BI.ZONE GRC
Governance, Risk and Compliance
Платформа для автоматизации процессов кибербезопасности и выполнения требований законодательства
17 марта, 11:00
Кибербезопасность холдинга
Вебинар о системном управлении КБ в дочерних компаниях
До начала:
Назначение
BI.ZONE GRC — комплексное решение, которое позволяет:
- контролировать ключевые процессы кибербезопасности
- автоматизировать выполнение требований по защите ПДн
, ГИС (в том числе соблюдение требований приказа ФСТЭК России № 117) и КИИ , а также расчет показателя защищенности КЗИ - упрощать управление IT‑активами, уязвимостями и угрозами
- проводить аудиты
- создавать и контролировать дорожную карту развития кибербезопасности
BI.ZONE GRC обеспечивает соответствие регуляторным требованиям и эффективное управление процессами, что снижает затраты, повышает устойчивость бизнеса и интегрирует безопасность в стратегическое развитие
До 2,2 раза
ниже затраты на комплаенс
До 4 раз
быстрее устранение уязвимостей
До 10 раз
быстрее разработка документов для ПДн, ГИС, КИИ
1 млн+
IT-активов в едином пространстве платформы
Модули
Compliance Management
-
Помогает выполнять требования законодательства по ПДн
-
Автоматизирует защиту КИИ
-
Готовит системы защиты ИСПДн
, ГИС и объектов КИИ к аттестации
Asset Management
-
Проводит инвентаризацию и классификацию активов на основе данных более чем из 30 источников
-
Отслеживает жизненный цикл активов
-
Обогащает, анализирует и классифицирует активы
-
Помогает подготавливать отчетность и документацию
Vulnerability Management
-
Агрегирует данные более чем из 20 источников, включая сканеры, SCA
, SAST , DAST -
Автоматизирует оценку уязвимостей и их применимость к IT-активам
-
Организует процесс анализа уязвимостей и управления ими
-
Формирует отчеты и документацию
Risk Management
-
Позволяет настраивать методологию управления рисками
-
Идентифицирует риски для IT‑активов с учетом актуальных уязвимостей
-
Проводит качественную и количественную оценку киберрисков
-
Подбирает защитные меры и оценивает их стоимость
-
Обеспечивает обработку и контроль рисков
-
Позволяет настраивать метрики и формирует отчетность
Audit and Road Maps
-
Предоставляет конструктор аудитов по любой методологии
-
Контролирует уровень кибербезопасности в холдинге и компании
-
Предоставляет гибкие инструменты взаимодействия с бизнес‑подразделениями для сбора данных
-
Создает автоматические отчеты
-
Формирует дорожную карту развития кибербезопасности с использованием AI
-
Контролирует план развития
Process Management
-
Автоматизирует управление процессами кибербезопасности внутри компании и на уровне холдинга
-
Организовывает коммуникацию между подразделениями и филиалами
-
Контролирует выполнение задач внутри организации
Личный кабинет
Схема работы
Варианты поставки
| Cloud | On-prem |
|---|---|
|
Мгновенное подключение и начало работы
|
Развертывание в течение 1 рабочего дня
|
|
Отсутствие затрат на оборудование для платформы
|
Хранение всех данных в контуре организации
|
|
Поддержка системы силами наших специалистов
|
Консультации по работе с платформой от наших специалистов
|
|
Работа только с доступом в интернет
|
Работа без доступа в интернет
|
|
Только встроенные коннекторы
|
Настраиваемые коннекторы
|
Кому подойдет решение
Российским организациям или группам компаний любого размера
Компаниям, которые хотят построить новый процесс кибербезопасности или автоматизировать имеющийся
Субъектам КИИ любых отраслей
Госорганизациям, ФОИВ
Преимущества
Индивидуальный подход
Платформа гибко настраивается под процессы и инфраструктуру
Методологическая база
Решение из коробки включает весь опыт специалистов BI.ZONE
Единый инструмент
Компания может разом контролировать все требования регуляторов
Сквозной контроль в группах компаний
Платформа обеспечивает централизованное управление процессами и документами в филиалах и дочерних организациях
AI‑технологии
Наши проекты
Сертификаты
Платформа BI.ZONE GRC включена в реестр отечественного ПО
BI.ZONE GRC имеет сертификат ФСТЭК России
Как попробовать
-
Настроим аккаунт и предоставим доступ за 1 рабочий день
-
Тестируйте возможности платформы в течение 14 дней
-
По итогу пробного периода рассчитаем стоимость под ваши потребности
Вам также может подойти
Назначение модуля
Compliance Management — модуль автоматизации комплаенса, который позволяет проводить анализ применимости и выполнять требования регуляторов по ПДн, КИИ, ГИС. Информация в системе обновляется при любых изменениях
Возможности модуля
Автоматизация соответствия требованиям по ПДн
- Агрегация данных о процессах обработки ПДн и ведение реестра
- Составление модели угроз и ее самоактуализация при изменении архитектуры систем
- Разработка всей документации по ПДн
- Разработка технического задания, пояснительной записки, документации по требованиям приказа ФСТЭК № 77 для подготовки ИСПДн к аттестации
- Автоматическое обновление материалов при изменении законодательства, инфраструктуры или процессов компании
- Управление задачами, проведение опросов, повышение осведомленности сотрудников
Автоматизация соответствия требованиям к ГИС
- Составление модели угроз и ее самоактуализация при изменении архитектуры систем
- Техническое проектирование системы защиты для ГИС
- Использование полной базы вендоров средств защиты информации
- Разработка всех документов по приказу ФСТЭК № 77, включая техническое задание, технический проект и модель угроз
Автоматизация соответствия требованиям к КИИ
- Учет бизнес-процессов субъекта КИИ, в том числе критических
- Категорирование и перекатегорирование ОКИИ
- Составление модели угроз и ее самоактуализация при изменении ОКИИ
- Разработка технического задания и технического проекта на создание системы защиты ОКИИ
- Разработка внутренних нормативных документов
- Оценка защиты ОКИИ
- Ведение перечня инцидентов
Вариант работы модуля
Результат
Снижение рисков
- Меньше вероятность штрафов и уголовной ответственности, так как требования регуляторов выполняются своевременно
Экономия ресурсов
- Ниже нагрузка на квалифицированный персонал
- Отказ от привлечения сторонних консультантов и подрядчиков
- Отсутствие дополнительных затрат на непрерывное соответствие изменениям законодательства
Рост зрелости процессов
- Требования регуляторов выполняются централизованно
- Прозрачное состояние критически важных активов и процессов
- Данные по безопасности собраны в едином окне
Назначение модуля
Asset Management — модуль управления IT‑активами, который позволяет агрегировать данные с автоматизированных источников, различных бизнес‑подразделений, дочерних организаций и филиалов. Собранная информация об активах автоматически классифицируется и обрабатывается
Возможности модуля
- Учет активов различных типов (конструктор структуры)
- Наполнение и обогащение активов из разных источников (Kaspersky Security Center, MaxPatrolVM, RedСheck, служба каталогов и др.)
- Автоматический анализ по правилам
- Автоматическое определение критичности
- Гибкая ролевая модель управления
- Просмотр всей информации об активе в одной карточке
- Инвентаризация и классификация активов на основе данных из разных источников (сканеры, службы каталогов и др.)
- Отслеживание жизненного цикла активов
- Визуализация активов, содержащих известные уязвимости
- Подготовка отчетности
Вариант работы модуля
Результат
Снижение рисков
- Прозрачное и контролируемое управление жизненным циклом IT‑активов благодаря единому реестру и автоматизированному сбору данных
- Сокращение вероятности инцидентов за счет консолидации параметров безопасности IT‑активов и оценки итогового риска
- Уменьшение рисков возможных штрафов и несоответствий регуляторным требованиям с помощью централизованного контроля критически важных активов и процессов
Экономия ресурсов
- Автоматизация рутинных задач, включая наполнение карточек IT‑активов и агрегацию данных из разных источников
- Высвобождение квалифицированного персонала для выполнения стратегических задач
- Отказ от дорогостоящих CMDB‑систем при сохранении необходимого уровня функциональности
Рост зрелости процессов
- Консолидация информации об IT‑активах в одной системе, включая интеграцию со смежными системами
- Возможность настройки управления для нескольких юридических лиц и филиалов в одной области
- Прозрачное отображение критически важных активов и процессов для принятия решений на основе данных единого окна
Назначение модуля
Vulnerability Management — модуль управления уязвимостями, который позволяет собирать и обогащать данные из различных источников, включая сканеры уязвимостей, SAST и DAST. Также он дополняет данные об активах информацией из БДУ ФСТЭК, NIST CVE и других источников.
Это дает возможность оперативно реагировать на возникающие риски, определять трендовые уязвимости, классифицировать и приоритизировать их устранение в зависимости от критичности, а также отслеживать динамику устранения
Это дает возможность оперативно реагировать на возникающие риски, определять трендовые уязвимости, классифицировать и приоритизировать их устранение в зависимости от критичности, а также отслеживать динамику устранения
Возможности модуля
- Использование активоцентричного подхода
- Автоматический анализ уязвимостей по правилам
- Обогащение данных об уязвимостях активами и информацией из открытых источников (ФСТЭК, NIST, НКЦКИ)
- Приоритизация данных с учетом параметров уязвимости
- Интеграции (MaxPatrol 8, MaxPatrolVM, RedСheck, Dependency-Track и др.)
- Агрегация всей информации об активе в одной карточке
Вариант работы модуля
Результат
Снижение рисков
- Минимизация угроз, которые могут нарушить деятельность компании, за счет повышения уровня безопасности через автоматическую оценку и пересмотр рисков на основании выявленных уязвимостей
- Единый реестр уязвимостей для централизованного контроля и предотвращения пропуска критических проблем
- Возможность корректировки риска
Экономия ресурсов
- Автоматизация работы по устранению уязвимостей, включая их актуализацию и отслеживание статуса
- Сокращение времени на анализ уязвимостей благодаря интеграции данных из различных сканеров
- Высвобождение ресурсов команды кибербезопасности для выполнения стратегических задач за счет автоматизации рутинных процессов
Рост зрелости процессов
- Повышение зрелости управления уязвимостями через консолидацию данных и автоматическое управление рисками
- Централизованное отслеживание статуса работы с уязвимостями в единой системе
- Комплексный анализ угроз благодаря интеграции и обогащению данных из различных источников
Назначение модуля
Risk Management — модуль автоматизации оценки киберрисков и управления ими.
Он позволяет компаниям выявлять, оценивать и приоритизировать риски кибербезопасности с учетом их влияния на бизнес
Возможности модуля
- Конструирование методологий управления рисками
- Сквозная идентификация рисков
- Качественная и количественная оценка рисков
- Интеллектуальный подбор защитных мер
- Обеспечение непрерывного цикла управления рисками
- Автоматизация цикла процессов по управлению информационными рисками
Результат
Прозрачная картина киберрисков
- Выявление и анализ угроз на всех уровнях — от IT‑активов и потенциальных уязвимостей до оценки влияния на бизнес‑процессы
- Сопоставление киберрисков с бизнес‑показателями за счет объединения качественной и количественной оценок
Обоснованные инвестиции в безопасность
- Автоматический подбор способов защиты IT‑активов от киберугроз
- Оценка экономической эффективности и окупаемости мер по противодействию киберугрозам
Централизованное управление рисками
- Контроль статусов, сроков и результатов обработки киберрисков в едином интерфейсе
Оптимизация работы команды
- Снижение операционной нагрузки на специалистов по кибербезопасности
- Высвобождение ресурсов для стратегических и проактивных задач
Назначение модуля
Audit and Road Maps — модуль для аудитов и построения дорожных карт кибербезопасности. Он поможет оценить зрелость компании с учетом требований законодательства, различных стандартов и лучших практик. Также он позволяет разработать план развития кибербезопасности в организации, а потом отслеживать его выполнение
Возможности модуля
- Конструирование аудитов по любой методологии
- Оценка уровня зрелости кибербезопасности
- Контроль уровня кибербезопасности в холдинге и компании
- Автоматическое создание отчетов
- Формирование дорожной карты развития кибербезопасности с использованием AI
- Контроль плана развития
Результат
Соответствие требованиям и стандартам
- Проведение аудитов по любым методологиям без необходимости адаптировать процессы вручную
- Анализ уровня кибербезопасности с учетом требований регуляторов и международных стандартов, чтобы минимизировать риски штрафов и нарушений
- Проверка соответствия системы защиты данных законодательным нормам и отраслевым стандартам для предотвращения штрафных санкций и несоответствий
Автоматизация и экономия ресурсов
- Генерация сводных отчетов в автоматическом режиме, исключающая риски человеческого фактора и потери данных
- Сокращение времени на аудиты за счет готовых шаблонов и интеграции с существующими системами
- Освобождение ресурсов команды безопасности для стратегических задач
AI-анализ и прозрачное развитие уровня кибербезопасности
- Формирование дорожной карты развития кибербезопасности с помощью AI, который учитывает текущий уровень зрелости и рекомендует оптимальные шаги для его улучшения
- Контроль выполнения плана в реальном времени: визуализация прогресса, напоминания о сроках, корректировка стратегии при изменении требований
Повышение зрелости процессов
- Применение системного подхода к управлению кибербезопасностью вместо разрозненных проверок
- Упрощение взаимодействия между командами (безопасность, комплаенс, IT) за счет единой платформы для аудитов и планирования
- Предоставление доказательной база для руководства и регуляторов: прозрачность процессов, история их изменений, прогнозируемые риски
Назначение модуля
Process Management — модуль для автоматизированного управления операционными процессами кибербезопасности и контроля их выполнения. Поддерживает работу как внутри отдельной организации, так и на уровне взаимодействия головной компании с дочерними структурами в рамках холдинга
Разделы модуля
Новости и чаты
- Корпоративные рассылки для сотрудников и дочерних структур
- Таргетированные уведомления (ролевая модель, группы, отделы)
- Внутренние чаты между головной компанией и дочерними структурами
Управление задачами
- Планирование задач, позволяющее создавать как разовые, так и периодические задачи для всех участников внутри организации или группы компаний
- Интеграция с другими модулями (например, автоматическое создание задач по результатам проверок)
События и мероприятия
- Планирование повторяющихся процессов (ежеквартальные проверки, обновления политик)
- Напоминания ответственным лицам
Библиотека
- Единое хранилище документов (политики, регламенты, отчеты ФСТЭК/ЦБ)
- Версионность и разграничение доступа
Опросы
- Анкетирование сотрудников и подрядчиков (например, проверка знаний по кибербезопасности)
- Автоматическая передача данных в смежные системы
Метрики
- Дашборды для руководителей с ключевыми показателями безопасности
- Настраиваемые KPI (например, процент выполненных задач, динамика устранения уязвимостей)
AI-помощник BI.ZONE Cubi
- Упрощение анализа применимости законодательных требований по кибербезопасности
- Помощь в вопросах кибербезопасности по применимым требованиям
- Формирование рекомендаций на основе собранных данных об организации
- Агрегация и обобщение данных
Результат
Повышение операционной эффективности
- Экономия времени сотрудников за счет автоматизации рутинных задач (рассылки, контроль выполнения, сбор данных)
- Снижение риска человеческого фактора: исключаются «потерянные» задачи, задержки и ошибки из-за забывчивости
- Быстрое реагирование на инциденты и изменения благодаря централизованному управлению
Прозрачность и контроль на всех уровнях
- Доступность реального состояния процессов для руководства через дашборды и метрики
- Ускорение аудита и проверок: все документы и отчеты собраны в одном месте
- Легкое отслеживание ответственности: кто, что и когда должен сделать
Снижение рисков за счет стандартизации процессов
- Исключение разночтений за счет единых для всех подразделений и филиалов регламентов
- Снижение риска пропустить критичные мероприятия (например, обновление ПО) благодаря автоматическим напоминаниям
- Выявление слабых мест до того, как они приведут к инцидентам, с помощью опросов и метрик
Упрощение масштабирования и управления холдингом
- Быстрое подключение новых филиалов и компаний к единой системе процессов
- Централизованное управление без потери гибкости: можно настраивать правила для разных юрлиц
- Сквозная аналитика по всему холдингу, а не разрозненные отчеты
Видео
BI.ZONE GRC: как навести порядок в кибербезопасности холдинга
Запись вебинара от 17 марта 2026 г.
#интервью#продукты
BI.ZONE GRC: как навести порядок в кибербезопасности холдинга
На вебинаре рассказали, как с помощью BI.ZONE GRC централизовать управление кибербезопасностью в холдинге, внедрить единые стандарты, автоматизировать ключевые процессы и сформировать общий подход для всей экосистемы. Также обсудили, как наладить эффективное взаимодействие головной компании с дочерними структурами
Спикеры:
- Андрей Быков
Руководитель BI.ZONE GRC - Лидия Ищенко
Старший консультант по кибербезопасности BI.ZONE Consulting
Запись вебинара от 17 марта 2026 г.
BI.ZONE GRC на CISO Forum 2025: управление IT‑активами как основа кибербезопасности
А. Быков, руководитель BI.ZONE GRC
#интервью#продукты
BI.ZONE GRC на CISO Forum 2025: управление IT‑активами как основа кибербезопасности
В интервью руководитель BI.ZONE GRC Андрей Быков объяснил, как наше решение упрощает управление кибербезопасностью для компаний и холдингов.
Основной темой стал учет IT-активов — фундаментальный, но часто недооцениваемый аспект защиты. BI.ZONE GRC автоматизирует этот процесс: система формирует полный реестр активов и связывает его с модулями контроля уязвимостей, аудита и комплаенса.
Также спикер поделился кейсами, как BI.ZONE GRC помог крупным холдингам выстроить сквозные процессы кибербезопасности
BI.ZONE GRC: как работать в 5 раз быстрее, объединив 10 систем в 1
Запись вебинара от 27 марта 2025 г.
#вебинар
BI.ZONE GRC: как работать в 5 раз быстрее, объединив 10 систем в 1
На вебинаре обсудили, как объединить процессы кибербезопасности и обеспечение соответствия требованиям регуляторов. Приглашенные эксперты поделились опытом и рассказали о кейсах использования BI.ZONE GRC
Спикеры:
Андрей Быков
Руководитель BI.ZONE GRC
Кирилл Карпиевич
Специалист по анализу уязвимостей, «СберТех»
Андрей Шаврин
Начальник отдела информационной безопасности, «МУЗ‑ТВ»
Запись вебинара от 27 марта 2025 г.
BI.ZONE Compliance Platform для борьбы с рутиной в кибербезопасности
Запись вебинара от 19 сентября 2024 г.
#вебинар
BI.ZONE Compliance Platform для борьбы с рутиной в кибербезопасности
На вебинаре обсудили, как BI.ZONE Compliance Platform позволяет автоматизировать работу с ПДн, КИИ и ГИС, а также управление IT‑активами, уязвимостями и аудитами. Еще рассказали, что поможет снизить нагрузку на сотрудников, сэкономить ресурсы и повысить зрелость процессов в организации.
В декабре 2024 г. BI.ZONE Compliance Platform была переименована в BI.ZONE GRC
Спикеры:
Андрей Быков
Руководитель центра консалтинга в области защиты данных
Лидия Ищенко
Старший консультант по кибербезопасности, BI.ZONE Consulting
Запись вебинара от 19 сентября 2024 г.
Защита КИИ: как следовать законодательству с минимумом затрат
Запись вебинара от 28 марта 2024 г.
#вебинар
Защита КИИ: как следовать законодательству с минимумом затрат
На вебинаре обсудили, как в 2024 году учесть все нюансы законодательства по КИИ. Спикеры разобрали требования ФЗ‑187 и подзаконных актов, регулирующих безопасность ОКИИ. Знания закрепили на практике: эксперты показали, как автоматизировать процессы с помощью BI.ZONE Compliance Platform.
В декабре 2024 г. BI.ZONE Compliance Platform была переименована в BI.ZONE GRC
Спикеры:
Алексей Авдеев
Ведущий консультант по кибербезопасности, BI.ZONE Consulting
Лидия Ищенко
Старший консультант по кибербезопасности, BI.ZONE Consulting
Запись вебинара от 28 марта 2024 г.
Защита информационных систем и комплаенс
Запись вебинара от 24 октября 2023 г.
#вебинар
Защита информационных систем и комплаенс
В рамках вебинара Андрей Быков, руководитель центра консалтинга в области защиты данных, рассказал, как обеспечить безопасность информационных систем компании, соблюдая баланс теории и практики. Спикер разобрал основные требования законодательства в области кибербезопасности и продемонстрировал работу обновленной BI.ZONE Compliance Platform на реальном кейсе.
В декабре 2024 г. BI.ZONE Compliance Platform была переименована в BI.ZONE GRC
Запись вебинара от 24 октября 2023 г.
Новое в законе «О персональных данных»: как подготовиться с минимальными затратами
Запись вебинара от 18 октября 2022 г.
#вебинар
Новое в законе «О персональных данных»: как подготовиться с минимальными затратами
На вебинаре Андрей Быков, менеджер продукта BI.ZONE Compliance Platform, разобрал изменения законодательства в сфере обработки персональных данных. Также он рассказал, что нужно предпринять компаниям для соответствия новым требованиям и чем может помочь наша платформа.
В декабре 2024 г. BI.ZONE Compliance Platform была переименована в BI.ZONE GRC
Запись вебинара от 18 октября 2022 г.
Автоматизируем обработку персональных данных с BI.ZONE Compliance Platform
Запись вебинара от 3 марта 2022 г.
#вебинар
Автоматизируем обработку персональных данных с BI.ZONE Compliance Platform
В декабре 2024 г. BI.ZONE Compliance Platform была переименована в BI.ZONE GRC
Запись вебинара от 3 марта 2022 г.
Соответствие 152-ФЗ: как безболезненно построить эффективный процесс обработки ПДн
Запись вебинара от 17 июня 2021 г.
#вебинар
Соответствие 152-ФЗ: как безболезненно построить эффективный процесс обработки ПДн
В декабре 2024 г. BI.ZONE Compliance Platform была переименована в BI.ZONE GRC
Запись вебинара от 17 июня 2021 г.
Публикации
Октябрь 2025 г.
Основные результаты обновления
- Единое рабочее пространство. Модуль Process Management объединил ключевые операционные функции.
- Оперативное информирование. Теперь сотрудники могут быстро обмениваться информацией.
- Визуализация KPI и метрик. Процессы кибербезопасности стали прозрачными для руководства.
Централизация операционной деятельности в модуле Process Management
- Единое рабочее пространство. Объединили в одном интерфейсе ключевые операционные функции — от коммуникации до управления задачами и документами. Это позволяет стандартизировать процессы и снизить риски, связанные с человеческим фактором.
- Автоматизация рабочих процессов. Реализовали сквозную автоматизацию постановки, контроля и исполнения задач для более эффективного управления ресурсами команд кибербезопасности.
- Повышение слаженности команд. Внедрили единый календарь для планирования и контроля процессов в организации. Он помогает вовремя выполнять критически важные действия и избегать регуляторных нарушений.
Ускорение коммуникации и стандартизация документооборота
- Оперативное информирование. Интегрировали инструменты для корпоративных чатов и рассылок, чтобы сотрудники компании могли быстро обмениваться информацией.
- Централизованная библиотека документации. Создали единое пространство для хранения актуальных версий политик, регламентов и отчетов. Это ускоряет аудит и цикл согласования документов между головной компанией и дочерними структурами.
- Автоматизация сбора данных. Добавили онлайн-опросы для сотрудников и подрядчиков. Полученные данные интегрируются с другими модулями для быстрого выявления зон риска.
Повышение прозрачности и эффективности процессов
- Визуализация KPI и метрик. Реализовали наглядное отображение ключевых показателей эффективности в режиме реального времени. Это делает процессы кибербезопасности прозрачными для руководства и упрощает контроль их исполнения.
- Интеллектуальная аналитика и автоматизация. Подключили AI-ассистент BI.ZONE Cubi для анализа регуляторных требований, подготовки документации и формирования рекомендаций. Он автоматизирует работу специалистов и повышает ее эффективность.
Апрель 2025 г.
Обновлен модуль Compliance Management. Изменения коснулись функциональности, связанной с защитой КИИ. Уровень автоматизации стал выше, а процесс соблюдения требований — более простым, быстрым и экономичным.
Сбор и анализ данных
Загружать и анализировать информацию теперь можно автоматически. По сравнению с ручным вводом это снижает трудозатраты в 4 раза. Обновленная платформа собирает сведения о системах, компонентах и средствах защиты через коннекторы. Это позволяет формировать дерево связей, которое наглядно показывает пользователю полную структуру системы, отображая все устройства и их соединения. Такое решение исключает ошибки, экономит ресурсы и обеспечивает полное представление об объектах КИИ.
Контроль актуальности IT‑инфраструктуры
Теперь платформа непрерывно отслеживает соответствие документации реальному состоянию и оперативно оповещает о расхождениях. Также модуль выявляет потенциальные угрозы благодаря анализу несоответствия между данными об инфраструктуре и моделями угроз.
Упрощение и стандартизация процессов
Появилась возможность создавать типовые объекты КИИ и процессы, адаптированные к особенностям различных отраслей. Это актуально для групп компаний и крупных организаций. Процесс администрирования стал проще, а уровень стандартизации повысился.
Оптимизация категорирования
Сотрудникам больше не нужно прилагать лишние усилия для консолидации данных во всех подразделениях. В платформу встроены инструменты, которые запускают опросы для комиссии по категорированию и автоматизированный анализ критериев значимости.
Автоматическое моделирование угроз
Платформа самостоятельно оценивает угрозы и риски, что снижает потребность в ручном анализе.
Июль 2025 г.
Существенно обновили функции модулей Asset Management и Vulnerability Management. Изменения позволяют быстрее обрабатывать информацию об активах, автоматизировать рутинные задачи и эффективно управлять миллионами активов и уязвимостей.
Расширение возможностей и производительности модуля Asset Management
- Гибкая интеграция данных. Добавили конструктор API‑коннекторов с более чем 30 готовыми вариантами. Это позволяет подключаться к любым необходимым источникам данных.
- Автоматизация сбора файлов. Реализовали возможность автоматического импорта файлов по расписанию с сетевых хранилищ.
- Оптимизация производительности. Теперь можно управлять реестром, в котором свыше 1 млн активов и 1 млн уязвимостей в едином интерфейсе.
- Внедрение единой карточки актива с информацией о нем и связанных с ним уязвимостях. Теперь нет необходимости переключаться между модулями.
- Инвентаризация ПО. Добавили возможность собирать и отображать списки установленного программного обеспечения на активах.
- Проактивный анализ угроз. Интегрировали поддержку проактивной оценки уязвимостей с использованием Sber X‑TI. Это позволяет выявлять потенциально применимые угрозы без предварительного сканирования.
- Ускорение внедрения. Предоставили шаблоны по типам активов для быстрого старта работы с реестром и его наполнения.
- Гибкая оценка критичности активов. Усовершенствовали методологию их оценки, добавили опции автоматического расчета критичности или назначения опросов ответственному за актив сотруднику.
- Автоматическая обработка информации в реестре активов. Значительно увеличили набор условий и действий для автоматических правил. Это дает возможность максимально автоматизировать обработку реестра активов.
Углубление анализа и автоматизации модуля Vulnerability Management
- Расширенная поддержка сканеров. Для сканирования уязвимостей подключили более 20 ведущих решений, в том числе MaxPatrol VM, RedCheck, BI.ZONE CPT, Nessus, Dependency‑Track.
- Гибкость загрузки данных на платформу. Добавили возможность загружать данные об уязвимостях в свободном формате, чтобы работать с информацией из бюллетеней регуляторов или внутренних отчетов. Это позволяет не зависеть только от сканеров, а работать с любыми источниками.
