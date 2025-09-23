Мы расскажем, какие требования актуальны в 2025 году, что под ними подразумевается и как выстроить всю работу с данными в информационных системах правильно. Также вы узнаете о последствиях, к которым может привести невыполнение требований законодательства. Штраф до 20 млн рублей — не самое страшное: санкции могут быть хуже.
Меры защиты персональных данных
Оператор обязан выстроить систему безопасности, которая сочетает правовые, организационные и технические меры. Такое требование закреплено в ст. 19 ФЗ от 27.07.2006 №152-ФЗ «О персональных данных», а порядок реализации конкретизирован постановлением Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных в информационных системах». Если данные обрабатываются без использования средств автоматизации, должны быть соблюдены меры, предусмотренные постановлением Правительства от 15 сентября 2008 г. № 687.
Если организация не будет соблюдать требования к защите ПДн и это приведет к утечке, ее могут оштрафовать. Сумма штрафа зависит от характера и масштаба инцидента. Например, если к третьим лицам попали ПДн от 1 000 до 10 000 субъектов, организацию или ИП могут оштрафовать на 3–5 млн рублей. При утечке ПДн спецкатегории — до 15 млн, биометрии — до 20 млн рублей. Самый серьезный штраф предусмотрен за повторную утечку — до 500 млн рублей или 1-3% годового оборота компании (ч.18 ст.13.11 КоАП).
Теперь более подробно об основных мерах защиты ПДн.
Правовые
Правовые меры — это фундамент, на котором строится вся система безопасности. Закон требует, чтобы оператор закрепил в документах правила обработки и защиты данных. Такие документы подтверждают, что компания действительно реализует требования к защите персональных данных. Именно их в первую очередь проверяет Роскомнадзор. Если документы отсутствуют или оформлены поверхностно, велик риск получить предписание даже без факта утечки.
Основные правовые меры включают:
Принятие и публикация Политики в отношении обработки персональных данных. Это публичный документ, который должен быть доступен любому субъекту данных. Его обязательно размещают на сайте. Если компания работает и офлайн — на информационном стенде. В Политике фиксируются цели, правовые основания, перечень обрабатываемых данных, порядок их защиты и права субъектов.
Разработка иных локальных нормативных актов. Речь идет о регламентах, положениях, журналах и инструкциях, которые определяют порядок доступа к данным, правила хранения и уничтожения носителей, порядок действий сотрудников при выявлении инцидентов. Эти документы обязательны для внутреннего использования и должны быть утверждены руководителем.
Заключение договоров с подрядчиками. Если обработка персональных данных передается третьим лицам (например, бухгалтерской фирме или IT-провайдеру), с ними заключается договор поручения. В нем прописываются объем обрабатываемых данных, цели, меры защиты и ответственность сторон. Без такого договора передавать ПДн нельзя, это нарушение.
Разработка шаблонов согласий. Они нужны в большинстве случаев, если нет оснований для обработки или передачи ПДн без них (ст. 6 ФЗ № 152-ФЗ). Согласие должно быть информированным и конкретным: в нем указываются цели, категории данных, способы обработки и срок действия. Учтите, что с 01 сентября 2025 года согласие на обработку персональных данных оформляется отдельно от других документов. Теперь нельзя включить его в договор, как это было раньше.
Учет и исполнение прав субъектов. Оператор обязан обеспечивать субъектам доступ к их ПДн, предоставлять информацию об их обработке, а также удалять или исправлять сведения по требованию. Отказ или игнорирование таких запросов может повлечь жалобу в Роскомнадзор и последующие санкции.
Фиксация реализуемых требований к защите персональных данных в документах. Важная обязанность — отразить в локальных актах все меры, которые реально применяются в организации: от разграничения доступа до инструктажа сотрудников. При проверке регулятор будет сверять документы с практикой. Например, после каждого инструктажа о правилах обработки ПДн в журнале учета должны расписываться все сотрудники, которые на нем присутствовали.
Важно! Роскомнадзор рассматривает документы как доказательство того, что компания соблюдает закон и строит систему безопасности на всех уровнях. Именно поэтому не стоит копировать шаблоны других организаций — нужно адаптировать все акты под свою деятельность. Это позволит избежать претензий проверяющих и доказать, что компания действительно ответственно подходит к защите информации.
Организационные
Под организационными мерами подразумеваются практические шаги внутри компании, которые обеспечивают выполнение требований закона в повседневной работе.
Какие требования к защите персональных данных должны выполняться на практике:
Назначение ответственного за обработку персональных данных. В компании должно быть лицо, которое контролирует соблюдение законодательства, взаимодействует с Роскомнадзором и следит за тем, как реально выполняются регламенты. Чаще всего эту функцию возлагают на юриста или специалиста по информационной безопасности.
Разграничение доступа к информации. Сотрудники получают доступ только к тем данным, которые необходимы им для выполнения служебных обязанностей и реализации целей обработки. Для этого должны быть отдельные учетные записи, пароли, должностные роли.
Регулярное обучение сотрудников. Все работники, которые так или иначе взаимодействуют с персональными данными, проходят инструктаж и проверку знаний. Цель — снизить риск ошибок и осознанно вовлечь персонал в систему защиты.
