Если вы храните данные клиентов или сотрудников — вы оператор персональных данных
Это касается почти всех компаний
152-ФЗ для МСБ: что важно знать и как подготовиться
Кому обязателен закон, что делать при инциденте и какие базовые меры снижают риск утечек, простоя и штрафов
Самое опасное при инциденте: позднее обнаружение, а также отсутсвие плана действий и фиксации (логов/артефактов) для быстрого реагирования
Штрафы за утечки выросли: до 15 млн. Р для юрлиц. За повторные утечки — возможны оборотные штрафы: 1-3% выручки (мин. 20 млн Р)
Неуведомление об утечке в первые 24 часа полагается отдельный штраф 1-3 млн Р
Если есть хотя бы один пункт — вы подпадаете под 152-ФЗ
Данные сотрудников (кадры, зарплата, договоры, документы)
Данные клиентов (заявки, договоры, доставки)
Сбор и хранение данных в системах (CRM, 1С, почта, формы на сайте)
4 опоры готовности
Ответственность
Кто отвечает и кто принимает решения
Процесс
План реагирования и эскалации
Техника
MFA, бэкапы, логирование, обновления
Артефакты
Фиксация действий и отчётность
Что делать при инциденте
Шаг 1
Зафиксировать и локализовать: сохранить логи/артефакты, ограничить доступ, оценить объём утечки
Шаг 2
Уведомить Роскомнадзор в течение 24 часов после выявления инцидента/утечки
Шаг 3
Провести внутреннее расследование и направить результаты в течение 72 часов
Штрафы за утечки: краткая таблица для руководителя
Утечка ПДн для организаций/ИП — прогрессивная шкала:
≥ 1 000Субъектов
≥ 10 000Идентификаторов
3–5 млн ₽
≥ 10 000Субъектов
≥ 100 000Идентификаторов
5–10 млн ₽
≥ 100 000Субъектов
≥ 1 млнИдентификаторов
10–15 млн ₽
1–3% выручки
Повторная утечка (мин 20 млн ₽, макс 500 млн ₽)
1–3 млн ₽
Нарушение обязанности уведомить об утечке
Субъект = человек. Идентификатор = набор идентифицирующих данных/записей
Минимум, который снижает риск уже сейчас
MFA для почты / удалённого доступа / админ-аккаунтов
Бэкапы и тесты восстановления
Запрет общих учёток и настройка минимальных прав
Логи ключевых событий
План реагирования
Постоянный цикл безопасности
Разовые меры помогают. Но бизнес спасает только постоянный контур 24/7
Подготовка*
Мониторинг 24/7
Реагирование и эскалация
Локализация и устранение
Отчёт и рекомендации
*Разовые меры помогают. Но бизнес спасает только постоянный контур 24/7
Серебриум Эгида ведёт этот цикл полностью: от обнаружения до восстановления с собственным ПО
Дополнительная информация
Мы точно подпадаем под 152-ФЗ?
+Если храните/обрабатываете данные сотрудников или клиентов (кадры, заявки, договоры, CRM/1С/почта/формы сайта) — вы оператор ПДн.
Что самое опасное при инциденте с точки зрения 152-ФЗ?
+Позднее обнаружение и отсутствие плана действий и фиксации (логов/артефактов), из-за чего вы не можете быстро локализовать и корректно отработать инцидент, а также отчитаться перед РКН.
Какие сроки критичны, если утечка уже случилась?
+Уведомление РКН — в течение 24 часов после выявления; результаты внутреннего расследования — в течение 72 часов.
Какие базовые меры снижают риск уже сейчас?
+MFA, бэкапы и тест восстановления, запрет общих учёток и минимальные права, логи ключевых событий, план реагирования.
Какие штрафы самые чувствительные?
+По прогрессивной шкале — до 15 млн. р., а при повторной утечке возможны оборотные 1–3% выручки (с минимумом 20 млн. р.), отдельно — штраф за нарушение обязанности уведомить об утечке.
Можно ли закрыть большую часть требований без внутренней ИБ-команды?
+Да. Для этого нужно выстроить процесс реагирования, провести техническую настройку (MFA/бэкапы/логи/обновления) и подключить постоянный мониторинг за ИТ-средой.
Как может помочь Серебриум Эгида?
+Закрывает постоянный цикл подготовки, мониторинга 24/7, реагирования, локализации и отчётности.
Хотите понять ваши риски?
Начните с разбора ИТ-среды — покажем риски и дадим план, как закрыть их без найма внутренней ИБ-команды