Nexora Legal

Практика

Юридическое сопровождение информационной безопасности

Информационная безопасность — это не только технологии, но и право: обязанности, ответственность, порядок действий при инциденте. Закрываем юридическую сторону защиты информации.

Правовой аудит IT-рисков Защита информации Реагирование на утечки Инциденты Превентивное сопровождение
Обсудить задачу

Задачи

С какими задачами помогаем

01

Правовой аудит IT-рисков и обязанностей по защите информации

02

Внутренние документы по безопасности: режимы доступа, регламенты, ответственность

03

План и порядок юридического реагирования на утечку или инцидент

04

Уведомление регулятора и пользователей при утечке персональных данных

05

Разбор инцидента: оценка ответственности, фиксация, претензионная работа

06

Договоры с подрядчиками по IT и безопасности: распределение ответственности

Аудитория

Кому подходит эта практика

Цифровые продукты, хранящие данные пользователей

Компании, прошедшие или опасающиеся инцидента

Бизнес, выстраивающий режим защиты информации

Сервисы, зависящие от IT-подрядчиков

Состав работы

Что мы делаем

01

Проводим правовой аудит IT-рисков

02

Готовим внутренние документы по защите информации

03

Разрабатываем порядок реагирования на инциденты

04

Сопровождаем уведомление регулятора и пользователей при утечке

05

Разбираем инциденты и ведём претензионную работу

Риски

Какие риски закрываем

01

Ответственность за утечку персональных данных

02

Штрафы за отсутствие мер защиты информации

03

Нарушение сроков и порядка уведомления об утечке

04

Споры с подрядчиками после инцидента

05

Репутационные потери из-за неправильных действий при инциденте

Обсудить вашу задачу

Процесс

Как проходит работа

  1. 01Шаг 1 / 4

    Разбор задачи

    Изучаем ситуацию и документы, уточняем вводные, фиксируем цель и ограничения.

  2. 02Шаг 2 / 4

    Оценка рисков и план

    Показываем правовые риски и предлагаем порядок работы со сроками и составом.

  3. 03Шаг 3 / 4

    Работа по задаче

    Готовим документы, ведём переговоры или процесс — в зависимости от направления.

  4. 04Шаг 4 / 4

    Результат и сопровождение

    Передаём результат, объясняем, как им пользоваться, остаёмся на связи по смежным вопросам.

Результат

Что вы получаете

Понимание юридических обязанностей по защите информации, готовый порядок действий при инциденте и внутренние документы — юридическую готовность к ситуации, в которой счёт идёт на часы.

Вопросы

Частые вопросы

Информационная безопасность — это же задача IT, а не юристов?

Технологии и право работают вместе. Закон определяет обязанности по защите информации, сроки уведомления об утечке и ответственность. Юридическая сторона так же важна, как техническая.

Что делать в первые часы после утечки?

Зафиксировать факт, оценить, какие данные затронуты, и соблюсти порядок и сроки уведомления. Ошибки на этом этапе увеличивают ответственность — поэтому порядок действий лучше иметь заранее.

Нужно ли уведомлять пользователей об утечке?

При утечке персональных данных есть требования к уведомлению регулятора, а в ряде случаев — и пользователей. Конкретику определяем по характеру инцидента.

Можно подготовиться к инциденту заранее?

Да, и это самое разумное. Порядок реагирования, распределение ролей и шаблоны уведомлений, подготовленные заранее, экономят критичное время.

Кто отвечает за утечку, если виноват подрядчик?

Зависит от договора и фактических обстоятельств. Перед вашими пользователями обычно отвечаете вы; регресс к подрядчику возможен при корректно распределённой ответственности.
Практика: Информационная безопасность

Связаться

Опишите вашу задачу

Опишите ситуацию — вернёмся с оценкой рисков и предложением по работе.