Его можно использовать для внутреннего аудита, подготовки к проверке или внедрения процессов.

1. Документация и правовые аспекты - Разработана и опубликована «Политика обработки персональных данных» (ст. 18.1). - Все пользовательские соглашения содержат явный запрос на обработку данных (чекбокс, подпись). - Заключены Договоры поручения обработки (ДПД) с субподрядчиками (хостинг, CRM, аналитика). - Назначен Ответственный за обработку персональных данных (для штата от 100 сотрудников).

2. Техническая защита данных - Данные российских граждан хранятся только на серверах в РФ (ст. 18). - Используются сертифицированные ФСТЭК/ФСБ средства защиты (КриптоПРО, ViPNet). - Реализовано шифрование данных: - При передаче (TLS 1.3+, HTTPS). - На уровне хранилищ (AES-256, ГОСТ 34.12-2015). - Настроена «ролевая модель доступа (RBAC)» для сотрудников. - Внедрены системы мониторинга и аудита (SIEM, логирование действий).

3. Процессы обработки данных - Реализован механизм автоматического удаления данных по истечении срока согласия. - Есть API или интерфейс для обработки запросов пользователей: - Запрос на доступ к данным (ст. 14). - Удаление или корректировка данных. - Данные «анонимизируются» в аналитических системах (например, обезличенные IP-адреса).

4. Согласие и информирование - Для специальных категорий данных (биометрия, здоровье) получено «письменное согласие». - В формах сбора данных указаны: - Цели обработки. - Срок хранения. - Контакты ответственного лица.

5. Инцидент-менеджмент - Настроена система оповещения об утечках (DLP-решения, мониторинг уязвимостей). - Есть инструкция по уведомлению Роскомнадзора в течение 24 часов после обнаружения утечки. - Проводятся регулярные пентесты инфраструктуры.

6. Обучение и внутренние процедуры - Проведено обучение сотрудников (разработчиков, DevOps, поддержки) по 152-ФЗ. - Регулярно обновляются регламенты работы с данными (не реже 1 раза в год). - Ведется журнал обработки персональных данных.

🛠 Инструменты для выполнения чек-листа - Хранение в РФ: SberCloud, Yandex.Cloud, Selectel. - Шифрование: Vault (HashiCorp), CryptoPro CSP. - Мониторинг: MaxPatrol, Splunk, SecurityScorecard. - Анонимизация: Apache NiFi, инструменты для маскировки данных в PostgreSQL/MySQL.

❗ Если большинство пунктов не отмечено: 1. Начните с аудита данных и документации. 2. Внедрите минимальные меры: шифрование, локализация, сбор согласий. 3. Постепенно автоматизируйте процессы (например, через IaC-решения для настройки RBAC).