. Срок хранения, предусмотренный согласием кандидата, истек, соответсвенно цель обработки достигнута — данные подлежат уничтожению.
📣 Отзыв субъектом согласия на обработку
Пример: Клиент направил в компанию заявление об отзыве согласия на обработку своих ПДн для маркетинговых рассылок. Его контактные данные (email, телефон) необходимо удалить из всех рассылочных сервисов.
📄 Как правильно оформить уничтожение?
Факт уничтожения фиксируется в Акте об уничтожении персональных данных. Форма акта должна соответствовать требованиям Приказа РКН № 179.
Что обязательно указать в акте:
✔️ Перечень данных (например, ФИО, паспортные данные, контакты).
✔️ Тип носителя (бумажный документ, электронный носитель, база данных и т.п.).
✔️ Способ уничтожения (физическое уничтожение носителя, стирание электронных данных, удаление записи в БД).
✔️ Причину (отзыв согласия, истечение срока хранения и т.д.).
✔️ Дату проведения процедуры.
✔️ Состав комиссии или данные ответственного лица.
💻 Особый случай: удаление из ИСПДн
Если данные хранились в информационной системе (ИСПДн), одного акта недостаточно. Требуется техническое подтверждение:
🔎 Лог-файл (выгрузка из журнала событий). Этот файл доказывает, что запись была удалена из системы.
🗃️ Срок хранения доказательств
Сам акт об уничтожении и приложенный к нему лог-файл — также подлежат хранению.
⚠️ Срок их хранения составляет 3 года с даты уничтожения соответствующих персональных данных.
Ликвидируем безграмотность в области персональных данных. Подписаться
#уничтожение
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5❤3🔥2
📚 Законный интерес для обработки персональных данных: как использовать без рисков?
1️⃣ Проверяем, разрешено ли это законом
2️⃣ Формулируем конкретное право, а не размытые цели
3️⃣ Оцениваем, не нарушаем ли мы права субъекта
Главное правило: всё должно быть задокументировано!
Как это сделать — читайте в нашей статье💡
Ликвидируем безграмотность в области персональных данных. Подписаться💙
#основание #чтоДелать
1️⃣ Проверяем, разрешено ли это законом
2️⃣ Формулируем конкретное право, а не размытые цели
3️⃣ Оцениваем, не нарушаем ли мы права субъекта
Главное правило: всё должно быть задокументировано!
Как это сделать — читайте в нашей статье
При подготовке использовался
аналитический материал RPPA
Ликвидируем безграмотность в области персональных данных. Подписаться
#основание #чтоДелать
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4👍4🤔1
🔐 Шпаргалка для работодателя: работа с персональными данными
Соблюдение требований закона о персональных данных — это юридическая безопасность работодателей и HR-специалистов. Напоминаем основные шаги, которые нельзя пропустить.
Чек-лист самопроверки:
📋 1. Подайте уведомление в Роскомнадзор
📂 2. Подготовьте пакет документов
✍️ 3. Придерживайтесь новых правил получения согласия
🔒 4. Обеспечьте безопасное хранение
🎯 5. Обрабатывайте данные строго в соответствии с заранее определёнными целями
⚠️ Помните: работа с персональными данными — это зона повышенной правовой ответственности. Регулярно обновляйте документы и проводите внутренние проверки.
Ликвидируем безграмотность в области персональных данных. Подписаться💙
#кадры #чтоДелать
Соблюдение требований закона о персональных данных — это юридическая безопасность работодателей и HR-специалистов. Напоминаем основные шаги, которые нельзя пропустить.
Чек-лист самопроверки:
📋 1. Подайте уведомление в Роскомнадзор
Сделать это можно на сайте pd.rkn.gov.ru;
• в электронном виде (с использованием профиля на госуслугах или с ЭЦП);
• на бумажном носителе (сгенерируйте уведомление и отправьте почтой).
Если уже включены в реестр — проверьте актуальность данных по ИНН
📂 2. Подготовьте пакет документов
В него должны входить:
• Политика обработки ПДн;
• Приказ о назначении ответственного;
• Положение об обработке и защите ПДн;
• Инструкции по работе с ПДн, журналы и акты;
• Формы необходимых согласий.
✍️ 3. Придерживайтесь новых правил получения согласия
Передача данных работника третьим лицам возможна только на основании согласия или в соответствии с утверждённым ЛНА.
Важно: все согласия должны быть приведены в соответствие с требованиями от 1 сентября 2025 года и должны подписываться отдельно от других документов.
🔒 4. Обеспечьте безопасное хранение
Электронные данные — только на российских IT-решениях (ПО, облака, серверы). Не забудьте про информационную безопасность — обязательны стойкие пароли, антивирусное ПО, а также другие меры защиты (проконсультируйтесь с Айтишниками).
Бумажные носители — в закрытых помещениях и сейфах. Доступ только у уполномоченных специалистов (HR, бухгалтерия, кадры).
🎯 5. Обрабатывайте данные строго в соответствии с заранее определёнными целями
Запрещено запрашивать лишнюю информацию у сотрудников и соискателей.
Обучите HR и рекрутеров, проинформируйте об ответственности за нарушения.
⚠️ Помните: работа с персональными данными — это зона повышенной правовой ответственности. Регулярно обновляйте документы и проводите внутренние проверки.
Ликвидируем безграмотность в области персональных данных. Подписаться
#кадры #чтоДелать
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤2👌2
➡️ Скачайте чек-лист в закрепленном сообщении
ОБЯЗАТЕЛЬНО
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5❤2👍2
☎️ Номер телефона — это персональные данные?
