Информационная безопасность

Кому это нужно

Любой компании, обрабатывающей персональные данные клиентов и сотрудников — а это все без исключения организации, работающие с физическими лицами. Требования закона распространяются на любой формат данных: бумажные документы, электронные базы, файлы на корпоративных и личных устройствах, переписку в мессенджерах. Штрафы за нарушения 152-ФЗ в редакции 2024 года включают оборотные санкции — до 3% годовой выручки за повторные нарушения и до 500 млн рублей за крупные утечки. Помимо прямых штрафов, инцидент означает репутационные потери, отток клиентов и гражданские иски от пострадавших.

Что мы делаем

Аудит и проектирование защиты

Начинаем с детального обследования текущей ИТ-инфраструктуры и процессов обработки данных. Выявляем места хранения персональных данных, потоки передачи между системами, текущие уровни доступа сотрудников и реальные риски утечек. На основе аудита формируем модель угроз и нарушителя, определяем класс защищённости информационных систем и подбираем оптимальный набор технических и организационных мер.

Технические средства защиты

Внедряем и настраиваем сертифицированные средства защиты информации: антивирусную защиту, межсетевые экраны, системы предотвращения утечек данных (DLP), шифрование каналов связи и носителей информации. Выстраиваем разграничение прав доступа по принципу минимальной необходимости — каждый сотрудник видит только ту информацию, которая нужна ему для работы. Настраиваем журналирование действий пользователей и мониторинг подозрительной активности.

Резервное копирование и непрерывность работы

Организуем регулярное резервное копирование критичных данных с хранением копий в нескольких независимых местах. Прорабатываем процедуры аварийного восстановления — чтобы при сбое оборудования, шифровальщике или физическом повреждении серверов компания продолжала работу в кратчайшие сроки, а данные клиентов не были потеряны. Регулярно тестируем восстановление — резервная копия имеет ценность только тогда, когда из неё реально можно восстановиться.

Документы и регламенты

Подготавливаем полный пакет организационно-распорядительной документации: политику обработки персональных данных, формы согласий для клиентов и сотрудников, регламенты работы с информацией ограниченного доступа, должностные инструкции для назначенных ответственных, журналы учёта обращений субъектов персональных данных. Все документы — под конкретные процессы вашей компании, не шаблонные.

Обучение персонала

Проводим обучение сотрудников по основам информационной безопасности: правилам работы с персональными данными, противодействию социальной инженерии и фишингу, поведению при обнаружении инцидента. Главный источник утечек в большинстве организаций — не технические уязвимости, а действия сотрудников, поэтому обучение даёт самый ощутимый эффект на единицу затрат.

Сопровождение проверок и инцидентов

Сопровождаем при проверках Роскомнадзора, ФСТЭК и прокуратуры. Готовим обоснования технических и организационных мер защиты, представляем интересы компании во взаимодействии с регуляторами. При возникновении инцидента — помогаем правильно квалифицировать событие, подготовить уведомление в Роскомнадзор в установленные сроки (24 часа на первичное уведомление, 72 часа на детализацию) и минимизировать последствия.

Как мы работаем

Подписываем NDA до начала аудита — вся информация о вашей инфраструктуре, процессах и данных остаётся конфиденциальной. После аудита представляем отчёт с конкретными рекомендациями, оценкой рисков и сметой работ. Каждый этап согласуется отдельно, никаких работ «по умолчанию» — вы видите, за что платите, и можете внедрять меры постепенно. По завершении проекта остаёмся на сопровождении: контролируем актуальность мер, реагируем на изменения законодательства, проводим повторные аудиты.

Почему это нельзя откладывать

Требования к защите персональных данных ужесточаются каждый год. В 2022 году в 152-ФЗ введено обязательное уведомление об утечках, в 2024 году добавлены оборотные штрафы. Регуляторы переходят от выборочных проверок к плановой работе с компаниями — особенно с теми, кто обрабатывает большие объёмы клиентских данных. Стоимость превентивного выстраивания системы защиты несопоставимо ниже стоимости одного серьёзного инцидента, оборотного штрафа или серии гражданских исков.