Продукты
Продукты
close
Menu
02
База знаний
05
Услуги
01
О нас
04
2024
Контакты
phone
e-mail:
Обучение
03
«Ясно»: как соблюсти требования и не утонуть в бюрократии
13.01.2023
Когда ты оказываешь помощь людям в уязвимом состоянии, очень важно, чтобы доверие было не только к специалисту, но и к сервису в целом.
Сервис «Ясно», ведущая российская платформа онлайн-консультаций с психологами, понимала это лучше многих. Поэтому к нам обратились не из страха перед проверками, а из желания сделать все грамотно: привести процессы по защите персональных данных в соответствие с законом, правильно разделить зоны ответственности и, как результат, получить аргументированную гарантию безопасности данных клиентов.
30/09/25
Б-152
«Ясно»: как соблюсти требования и не утонуть в бюрократии
Специфика: особые данные — особый подход
Сервис работает с персональными данными, которые напрямую связаны с клиентом: имя, телефон, электронная почта и другие идентификаторы. Их раскрытие может повлечь репутационные и правовые риски, поэтому действовать по шаблону было бы ошибкой.
Пришлось:
- Детально разобрать, где и какие ПДн обрабатываются
- Прописать, где заканчивается зона ответственности ЦОДа, а где начинается зона ответственности самой платформы
И все это на фоне смены технического директора, отсутствия стабильного IT-лидера и ограничений по бюджету.
Что мы сделали
Как только клиент был готов к работе, мы оперативно включились и провели полный цикл:
1. Проанализировали бизнес-процессы сервиса
Провели интервью с командой, собрали информацию о том, какие персональные данные собираются, как используются, где хранятся и кто имеет к ним доступ. Выявили зоны, где возможны риски, особенно с учетом специфики работы с чувствительными данными клиентов.
Провели интервью с командой, собрали информацию о том, какие персональные данные собираются, как используются, где хранятся и кто имеет к ним доступ. Выявили зоны, где возможны риски, особенно с учетом специфики работы с чувствительными данными клиентов.
2. Построили модель угроз
Учли специфику SaaS-платформы, архитектуру обработки и хранения, а также риски, связанные с микросервисной архитектурой, удаленной работой команды и передачей данных через внешние каналы связи.
Учли специфику SaaS-платформы, архитектуру обработки и хранения, а также риски, связанные с микросервисной архитектурой, удаленной работой команды и передачей данных через внешние каналы связи.
3. Разработали техническое задание на систему защиты информации (СЗИ)
Определили меры, которые действительно необходимы сервису, чтобы соответствовать требованиям законодательства — без лишних вложений и ненужных ограничений.
Определили меры, которые действительно необходимы сервису, чтобы соответствовать требованиям законодательства — без лишних вложений и ненужных ограничений.
4. Подготовили комплект локальных нормативных актов (ЛНА)
Разработали документы, которые не просто будут лежать в архиве, а использоваться в реальной работе: регламенты, политики, инструкции по ИБ ПДн. Все с привязкой к текущей архитектуре и ответственности сторон.
Разработали документы, которые не просто будут лежать в архиве, а использоваться в реальной работе: регламенты, политики, инструкции по ИБ ПДн. Все с привязкой к текущей архитектуре и ответственности сторон.
5. Оценили эффективность действующих мер защиты
Проверили, насколько уже реализованные механизмы соответствуют нормативам. Проверили корректность настроек средств защиты и встроенных механизмов защиты. А самое главное — понимание сотрудников ИТ того, как настроить и администрировать средства защиты.
Проверили, насколько уже реализованные механизмы соответствуют нормативам. Проверили корректность настроек средств защиты и встроенных механизмов защиты. А самое главное — понимание сотрудников ИТ того, как настроить и администрировать средства защиты.
6. Подобрали средства защиты информации
Вместе с командой клиента нашли баланс между функциональностью, стоимостью и надежностью, без избыточных закупок и навязанных решений.
Вместе с командой клиента нашли баланс между функциональностью, стоимостью и надежностью, без избыточных закупок и навязанных решений.
Что это дало сервису «Ясно»
✅ Подтверждение соответствия требованиям законодательства — от 152-ФЗ до отраслевых норм, включая корректную организацию процессов сбора, хранения и передачи персональных данных.
✅ Снижение рисков утечек и претензий от регуляторов — теперь инфраструктура и процессы защиты ПДн задокументированы и защищены.
✅ Юридическая и техническая база для масштабирования — система защиты не мешает росту, а работает на него.
✅ Укрепление доверия пользователей и инвесторов — команда может аргументированно заявлять, что конфиденциальность клиентов под контролем.
✅ Понимание внутри команды — как защитить данные и зачем это нужно, без формального подхода.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Работа с данными в области психологии — это зона повышенного внимания. Даже если вы не храните диагнозы, сам факт обращения к специалисту может считаться чувствительной информацией. Поэтому:
- Требования законодательства — это только базовый уровень.
- Важно учитывать условия договоров с ЦОДами, и внутреннюю логику масштабируемой архитектуры.
- Промедление с внедрением СЗИ может обернуться проблемами не в моменте, а в момент масштабирования или проверки.
Когда в команде клиента происходят изменения (как в случае с уходом техдира «Ясно.Лайв»), это может замедлить процесс. Мы гибко адаптируемся к таким ситуациям, но для движения вперед всегда важно, чтобы со стороны клиента был выбран и подтвержден удобный формат работы.
Что можно учесть другим сервисам
Проведем аудит защиты персональных данных: выявим слабые места, проверим соответствие 152-ФЗ и покажем, как усилить безопасность
Работаете с чувствительными данными? Убедитесь, что все под контролем.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме