Проведите инвентаризацию ИСПДн, пока не пришёл Роскомнадзор. Пошаговая инструкция: от анализа бизнес-процессов до готового реестра, который спасёт от штрафов.
Представьте: вам звонит инспектор и просить перечислить все системы, где лежат персональные данные и как они используются. Вы открываете реестр – и через минуту даёте ответ.
А теперь представьте, что реестра нет. Начинается паника, звонки по отделам, потраченные дни и риск что-то упустить.
Инвентаризация информационных систем персональных данных (ИСПДн) – это страховка от такого сценария. Она позволяет понять, где и как хранятся персональные данные (ПДн), кто имеет к ним доступ и какие угрозы нужно нейтрализовать. Без полного учёта систем легко пропустить уязвимые места и получить от проверяющих неожиданные вопросы.
Вот как провести инвентаризацию за 4 шага.
Анализ бизнес-процессов, в которых возникают персональные данные. Для каждого ключевого процесса нужно определить и зафиксировать, в какой информационной системе он реализован.
Результат: перечень всех видов персональных данных, обрабатываемых в организации, с указанием подразделений и сотрудников, допущенных к их обработке. Такой перечень обеспечит структуру для дальнейшего описания систем и повысит прозрачность – какие данные, где обрабатываются и кто за них отвечает.
Сбор подробной информации о том, в каких системах обрабатываются персональные данные. Для каждой системы важно задокументировать:
Состав ПДн: перечислить, какие именно персональные данные обрабатываются, цель использования и общая характеристика.
Категория данных: определить, являются ли данные обычными персональными данными или относятся к специальным категориям (они требуют повышенной защиты).
Категория субъектов: указать, чьи данные содержатся в системе.
Объём данных: оценить приблизительное количество субъектов ПДн, чьи данные хранятся в системе – меньше или больше 100 тысяч человек. От этого зависит уровень защищённости ИСПДн (базы с >100к записей зачастую требуют более высоких мер защиты).
Источник данных: зафиксировать, откуда эти данные получены. Это не всегда обязательно, но полезно знать пути поступления информации.
Жизненный цикл персональных данных в рамках данной системы: как данные поступают (создаются или собираются) в систему, как хранятся, для чего используются и как в итоге удаляются, архивируются или обезличиваются.
Все эти сведения фиксируются в реестре ИСПДн для каждой системы. Они будут нужны для последующих задач: подготовка акта установления уровня защищённости каждой ИСПДн (требуется согласно постановлению Правительства РФ №1119), составление описания объекта защиты и обоснование выбора необходимых мер защиты согласно требованиям регуляторов.
Сбор информации о том, как каждая система защищает персональные данные, и кто имеет к ним доступ:
Права доступа: какие группы пользователей или конкретные роли имеют доступ к системе и к её данным. Желательно указать, как реализовано разграничение доступа – существуют ли разные уровни прав (например, пользователь, администратор, разработчик) и по каким принципам они разделяются.
Управление доступом: описать, как осуществляется аутентификация и авторизация в системе. Используются ли именованные учётные записи для каждого сотрудника, есть ли многофакторная аутентификация, как быстро отключается доступ уволенным и т. д.
Резервное копирование: указывается, с какой периодичностью делаются бэкапы, где они хранятся и защищены ли они. Резервные копии зачастую содержат те же ПДн, что и основная база, поэтому требуются аналогичные меры защиты.
Журналы безопасности: ведётся ли в системе журнал событий безопасности – логирование действий пользователей, особенно тех, что связаны с доступом к персональным данным (чтение, изменение, удаление). Регистрация и учёт всех действий с персональными данными в ИСПДн – прямая рекомендация регуляторов. Если такие журналы есть, важно отметить, сколько они хранятся и кто их анализирует.
Антивирусная защита: применяется ли на серверах и рабочих станциях системы антивирусное ПО, и обновляется ли оно регулярно. Наличие антивирусной защиты – обязательное условие безопасности данных.