- Обработка больших объемов информации. Обеспечили стабильную работу с базами данных, содержащими более 3 млн уязвимостей.
- Автоматизация реагирования. Упростили создание задач, связанных с обнаруженными уязвимостями или результатом анализа. Таким образом минимизировали риск того, что ответственные лица пропустят эти задачи.
- Интеллектуальная обработка уязвимостей. Расширили возможности «Автоматических правил» для эффективной фильтрации и приоритизации уязвимостей на основе критериев (критичности актива, наличия эксплоита, трендовости).
- Повышение гибкости и безопасности модуля метрик и отчетности. Обеспечили единый и настраиваемый источник аналитики для команд кибербезопасности, руководства и регуляторов. Это повысило прозрачность процессов, ускорило подготовку к проверкам и обеспечило соблюдение требований без дополнительных трудозатрат.
- Визуализация дашбордов. Повысили гибкость пользовательских дашбордов. Теперь их можно создавать на основе данных Asset Management, а также — выстраивать произвольные графики и отслеживать исторические тренды ключевых показателей.
- Улучшение генерации отчетов. Усилили ее гибкость и безопасность: теперь можно создавать структурированные документы по активам и уязвимостям в соответствии с требованиями регуляторов, стандартов безопасности, внутренней политики компании.
Апрель 2025 г.
Обновлен модуль Compliance Management. Изменения коснулись функциональности, связанной с защитой КИИ. Уровень автоматизации стал выше, а процесс соблюдения требований — более простым, быстрым и экономичным.
Сбор и анализ данных
Загружать и анализировать информацию теперь можно автоматически. По сравнению с ручным вводом это снижает трудозатраты в 4 раза. Обновленная платформа собирает сведения о системах, компонентах и средствах защиты через коннекторы. Это позволяет формировать дерево связей, которое наглядно показывает пользователю полную структуру системы, отображая все устройства и их соединения. Такое решение исключает ошибки, экономит ресурсы и обеспечивает полное представление об объектах КИИ.
Контроль актуальности IT‑инфраструктуры
Теперь платформа непрерывно отслеживает соответствие документации реальному состоянию и оперативно оповещает о расхождениях. Также модуль выявляет потенциальные угрозы благодаря анализу несоответствия между данными об инфраструктуре и моделями угроз.
Упрощение и стандартизация процессов
Появилась возможность создавать типовые объекты КИИ и процессы, адаптированные к особенностям различных отраслей. Это актуально для групп компаний и крупных организаций. Процесс администрирования стал проще, а уровень стандартизации повысился.
Оптимизация категорирования
Сотрудникам больше не нужно прилагать лишние усилия для консолидации данных во всех подразделениях. В платформу встроены инструменты, которые запускают опросы для комиссии по категорированию и автоматизированный анализ критериев значимости.
Автоматическое моделирование угроз
Платформа самостоятельно оценивает угрозы и риски, что снижает потребность в ручном анализе.
Март 2025 г.
В BI.ZONE GRC обновлен Compliance Management — модуль для работы с персональными данными. Теперь платформа предоставляет компаниям еще более детализированный анализ и точные рекомендации для соблюдения законодательства.
Автоматическая загрузка данных о системах, компонентах и средствах защиты информации
Это минимизирует ручной ввод информации и вероятность ошибок учета. Если есть расхождения между документами и реальным состоянием IT‑инфраструктуры, система уведомляет о несоответствиях и помогает их исправить.
Редактирование группами записи из реестра процессов
Это особенно полезно организациям, в которых много процессов обработки ПДн: теперь сотрудники могут изменять сразу несколько записей, экономя время.
Автоматическое наполнение реестра бизнес-процессов на основе данных из подразделений
Теперь пользователям не нужно вручную вводить информацию — актуальность реестра поддерживается автоматически.
Формирование типовых категорий субъектов ПДн
Это актуально для групп компаний или организаций, которые используют единые классификаторы данных. Такой подход упрощает администрирование и повышает стандартизацию процессов.
Проведение автоматического анализа соответствия требованиям регуляторов и получение рекомендаций
Теперь платформа самостоятельно анализирует уровень компании в плане соответствия требованиям законодательства РФ в области обработки персональных данных и сообщает, что следует исправить.
Поддержка актуальности документации
Сотрудникам компании больше не нужно проверять появление новых требований и загружать их в систему — платформа делает это автоматически, экономя ресурсы. Также пользователи теперь могут отправлять всю документацию в архив, что облегчает управление файлами и их хранение.
Оценка размера рисков при нарушении требований законодательства
Платформа формирует список существующих рисков, оценивает возможные последствия при несоблюдении требований и подсказывает, какая ответственность может возникнуть.
Январь 2025 г.
На базе BI.ZONE Compliance Platform создан новый продукт — BI.ZONE GRC. Его возможности охватывают два ключевых направления.
Управление комплаенсом
Сохранены все функции платформы-предшественника: автоматизация выполнения требований законодательства по защите ПДн, КИИ и ГИС.
Автоматизация процессов безопасности
Облегчает управление активами и уязвимостями в IT‑инфраструктуре компании. Дает возможность проводить аудиты, формировать на их основе отчеты, разрабатывать планы развития и отслеживать их выполнение.
Февраль 2024 г.
Добавили модуль для субъектов КИИ: компании смогут полностью автоматизировать выполнение требований 187‑ФЗ и других документов, регулирующих безопасность ОКИИ. Обновленная платформа поможет актуализировать процессы субъектов КИИ при изменении законодательства.
Учет процессов, включая критические
Новый модуль предоставляет информацию о каждом процессе субъекта КИИ, включая:
- перечень ОКИИ,
- участников процесса,
- возможные негативные последствия нарушений.
Учет, категорирование и перекатегорирование ОКИИ
Теперь платформа может вести учет ОКИИ, анализировать показатели критериев значимости для каждого ОКИИ, определять его категорию значимости в соответствии с Постановлением Правительства № 127. При изменении процессов или характеристик ОКИИ сервис автоматически обновляет категорию.
Разработка модели угроз, технического задания и проекта для создания системы защиты ОКИИ
Для ОКИИ обновились процессы формирования, а также актуализации оценки угроз и потенциальных нарушителей: с этой версии платформа учитывает особенности инфраструктуры организации и требования законодательства. Кроме того, пользователи могут готовить актуальные документы по модели угроз, соответствующие требованиям регуляторов, выполнять техническое проектирование систем защиты ОКИИ и формировать для них техзадание.
Разработка внутренних нормативных документов (ВНД)
Специалисты компании избавятся от ручной работы и необходимости отслеживать изменения требований регуляторов. При формировании ВНД платформа учитывает особенности и параметры ОКИИ.
Оценка защиты КИИ
Модуль позволяет оценивать принимаемые в компании организационные и технические меры защиты ОКИИ на соответствие требованиям законодательства, включая приказы ФСТЭК № 239, № 235, № 31. По результатам оценки пользователи получают рекомендации по улучшению процессов.
Ведение перечня инцидентов
Платформа сохраняет данные об инцидентах, ведет их учет и автоматически разрабатывает отчеты согласно требованиям законодательства о защите ОКИИ.