Нам часто задают вопрос: считается ли номер мобильного телефона персональными данными (ПДн)? Разбираемся на основе Федерального закона №152-ФЗ и официальной позиции регуляторов.
✍🏻 Короткий ответ: и ДА, и НЕТ. Всё зависит от контекста. Закон определяет ПДн как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу.
⚖️ Подробное объяснение:
Номер телефона САМ ПО СЕБЕ — просто набор цифр. Если он никак не связан с ФИО, паспортными данными, адресом и т.д. (например, в технической базе оператора связи для оказания услуг), то формально он не является ПДн. Такая ситуация на практике встречается крайне редко.
Номер телефона В СВЯЗКЕ с другими сведениями — это однозначно персональные данные. Как только к номеру «прикрепляется» информация, позволяющая идентифицировать человека (имя в телефонной книге, запись в базе клиентов интернет-магазина, профиль в соцсети), он становится ПДн.
⚠️ Почему это важно знать?
Неправомерная обработка ПДн влечёт серьёзную ответственность. Если ваша компания обрабатывает номера телефонов клиентов, вы обязаны:
🔹 Предусмотреть законное основание для обработки (договор, согласие);
🔹 Обеспечить конфиденциальность и безопасность данных;
🔹 Уведомить Роскомнадзор об обработке.
На практике в 99,9% случаев номер телефона — это персональные данные, которые нужно защищать. Отсутствие должного внимания к их обработке создаёт риски как для граждан, чьи данные могут попасть в спам-рассылки, так и для компаний, которые могут быть оштрафованы.
#ПДн
Нам часто задают вопрос: считается ли номер мобильного телефона персональными данными (ПДн)? Разбираемся на основе Федерального закона №152-ФЗ и официальной позиции регуляторов.
✍🏻 Короткий ответ: и ДА, и НЕТ. Всё зависит от контекста. Закон определяет ПДн как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу.
⚖️ Подробное объяснение:
Номер телефона САМ ПО СЕБЕ — просто набор цифр. Если он никак не связан с ФИО, паспортными данными, адресом и т.д. (например, в технической базе оператора связи для оказания услуг), то формально он не является ПДн. Такая ситуация на практике встречается крайне редко.
Номер телефона В СВЯЗКЕ с другими сведениями — это однозначно персональные данные. Как только к номеру «прикрепляется» информация, позволяющая идентифицировать человека (имя в телефонной книге, запись в базе клиентов интернет-магазина, профиль в соцсети), он становится ПДн.
⚠️ Почему это важно знать?
Неправомерная обработка ПДн влечёт серьёзную ответственность. Если ваша компания обрабатывает номера телефонов клиентов, вы обязаны:
🔹 Предусмотреть законное основание для обработки (договор, согласие);
🔹 Обеспечить конфиденциальность и безопасность данных;
🔹 Уведомить Роскомнадзор об обработке.
На практике в 99,9% случаев номер телефона — это персональные данные, которые нужно защищать. Отсутствие должного внимания к их обработке создаёт риски как для граждан, чьи данные могут попасть в спам-рассылки, так и для компаний, которые могут быть оштрафованы.
#ПДн
❤4👍4💯1
👋 Добро пожаловать в официальный Telegram-канал Центра безопасности данных!
Здесь мы помогаем бизнесу говорить на одном языке с регулятором. Если тема персональных данных или КИИ кажется вам темным лесом, вы пришли по адресу.
📌 Для кого этот канал?
🔹 Для руководителей и собственников бизнеса, которые несут ответственность и хотят избежать новых огромных штрафов
🔹 Для HR-специалистов, маркетологов и работников клиентского сервиса, которые хотят выстроить работу с персданными без ошибок
🔹 Для IT-отделов, отвечающих за техническую защиту информации
🔐 Что вы найдете здесь каждый день?
Мы разбираем сложные требования простым языком и превращаем их в понятные инструкции:
✅ Практические гайды и чек-листы — готовые алгоритмы действий для вашего бизнеса
✅ Ответы на частые вопросы — то, что действительно волнует на практике
✅ Разбор требований Роскомнадзора и законодательства — без воды, только суть
✅ Экспертная аналитика и обзоры судебной практики — чтобы видеть тренды и риски
⁉️ Почему мы имеем право писать на эти темы?
За нашими плечами более 14 лет практического опыта, включая успешное прохождение проверок Роскомнадзора и реализацию сотен прикладных проектов по защите персональных данных и КИИ для бизнеса. Мы знаем, как работает система изнутри, и делимся этим знанием с вами.
📲 Подписывайтесь на канал, чтобы получать полезную и структурированную информацию, которая сэкономит ваше время и нервы!
https://data-sec.ru
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
Здесь мы помогаем бизнесу говорить на одном языке с регулятором. Если тема персональных данных или КИИ кажется вам темным лесом, вы пришли по адресу.
📌 Для кого этот канал?
🔹 Для руководителей и собственников бизнеса, которые несут ответственность и хотят избежать новых огромных штрафов
🔹 Для HR-специалистов, маркетологов и работников клиентского сервиса, которые хотят выстроить работу с персданными без ошибок
🔹 Для IT-отделов, отвечающих за техническую защиту информации
🔐 Что вы найдете здесь каждый день?
Мы разбираем сложные требования простым языком и превращаем их в понятные инструкции:
✅ Практические гайды и чек-листы — готовые алгоритмы действий для вашего бизнеса
✅ Ответы на частые вопросы — то, что действительно волнует на практике
✅ Разбор требований Роскомнадзора и законодательства — без воды, только суть
✅ Экспертная аналитика и обзоры судебной практики — чтобы видеть тренды и риски
⁉️ Почему мы имеем право писать на эти темы?
За нашими плечами более 14 лет практического опыта, включая успешное прохождение проверок Роскомнадзора и реализацию сотен прикладных проектов по защите персональных данных и КИИ для бизнеса. Мы знаем, как работает система изнутри, и делимся этим знанием с вами.
📲 Подписывайтесь на канал, чтобы получать полезную и структурированную информацию, которая сэкономит ваше время и нервы!
https://data-sec.ru
info@data-sec.ru
+7 800 350-11-52
+7 495 108-71-52
❤4👍4🔥1
📝 Топ 100 случаев, когда требуется согласие
❗️ Этот список — реальные кейсы из практики, когда оператору необходимо получить согласие на обработку персональных данных.
‼️ В остальных случаях обычно применимы иные правовые основания (исполнение договора или требований закона и т.п.). Список ориентировочный и не является исчерпывающим.
📘 Часть 1
I. Трудовые отношения и кадровое делопроизводство (сверх обязательного минимума). Обработка данных работника, выходящая за рамки исполнения трудового договора и требований ТК РФ:
Продолжение следует...
❗️ Этот список — реальные кейсы из практики, когда оператору необходимо получить согласие на обработку персональных данных.
‼️ В остальных случаях обычно применимы иные правовые основания (исполнение договора или требований закона и т.п.). Список ориентировочный и не является исчерпывающим.
📘 Часть 1
I. Трудовые отношения и кадровое делопроизводство (сверх обязательного минимума). Обработка данных работника, выходящая за рамки исполнения трудового договора и требований ТК РФ:
1. Публикация фото сотрудника на корпоративном сайте (раздел «Наша команда»).
2. Размещение ФИО и фото сотрудника на доске почета (онлайн или офлайн).
3. Оформление полиса ДМС для родственников сотрудника.
4. Передача данных зарплатному проекту (если банк выбирает работодатель, а не сотрудник).
5. Бронирование гостиниц и билетов через агентство (передача данных третьему лицу).
6. Оформление виз для командировок через визовый центр.
7. Участие сотрудника в корпоративных мероприятиях с видеосъемкой и последующей публикацией.
8. Рассылка поздравлений с днем рождения по всей компании (раскрытие даты рождения).
9. Включение сотрудника в кадровый резерв (внешний или после увольнения).
10. Получение отзыва (характеристики) на соискателя или сотрудника с его предыдущего места работы.
11. Обработка данных для оформления корпоративной сим-карты (передача оператору связи).
12. Выпуск именных корпоративных карт доступа (пропусков) с фотографией сторонней организацией (БЦ).
13. Оформление доверенности на сотрудника с последующей передачей ее работодателем контрагентам.
14. Участие в тендерах, где требуется предоставить резюме специалистов заказчику.
15. Передача данных профсоюзу (если сотрудник не член профсоюза, но получает льготы).
16. Использование биометрии для учета рабочего времени (FaceID на проходной).
17. Тестирование на полиграфе (детекторе лжи).
18. Публикация интервью с сотрудником в отраслевом СМИ по инициативе работодателя.
19. Хранение копий паспорта, СНИЛС, военного билета в личном деле (сверх срока оформления).
20. Обработка данных членов семьи сотрудника для получения новогодних подарков детям.
21. Указание личного мобильного телефона сотрудника в визитках.
22. Организация оформления сотрудникам банковских карт (зарплатных, кредитных) в рамках партнерской программы с банком, когда сотрудник заполняет анкету на рабочем месте.
23. Обучение сотрудника в стороннем учебном центре (передача ФИО и должности).
24. Страхование ответственности директоров (D&O).
25. Организация корпоративного такси (передача номера телефона агрегатору).
26. Внедрение систем DLP (контроль утечек), если анализируется содержание личной переписки.
27. Раскрытие зарплаты сотрудника банкам для подтверждения дохода (кроме 2-НДФЛ лично).
28. Использование геолокации на личном устройстве сотрудника для контроля перемещений.
29. Сохранение резюме соискателя в базе данных после отказа в приеме на работу.
30. Проверка соискателя через службу безопасности (по открытым источникам и базам) до оформления.
Продолжение следует...
👍5🔥3
📝 Топ 100 случаев, когда требуется согласие
❗️ Этот список — реальные кейсы из практики, когда оператору необходимо получить согласие на обработку персональных данных.
‼️ В остальных случаях обычно применимы иные правовые основания (исполнение договора или требований закона и т.п.). Список ориентировочный и не является исчерпывающим.
📗 Часть 2
II. Клиентский сервис, маркетинг и реклама (Ст. 15 152-ФЗ, Закон «О рекламе»). Любая активность, направленная на продвижение, требует отдельного согласия:
III. Цифровая среда и веб-сайты. Специфические случаи сбора цифровых следов и онлайн-взаимодействия:
Продолжение следует...
❗️ Этот список — реальные кейсы из практики, когда оператору необходимо получить согласие на обработку персональных данных.
‼️ В остальных случаях обычно применимы иные правовые основания (исполнение договора или требований закона и т.п.). Список ориентировочный и не является исчерпывающим.
📗 Часть 2
II. Клиентский сервис, маркетинг и реклама (Ст. 15 152-ФЗ, Закон «О рекламе»). Любая активность, направленная на продвижение, требует отдельного согласия:
31. Отправка рекламных SMS-сообщений.
