Данные которые мы получаем, храним и обрабатываем: ФИО, Электронную почту, должность, номер телефона

Добрый день.

На основании предоставленного описания вашей деятельности, ваша IT-компания с высокой долей вероятности является Оператором персональных данных и должна обеспечить 3-й уровень защищенности (УЗ-3) для создаваемой информационной системы. Это связано с обработкой специальных категорий данных (паспорт, водительское удостоверение) и потенциальным объемом данных.

необходимые документы:

1. Уведомление в Роскомнадзор о начале обработки ПДн.
2. Согласие на обработку ПДн от ваших клиентов (субъектов данных) или обоснование иного законного основания.
3. Поручение на обработку (если привлекаете субподрядчиков).
4. Внутренние документы: Политика в отношении обработки ПДн и др..

Уровень защищенности (УЗ) определяется по комбинации четырех факторов, как предписано в п. 10 Постановления Правительства РФ № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:

-Тип актуальных угроз (1-й, 2-й или 3-й тип).

-Категория обрабатываемых данных (специальные, биометрические, общедоступные, иные).

-Объем данных (количество субъектов ПДн).

-Статус субъектов (сотрудники оператора или нет).

Для вашего случая:

Категория данных: Вы обрабатываете специальные категории персональных данных (паспорт, водительское удостоверение).

Статус субъектов: Субъекты данных не являются вашими сотрудниками (это сотрудники ваших клиентов).

Объем данных:  Если количество субъектов, чьи специальные данные вы обрабатываете, менее 100 000, то по этому критерию вы попадаете под условия для УЗ-3.

Ксения, по тону вопроса очень чувствуется тревога «а вдруг мы что-то сделали не так, а потом прилетит от Роскомнадзора/клиента». Это нормальная реакция: 152-ФЗ и все, что вокруг него, действительно похожи на минное поле, особенно для IT-компаний, которые «просто делают сервис», а внезапно оказываются в роли ИСПДн. Постараюсь разложить по шагам так, чтобы стало понятно и спокойно, а не страшнее.

 
0. Краткий вывод заранее
По тем данным, которые вы описали:

категории ПДн — только обычные (иные), без специальных и биометрических;
субъекты — сотрудники клиентов, а не ваши сотрудники;
документов-изображений и биометрии нет;
предполагаю (но вы это сами проверите), что в одной ИСПДн у вас меньше 100 000 человек.
Тогда по Постановлению Правительства РФ № 1119 для строки
«иные ПДн / субъекты — не сотрудники оператора / менее 100 000 человек» уровень защищённости будет таким: 

при актуальных угрозах 3-го типа → 4 уровень защищённости;
при актуальных угрозах 2-го типа → 3 уровень защищённости;
при 1-м типе угроз → 1 уровень (для вашей ситуации это, как правило, экзотика).
В реальной практике для коммерческих ИСПДн с такими данными при корректно сделанной модели угроз чаще всего получается 3 или 4 уровень, и именно между ними вам нужно выбрать и обосновать.

Дальше — как к этому аккуратно прийти.

 
1. Шаг 1. Кто вы по закону: оператор или «уполномоченное лицо»?
Вопрос:
Кем вы являетесь в этих отношениях: оператором ПДн или лицом, обрабатывающим ПДн по поручению оператора?

Короткий ответ по 152-ФЗ

Оператор — тот, кто сам определяет цели и средства обработки ПДн (зачем собираем, какие поля, как храним и т.п.). ст. 3, 152-ФЗ
Лицо, обрабатывающее ПДн по поручению оператора — действует строго в рамках договора/поручения, не определяя свои цели (ст. 6, 18.1, 19 152-ФЗ).
По вашему описанию:

«Клиенты передают нам данные своих сотрудников для создания учеток в системах, уведомлений, пропусков…»
Очень похоже, что:

клиент — оператор (он решает, какие сотрудники, какие поля, для каких бизнес-процессов),
вы — уполномоченное лицо (обработчик) по договору.
Это важно, но:
для уровня защищённости ИСПДн по ПП № 1119 это почти не облегчает жизнь: система защиты всё равно должна быть у того, кто фактически обрабатывает ПДн в своей информационной системе — то есть у вас тоже, а не только у клиента. ПП № 1119 прямо говорит, что требования применяются и к лицу, обрабатывающему ПДн по договору с оператором.

Что сделать на этом шаге практически

В договорах с клиентами:

явно прописать, что клиент — оператор, вы — уполномоченное лицо;
включить формулировку об обязанности вас обеспечить защиту ПДн в соответствии с ПП № 1119, приказом ФСТЭК № 21 и т.п.
Внутри компании всё равно описать свою ИСПДн (реестр обработки, положение о защите ПДн и т.д.) — проверять будут именно ваши системы.
 
2. Шаг 2. Какие именно категории персональных данных вы обрабатываете?
Вопрос:
Не превратились ли ваши данные случайно в «специальные» или «биометрические»?