Октябрь 2023 г.
Новые функции позволят компаниям оценить эффективность мер безопасности в информационных системах, разработать и актуализировать модель угроз, спроектировать систему защиты и подготовиться к аттестации.
Оценка эффективности мер безопасности ИСПДн и ГИС
Организации смогут понять, эффективны ли их меры по защите информационных систем, насколько точно выполняются требования законодательства и что нужно доработать. Платформа позволяет оценить успешность следования приказам ФСТЭК № 17 и № 21, Постановлению Правительства № 1119, приказу ФСБ № 378 и № 524.
Автоматическая разработка модели угроз и обеспечение ее актуализации при изменении системы
Обновленная платформа поможет максимально автоматизировать для информационных систем оценку применимых угроз, оценить вероятность их реализации и подготовить документ модели угроз в соответствии с требованиями регуляторов. Этот документ будет автоматически обновляться при изменении инфраструктуры или законодательства.
Автоматическое выполнение технического проектирования системы защиты для ИСПДн или ГИС
Платформа позволяет сформировать набор мер и средств защиты, которые необходимы для защиты от актуальных угроз, а также разработать отчетный документ и технический проект на систему защиты. Решение может порекомендовать не только средство защиты, сертифицированное ФСТЭК и ФСБ, но и учтет СЗИ, которые уже используются организацией и которые есть на рынке.
Полная подготовка ИСПДн и ГИС к аттестации
Платформа учтет специфику инфраструктуры компании и ее процессов, а также применимых требований законодательства. Платформа разработает полный комплект документации для подготовки системы к аттестационным испытаниям в соответствии с приказом ФСТЭК России № 77, а затем будет актуализировать его при любых изменениях.
Март 2022 г.
Очередная версия платформы позволяет непрерывно поддерживать соответствие требованиям 152‑ФЗ, GDPR, PIPEDA, APPI и других нормативно-правовых актов.
Инвентаризация
- Учет всех процессов обработки, третьих лиц, систем и прочего.
- Загрузка данных из собственных систем.
- Выбор из более чем 60 предзаполненных шаблонов и словарей.
- Сбор данных с помощью конструктора опросов.
Анализ угроз и рисков
- Автоматизация моделирования угроз по новой методике ФСТЭК.
- Оценка рисков для процессов обработки ПДн.
- Использование статистических моделей.
Управление документами
- Создание документов с учетом требований 152‑ФЗ и GDPR.
- Использование конструктора динамических документов, согласий и поручений.
Проведение оценок
- Автоматизация оценки деятельности для предприятия в соответствии с приказом ФСТЭК № 21 от 18 февраля 2013 г.
- Получение рекомендаций для устранения недостатков.
Управление задачами, ведение журналов
- Ведение учета поступающих запросов и обращений.
- Назначение ответственных.
- Контроль загрузки.
- Ведение журналов проведенных мероприятий.
Что такое персональные данные?
Персональные данные (ПДн) — любая информация, которая относится к определенному или определяемому физическому лицу. Простыми словами, это данные, характеризующие конкретного человека, например имя, адрес, религиозные взгляды, фотография или сведения о доходах.
Чтобы понять, относится информация к ПДн или нет, нужно обращать внимание на контекст. Если сведения помогают установить личность человека, их можно отнести к персональным данным, в противном случае — нет.
Как регулируется обработка персональных данных?
Основные положения законодательства РФ и ЕС
Все, что связано с обработкой персональных данных в России, регулирует Федеральный закон № 152‑ФЗ
По определению 152‑ФЗ, обработка ПДн — это любые действия с персональными данными, в том числе получение, хранение, изменение, уточнение, использование, передача, распространение, предоставление доступа, блокирование и уничтожение. Законодательство устанавливает принципы и условия, на которых организации должны осуществлять обработку ПДн.
Компании, обрабатывающие персональные данные, в законе названы операторами ПДн. К ним могут относиться как частные организации, так и муниципальные и государственные органы, например органы исполнительной власти.
Федеральный закон № 152‑ФЗ закрепляет обязанности операторов ПДн. В частности, статья 19 говорит, что нужно сделать для защиты персональных данных от несанкционированного доступа и иных неправомерных действий:
- Построить модель угроз ПДн.
- Обеспечить безопасность персональных данных с применением технических и организационных мер. Например, к организационным относятся разработка политики безопасности и настройка процедур обработки данных, а к техническим — использование средств антивирусной защиты и шифрование информации.
- Оценить средства защиты персональных данных.
- Обнаружить факты несанкционированного доступа к персональным данным и принимать меры по обнаружению, предупреждению и ликвидации последствий атак на информационные системы.
- Настроить доступ к данным и регистрировать все действия с ПДн в информационной системе.
- Контролировать уровень защищенности системы.
Помимо закона 152‑ФЗ, важно учитывать требования европейского регламента по защите персональных данных, или GDPR
Ответственность за нарушение закона
Нарушителям законодательства Российской Федерации грозит административное наказание по статье 13.11 Кодекса об административных правонарушениях:
- юридическим лицам — штраф от 30 тыс. до 6 млн рублей, в случае повторного нарушения — до 18 млн рублей;
- физическим лицам, ответственным за обработку ПДн, — штраф до 336 тыс. рублей, в случае повторного нарушения — до 1 млн рублей.
Если организация не выполнит требования GDPR, она рискует получить штраф до 20 млн евро или до 4% от оборота за предыдущий год.
Санкции регуляторов не единственные последствия, к которым могут привести утечки персональных данных и другие проблемы с безопасностью. Часто организация сталкивается с потерей клиентов, ухудшением отношений с партнерами, финансовым и репутационным ущербом. Кроме того, впоследствии злоумышленники могут использовать украденные сведения, например, для фишинга или BEC‑атак.
В каких случаях можно заниматься обработкой персональных данных?
В соответствии с частью 1 статьи 6 закона 152‑ФЗ организации вправе обрабатывать персональные данные только с согласия субъекта ПДн. Если получить согласие субъекта персональных данных невозможно, допускается совершать действия с ПДн, если это необходимо для защиты жизни или здоровья граждан. При любых условиях не должны нарушаться права, свободы и законные интересы субъектов ПДн.
Также обработка персональных данных допускается в следующих случаях:
- Если оператору нужно достичь законной цели и выполнить обязанности, предусмотренные законодательством Российской Федерации.
- Если лица участвуют в арбитражных судах или другом судопроизводстве: конституционном, гражданском, административном, уголовном. Например, обработка ПДн может потребоваться для исполнения судебного акта или акта другого органа.
- Для исполнения полномочий различных государственных органов, в том числе органов исполнительной власти, местного самоуправления, а также организаций, предоставляющих государственные и муниципальные услуги.
- Если субъект персональных данных заключает договор, по которому является поручителем или выгодоприобретателем.
- Для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей.
- Для работы журналистов, законной деятельности СМИ или иной творческой деятельности.
- Для сбора статистики или иных исследований, которые проводятся в целях повышения эффективности государственного или муниципального управления.
Как BI.ZONE Compliance Platform помогает соблюдать требования законодательства РФ?