Другие средства защиты: перечислить прочие использующиеся меры – межсетевые экраны (фаерволы) для защиты сетевого периметра системы, системы обнаружения вторжений (IDS/IPS), средства шифрования каналов связи или базы данных, средства контроля целостности, DLP-системы для предотвращения утечек и прочее.
Далее – проверка и описание инфраструктуры:
После нужно описать техническую сторону системы: например, сколько серверов задействовано и где они находятся физически, сколько рабочих станций (клиентов) имеют доступ и где они расположены географически. Эта информация важна для понимания границ системы и зоны, где распространяются персональные данные. Если система использует арендуемые решения или находится на площадках третьих лиц, это тоже фиксируется, поскольку в таких случаях могут требоваться отдельные договоры о защите данных с поставщиками услуг.
Итогом этого шага должно стать чёткое представление, насколько защищена каждая ИСПДн на текущий момент: где отсутствуют те или иные меры (например, нет журнала безопасности или резервного копирования) и наметить план улучшений.
Документальное оформление обработки персональных данных в каждой системе. Для каждой ИСПДн необходимо убедиться, что:
Есть правовое основание обработки данных: для законной работы с ПДн должна быть юридическая основа – например, согласие самого субъекта, трудовой договор (для данных сотрудников), договор с клиентом, исполнение закона или государственного требования и т. д. Необходимо проверить, что для всех персональных данных в системе имеется соответствующий пункт в политике или договоре. Если где-то данные собираются без ясного основания, это серьёзный риск.
Разработаны локальные нормативные акты: как минимум должна быть утверждена Политика обработки персональных данных организации. Кроме того, могут потребоваться положения, инструкции или приказы, регламентирующие работу конкретной системы или процесса (например, регламент работы CRM с персональными данными клиентов, положение об информационной системе и т. п.). Все такие документы должны отражать, какие данные обрабатываются, кто отвечает за их защиту, порядок доступа и т. д. Если таких документов нет, их следует создать.
Уведомление в Роскомнадзор (если требуется): согласно Закону №152-ФЗ оператор ПДн в ряде случаев обязан уведомлять Роскомнадзор о начале обработки персональных данных.
Акты ввода в эксплуатацию и аттестации. Если по классификации система относится к высокому классу защиты, необходима аттестация – проверка системы на соответствие требованиям безопасности с выдачей аттестата. Нужно проверить, проводилась ли аттестация там, где она нужна, и действительны ли полученные аттестаты. Отсутствие обязательной аттестации или заключения о соответствии может быть нарушением.
Сверить, что по каждой системе сформирован приказ или перечень ИСПДн внутри компании. В этом документе перечисляются все выявленные системы и базы данных, с указанием их наименования, места нахождения (адреса серверов или площадок) и ответственных лиц за их эксплуатацию. Такая сводная опись должна храниться в организации и при необходимости представляться проверяющим. Она же поможет при заполнении уведомления в Роскомнадзор.
Реестр станет рабочим инструментом, а не головной болью – если его правильно вести. Эксперты помогут настроить защиту данных под ваш бизнес.
28.05.2026
Актуальные новости, акции, мероприятия и полезная информация
ПодписатьсяЭлектронные документы должны сохранять юридическую значимость спустя годы. Разбираем, как организовать хранение документов, не перегружать рабочие системы и выстроить единый процесс работы с архивом.
Новые правила обезличивания персональных данных уже действуют. Разбираемся, как обезличить данные правильно и необратимо. Собрали всё в чек-лист.
В этой статье мы разберём, какие риски несёт утечка и какие шаги должен предпринять бизнес в соответствии с требованиями Федерального закона 152-ФЗ.
Подпишитесь на рассылку: новости, акции, мероприятия и полезная информация. Подробнее о наших рассылках
Нажимая кнопку "Подписаться", вы соглашаетесь с политикой конфиденциальности
Подпишитесь на рассылку для руководителей: новости, акции, мероприятия и полезная информация.
Нажимая кнопку "Подписаться", вы соглашаетесь с политикой конфиденциальности
Этот сайт использует файлы куки для хранения данных. Продолжая использовать сайт, Вы соглашаетесь с Политикой обработки персональных данных.
Принимаю