Что такое информационная система персональных данных (ИСПДн)

Любая компания сегодня работает с данными клиентов и сотрудников: собирает заявки, хранит контакты, фиксирует заказы. Но мало кто задумывается, что с точки зрения закона обычная CRM или таблица Excel — это объект, требующий защиты. Если данные «утекут» или к ним получат доступ посторонние, бизнес может получить не только репутационный ущерб, но и реальные штрафы.

Если у вас есть: база клиентов в телефоне менеджера, папка с копиями паспортов сотрудников, CRM-система или интернет-магазин, собирающий заявки, — вы уже имеете дело ИСПДн. Разберёмся, что такое информационная система персональных данных, как классифицировать систему компании и что обязательно нужно сделать для защиты.

Какие ИСПДн применяют в бизнесе: примеры

• Excel-файл с контактами клиентов на компьютере менеджера
• CRM-система (например, в облаке или на сервере компании)
• База 1С с данными сотрудников
• Интернет-магазин, где покупатель оставляет ФИО, телефон и адрес
• Система учёта заявок на сайте (коллтрекинг, формы обратной связи)

Как понять, что ваша система — ИСПДн:

1. В ней есть сведения о физических лицах (клиентах, сотрудниках, партнёрах).
2. По этим сведениям можно идентифицировать человека (ФИО, телефон, email, фото и другие аналогичные данные).
3. Вы используете компьютер, ноутбук, смартфон, сервер или облачный сервис для работы с ними.

Если все три пункта совпадают — это ИСПДн.

• ИСПДн обязательно включает цель обработки и правовое основание. Просто техническая база может существовать сама по себе, а ИСПДн всегда подразумевает, что данные собираются и используются для конкретных задач (принять на работу, оказать услугу).
• Ключевое отличие от бумажного учёта — в автоматизации. Бумажные карточки пациентов в поликлинике — это не ИСПДн. А вот та же картотека, но занесённая в компьютер, — уже информационная система.

ПДн: что относится к персональным данным и какие есть категории

Персональные данные (ПДн) — любая информация, прямо или косвенно относящаяся к конкретному человеку (субъекту ПДн). Критерий: по этой информации можно идентифицировать личность.

Важно разделять данные по категориям — от этого зависят требования к защите. Подробнее о категориях ПДн рассказали в таблице 1.

Таблица 1. На какие категории делятся персональные данные

С какими «ПДн / не ПДн» можно столкнуться в бизнесе: примеры

• ПДн: Анкета соискателя с ФИО, телефоном и опытом работы.
• Не ПДн: Обезличенная статистика продаж по регионам (нет привязки к людям).
• ПДн: Запись разговора с клиентом, если она хранится с пометкой, кто звонил.
• Не ПДн: Просто лог звонков с номерами телефонов (номера телефонов — это ПДн, но если они хранятся отдельно и по ним нельзя найти человека — сложный случай, обычно считается ПДн).

Как распознать свою ИСПДн: типичные примеры

Вот список систем, которые есть в большинстве компаний:

HR / Кадры / Бухгалтерия

• Личные дела сотрудников в электронном виде (паспорта, СНИЛС, ИНН, дипломы).
• Зарплатные ведомости и расчётные листки в 1С или другой учётной системе.
• База кандидатов (собранные резюме, результаты собеседований).

CRM / Продажи / Маркетинг

• Клиентская база в CRM (контакты, история покупок, переписка).
• Базы email-рассылки и чаты с клиентами в мессенджерах.
• Excel-таблицы с «тёплыми» контактами, которые собирали на выставках или с сайта.

Интернет-магазин / Сайт / Коллтрекинг

• База заказов: ФИО, телефон, адрес доставки, email.
• Формы обратной связи на сайте (сообщения от пользователей).
• Системы коллтрекинга и записи звонков (если они хранят информацию о caller ID или сам разговор).

Видеонаблюдение / СКУД / Биометрия

• Системы видеонаблюдения в офисе или на производстве, если видео хранится и по нему можно опознать человека.
• Турникеты, работающие по отпечаткам пальцев или пропускам с фотографией.

Какие есть виды и классификации ИСПДн

С точки зрения бизнеса и рисков, системы удобно делить по следующим признакам:

• Собственные и сторонние (облачные/аутсорс). Если система развёрнута на серверах компании — вы сами отвечаете за всё. Если вы используете облачную CRM или арендуете бухгалтерскую программу у провайдера — оператором остаётесь вы, но часть функций (обеспечение безопасности) вы передаёте «обработчику по поручению». Это нужно закрепить договором.
• Локальные и с доступом в интернет. Системы, изолированные от внешней сети (например, внутренняя база на сервере без выхода в интернет), защищать проще, чем те, к которым можно подключиться извне. Наличие веб-интерфейса или удалённого доступа меняет уровень угроз.
• По доступу и разграничению прав. Есть системы, где все сотрудники видят все данные (общая папка с файлами), и системы с чёткими ролями (менеджер видит только своих клиентов, бухгалтер — только зарплату). Разграничение доступа — базовая мера защиты.

