152‑ФЗ · Руководство
Меры защиты персональных данных по ст. 19
Политика конфиденциальности — только начало. Ст. 19 152‑ФЗ обязывает оператора принимать организационные и технические меры по защите персональных данных. РКН смотрит не только на тексты, но и на то, как устроен сайт и инфраструктура.
Организационные меры
Защита начинается с людей и процессов. Даже у ИП с одной формой на Tilda нужен понятный ответ: кто отвечает за ПДн, кто имеет доступ к CRM и админкам, как фиксируются инциденты.
- Назначен ответственный за обработку ПДн
- Роли доступа к CRM, рассылкам, админ-панели сайта
- Регламент реагирования на утечки и запросы субъектов
- Внутренний аудит — периодичность по модели угроз
Технический контроль сайта
Веб-ресурс — часть информационной системы персональных данных. Данные из форм не должны передаваться по незашифрованному HTTP. Сторонние интеграции должны быть описаны в политике.
- HTTPS и валидный сертификат на всех страницах с формами
- Заголовки безопасности — HSTS, CSP, X-Frame-Options
- Минимизация открытых служебных портов и устаревшего TLS
- Контроль DNS и «тихих» виджетов в коде
Три рубежа для разработки
Базовый минимум для коммерческого сайта с формами — без требований уровня банка, но с опорой на практику проверок.
- Шифрование каналов — HTTPS везде, редирект с HTTP
- Контроль периметра — заголовки, мониторинг интеграций
- Локализация мастер-базы с ПДн на территории РФ
Связь с документами и подрядчиками
В политике должны быть описаны меры защиты в общих чертах. На практике — HTTPS, разграничение доступов, договоры поручения с CRM и хостингом. Расхождение «в политике одно — на сайте другое» — отдельный риск.
Что входит в автоматическую проверку
- Сайт с формами открывается только по HTTPS
- Настроены базовые security headers
- Все сервисы из кода перечислены в политике
- База с заявками и CRM — с контролируемым доступом
- Назначен ответственный, контакт указан на сайте
Частые вопросы
Нужна ли сертификация ФСТЭК для обычного сайта?+
Зависит от категории ИСПДн и модели угроз. Для многих SMB достаточно базовых мер и консультации специалиста; для критичных систем требования выше.
Достаточно ли SSL-сертификата?+
HTTPS — необходимый, но не единственный элемент. Нужны также доступы, политика, договоры с подрядчиками и реагирование на инциденты.
Как SiteComply помогает по ст. 19?+
Превью-отчёт показывает SSL, формы, cookie, внешние интеграции и расхождения с документами — ориентир до углублённого аудита ИБ.
Читайте также