В последние годы вопросы защиты персональных данных в образовании вышли на первый план из-за участившихся инцидентов. Регулятор требует, чтобы детские сады оформляли все документы по новым правилам и не допускали утечек данных воспитанников. К тому же родители стали более осведомлены о своих правах: жалобы в случае разглашения информации о ребенке могут привести к проверке и санкциям. Одной публикации на сайте списка детей или фотографий без согласия достаточно, чтобы создать проблемную ситуацию. Таким образом, владеть базовыми знаниями о 152-ФЗ сегодня необходимо каждому руководителю ДОУ. Поэтому, а еще потому что у большинства детских садов нет собственного специалиста по защите персональных данных, а приглашать внешнего эксперта часто не позволяет бюджет я решил написать эту статью. Надеюсь она поможет разобраться ответственным лицам (заведующим, директорам, юристам дошкольных образовательных учреждений (ДОУ)).

Большинство общих обзоров закона о персональных данных, к сожалению, мало пригодны для решения практических задач в детском саду. Моя цель – изложить требования максимально прикладным языком, с акцентом на реальных ситуациях ДОУ. Предположу, что читателю уже знакомы базовые понятия: кто такой оператор и лицо, действующее по поручению оператора, какие принципы обработки данных установлены законом, что включает в себя политика оператора по ПДн, а также общие меры защиты информации. Не вдаваясь глубоко в теорию, сконцентрируюсь на специфике дошкольных учреждений и дам пошаговые рекомендации. Статья структурирована так, чтобы ее можно было легко прочитать и использовать как справочник – вы сможете цитировать отдельные разделы или пересылать коллегам.

В последнее время так совпало, что я много общался с ЖКХ не как юрист и ИБ-специалист, а как обычный собственник жилья. Споры с управляющей компании, перерасчёты, общие собрания, домовые чаты, запросы в ГИС ЖКХ — в общем полный набор «бытового» взаимодействия. И почти в каждом эпизоде, где всплывали персональные данные, картина была одинаковая

Что-то очень много вопросов про согласие и его оформление задают мне в последнее время. Поэтому решил написать много текста в виде максимально развернутого ответа на эту тему. Надеюсь кому-то поможет разобраться в теме. Так что наливаем чай или кофе, и приступаем :-)

Прежде чем рассматривать порядок и случаи уничтожения, важно понимать определение этого понятия. Уничтожение персональных данных в российском законодательстве означает действия, после которых невозможно восстановить содержание персональных данных в информационной системе и/или в результате которых уничтожаются материальные носители персональных данных consultant.ru. Иными словами, данные должны быть удалены безвозвратно, чтобы ни в электронном виде, ни на бумажных носителях нельзя было восстановить информацию о субъекте данных.

Периодически мне задают следующий вопрос — «Наша компания не имеет базы данный по клиентам, не ведет кадровый учет и вообще не собирает, не хранит и не обрабатывает ПДн. Если клиент прислал нам электронное письмо на корпоративную почту и подписался (ФИО, телефон), является ли это обоснованием считать нас оператором ПДн и обязывает ли выполнять требования 152-ФЗ?»

Короткий ответ: да, ваша компания становится оператором ПДн уже в момент, когда вы настроили корпоративную почту и получили/прочитали/сохранили письмо, содержащее ФИО и телефон отправителя. Это уже «обработка» ПДн (запись, хранение, использование, удаление и т. д.), а вы — лицо, организующее обработку и определяющее её цели и средства (деловая переписка через корпоративный e‑mail). Значит, на вас распространяются требования 152-ФЗ.

Недавно разбирали с заказчиком вопрос - как правильно использовать Яндекс-формы для сбора заявок и при этом не нарушить 152-ФЗ. Кратко и по существу ниже.

