152‑ФЗ · Руководство

Меры защиты персональных данных по ст. 19

Политика конфиденциальности — только начало. Ст. 19 152‑ФЗ обязывает оператора принимать организационные и технические меры по защите персональных данных. РКН смотрит не только на тексты, но и на то, как устроен сайт и инфраструктура.

Организационные меры

Защита начинается с людей и процессов. Даже у ИП с одной формой на Tilda нужен понятный ответ: кто отвечает за ПДн, кто имеет доступ к CRM и админкам, как фиксируются инциденты.

  • Назначен ответственный за обработку ПДн
  • Роли доступа к CRM, рассылкам, админ-панели сайта
  • Регламент реагирования на утечки и запросы субъектов
  • Внутренний аудит — периодичность по модели угроз

Технический контроль сайта

Веб-ресурс — часть информационной системы персональных данных. Данные из форм не должны передаваться по незашифрованному HTTP. Сторонние интеграции должны быть описаны в политике.

  • HTTPS и валидный сертификат на всех страницах с формами
  • Заголовки безопасности — HSTS, CSP, X-Frame-Options
  • Минимизация открытых служебных портов и устаревшего TLS
  • Контроль DNS и «тихих» виджетов в коде

Три рубежа для разработки

Базовый минимум для коммерческого сайта с формами — без требований уровня банка, но с опорой на практику проверок.

  • Шифрование каналов — HTTPS везде, редирект с HTTP
  • Контроль периметра — заголовки, мониторинг интеграций
  • Локализация мастер-базы с ПДн на территории РФ

Связь с документами и подрядчиками

В политике должны быть описаны меры защиты в общих чертах. На практике — HTTPS, разграничение доступов, договоры поручения с CRM и хостингом. Расхождение «в политике одно — на сайте другое» — отдельный риск.

Что входит в автоматическую проверку

  • Сайт с формами открывается только по HTTPS
  • Настроены базовые security headers
  • Все сервисы из кода перечислены в политике
  • База с заявками и CRM — с контролируемым доступом
  • Назначен ответственный, контакт указан на сайте

Частые вопросы

Нужна ли сертификация ФСТЭК для обычного сайта?+

Зависит от категории ИСПДн и модели угроз. Для многих SMB достаточно базовых мер и консультации специалиста; для критичных систем требования выше.

Достаточно ли SSL-сертификата?+

HTTPS — необходимый, но не единственный элемент. Нужны также доступы, политика, договоры с подрядчиками и реагирование на инциденты.

Как SiteComply помогает по ст. 19?+

Превью-отчёт показывает SSL, формы, cookie, внешние интеграции и расхождения с документами — ориентир до углублённого аудита ИБ.

Читайте также