Платформа помогает выстроить зрелые процессы, необходимые, чтобы соответствовать требованиям Федерального закона № 152‑ФЗ:
- Проводить инвентаризацию ПДн, подразделений, информационных систем и процессов.
- Анализировать риски, используя механизм моделирования угроз, разработанный экспертами BI.ZONE по новой методике ФСТЭК.
- Повышать уровень защищенности организации с помощью автоматизированного аудита и рекомендаций.
- Управлять внутренней документацией с помощью специального конструктора.
Как BI.ZONE Compliance Platform упрощает инвентаризацию?
Инвентаризация состоит из учета нескольких блоков.
Категории субъектов. Можно создавать категории или выбирать готовые варианты из типовых шаблонов, например «Работники» или «Контрагенты». Все необходимые данные автоматически загружаются из справочников платформы: виды ПДн, сроки хранения, набор правовых оснований
Процессы. Можно создать новый процесс или выбрать из шаблона: административное управление, взаимодействие с контрагентами, обязательное пенсионное обеспечение, оформление пропусков, прохождение медицинского осмотра и др.
В карточке процесса отображаются:
- системы, участвующие в организации процесса, например почтовый сервер;
- субъекты — физические лица, данные которых обрабатывает компания, например работники;
- участники процесса, например отдел продаж или руководство;
- третьи лица, например компании, с которыми осуществляется обмен персональными данными.
Информационные системы. Можно сгруппировать несколько систем или для каждой создать отдельную карточку, в которой отображаются все компоненты:
- автоматизированные системы;
- средства защиты персональных данных, например защита от вредоносного кода или шифрование каналов связи;
- используемые технологии, например средства виртуализации, мобильные устройства, беспроводные сети, машинное обучение.
Этот блок настроен на работу с законодательством РФ. Если нужно отражать только требования GDPR, лишние модули можно убрать.
Как BI.ZONE Compliance Platform помогает анализировать риски?
Анализ рисков проводится по двум методологиям.
Базовая — упрощенная методология, которая дает быстрый результат. Для субъектов персональных данных платформа рассчитывает качественный показатель, который отражает величину потенциального ущерба для каждого субъекта.
Риск‑ориентированная — сложная методология, которая позволяет получить более точную оценку. BI.ZONE Compliance Platform оценивает риски в рамках конкретных процессов компании, учитывая возможные сценарии угроз. Для этого пользователю нужно выбрать варианты сценариев, остальное сделает платформа. Например, для процесса административного управления существует риск недоступности систем компании. К этому могут привести разные сценарии угроз: APT‑атаки или заражение вредоносным ПО. Когда пользователь указывает потенциальный сценарий, платформа автоматически рассчитывает итоговый уровень риска, а также вероятность ущерба в случае, если угроза осуществится. В конце анализа рисков платформа составляет отчет.
Как происходит моделирование угроз в BI.ZONE Compliance Platform?
Платформа моделирует угрозы по методологиям ФСТЭК
Последствия. В справочниках предложены виды последствий, которые могут наступить, если возникнет угроза безопасности информации. Из них необходимо выбрать варианты для трех групп, которые могут понести ущерб: физических лиц, юридических лиц и государства. Например, для физических лиц одним из последствий может быть нарушение неприкосновенности частной жизни.
Объекты воздействия. Платформа предлагает выбрать тип объекта, виды воздействия на данный объект, а также негативные последствия этих воздействий. Например, объектом воздействия могут быть персональные данные работников, видом воздействия — утечка данных, а последствиями — нарушение деловой репутации.
Оценка нарушителя. При выборе одного из вариантов нарушителя, например хакера, платформа автоматически рассчитает его актуальность. Для этого она сопоставляет цели нарушителя и последствия возможного нападения.
Сценарии угроз. В платформе содержится около 200 сценариев. Вручную оценить актуальность каждого и при этом учесть все тонкости сложно и долго. Быстрый способ — использовать статистику, выбрав одну из моделей частоты использования техник и тактик злоумышленников:
- на базе исследования CISA (результаты перенесены из техник MITRE ATT&CK в техники ФСТЭК);
- на базе данных BI.ZONE.
На основе статистической модели платформа поможет определить, какие техники и тактики актуальны. Пользователю останется только прочитать описание и выбрать: согласиться или нет. Например, часто для компаний актуальна угроза компрометации многократно используемых паролей. Но если организация защищена от такого сценария, можно отклонить предложенный вариант.
На основе указанных сведений платформа автоматически моделирует угрозы и рассчитывает их актуальность. Остается лишь проверить результат и подтвердить его.
В конце моделирования BI.ZONE Compliance Platform отображает все актуальные на данный момент угрозы и предлагает выбрать способы противодействия. Платформа показывает, какие меры ФСТЭК компания реализовала в зависимости от уровня защищенности, а какие — нет.
Что такое уровень защищенности?
Уровень защищенности позволяет определить, какие меры должен предпринять оператор, чтобы защитить персональные данные в информационных системах. Чтобы правильно установить уровень защищенности, нужно учесть количество субъектов, чьи данные обрабатываются
Общедоступные. Такую информацию можно найти в открытых источниках, часто ее знают многие люди, например друзья в соцсетях. Общие сведения становятся ПДн в сочетании c другими параметрами: так, имя человека само по себе не относится к персональным данным, но вместе с адресом регистрации будет считаться ПДн. К примерам общедоступных данных относятся: Ф. И. О., место проживания, образование, должность, место работы, телефонный номер, адрес электронной почты.
Специальные. Обычно люди хранят эту информацию в тайне и не обязаны предоставлять ее. Организации, которые работают с этой категорией персональных данных, должны получать письменное согласие владельца на обработку этих сведений. Сюда входят: раса, религия, философские взгляды, информация о здоровье или судимостях, интимные предпочтения.
Биометрические. Такие данные используются, чтобы установить личность человека. К этой категории относятся физиологические особенности, например отпечатки пальцев, ДНК, рисунок сетчатки глаза, фотографии. Но если не использовать эти сведения для идентификации личности, то они не будут биометрическими. К примеру, фотография сотрудника на пропуске — это биометрические данные, а фотография в личном деле — нет.
Иные. Сюда относят данные, которые не попали ни в одну из предыдущих категорий. Обычно это дополнительные сведения, которые часто меняются, например социальная принадлежность, размер зарплаты или стаж работы.
Как платформа помогает рассчитать уровень защищенности?
Нужно заполнить графическую форму, отметив количество субъектов и категории ПДн, а платформа автоматически рассчитает уровень защищенности для информационных систем, в которых обрабатываются персональные данные. Например, в одной системе компания может обрабатывать только данные своих работников, а в другой — биометрические данные клиентов. Уровни защищенности у этих систем будут разными.
Как платформа проводит оценку защиты информационной системы?
Оценка защиты проходит в разрезе приказа ФСТЭК № 21
Сначала платформа выдает все требования приказа. С помощью фильтра можно отбросить те пункты, которые не применяются в организации из‑за уровня защищенности — это позволит быстрее обработать данные.
