КЛИЕНТ
Префектура Северного административного округа города Москвы — территориальный орган исполнительной власти города Москвы. Префектура работает с большим объёмом персональных данных жителей округа, сотрудников, муниципальных служащих, контрагентов и подрядчиков.Объём и разнообразие обрабатываемых данных, а также высокая публичность органа делают защиту персональных данных особенно важной задачей.
ОТРАСЛЬ
Государственный сектор, органы исполнительной власти субъекта Российской Федерации. Эта отрасль отличается особой строгостью требований: применимы как федеральные нормы (152-ФЗ, постановления Правительства, приказы ФСТЭК России и Роскомнадзора), так и требования города Москвы.Любое нарушение режима обработки персональных данных в органе власти быстро становится публичным фактом, что добавляет к регуляторным рискам репутационные.
ЗАДАЧА
- Перед нами стояла задача оперативно организовать сбор данных через интервью и опросы работников префектуры для актуализации списка ответственных за обработку и защиту персональных данных.
- Параллельно требовалось выполнить аудит бумажного архива документов и доработать комплект работающих организационно-распорядительных документов, соответствующих последним требованиям Федерального закона № 152-ФЗ «О персональных данных» и нормативам Роскомнадзора.
- Финальная цель — достичь полного соответствия между нормативной базой по защите персональных данных и реальным функционированием процессов обработки данных у клиента. Вопрос о том, какие документы регламентируют защиту конфиденциальной информации, является ключевым при подготовке к проверкам Роскомнадзора, и именно на него должен отвечать актуализированный комплект ОРД.
ПРОБЛЕМАТИКА
Основная проблематика заключалась в дефиците штатных ресурсов префектуры для проведения регулярного аудита защищённости персональных данных и актуализации нормативной базы. Особенно остро эта проблема проявлялась в условиях меняющегося законодательства и регулярной ротации кадров: документы, разработанные несколько лет назад, переставали соответствовать актуальным требованиям, ответственные за ПДн менялись, цепочки согласования рвались, фактические процессы расходились с описанными в регламентах.РЕШЕНИЕ
Для успешной реализации проекта была сформирована команда профильных ИБ- экспертов с опытом не менее трёх лет, специализирующихся на работе с персональными данными в государственном секторе.- На первом этапе мы провели серию интервью и опросов сотрудников префектуры, что позволило сформировать актуальную карту обработки персональных данных. Параллельно был выполнен аудит бумажного архива документов непосредственно на территории префектуры.
- На втором этапе был доработан и утверждён полный комплект ОРД: политика обработки ПДн, положение об ответственных, инструкции, перечни ИСПДн, акты, согласия, типовые формы для договоров.
РЕЗУЛЬТАТЫ
- Главным результатом проекта стало достижение полного соответствия между нормативной базой по защите персональных данных и реальным функционированием процессов обработки данных в префектуре. Для руководства префектуры: снижен риск получения предписания и штрафа со стороны Роскомнадзора, обеспечена готовность к плановым и внеплановым проверкам.
- С учётом введения с мая 2025 года оборотных штрафов за утечки персональных данных, финансовые риски от неактуальной нормативной базы выросли в разы — и именно поэтому защита персональных данных в сети интернет и в информационных системах органа власти стала приоритетом первого уровня.