32. Рекламные рассылки по электронной почте (Email-маркетинг).
33. Маркетинговые звонки действующим клиентам с предложением новых продуктов или услуг.
34. Рассылка сообщений в мессенджеры (WhatsApp, Telegram) с предложениями услуг.
35. Push-уведомления рекламного характера в мобильном приложении.
36. Передача базы клиентов партнерам для кросс-маркетинга.
37. Публикация отзыва клиента с указанием его ФИО и фото на сайте.
38. Участие в программе лояльности (начисление бонусов, баллов).
39. Анкетирование для маркетинговых исследований (профилирование).
40. Запись телефонных разговоров с клиентами (с целью контроля качества), если запись хранится привязанной к профилю.
41. Оформление рассрочки через банк-партнер прямо в магазине.
42. Регистрация в розыгрышах призов и лотереях.
43. Поздравление клиентов с личными праздниками.
44. Таргетирование рекламы на основе истории покупок (профилирование).
45. Использование технологии Look-alike (загрузка хешированных данных в рекламные кабинеты).
46. Публикация кейсов (историй успеха) с упоминанием конкретного клиента-физлица.
47. Сбор данных через форму «Заказать обратный звонок» (если это лид, а не исполнение договора).
48. Предоставление Wi-Fi в общественном месте с SMS-авторизацией.
49. Оформление подписки на новости (контент-маркетинг).
50. Передача данных курьерской службе (если доставка не входит в основной договор оферты).
51. Передача базы данных при продаже бизнеса (Due Diligence)
III. Цифровая среда и веб-сайты. Специфические случаи сбора цифровых следов и онлайн-взаимодействия:
52. Использование на сайте cookie-файлов и метрик (Яндекс.Метрика, Google Analytics).
53. Обработка User-Agent и IP-адресов для аналитики посещаемости.
54. Регистрация на вебинар через стороннюю платформу (Timepad и др.).
55. Проведение опросов или анкетирования на сайте для сбора мнений о продукте с привязкой ответов к профилю пользователя.
56. Авторизация на сайте через соцсети (OAuth).
57. Сбор данных через чат-боты до момента заключения договора.
58. Публикация пользовательского контента (UGC), содержащего личные данные.
59. Создание общедоступного профиля пользователя на форуме/портале.
60. Формирование и хранение истории заказов или просмотренных товаров в личном кабинете пользователя для выдачи персонализированных рекомендаций.
61. Использование ретаргетинговых пикселей на сайте.
Продолжение следует...
❤5👍2🔥1
📝 Топ 100 случаев, когда требуется согласие
❗️ Этот список — реальные кейсы из практики, когда оператору необходимо получить согласие на обработку персональных данных.
‼️ В остальных случаях обычно применимы иные правовые основания (исполнение договора или требований закона и т.п.). Список ориентировочный и не является исчерпывающим.
📙 Часть 3
IV. Безопасность и пропускной режим
V. Здоровье и другие спец. категории (Ст. 10 152-ФЗ). Всегда требуется письменное согласие, кроме экстренных случаев спасения жизни
VI. Образование и дети
VII. Распространение (публикация) данных (Ст. 10.1 152-ФЗ). С 2021 года требует отдельного согласия на распространение:
Есть что добавить? Ждем вас в комментариях!
С дополнительными пояснениями к списку согласий можно ознакомиться на нашем сайте💙
❗️ Этот список — реальные кейсы из практики, когда оператору необходимо получить согласие на обработку персональных данных.
‼️ В остальных случаях обычно применимы иные правовые основания (исполнение договора или требований закона и т.п.). Список ориентировочный и не является исчерпывающим.
📙 Часть 3
IV. Безопасность и пропускной режим
62. Оформление разового пропуска посетителю с записью его персональных данных в электронную базу.
63. Сканирование паспорта посетителя (создание цифровой копии).
64. Ведение журнала посещений в бумажном виде (если в нем избыточные данные).
65. Фотографирование посетителя для выдачи пропуска.
66. Формирование и ведение электронной базы постоянных посетителей бизнес‑центра (ФИО, номер паспорта, номер автомобиля) с выдачей им долгосрочных пропусков для упрощенного доступа на территорию.
67. Передача данных посетителей в охранное предприятие (ЧОП).
68. Использование аудиозаписи на линиях технической поддержки или в колл-центрах для последующего анализа и разбора инцидентов.
69. Снятие отпечатков пальцев для доступа в помещения (биометрия).
70. Запись голоса для голосовой идентификации.
71. Передача данных о посетителе в государственные органы по запросу, который не оформлен официально и не является юридически обязательным для компании.
V. Здоровье и другие спец. категории (Ст. 10 152-ФЗ). Всегда требуется письменное согласие, кроме экстренных случаев спасения жизни
72. Обработка сведений о здоровье фитнес-клубом (для подбора нагрузок).
73. Сбор данных об аллергиях в ресторане или службе доставки еды.
74. Передача медицинских данных пациента в страховую компанию (вне ОМС).
75. Телемедицинские консультации.
76. Сообщение диагноза родственникам пациента (при отсутствии запрета, но с согласия).
77. Публикация фото «До и После» пластической хирургии или косметологии.
78. Распространение (публикация) сведений об участии субъекта в общественном объединении или профсоюзе.
79. Сбор данных о религиозных убеждениях (например, для организации халяльного/постного питания).
80. Сбор данных о состоянии здоровья клиента для оказания бытовых услуг (например, наличие противопоказаний к массажу в спа-салоне).
81. Использование данных о расовой принадлежности.