При сборе ПДн через форму организация должна получить у клиента согласие на обработку его персональных данных (ст. 6 ч. 1 п. 1 закона), если отсутствуют иные законные основания. В практическом плане это означает включение в форму явного соглашения: например, фраза с чекбоксом «Я даю согласие ООО “Х” на обработку моих персональных данных (ФИО, телефон, email) в целях рассмотрения заявки…», с ссылкой на политику конфиденциальности. Важно: если планируется, что данные будут передаваться третьим лицам (в данном случае – сервису Яндекс), в тексте согласия следует отдельно указать согласие на передачу (поручение) данных этому третьему лицу.

Ниже приведен пример, как может выглядеть согласие на обработку персональных данных с учетом использования Яндекс.Форм (адаптируйте под вашу ситуацию):

В связи с вступлением в силу новых правил по обезличиванию персональных данных (писал об этом тут) пришлось разбираться, а как же правильно делать обезличивание, что бы выполнить требование о необратимости процесса. В результате получился тако чек-лист по проверке необратимости обезличивания данных.

1) Прямые идентификаторы удалены

Что это: ФИО, телефоны, e-mail, паспорт/ИНН/СНИЛС, точный адрес, ID устройств/аккаунтов.
Как сделать: выгрузите список полей и проверьте, что этих столбцов нет (или они очищены/заменены кодами, не связанными с реальными данными).
Инструменты: Excel (фильтр по названию колонок), DLP/регэксп-поиск по шаблонам.
ОК, если: в наборе нет явных персональных полей.

После 30 мая в связи с вступлением в силу изменений в законе о защите персональных данных (152-ФЗ) многие компании озаботились соответствием требованиям этого закона, но не знают с чего начать и за что хвататься. Начинать я рекомендую с инвентаризации. Инвентаризация информационных систем персональных данных (ИСПДн) – это базовый шаг для построения системы защиты данных. Она позволяет понять, где и как хранятся персональные данные, кто имеет к ним доступ и какие угрозы нужно нейтрализовать. Без полного учета таких систем есть риск пропустить уязвимые места, а при проверке контролирующими органами можно столкнуться с неожиданными вопросами: какие у нас системы обрабатывают ПДн, какие данные там содержатся, где расположены базы, какими средствами защиты они защищены? Если заранее этого не знать, проверки могут обернуться паникой. Ниже рассмотрим небольшой пошаговый план, как правильно провести инвентаризацию ИСПДн, чтобы избежать подобных проблем и обеспечить соответствие требованиям законодательства.

С 1 сентября 2025 года в силу вступают важные изменения в законодательстве России о персональных данных, касающиеся обезличивания (анонимизации) персональной информации. Цель — установить чёткие правила обезличивания и дать бизнесу и государству новые возможности для безопасного использования больших данных и технологий искусственного интеллекта.

Российское законодательство обязывает работодателей соблюдать строгие правила при работе с персональными данными сотрудников. HR-менеджеры, руководители отделов и специалисты по безопасности часто задаются вопросом: нужно ли получать отдельное согласие от сотрудника на обработку его персональных данных в рамках трудовых отношений? Проще говоря, обязаны ли мы при каждой ситуации брать у работника письменное согласие, или закон допускает обработку данных и без него? Рассмотрим это на основе российского Федерального закона № 152-ФЗ «О персональных данных» и разъяснений Роскомнадзора, простым языком.

Всем уже известно, что с 30 мая 2025 года в России значительно ужесточились штрафы за нарушения в сфере персональных данных. Одно из таких нарушений — утечка персональных данных, — которая влечёт за собой весьма серьёзный штраф. Особенно уязвимыми к этому нарушению становятся малые и средние компании, где зачастую нет выделенных специалистов по информационной безопасности и юридической компетенции в области 152-ФЗ.

Утечка ПДн — это не просто техническая проблема, а правовой и репутационный кризис. Важно не только устранить последствия, но и правильно отреагировать в первые часы после инцидента, чтобы избежать ещё больших санкций. В этой статье мы разберём, какие риски несёт утечка и какие шаги должен предпринять бизнес в соответствии с требованиями Федерального закона 152-ФЗ.