Ключевая развилка в ПП № 1119 — по категории ПДн: 

специальные (ст. 10 152-ФЗ: здоровье, национальность, религия, убеждения, интимная жизнь и т.п.);
биометрические (ст. 11 152-ФЗ: отпечатки, фото/видео, позволяющие идентифицировать по физиологическим признакам и т.п.);
общедоступные;
иные (всё остальное).
Вы перечислили:

ФИО, email, должность, номер телефона, Telegram, дата рождения, паспортные данные, водительское удостоверение, ИНН, образование, профессия, место работы. Без сканов документов и фотографий.
Разбираем:

это не специальные категории (нет здоровья, убеждений и т.п.);
не биометрия (нет фото, отпечатков и т.п.);
точно не «общедоступные» — вы их получаете не из открытых источников, а от клиента. «Общедоступные» — это именно данные из специально созданных открытых источников (справочники, сайты и т.п. по ст. 8 152-ФЗ).
Значит, по ПП № 1119 ваши данные — это «иные категории персональных данных».

Это хорошо: именно для «иных» уровни защищённости самые мягкие.

 
3. Шаг 3. Чьи это данные: ваши сотрудники или «чужие»?
В таблице уровней защищённости ПП № 1119 отдельно учитывается, сотрудники ли это оператора.

У вас:

«сотрудники клиентов» → не сотрудники оператора (вас).
Поэтому в таблице мы ориентируемся на колонку
«не сотрудники оператора».

 
4. Шаг 4. Объём: сколько субъектов в одной ИСПДн?
Вы не указали число людей, в ПП № 1119 важна граница: до 100 000 субъектов и более 100 000.

Если в одной ИСПДн (одной системе/контуре) у вас менее 100 000 людей, — одна строчка.
Если более 100 000 — другая.
Частая ошибка IT-компаний: считать по каждому клиенту отдельно, хотя с точки зрения ИСПДн все клиенты сидят на одной общей платформе (если это один общий сервис/БД).

Практический подход:

Определите, что для вас одна ИСПДн:
обычно это совокупность серверов/БД/приложений, которые работают как единая система.
Посчитайте, сколько уникальных физлиц вообще может оказаться в этой системе на пике (реально или по бизнес-плану):

если «мы заведомо не дотягиваем до 100 000» — одна ситуация;
если SaaS с десятками крупных клиентов — там легко может перевалить.
Дальше я буду рассматривать типичный для небольшой/средней IT-компании вариант:
«иные ПДн / не сотрудники оператора / менее 100 000 субъектов».
Если вы понимаете, что в реальности счёт идёт на сотни тысяч, — укажу ниже, что тогда меняется.

 
5. Шаг 5. Какой тип угроз для вас реалистичен: 1, 2 или 3?
Вот здесь начинается то, что обычно пугает:

ПП № 1119 делит угрозы на 3 типа: 

1-й тип — угрозы, связанные с недокументированными возможностями в системном ПО (ОС и т.п.).
2-й тип — недокументированные возможности в прикладном ПО (ваши приложения, сторонние сервисы).
3-й тип — угрозы, не связанные с NDV (обычные вещи: взлом пароля, SQL-инъекции, ошибки админа и т.п.).
Тип угроз определяется по модели угроз, которую вы обязаны разработать (ст. 19 152-ФЗ + методика ФСТЭК по оценке угроз).

Что происходит в живой практике:

Для обычных коммерческих ИСПДн, где нет гособъектов, гостайны и КИИ, при корректной оценке угроз очень часто обосновывают 3-й тип угроз (т.е. угрозы через NDV в системном и прикладном ПО не признаны актуальными для нарушителя с базовым потенциалом).
Но это нужно документально обосновать (модель угроз + ссылка на методику ФСТЭК).
Важная мысль:
Нельзя просто «на глаз» сказать: «нам бы 4 уровень, давайте поставим 3-й тип угроз».
Регулятор смотрит: есть ли модель угроз, как вы аргументировали, кого считаете нарушителем, какие NDV и почему признали неактуальными.

Упрощённо и по-честному:

если вы делаете модель угроз «для галочки» и не хотите глубоко влезать — консультанты обычно страхуются и относят систему к угрозам 2-го типа, чтобы не спорить по NDV,
если вы готовы аккуратно отработать модель угроз — часто есть основания обосновать 3-й тип угроз.
 
6. Шаг 6. Складываем всё в таблицу ПП № 1119 и получаем уровень
Мы уже определили:

категория ПДн: иные (обычные)
субъекты: не сотрудники оператора
объём: предполагаем менее 100 000 в одной ИСПДн
остаётся подставить тип угроз.
По таблице из ПП № 1119 (её удобно пересказывает, например, SecurityVision, я на неё ссылаюсь как на компактный пересказ) строка «Иные / не сотрудники / менее 100 000» выглядит так: 