VI. Образование и дети
82. Публикация результатов олимпиад и конкурсов с ФИО детей.
83. Видеосъемка утренников в детском саду приглашенным оператором.
84. Передача данных учеников фотографу для выпускного альбома.
85. Организация экскурсий (передача списков в транспортную компанию/музей).
86. Регистрация ребенка на сторонних образовательных порталах учителем.
87. Публикация творческих работ учеников с подписью авторства.
88. Создание родительских чатов с централизованным сбором телефонов.
89. Передача данных в лагеря отдыха.
90. Сбор сведений о социальном статусе семьи (если это не для льгот).
91. Психологическое тестирование школьников.
VII. Распространение (публикация) данных (Ст. 10.1 152-ФЗ). С 2021 года требует отдельного согласия на распространение:
92. Размещение списка участников конференции в открытом доступе.
93. Публикация реестра сертифицированных специалистов (в случаях, не предусмотренных законодательством).
94. Раскрытие списка победителей розыгрыша (ФИО полностью).
95. Создание справочника внутренних телефонов, доступного неограниченному кругу лиц.
96. Размещение на корпоративном портале или в офисе доски почета с фотографиями и должностями лучших сотрудников месяца.
97. Размещение видеозаписи вебинара, где видны лица участников.
98. Размещение ФИО должников на стенде ТСЖ/СНТ.
99. Размещение данных авторов статей/блога.
100. Обмен данными в рамках группы компаний (холдинга), если это разные юрлица.
Есть что добавить? Ждем вас в комментариях!
С дополнительными пояснениями к списку согласий можно ознакомиться на нашем сайте
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥1👌1
🚨 Штрафы за ПДн выросли: Что изменилось в 152-ФЗ?
После изменений от 30.05.2025 соблюдение ФЗ № 152-ФЗ стало критически важным из-за многократного увеличения штрафов. Основные риски для бизнеса связаны с несоблюдением требований по локализации, защите от НСД и оперативному уведомлению Роскомнадзора об инцидентах.
Обязательный минимум:
⚠️Невыполнение этих шагов влечет риски внеплановых проверок, многомиллионные штрафы и репутационный ущерб. Защита должна быть функционирующей и соответствовать уровню угроз.
Что делать?
Центр безопасности данных поможет привести вашу систему защиты ПДн в соответствие с 152-ФЗ.
После изменений от 30.05.2025 соблюдение ФЗ № 152-ФЗ стало критически важным из-за многократного увеличения штрафов. Основные риски для бизнеса связаны с несоблюдением требований по локализации, защите от НСД и оперативному уведомлению Роскомнадзора об инцидентах.
Обязательный минимум:
Актуализация документов: внутренние политики должны соответствовать текущим требованиям.
Техническая защита: внедрение и регулярное обслуживание системы защиты ИСПДн (НСД, утечки).
Уведомление РКН: сведения в реестре операторов должны содержаться в актуальном состоянии.
⚠️Невыполнение этих шагов влечет риски внеплановых проверок, многомиллионные штрафы и репутационный ущерб. Защита должна быть функционирующей и соответствовать уровню угроз.
Что делать?
Центр безопасности данных поможет привести вашу систему защиты ПДн в соответствие с 152-ФЗ.
👍5🔥1🤯1👌1
⚡️ Утечка «по ошибке сотрудника»: Как коммерческая тайна уходит к конкурентам
Многие компании фокусируются на внешних угрозах (хакеры), но 80% утечек происходят по вине собственных сотрудников — по злому умыслу или небрежности. Если ценная база клиентов, финансовые планы или технические разработки попадут к конкурентам, ущерб может измеряться миллионами и стоить бизнесу репутации.
Для защиты бизнеса необходимо внедрить режим коммерческой тайны. Это не просто приказ, а комплекс юридических (обязательства о неразглашении, маркировка документов) и технических мер.
⚠️Важно помнить:
если не установлен четкий режим, доказать факт ущерба и наказать виновного будет практически невозможно. Отсутствие защиты равносильно несанкционированному доступу к вашим критическим данным.
Что делать обязательно: разработать пакет внутренних документов и внедрить DLP-системы (защита от утечек) для контроля каналов передачи данных (почта, мессенджеры, USB-накопители).
💙 Центр безопасности данных поможет вам построить надежный юридически защищенный режим коммерческой тайны, провести аудит процессов и внедрить необходимые технические средства, чтобы защитить вас от инсайдеров.
Наш сайт: https://data-sec.ru/
Многие компании фокусируются на внешних угрозах (хакеры), но 80% утечек происходят по вине собственных сотрудников — по злому умыслу или небрежности. Если ценная база клиентов, финансовые планы или технические разработки попадут к конкурентам, ущерб может измеряться миллионами и стоить бизнесу репутации.
Для защиты бизнеса необходимо внедрить режим коммерческой тайны. Это не просто приказ, а комплекс юридических (обязательства о неразглашении, маркировка документов) и технических мер.
⚠️Важно помнить:
если не установлен четкий режим, доказать факт ущерба и наказать виновного будет практически невозможно. Отсутствие защиты равносильно несанкционированному доступу к вашим критическим данным.
Что делать обязательно: разработать пакет внутренних документов и внедрить DLP-системы (защита от утечек) для контроля каналов передачи данных (почта, мессенджеры, USB-накопители).