Затем пользователь отвечает на ряд вопросов. На основе ответов платформа дает оценку защиты информационной системы и помогает определить, есть ли в компании средства защиты информации, которые смогут обеспечить необходимые меры безопасности.
После этого BI.ZONE Compliance Platform генерирует:
- отчет о проверке выполнения мер, направленных на обеспечение безопасности данных;
- набор рекомендаций. Здесь платформа выделяет меры, которые в компании еще не реализованы, и предлагает, как можно это исправить в соответствии с уровнем защищенности.
Как организовать документы с помощью BI.ZONE Compliance Platform?
В платформе есть блок управления документами, где можно сгенерировать базовый набор документации, создать документы в конструкторе и упростить обновление документов с помощью динамических переменных.
Базовый набор документации. Сначала пользователь загружает в справочники платформы вводные данные, разделенные на категории:
- Автоматизированные системы, например почтовый сервер.
- Подразделения и должности. Здесь указаны владельцы и участники процессов обработки данных, например инженер отдела кибербезопасности.
- Средства защиты информации, например антивирус.
- Носители персональных данных, например бумажные оригиналы личных дел или электронные средства хранения — флешки, диски.
На основе добавленной информации и существующих процессов платформа разрабатывает комплект документации, который соответствует требованиям законодательства РФ и, если необходимо, GDPR.
Конструктор. Оператор персональных данных имеет право поручить обработку ПДн третьим лицам. В конструкторе можно создать такие поручения, а также два вида согласий: на обработку и на распространение данных. Нужно выбрать субъект, цели обработки и уточнить, будет ли компания передавать данные третьим лицам. Остальное платформа сделает автоматически.
Динамические переменные. Можно загрузить действующие документы организации в платформу и добавить динамические блоки, к примеру название компании. Если процессы или вводные данные, например CRM или СКУД, поменяются, переменные автоматически отразят это в документах.
Как поменялись требования к обработке персональных данных в 2022 году?
Летом был принят закон 266‑ФЗ
Экстерриториальность. Положения закона 152‑ФЗ теперь распространяются на иностранных лиц, которые обрабатывают персональные данные граждан России.
Трансграничная передача данных. Компании обязаны уведомлять уполномоченный орган по защите прав субъектов ПДн, Роскомнадзор, чтобы осуществить передачу данных за границу.
Поручение на обработку ПДн. В тексте поручения теперь необходимо указывать перечень ПДн и обязанности обработчика: соблюдать требования закона
Взаимодействие с субъектами. Теперь операторы должны:
- В течение 10 дней по запросу субъектов предоставлять сведения о персональных данных и информацию о мерах, направленных на их защиту.
- Разъяснять субъекту ПДн юридические последствия в случае согласия или отказа предоставить ПДн для обработки.
Также добавился запрет включать в договор и во внутренние документы компании положения, ограничивающие права субъектов ПДн.
К тому же предоставление биометрических персональных данных теперь не может быть обязательным, за исключением некоторых случаев
Согласие на обработку ПДн. Формулировка закона дополнилась словами о том, что согласие на обработку ПДн должно быть предметным и однозначным. Теперь нужно обновить типовые формы согласий на обработку персональных данных, чтобы сделать их простыми и понятными.
Оценка вреда. Оценивать возможный вред для субъектов ПДн нужно будет в соответствии с требованиями Роскомнадзора
Порядок инвентаризации. Теперь требуется указывать, какие действия оператор предпринимает, чтобы устранять нарушения законодательства о ПДн. А также во внутренней нормативной документации для каждой цели обработки ПДн нужно установить:
- категории и перечень обрабатываемых персональных данных;
- категории субъектов, данные которых обрабатываются;
- способы и сроки обработки, а также хранения ПДн.
Информация на сайте. На страницах с формами сбора персональных данных теперь требуется разместить ссылку на политику обработки и защиты ПДн.
Реагирование на инциденты. При утечке данных компании теперь должны:
- взаимодействовать с ГосСОПКА в соответствии с утвержденным порядком
, а также информировать исполнительный орган об инцидентах, например о неправомерном доступе к персональным данным. - информировать Роскомнадзор о предполагаемых причине и вреде утечки, а также о результатах внутреннего расследования.
Взаимодействие с регулятором. Теперь данные по запросу Роскомнадзора необходимо сообщать в уполномоченный орган в течение 10 дней
Уничтожение ПДн. Потребуется подтверждать уничтожение ПДн в случаях, когда:
- оператор достиг целей обработки;
- субъект ПДн отозвал согласие на обработку;
- обработка персональных данных оказалась незаконной.
Помогает ли BI.ZONE Compliance Platform соблюдать новые требования по безопасности ПДн?
Да. Инструменты платформы помогут адаптироваться к новым требованиям. Например:
- Разрабатывать документацию, регламентирующую вопросы экстерриториальности.
- Генерировать поручения и согласия в автоматическом конструкторе с учетом изменений в законе.
- Оценивать вред для субъектов персональных данных на основе новой методологии.
- Автоматизировать работу с запросами субъектов ПДн: принимать обращения, назначать ответственных за работу с ними и контролировать исполнение.
Также в рамках одного из требований, которые появились в Федеральном законе № 152‑ФЗ, BI.ZONE Compliance Platform помогает организовать трансграничную передачу данных. Это передача персональных данных на территорию другого государства
Что необходимо сделать для трансграничной передачи данных по новым правилам?
Если организация планирует трансграничную передачу данных, например, своим представительствам в других странах, необходимо:
- Узнать у получающей стороны, как будет осуществляться обработка персональных данных и какие меры принимаются для их защиты.
- Отправить уведомление о соответствующем намерении в Роскомнадзор.
Роскомнадзор вправе запросить дополнительную информацию или запретить трансграничную передачу данных. Поэтому нужно быть готовым предоставить сведения по запросу.
Если компания осуществляла трансграничную передачу до вступления закона в силу 1 сентября 2022 года, она обязана уведомить об этом уполномоченный орган не позднее 1 марта 2023 года
Чтобы процесс трансграничной передачи соответствовал требованиям закона, необходимо:
- Проанализировать действия с ПДн и установить процедуры трансграничной передачи персональных данных.
- Запросить необходимые сведения у получателей (кто будет обрабатывать ПДн, какими инструментами, как защищать).
- Регламентировать порядок трансграничной передачи данных: обновить инструкции и обучить работников новому порядку.
- Включить в форму поручения на обработку персональных данных требование об уничтожении ПДн. Оно понадобится в случае отсутствия законных оснований передачи данных.
- Отправить уведомление в Роскомнадзор по установленной форме.
Как платформа помогает организовать трансграничную передачу данных?
BI.ZONE Compliance Platform позволяет:
- Разрабатывать и обновлять внутреннюю нормативную документацию, регламентирующую порядок трансграничной передачи ПДн.
- Вести учет всех действий, совершаемых с персональными данными, чтобы понимать, как происходит трансграничная передача, и следить за обеспечением адекватной защиты данных.
- Генерировать поручение на обработку ПДн в автоматизированном конструкторе.
- Автоматически обновлять заполненный бланк уведомления Роскомнадзора о трансграничной передаче данных.