Целевая модель
Новый сайт Restart должен проектироваться как защищенная корпоративная платформа:
L0 — Infrastructure Security L1 — Site Defense / Application Security L2 — 152-ФЗ Compliance L3 — AI Governance L4 — Incident Investigation Operational — Monitoring, backup, self-healing, auditL0 — инфраструктура
TLS 1.2/1.3, auto-renew сертификатов, HSTS preload, WAF с OWASP CRS, firewall default deny, SSH key-only, Fail2Ban/CrowdSec, журналирование событий, мониторинг доступности, vulnerability scanning, file integrity monitoring, шифрованные backup, restore drill, изоляция production/staging/development, хранение секретов вне репозитория.
L1 — защита веб-приложения
Nonce-based CSP, HSTS, X-Content-Type-Options, X-Frame-Options или frame-ancestors, Referrer-Policy, Permissions-Policy, CSRF, per-endpoint rate limiting, anti-bot, schema validation, sanitize input/file names, secure upload, CORS whitelist, safe redirect, отсутствие ПДн в логах, MFA/RBAC для административного интерфейса.
L2 — 152-ФЗ Compliance
Политика ПДн, согласие на ПДн, Политика отсутствия cookie и трекеров, DSAR-форма, реестр целей обработки, consent-log, журнал проверки отсутствия cookie и трекеров, сроки хранения, механизм удаления/обезличивания, audit log ПДн-операций, проверка уведомления РКН, регулярный 152-ФЗ check, регламент реагирования на инциденты 24/72 часа.
L3 — AI Governance
Для AI-функций: реестр AI-систем, описание целей, признак использования ПДн, запрет передачи ПДн во внешние AI-модели без основания, защита промптов от утечки данных, privacy-контроль RAG, AI-логи с маскированием, DPIA и участие человека в значимых решениях.
L4 — расследование инцидентов
Detect → Triage → Classify → Contain → Notify → Investigate → Report → RemediateНужно обеспечить severity scoring, классификацию «есть/нет ПДн», подготовку уведомления РКН в 24 часа, отчет внутреннего расследования в 72 часа, evidence trail, post-incident remediation и обновление risk register.
Frontend-компоненты
/components/legal/PrivacyPolicyLink.tsx /components/legal/ConsentCheckbox.tsx /components/legal/NoCookieNotice.tsx /components/security/NoThirdPartyTrackerGate.tsx /components/forms/SecureLeadForm.tsx /components/forms/SecureVacancyForm.tsx /components/forms/SecurePartnerForm.tsx /components/dsar/DsarRequestForm.tsx /components/company/ItAccreditationInfo.tsx /components/company/TechnologyDisclosure.tsx /components/company/PricingPrinciples.tsxBackend-модули
services/legal-documents services/forms services/consents services/no-cookie-audit services/dsar services/processing-registry services/audit-events services/incidents services/ai-governance services/notifications services/rkn-checkМинимальная структура БД
legal_documents consent_events no_cookie_audit form_submissions dsar_requests processing_registry audit_events incident_events ai_system_registry external_processors retention_rulesAcceptance criteria
| Блок | Критерий готовности |
|---|---|
| Legal | Все документы опубликованы и доступны без регистрации |
| Consent | Все формы имеют отдельный checkbox и consent-log |
| Cookie | Cookie, аналитика, маркетинг и пиксели отсутствуют на сайте |
| DSAR | Работает форма обращения субъекта ПДн |
| Security | CSP/HSTS/rate-limit/CSRF/schema validation включены |
| Logs | В логах нет открытых телефонов, e-mail, ФИО |
| Encryption | ПДн в БД шифруются или защищаются эквивалентными мерами |
| RKN | Подготовлен реестр целей для уведомления РКН |
| Incident | Есть регламент 24/72 часа |
| IT accreditation | Есть открытая страница сведений об ИТ-организации |
| AI | Все AI-функции внесены в AI System Registry |
Footer
ООО «РЕСТАРТ» ОГРН 5157746164703 · ИНН 9705056320 · КПП 770501001 115054, г. Москва, вн.тер.г. муниципальный округ Замоскворечье, ул. Большая Пионерская, д. 40, стр. 1, помещ. 1Н E-mail: info@restart.re · Тел.: +7 905 705-42-50 Политика обработки персональных данных · Согласие на обработку персональных данных · Без cookie и трекеров · Обращение субъекта персональных данных · Сведения об ИТ-аккредитованной организации · Сведения об используемых технологиях · Информация о стоимости услугНормативная база и источники
Документ подготовлен с учетом:
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- ст. 18.1 152-ФЗ — публикация Политики обработки персональных данных и сведений о реализуемых требованиях к защите ПДн;
- ст. 22 152-ФЗ — уведомление Роскомнадзора об обработке персональных данных;
- ст. 21 152-ФЗ — уведомление Роскомнадзора об инциденте с ПДн в 24/72 часа;
- Приказа Минцифры России от 02.06.2025 № 511 о дополнительных требованиях к официальному сайту российской ИТ-организации;
- актуальной выписки из ЕГРЮЛ ООО «РЕСТАРТ» от 16.05.2026 № ЮЭ9965-26-89588541;
- внутренней модели регулярной проверки сайта, consent-log, проверки отсутствия cookie и трекеров, DSAR и AI Governance.
Документ должен поддерживаться в актуальном состоянии и сверяться с фактическими процессами обработки персональных данных, используемыми сервисами, хостингом, CRM, аналитикой, почтой и AI-инструментами.
Обсудим ваш контур
Опишите задачу, текущие системы, ограничения и ожидаемый результат. Мы предложим первый практичный шаг: диагностику, пилот, аудит, дорожную карту или проектную команду.