Наш сайт: https://data-sec.ru/
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6👍2
🔓 Месть Уволенного: как защитить клиентскую базу в последний день
Внутренний нарушитель — одна из самых сложных и опасных угроз. Сотрудник, покидающий компанию, особенно со скандалом, может скопировать клиентскую базу, чертежи или финансовые отчеты, нанеся колоссальный ущерб коммерческой тайне. Стандартный обходной лист не защищает от цифровой кражи.
⚠️Риски и обязательные шаги: Утечка клиентской базы может привести не только к прямым финансовым потерям и потере конкурентных преимуществ, но и к штрафам за нарушение 152-ФЗ, если в базе содержатся персональные данные.
Обязательный шаг:
При увольнении доступ сотрудника к корпоративным ресурсам (почта, файловые хранилища, базы данных) должен быть заблокирован до начала рабочего дня увольнения. Кроме того, необходимо использовать DLP-системы для контроля исходящего трафика и носителей.
Центр безопасности данных поможет вам внедрить комплекс мер: от разработки положения о коммерческой тайне и приказов по работе с ПДн, до настройки DLP-систем и разграничения прав доступа.
Наш сайт: https://data-sec.ru/
Внутренний нарушитель — одна из самых сложных и опасных угроз. Сотрудник, покидающий компанию, особенно со скандалом, может скопировать клиентскую базу, чертежи или финансовые отчеты, нанеся колоссальный ущерб коммерческой тайне. Стандартный обходной лист не защищает от цифровой кражи.
⚠️Риски и обязательные шаги: Утечка клиентской базы может привести не только к прямым финансовым потерям и потере конкурентных преимуществ, но и к штрафам за нарушение 152-ФЗ, если в базе содержатся персональные данные.
Обязательный шаг:
При увольнении доступ сотрудника к корпоративным ресурсам (почта, файловые хранилища, базы данных) должен быть заблокирован до начала рабочего дня увольнения. Кроме того, необходимо использовать DLP-системы для контроля исходящего трафика и носителей.
Центр безопасности данных поможет вам внедрить комплекс мер: от разработки положения о коммерческой тайне и приказов по работе с ПДн, до настройки DLP-систем и разграничения прав доступа.
Наш сайт: https://data-sec.ru/
❤8🔥4💯2
🚨 КИИ: Вы точно знаете, что ваш IT-ресурс — не «объект КИИ»? Риски игнорирования 187-ФЗ.
Федеральный закон №187-ФЗ обязывает компании, работающие в ключевых отраслях (финансы, транспорт, энергетика, связь и др.), провести категорирование своих информационных систем (ИС). Многие считают, что это касается только госкорпораций, однако под требования часто попадают частные компании, чьи ИС обеспечивают непрерывность процессов. Игнорирование этого требования создает серьезные риски.
⚠️ Если ваша система будет признана объектом КИИ и вы не выполнили требования закона (включая регистрацию, категорирование и аттестацию), при инциденте или проверке ФСТЭК или ФСБ вы рискуете получить высокие штрафы. В случае серьезного сбоя или кибератаки это может обернуться уголовной ответственностью для руководителя или ответственного лица.
Обязательные шаги для бизнеса: Немедленно провести аудит и категорирование информационных систем для определения, являются ли они объектами КИИ. Если являются — разработать план мероприятий по их защите.
💙 Наш сайт: https://data-sec.ru/
Федеральный закон №187-ФЗ обязывает компании, работающие в ключевых отраслях (финансы, транспорт, энергетика, связь и др.), провести категорирование своих информационных систем (ИС). Многие считают, что это касается только госкорпораций, однако под требования часто попадают частные компании, чьи ИС обеспечивают непрерывность процессов. Игнорирование этого требования создает серьезные риски.
⚠️ Если ваша система будет признана объектом КИИ и вы не выполнили требования закона (включая регистрацию, категорирование и аттестацию), при инциденте или проверке ФСТЭК или ФСБ вы рискуете получить высокие штрафы. В случае серьезного сбоя или кибератаки это может обернуться уголовной ответственностью для руководителя или ответственного лица.
Обязательные шаги для бизнеса: Немедленно провести аудит и категорирование информационных систем для определения, являются ли они объектами КИИ. Если являются — разработать план мероприятий по их защите.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥2👍1
🕵️♂️ Сайт-шпион: 3 ошибки в политике конфиденциальности
Стандартный шаблон из интернета — это «мина» замедленного действия.
Сегодня Роскомнадзор использует автоматизированные системы мониторинга, которые за секунды выявляют несоответствие вашего сайта требованиям 152-ФЗ.
⚠️ Главные ошибки: использование общих фраз без указания конкретных целей сбора данных, отсутствие перечня используемых метрических программ (Cookies) и неуказание способов отзыва согласия.
Игнорирование этих нюансов превращает ваш ресурс в объект для внеплановой проверки.
⚠️ Риски колоссальны: от блокировки сайта до штрафов, которые по новым поправкам в КоАП могут достигать сотен тысяч рублей за каждое нарушение в цепочке обработки ПДн. Шаблон не учитывает специфику вашего бизнеса, а значит — не защищает.
Чек-лист безопасности:
💙 Наш сайт: https://data-sec.ru
Стандартный шаблон из интернета — это «мина» замедленного действия.
Сегодня Роскомнадзор использует автоматизированные системы мониторинга, которые за секунды выявляют несоответствие вашего сайта требованиям 152-ФЗ.
⚠️ Главные ошибки: использование общих фраз без указания конкретных целей сбора данных, отсутствие перечня используемых метрических программ (Cookies) и неуказание способов отзыва согласия.
Игнорирование этих нюансов превращает ваш ресурс в объект для внеплановой проверки.