при 1-м типе угроз → УЗ-1
при 2-м типе угроз → УЗ-3
при 3-м типе угроз → УЗ-4
6.1. Реалистичные для вас варианты
Сценарий А. Угрозы 3-го типа → УЗ-4.
Вы сделали (или сделаете) модель угроз, по методике ФСТЭК оценили, что NDV в системном/прикладном ПО неактуальны для вашего нарушителя → итого 4 уровень защищённости.
Сценарий Б. Угрозы 2-го типа → УЗ-3.
Если NDV в прикладном ПО признаны актуальными (типичная ситуация без глубокого анализа) → 3 уровень защищённости.
1-й тип угроз и УЗ-1 — для вашего кейса маловероятен и обычно встречается в сильно специфичных историях (особые требования, ГОС, критичные системы).
6.2. А если у вас больше 100 000 людей?
Для полноты картины: при «иные / не сотрудники / более 100 000»:

1-й тип угроз → УЗ-1
2-й тип угроз → УЗ-2
3-й тип угроз → УЗ-3 
То есть чем больше людей — тем выше уровень.

 
7. Что конкретно делать сейчас 
Я бы предложил такой практический маршрут.

7.1. Формально зафиксировать роли и процессы
Договоры с заказчиками

Прописать, что клиент — оператор, вы — «лицо, обрабатывающее ПДн по поручению оператора» (ссылаясь на ст. 6, 18.1, 19 152-ФЗ).
Обязательно включить блок о:

целях обработки (регистрация учёток, уведомления, пропуска и т.п.),
составе ПДн (ФИО, паспорта, ВУ и пр.),
обязанностях по безопасности (ПП № 1119, приказ ФСТЭК № 21, при необходимости — РД по криптозащите).
Внутренние документы

Политика/Положение о защите ПДн;
Описание ИСПДн (границы, архитектура);
Приказы о:

назначении лица, ответственного за организацию обработки ПДн (требование ст. 18.1 152-ФЗ); Гарант
при УЗ-3 и выше — лица, ответственного за обеспечение безопасности ПДн (это уже вытекает из логики ПП № 1119 + практики ФСТЭК).
7.2. Определить уровень официально (чтобы не было «на глаз»)
Сделать модель угроз по методике ФСТЭК (МЕТОДИКА оценки угроз безопасности информации 2021 г.).
По результатам модели:

зафиксировать тип актуальных угроз (1, 2 или 3);
на основании таблицы из ПП № 1119 определить уровень защищённости ПДн;
это прямо прописать в документе «Модель угроз и нарушителя» и/или в положении об ИСПДн.
Для себя можно свериться с онлайн-калькулятором уровня защищённости ФСТЭК, который учитывает категорию ПДн, субъектов, их количество и тип угроз.
7.3. Реализовать меры по выбранному уровню (по приказу ФСТЭК № 21)
Когда уровень выбран, включается приказ ФСТЭК № 21 — он перечисляет организационные и технические меры, которые обязаны быть реализованы для данного УЗ.

Упрощённо:

Для УЗ-4:

режим безопасности помещений;
защита носителей ПДн;
разграничение доступа сотрудников (перечень допущенных лиц);
применение сертифицированных СЗИ — по мере необходимости для нейтрализации актуальных угроз (если модель угроз показала, что без них не обойтись).
Для УЗ-3:

всё, что для УЗ-4, плюс:

назначение ответственного за безопасность ПДн;
расширенный набор мер по идентификации, регистрации событий безопасности, антивирусной защите, контролю целостности и т.п. (по таблицам в приказе № 21).
По сути, шаг такой:
уровень → смотрим в Приказ № 21 → выбираем и внедряем нужные меры → оформляем это документально.

 
8. Типичные ошибки, от которых я бы вас берег
«Мы просто написали, что у нас УЗ-4, потому что так проще»
Без модели угроз это смотрится очень плохо на проверке. Роскомнадзор и ФСТЭК смотрят, почему именно выбран такой уровень.
Считать по каждому клиенту отдельно
Если у вас единый SaaS, с точки зрения ИСПДн это единая система. Суммарное количество субъектов может «вылезти» за 100 000, и тогда уровень скачет.
Никак не оформлять вашу роль как уполномоченного лица
Тогда при проблемах с утечкой больше рисков повиснет на вас, потому что де-факто вы оператор (у вас сервер, у вас доступ, вы фактически решаете, как защищать).
Наслоение тестовых/дев-стендов с реальными данными без защиты
Регулятор смотрит на всю ИСПДн, а не только на прод. Если реальные ПДн утекут через тестовый стенд — формально это та же ИСПДн.
 
9. Что это значит лично для вас
Если перевести всю юридическую механику на человеческий язык:

вы уже делаете достаточно чувствительные вещи (паспорт, ВУ, ИНН — это серьёзные идентификаторы, пусть и не специальные категории);
формально ваша ИСПДн, скорее всего, попадает в зону УЗ-3 или УЗ-4 —
и это управляемая история, без космических требований уровня госсистем;
главное — не прятать голову в песок и не жить в режиме «ну мы же IT, к нам это не очень относится».
Вы, по сути, сейчас задаёте очень зрелый вопрос:
«Как сделать так, чтобы всё было чисто и прозрачно, и перед клиентами, и перед регулятором».
Это именно та позиция, которая в итоге экономит нервы и деньги.