Уровни защищённости ИСПДн по ПП РФ №1119: что важно знать

Основной документ, который определяет, как защищать систему, — Постановление Правительства РФ № 1119. Он вводит четыре уровня защищённости (УЗ). Уровень зависит от того, какие последствия будут для человека, если данные утекут.

В качестве ориентира для понимания логики используйте таблицу 2. Точное определение уровня проводится по методике с учётом типа угроз и условий обработки данных.

Таблица 2. Какие есть уровни защищённости персональных данных по ПП РФ № 1119

Как ориентировочно определить уровень для своей системы:

1. Определите категорию данных (общие/специальные/биометрические).
2. Оцените количество субъектов (сотни, тысячи, миллионы).
3. Поймите, есть ли пересечение с государственными системами и относится ли компания к критической инфраструктуре.
   Для большинства малых и средних компаний с обычными данными (клиенты, сотрудники) и численностью субъектов до 100 000 человек уровень будет УЗ-3.

Какие есть роли и ответственность: оператор, субъект, обработчик по поручению

• Субъект персональных данных (ПДн) — человек, чьи данные обрабатываются (клиент, сотрудник, партнёр).
• Оператор персональных данных (ПДн) — компания или ИП, которые организуют и/или выполняют обработку данных, определяют цели и состав данных. Компания становится оператором в момент, когда начинает собирать данные физлиц (даже в табличке Excel).
• Обработчик по поручению — подрядчик, которому оператор поручает обрабатывать данные (например, облачный провайдер, сервис email-рассылок, бухгалтерская аутсорсинговая компания). С ним обязательно должен быть договор, где прописано, что он обязан соблюдать конфиденциальность и требования закона.

Как защить ИСПДн: базовые требования

Закон требует от оператора принимать меры для защиты данных. Вот минимальный чек-лист того, что нужно сделать.

Чек-лист минимальных обязанностей оператора ИСПДн:

1. Определите, какие ПДн обрабатываются в компании и где именно. Составьте реестр систем и мест хранения (включая файлы на компьютерах и в облаках).
2. Определите роли и ответственность. Назначьте ответственного за организацию обработки ПДн, определите администраторов систем и тех, у кого есть доступ.
3. Настройте разграничение доступа и учёт действий. Сотрудники должны иметь доступ только к тем данным, которые нужны для работы. Включите журналирование событий (кто, когда и что делал с данными).
4. Подготовьте и внедрите локальные документы. Минимум: Политика в отношении обработки ПДн, Положение о защите ПДн, список лиц, допущенных к данным. Документы должны быть не для галочки, а отражать реальные процессы.
5. Обучите сотрудников правилам работы с ПДн. Люди — главный источник риска. Они должны знать, что нельзя пересылать базы в мессенджерах, оставлять экран открытым, использовать простые пароли.
6. Определите и поддерживайте меры защиты с учётом уровня защищённости и актуальных угроз. Это значит, что для УЗ-3 нужны антивирусы, межсетевые экраны, средства контроля доступа.
7. Контролируйте подрядчиков. Заключите договоры с теми, кому данные передаются для обработки, с условием о конфиденциальности.
8. Организуйте резервное копирование и безопасное хранение носителей. Чтобы при сбое или атаке данные можно было восстановить.
9. Обеспечьте физическую защиту мест, где есть доступ к ИСПДн. Серверная должна быть закрыта, рабочие места — в контролируемой зоне.
10. Периодически проверяйте, что меры реально работают. Проводить простые внутренние проверки.

Для корректного выбора средств защиты информации необходимо понимать, с каким типом и категорией данных вы работаете. В таблице 3 разобрали наиболее распространённые в бизнесе информационные системы персональных данных (ИСПДн), их содержимое и рекомендуемый уровень защищённости (УЗ). Это поможет быстро сориентироваться в требованиях к безопасности ещё на этапе внедрения системы (точное определение выполняют по ПП РФ №1119 с учётом модели угроз и условий обработки).

Таблица 3. Типичные ИСПДн в бизнесе

Что важно сделать уже сегодня

Если вы поняли, что ваша компания — оператор ИСПДн, и хотите снизить риски, начните с этих пяти шагов:

1. Составьте простую карту данных: где и какие данные клиентов и сотрудников лежат.
2. Назначьте ответственного за защиту данных (хотя бы номинально, чтобы был «владелец» процесса).
3. Проверьте договоры с подрядчиками (облачные CRM, хостинги, бухгалтеры) — есть ли в них пункт о конфиденциальности ПДн.
4. Удалите всё лишнее. Часто хранятся копии паспортов, которые уже не нужны, старые базы клиентов, забытые файлы. Чем меньше данных — тем меньше рисков.
5. Напишите короткую памятку для сотрудников (3–5 пунктов) о том, как нельзя работать с данными клиентов. Проведите пятиминутку и разошлите её.

Главный риск в сфере персональных данных — самоуспокоенность. Когда кажется, что «у нас маленькая база, никому не нужна», или «это просто Excel, не система». Но по закону это ИСПДн, и утечка даже ста контактов может обернуться проблемами. Чтобы спать спокойно, не обязательно становиться гуру информационной безопасности. Достаточно один раз навести порядок: зафиксируйте системы, закройте дыры в доступе и наведите порядок в документообороте. Такая инвестиция времени окупится гарантией спокойствия.