⚠️ Риски колоссальны: от блокировки сайта до штрафов, которые по новым поправкам в КоАП могут достигать сотен тысяч рублей за каждое нарушение в цепочке обработки ПДн. Шаблон не учитывает специфику вашего бизнеса, а значит — не защищает.
Чек-лист безопасности:
1. Проверьте актуальность целей обработки.
2. Укажите все сторонние сервисы (Яндекс.Метрика и др.).
3. Обеспечьте легкий доступ к тексту политики с любой страницы.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6❤3🔥1👌1
👤 Биометрия в офисе: Удобство или ловушка?
FaceID на входе и учет времени по отпечатку пальца — это удобно, но с точки зрения 152-ФЗ это обработка биометрических персональных данных.
❗️Главная ошибка бизнеса — собирать такие данные без письменного согласия в строгой форме или передавать их третьим лицам (например, охране БЦ) без надлежащего договора.
⚠️ Риски стали критическими: нарушение порядка обработки биометрии теперь выделено в отдельный состав КоАП с огромными штрафами. Если база данных «утечет» или проверка выявит отсутствие регистрации в Единой биометрической системе (ЕБС) при необходимости, компании грозят санкции и судебные иски от сотрудников. Биометрия требует максимального уровня защиты от НСД и четкого правового обоснования.
💙 Наш сайт: https://data-sec.ru
FaceID на входе и учет времени по отпечатку пальца — это удобно, но с точки зрения 152-ФЗ это обработка биометрических персональных данных.
❗️Главная ошибка бизнеса — собирать такие данные без письменного согласия в строгой форме или передавать их третьим лицам (например, охране БЦ) без надлежащего договора.
⚠️ Риски стали критическими: нарушение порядка обработки биометрии теперь выделено в отдельный состав КоАП с огромными штрафами. Если база данных «утечет» или проверка выявит отсутствие регистрации в Единой биометрической системе (ЕБС) при необходимости, компании грозят санкции и судебные иски от сотрудников. Биометрия требует максимального уровня защиты от НСД и четкого правового обоснования.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤3🔥3
🏢 Кто на самом деле является субъектом КИИ?
Мнение о том, что КИИ касается только оборонных заводов и АЭС — опасный миф. В зону действия 187-ФЗ попадают организации из 13 отраслей, включая здравоохранение, финансы и транспорт. Если у вашей частной клиники есть система записи пациентов, у банка — мобильное приложение, а у транспортной компании — GPS-мониторинг грузов, вы с высокой вероятностью являетесь субъектом критической информационной инфраструктуры.
⚠️ Игнорирование статуса субъекта КИИ не освобождает от ответственности!
❓Что нужно сделать сейчас:
Провести инвентаризацию всех ИТ-систем.
Проверить ОКВЭД и наличие лицензий в «критических» сферах.
Подать актуализированные данные о категорировании во ФСТЭК.
💙 Наш сайт: https://data-sec.ru
Мнение о том, что КИИ касается только оборонных заводов и АЭС — опасный миф. В зону действия 187-ФЗ попадают организации из 13 отраслей, включая здравоохранение, финансы и транспорт. Если у вашей частной клиники есть система записи пациентов, у банка — мобильное приложение, а у транспортной компании — GPS-мониторинг грузов, вы с высокой вероятностью являетесь субъектом критической информационной инфраструктуры.
⚠️ Игнорирование статуса субъекта КИИ не освобождает от ответственности!
Риски включают не только административные штрафы по КоАП РФ до 500 000 рублей за непредставление сведений во ФСТЭК, но и уголовную ответственность (ст. 274.1 УК РФ) до 10 лет лишения свободы для руководителей, если кибератака на незащищенную систему приведет к сбоям в работе инфраструктуры. В 2025 году критерии категорирования стали жестче, а автоматизированный контроль — глубже.
❓Что нужно сделать сейчас:
Провести инвентаризацию всех ИТ-систем.
Проверить ОКВЭД и наличие лицензий в «критических» сферах.
Подать актуализированные данные о категорировании во ФСТЭК.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🤔3👌1
⚖️ Категорирование КИИ: Как не завысить и не занизить показатели?
Категорирование объектов КИИ по 187-ФЗ — это тонкий баланс между безопасностью и экономикой.
Занижение показателей в надежде избежать «значимой» категории ведет к прямому конфликту со ФСТЭК: регулятор вправе вернуть документы на пересмотр или провести проверку, результатом которой станут штрафы по ст. 19.7.15 КоАП РФ. С другой стороны, неоправданное завышение категории накладывает на бизнес избыточные обязательства по закупке дорогостоящих СЗИ и внедрению строгих регламентов.
⚠️ Главный риск при неверном категорировании — юридическая уязвимость руководства. Ошибка в расчетах социального или экономического ущерба может квалифицироваться как халатность, особенно если инцидент ИБ приведет к реальным последствиям.
Важно опираться на актуальные критерии из Постановления Правительства №127, детально анализировать каждый бизнес-процесс и помнить: с 1 сентября 2025 года требования к импортозамещению на значимых объектах КИИ стали обязательными.
Как пройти по грани:
💙 Наш сайт: data-sec.ru
Категорирование объектов КИИ по 187-ФЗ — это тонкий баланс между безопасностью и экономикой.
Занижение показателей в надежде избежать «значимой» категории ведет к прямому конфликту со ФСТЭК: регулятор вправе вернуть документы на пересмотр или провести проверку, результатом которой станут штрафы по ст. 19.7.15 КоАП РФ. С другой стороны, неоправданное завышение категории накладывает на бизнес избыточные обязательства по закупке дорогостоящих СЗИ и внедрению строгих регламентов.
