ITIL обязателен для всех компаний?

Нет, ITIL — это рекомендованные практики, а не стандарт соответствия. Обязательной сертификации по ITIL для организаций не существует. Ближайший формальный стандарт — ISO/IEC 20000, но он опирается на идеи ITIL.

Можно ли применять ITIL частично?

Да, и это самый разумный подход. Практика называется «adopt and adapt» — взять то, что подходит, и адаптировать под контекст. Большинство компаний внедряют 5–10 практик из 34, а остальные либо реализуют в упрощённом виде, либо не трогают вовсе.

Чем ITIL 4 отличается от ITIL v3?

Три основных отличия. Первое: отказ от жёсткого жизненного цикла услуги в пользу гибкой системы ценности (SVS). Второе: процессы переименованы в практики, их стало больше (34 вместо 26), а категории стали понятнее. Третье: ITIL 4 интегрирован с Agile, Lean и DevOps — признаётся, что классические ITSM-процессы должны сосуществовать с гибкими методологиями разработки.

Нужен ли ITIL для работы с российскими системами?

Да. ITIL — это методология, а не продукт, поэтому она не зависит от происхождения софта. Российские ITSM-платформы, в том числе TIQQET, реализуют ITIL-практики: service desk, управление инцидентами и запросами, каталог услуг, SLA, база знаний.

Сколько времени занимает внедрение ITIL в компании?

Зависит от масштаба. Базовые практики (service desk, incident, request, SLA) в средней компании на 300–500 пользователей внедряются за 3–6 месяцев. Полноценное покрытие всех 34 практик — это годы и обычно не ставится как цель.

Можно ли совместить ITIL и Agile?

Да, ITIL 4 прямо на это рассчитан. Руководящие принципы (итеративность, сотрудничество, простота) совпадают с ценностями Agile. На практике DevOps-команды используют ITIL для формализации сервисной стороны, а для разработки применяют Agile/Scrum.

152-ФЗ в ServiceDesk: чек-лист соответствия требованиям

Кто считается оператором ПДн в контексте ServiceDesk

Оператор — лицо, организующее или осуществляющее обработку персональных данных (ст. 3 152-ФЗ). В ServiceDesk-сценариях оператором становится тот, кто фактически решает, какие данные собирать и зачем.

Типовые роли:

Заказчик (компания, развернувшая ServiceDesk у себя) — оператор данных своих сотрудников, контрагентов, посетителей сайта;
Вендор (разработчик ServiceDesk-системы) — может быть оператором или просто лицом, осуществляющим обработку по поручению (по ст. 6 ч. 3) — в зависимости от сценария развёртывания;
Хостинг-провайдер — обычно «обработчик по поручению» с договором-поручением.

Сценарии: SaaS vs on-premise

SaaS (облачный сервис)

Если вендор хостит ServiceDesk на своих серверах и пускает клиентов через open signup — он становится оператором данных, которые обрабатываются. Это полная ответственность по 152-ФЗ: подача уведомления в РКН, публикация политики, обеспечение прав субъектов, технические меры защиты.

On-premise (у клиента)

Если ServiceDesk разворачивается на инфраструктуре клиента — вендор не имеет доступа к данным, обрабатываемым в системе. В этом случае оператором является клиент, а вендор — поставщик ПО. У вендора могут быть свои отдельные ПДн (лиды на лендинге, контакты в CRM), но к клиентским данным он не прикасается.

Это критически важно прописать в политике ПДн вендора и в договоре с клиентом. Иначе при аудите будут спорные ситуации.

Класс ИСПДн и уровень защищённости

Постановление Правительства РФ № 1119 определяет 4 уровня защищённости (УЗ-1 ... УЗ-4) ИСПДн на основании трёх факторов:

Категории ПДн: специальные / биометрические / иные / общедоступные;
Количество субъектов: более или менее 100 000;
Тип актуальных угроз: 1 (НДВ системного ПО), 2 (НДВ прикладного ПО), 3 (без НДВ).

Типовой ServiceDesk обрабатывает иные категории ПДн (ФИО, email, телефон), менее 100 000 субъектов в большинстве случаев, и работает без специально внедрённых уязвимостей. Это УЗ-3 — самый распространённый случай. Требования УЗ-3 выполнимы средствами обычной ИТ-инфраструктуры, без сертифицированных СЗИ.