Конец года — это всегда хорошее время для анализа своей продуктивности и проб различных новых инструментов. Мы все постоянно что-то фиксируем, чтобы не забыть — задачи, напоминалки, мысли, заметки. Что-то здесь, в этой программе, что-то там, в том планировщике, блокноте, стикере, телефоне. И я по себе знаю, что потом уходит много энергии на то, чтобы всё это как-то связать вместе. В итоге возникает чувство разбросанности и непродуктивности. Без хорошей, простой и понятной системы, которая свяжет всё воедино, будет трудно справляться с текущими задачами и достигать целей.

О том, как провести цифровой резец в конце года я писал в предыдущей статье. В этой я покажу, как построить один из вариантов такой системы продуктивности, и дам вам несколько советов о том, как заставить всё это работать вместе.
Есть четыре основные части хорошей системы управления продуктивностью

В конце года многие из нас оглядываются назад, анализируют прошедшие месяцы, пытаются понять, что пошло не так и что можно улучшить в следующем году. Для меня конец года — это время упорядочить всё, избавиться от накопившегося цифрового шума и создать основу для продуктивного старта в следующем году. Поскольку основной рабочий инструмент для меня — это компьютер, каждый год я убеждаюсь, что организованное цифровое пространство помогает сохранять спокойствие и концентрацию.

Если вы тоже чувствуете, что накопившийся за год цифровой беспорядок вызывает усталость и раздражение, конец года — это идеальное время для цифрового ресета. Особенно это важно для людей, которые стремятся повысить свою продуктивность и сделать рабочие процессы более эффективными. Давайте вместе посмотрим, как можно избавиться от этого беспорядка и облегчить себе жизнь.

Цифровой беспорядок как причина выгорания

Вот три признака, по которым становится понятно, что пора разгребать свой цифровой завал:

Наши заказчики периодически спрашивают: что делать, когда базовые задачи по антивирусной защите, защите интернет-канала и резервному копированию уже решены? Куда двигаться дальше? В таких случаях я предлагаю концепцию "6P" — простой и эффективный подход, помогающий сфокусироваться на пяти основных аспектах информационной безопасности и тем самым повысить уровень защищенности компании. Эти направления включают: осведомленность сотрудников, надежные пароли, ограничение привилегированного доступа, своевременное обновление программного обеспечения, защиту от фишинга и периодические проверки на защищённость инфраструктуры.

Все слышали о важности использования надёжных паролей. Особенно в корпоративном секторе, где взлом пароля может привести не только к потере важной информации, но и к серьёзным финансовым потерям, а также удару по репутации компании. Несмотря на это, статистика по инцидентам, связанным с утечками учетных записей, огорчает. В 2023 почти половине случаев (48%) известных утечек учетная запись упоминалась вместе с паролем. Тот факт, что у большинства компаний есть публично доступные административные панели авторизации, усугубляет ситуацию еще больше. Возможно стоит разобраться подробнее в этом посте, что такое парольная политика в организации и как нам может помочь.

Для начала рассмотрим проблемы, с которыми чаще всего сталкиваемся, когда вспоминаем про инциденты связанные с ненадёжными паролями.

Двухфакторная аутентификация (2FA) и усиленная парольная политика - два разных подхода к повышению безопасности учетных записей. Оба метода направлены на защиту от несанкционированного доступа, но они существенно различаются в реализации и уровне обеспечиваемой защиты. Давайте разберем каждый вариант подробнее, что бы понять, какой из них выбрать.

В этом посте я не буду акцентировать внимание на значимости перехода на Российское ПО в государственном секторе, поскольку об этом написано уже множество статей. Вместо этого, хочется поделиться опытом реализации одного из наших проектов, в рамках которого мы успешно перевели клиента с иностранных решений виртуализации и СУБД на российские аналоги, подтвердив нашу экспертизу и возможность реализации критически важных частей IT-инфраструктуры на базе отечественных разработок. 