Организация внутреннего контроля. Компания должна регулярно проводить внутренние проверки (аудит) соблюдения требований к безопасности ПДн, желательно не реже одного раза в год.
Реагирование на инциденты. При выявлении фактов несанкционированного доступа организация обязана зафиксировать их, устранить последствия и проанализировать причины, чтобы предотвратить повторение. Также при утечке нужно направить об этом уведомление в Роскомнадзор в течение 24 часов с момента выявления инцидента, иначе могут оштрафовать на сумму до 3 млн рублей (ч.11 ст.13.11 КоАП).
Ограничение использования незащищенных каналов связи. Передача персональных данных через мессенджеры и личные почтовые ящики сотрудников должна быть запрещена. Используются только корпоративные сервисы.
Контроль за уничтожением носителей. Устаревшие бумажные документы и электронные носители с персональными данными подлежат уничтожению комиссией. По результатам оформляется акт и выгрузка из журнала ИСПДн.
Ограничение доступа к помещениям, в которых хранятся носители ПДн. Если данные обрабатываются без ИСПДн, документы нужно хранить в запирающемся помещении или шкафу, ключи от них должны быть только у сотрудников, допущенных к работе с ПДн.
Технические
Помимо правовых и организационных мер, оператор обязан реализовать технические требования к средствам защиты персональных данных. ФЗ № 152-ФЗ и постановление Правительства № 1119 предписывают, что оператор должен использовать аппаратные и программные решения, исключающие несанкционированный доступ, случайное изменение или уничтожение информации. Кроме того, требования закреплены в приказе ФСТЭК от 18.02.2013 № 21, который регламентирует стандарты и сертификацию средств защиты.
Основные технические меры включают:
Использование сертифицированных средств защиты информации. Применяются только решения из реестра ФСТЭК — антивирусы, межсетевые экраны, криптографические средства (СКЗИ). Простое программное обеспечение без сертификата нельзя применять для защиты ПДн.
Контроль доступа к базам данных. Сотрудники работают под личными учетными записями с паролями и, при необходимости, двухфакторной аутентификацией. В крупных компаниях внедряются системы IAM, автоматически ограничивающие права в зависимости от должности и функционала.
Защита каналов передачи данных. Все передачи ПДн через интернет или корпоративные сети должны шифроваться сертифицированными средствами. Корпоративная переписка и совместная работа должны вестись через защищенные сервисы.
Ведение журналов действий пользователей. Каждая операция — вход, копирование, изменение или удаление данных — фиксируется. Это позволяет быстрее расследовать инциденты и подтверждать соблюдение правил при проверках.
Резервное копирование данных. Закон не устанавливает точной периодичности, но требует обеспечить сохранность информации при сбоях и авариях. Резервные копии должны храниться отдельно и быть защищены от несанкционированного доступа.
Защита рабочих мест сотрудников. Компьютеры оснащаются антивирусами, средствами шифрования и автоматической блокировкой экрана при бездействии. Для удаленной работы используются корпоративные сервисы с шифрованием и безопасным доступом к базам данных.
Тестирование средств защиты. Регулярно проводится аудит IT-инфраструктуры, включая сканирование уязвимостей и пентесты. Даже для малого бизнеса базовые проверки позволяют выявить критические риски и своевременно их устранить.
Как защитить персональные данные: полезные советы
Эффективная защита персональных данных — это в первую очередь построение реально работающей системы безопасности. Мы подготовили несколько важных рекомендаций, которые помогут вам все правильно реализовать:
Классифицируйте данные по степени чувствительности. Разделите персональные данные на обычные, специальные категории и биометрические. Это позволит применять дифференцированные меры защиты в зависимости от уровня риска.
Контролируйте удаленный доступ сотрудников. Настройте VPN, ограничьте возможности копирования данных на личные устройства, используйте корпоративные сервисы с шифрованием.
Автоматизируйте уведомления о подозрительных действиях. Настройте систему оповещений при нештатных входах, попытках массового копирования данных или изменении прав доступа.
Регулярно обновляйте ПО. Использование устаревших программ делает защиту бесполезной. Включите плановое обновление операционных систем, баз данных и приложений, работающих с персональными данными.
Проверяйте подрядчиков и сервисы. Перед передачей обработки данных внешним организациям убедитесь, что у них есть сертифицированные средства защиты и реализуются необходимые организационные меры.
Храните резервные копии в безопасных местах. Копии данных должны быть защищены шифрованием, физически отделены от основной системы и проверяться на возможность восстановления.
Минимизируйте данные. Обрабатывайте только те сведения, которые реально нужны для целей бизнеса.
Проводите регулярный анализ инцидентов и корректируйте меры. После каждого инцидента делайте выводы, обновляйте инструкции, пересматривайте права доступа и настройки системы.
Соблюдение требований к защите персональных данных, обрабатываемых в ИСПДн — залог спокойной работы вашей компании. Если вы правильно реализуете правовые, технические и организационные меры, к вам не сможет придраться даже самый требовательный инспектор во время проверки. Кроме того, снизится риск внеплановых проверок, поскольку они как раз и проводятся в случае утечки ПДн.