Какие документы нужны

Минимальный комплект оператора:

Политика обработки ПДн — опубликована на сайте, доступна без авторизации (ст. 18.1 ч. 2 пп. 1);
Согласие на обработку ПДн — текст, который пользователь даёт чекбоксом при сборе данных;
Политика cookies — если сайт использует cookies/веб-аналитику;
Внутренний приказ о назначении ответственного за организацию обработки ПДн;
Внутренний приказ об утверждении Политики и установления уровня защищённости;
Согласие на рекламные коммуникации — если есть email-маркетинг (отдельно от согласия на обработку);
Уведомление в РКН — подаётся через pd.rkn.gov.ru.

Технические меры защиты

Для УЗ-3 (типовой ServiceDesk) — без обязательной сертификации СЗИ. Достаточно общепринятых ИТ-практик:

HTTPS с TLS 1.2/1.3 на всех публичных интерфейсах;
Парольная политика: сложные пароли, защита от brute-force (rate-limiting);
Многофакторная аутентификация для административных аккаунтов;
Разграничение доступа по ролям (RBAC);
Журналирование действий пользователей (audit log) — на случай инцидента;
Резервное копирование с шифрованием (GPG, AES);
Локализация: серверы в РФ (ст. 18 152-ФЗ);
Регулярные обновления безопасности ОС и зависимостей;
Защита от SQL-инъекций, CSRF, XSS — на уровне разработки приложения.

Когда подавать уведомление в РКН

Ст. 22 152-ФЗ требует уведомления до начала обработки. Но есть исключения (ч. 2):

Обработка для исполнения договора с субъектом — не требует уведомления;
Обработка только без средств автоматизации — не требует;
Обработка только ФИО (без других данных) — не требует.

В ServiceDesk-сценарии чаще требуется. Подача занимает 30 минут на форму pd.rkn.gov.ru. Рассмотрение — 30 рабочих дней. После внесения в реестр оператор появляется в открытой базе на pd.rkn.gov.ru.

Итоговый чек-лист

☐ Определена роль (оператор / обработчик по поручению)
☐ Определён класс ИСПДн и УЗ (обычно УЗ-3)
☐ Утверждена и опубликована Политика обработки ПДн
☐ Утверждено и опубликовано Согласие на обработку ПДн
☐ Утверждена и опубликована Политика cookies (если есть)
☐ Подписаны внутренние приказы (о назначении ответственного, об утверждении ЛНА)
☐ Внедрены технические меры (HTTPS, RBAC, rate-limit, audit log, бэкап)
☐ Подано уведомление в РКН (если требуется)
☐ Назначено ответственное лицо и опубликован его контакт
☐ Обеспечен механизм реализации прав субъекта (email для запросов, регламент ответа в 10 дней)

Этот же подход реализован «из коробки» в TIQQET ServiceDesk — система готова к 152-ФЗ на старте, документы можно скачать из документации.

Попробуйте TIQQET в деле

Российская on-premise ServiceDesk-система с полным циклом заявок, SLA-контролем и мобильными приложениями.

Возможности Цены

Частые вопросы

Нужно ли подавать в РКН если у меня всего 10 сотрудников?

Если обработка идёт только в рамках трудовых отношений (для работодателя) — не нужно. Если есть клиенты, контрагенты, посетители сайта — обычно нужно. Точно — смотрите ст. 22 ч. 2 152-ФЗ.

Можно ли хранить ПДн на иностранном хостинге?

Нет. Ст. 18 152-ФЗ требует, что сбор, запись, систематизация, накопление, хранение и уточнение ПДн граждан РФ осуществляется в базах данных на территории РФ. Зарубежные cloud — нарушение.

Что такое УЗ и почему именно УЗ-3 для ServiceDesk?

Уровень защищённости ИСПДн (1-4) определяет требования к мерам защиты. УЗ-3 — типовой случай: иные категории ПДн, до 100 000 субъектов, угрозы 3 типа (без НДВ). Не требует сертифицированных СЗИ.

Сколько штраф за непредоставление уведомления в РКН?

Для ИП — 5 000-10 000 ₽, для юрлиц — 30 000-50 000 ₽ (ст. 13.11 ч. 1 КоАП). Применяется редко, обычно по жалобе субъекта.

Как часто нужно обновлять Политику ПДн?

Минимум — при изменении состава данных, целей обработки, мер защиты, юр.адреса. Хорошая практика — ежегодная ревизия. Дата последней редакции должна быть указана в самом документе.