⚠️ Главный риск при неверном категорировании — юридическая уязвимость руководства. Ошибка в расчетах социального или экономического ущерба может квалифицироваться как халатность, особенно если инцидент ИБ приведет к реальным последствиям.
Важно опираться на актуальные критерии из Постановления Правительства №127, детально анализировать каждый бизнес-процесс и помнить: с 1 сентября 2025 года требования к импортозамещению на значимых объектах КИИ стали обязательными.
Как пройти по грани:
Тщательно обоснуйте отсутствие значимости для второстепенных систем.
Используйте реальные финансовые показатели для расчета ущерба.
Документируйте каждый шаг — корректная модель угроз защитит вас при проверке.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6👌2💯1
⏱️ Инцидент на объекте КИИ: 3 часа на доклад
Скорость реакции в сфере КИИ теперь закреплена законодательно. Согласно требованиям 187-ФЗ и регламентам ФСБ, субъекты КИИ обязаны информировать о компьютерных инцидентах через систему ГосСОПКА. Для значимых объектов время на передачу первого отчета составляет всего 3 часа с момента обнаружения. Готов ли ваш IT-отдел к такому спринту, или дежурный администратор узнает об атаке только утром?
⚠️ Реальные риски — это не только технический простой. За нарушение сроков и порядка передачи данных предусмотрены административные штрафы до 500 000 рублей (ст. 13.12.1 КоАП РФ). А если сокрытие инцидента привело к тяжким последствиям, в силу вступает уголовная ответственность.
Без четко отлаженных процессов мониторинга и автоматизированных средств реагирования уложиться в норматив практически невозможно.
Обязательные шаги для бизнеса:
💙 Наш сайт: https://data-sec.ru
Скорость реакции в сфере КИИ теперь закреплена законодательно. Согласно требованиям 187-ФЗ и регламентам ФСБ, субъекты КИИ обязаны информировать о компьютерных инцидентах через систему ГосСОПКА. Для значимых объектов время на передачу первого отчета составляет всего 3 часа с момента обнаружения. Готов ли ваш IT-отдел к такому спринту, или дежурный администратор узнает об атаке только утром?
⚠️ Реальные риски — это не только технический простой. За нарушение сроков и порядка передачи данных предусмотрены административные штрафы до 500 000 рублей (ст. 13.12.1 КоАП РФ). А если сокрытие инцидента привело к тяжким последствиям, в силу вступает уголовная ответственность.
Без четко отлаженных процессов мониторинга и автоматизированных средств реагирования уложиться в норматив практически невозможно.
Обязательные шаги для бизнеса:
Настроить круглосуточный мониторинг событий ИБ.
Заключить соглашение о взаимодействии с НКЦКИ.
Отработать регламент оповещения: кто, кому и в какой форме сообщает об атаке.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥4❤1🤔1
🤐 Режим коммерческой тайны vs. Простое «Тссс!»
Для суда фраза «это наш секрет» не имеет юридической силы. Если в компании официально не введен режим коммерческой тайны (КТ) согласно 98-ФЗ, вы не сможете привлечь сотрудника к ответственности за слив клиентской базы или условий тендера. Судебная практика беспощадна: нет положения о КТ, нет грифа «Коммерческая тайна» на документах и нет подписи сотрудника об ознакомлении — значит, информация не была защищена, и её разглашение не является нарушением.
⚠️ Простое «соглашение о неразглашении» (NDA) без привязки к ЛНА компании — лишь декларация о намерениях. Риски для бизнеса сегодня критичны: с июля 2025 года ответственность по ст. 183 УК РФ ужесточена. За разглашение секретов, повлекшее крупный ущерб, теперь грозит штраф до 5 млн рублей и реальное лишение свободы на срок от 3 до 7 лет. Без юридически грамотного режима КТ вы остаетесь беззащитны перед промышленным шпионажем и недобросовестными кадрами.
❗️Обязательные шаги для защиты:
Утвердите четкий перечень сведений, составляющих КТ.
Введите Положение о коммерческой тайне и ознакомьте с ним персонал под роспись.
Нанесите гриф «Коммерческая тайна» на все материальные и электронные носители.
💙 Наш сайт: https://data-sec.ru
Для суда фраза «это наш секрет» не имеет юридической силы. Если в компании официально не введен режим коммерческой тайны (КТ) согласно 98-ФЗ, вы не сможете привлечь сотрудника к ответственности за слив клиентской базы или условий тендера. Судебная практика беспощадна: нет положения о КТ, нет грифа «Коммерческая тайна» на документах и нет подписи сотрудника об ознакомлении — значит, информация не была защищена, и её разглашение не является нарушением.
⚠️ Простое «соглашение о неразглашении» (NDA) без привязки к ЛНА компании — лишь декларация о намерениях. Риски для бизнеса сегодня критичны: с июля 2025 года ответственность по ст. 183 УК РФ ужесточена. За разглашение секретов, повлекшее крупный ущерб, теперь грозит штраф до 5 млн рублей и реальное лишение свободы на срок от 3 до 7 лет. Без юридически грамотного режима КТ вы остаетесь беззащитны перед промышленным шпионажем и недобросовестными кадрами.
❗️Обязательные шаги для защиты:
Утвердите четкий перечень сведений, составляющих КТ.
Введите Положение о коммерческой тайне и ознакомьте с ним персонал под роспись.
Нанесите гриф «Коммерческая тайна» на все материальные и электронные носители.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6