Вводная по проекту

Проект затрагивал ключевую часть инфраструктуры заказчика, где функционировала информационная система, насчитывающая более 5000 пользователей. Система была построена на платформе 1С Фреш для ведения финансово-хозяйственной деятельности заказчика и более 600 подведомственных организаций. В её состав входило: около 24 информационных баз общим объемом свыше 26 Тб. Техническая часть включала 105 виртуальных машин на базе Microsoft Hyper-V и операционной системы Windows Server 2012 R2, управление базами данных осуществлялось через MS SQL Server 2014.

В 2023 году в рамках стратегии снижения рисков от использования иностранного ПО и усиления информационной безопасности заказчиком было принято решение о необходимости замены всех ключевых компонентов иностранного ПО на аналоги российского производства. При этом важно было не нарушить работоспособность существующей информационной системы.

Когда заказчик обратился к нам с предложением помочь в реализации этого проекта, мы с удовольствием взялись за эту задачу, так как наша компания участвовала в развёртывании и сопровождении информационной системы на стадии её запуска.

В наши дни, когда информационные системы стали неотъемлемой частью работы большинства компаний, а объемы обрабатываемых данных постоянно растут, превращая информацию в один из самых ценных ресурсов современного бизнеса, вопросы защиты и сохранности данных становятся все более актуальными. Каждый день происходят массовые утечки данных и хакерские атаки. Компании все чаще привлекают к разработке своих информационных систем внешних подрядчиков, что влечет за собой необходимость предоставления им доступа к чувствительной информации. При этом статистика говорит о том, что каждый пятый случай утечки данных связан с взломом инфраструктуры подрядчика, имеющего доступ к данным заказчика. В результате перед бизнесом встает целый список противоречивых вопросов: как обеспечить доступ к данным для работы с ними, включая внешних подрядчиков, и в то же время защитить свои данные от утечки? Кроме естественного желания компаний защитить свои данные, нужно помнить и о том, что в России тема защиты данных получает особую значимость в связи с законом о персональных данных и растущей угрозой кибератак.

Обычные методы разделения доступа не всегда достаточны. В этом контексте маскирование данных выступает как один из наиболее эффективных методов защиты важной информации от несанкционированного доступа. Этот подход позволяет обеспечить необходимый уровень доступа к информации, при этом минимизируя риск её утечки.

Маскирование данных помогает снизить риски, связанные с важной информацией, посредством её замены на обезличенную версию. Этот метод представляет собой процесс, в ходе которого реальные данные заменяются искусственными, но при этом сохраняются все ключевые характеристики исходных данных, что позволяет в итоге использовать такие данные для тестирования или разработки, не рискуя безопасностью и конфиденциальностью. Подобные решения уже активно используются в различных отраслях: банками, промышленными организациями, ритейл-компаниями, колл-центрами, провайдерами и, в целом, любыми компаниями, которым необходимо обеспечивать безопасность чувствительных данных.

Резюме: Великие новаторы давно знают, что секрет нахождения лучшего
ответа заключается в постановке лучшего вопроса. Применение этого понимания к упражнениям мозгового штурма может значительно улучшить поиск новых идей, особенно когда команда застряла. Мозговой штурм на основе вопросов, а не
ответов, помогает избежать групповой динамики, которая часто подавляет голоса, и позволяет переосмыслить проблемы таким образом, чтобы стимулировать прорывное мышление.

Ниже выдержки из статьи Hal Gregersen.

В современном мире, где удалённая работа становится нормой для многих компаний, обеспечение кибербезопасности соединений через Протокол удалённого рабочего стола (RDP) приобретает критическую важность. Пандемия COVID-19 катализировала переход к удалённой работе, что привело к значительному увеличению числа кибератак, направленных на инфраструктуры удалённого доступа. Несмотря на общее осознание рисков, связанных с использованием RDP, многие организации всё ещё испытывают сложности с настройкой адекватной защиты своих систем.

Эксперты нашей компании подготовили ряд рекомендаций, направленных на укрепление безопасности RDP и защиту корпоративных сетей от потенциальных угроз. Среди ключевых мер – усиление политики паролей, внедрение многофакторной аутентификации, ограничение доступа к портам и регулярное обновление системы патчами безопасности.