Как сервисы для информационной безопасности от Контур.Эгиды помогают бизнесу соблюдать требования регуляторов

В 2025 году количество утечек и компьютерных атак растет. По закону от 27.07.2006 № 152-ФЗ компании обязаны разрабатывать профилактические меры безопасности, проводить расследования инцидентов и о результатах отчитываться в Роскомнадзор. 

Максимальный штраф за утечку персональных данных (общих, специальных, биометрических) — 500 млн руб. Штрафы за неуведомление регулятора об утечках данных — до 3 млн руб. (ч. 11–18 ст. 13.11 КоАП).

Влиять на информационную безопасность могут:

• Отсутствие специальных знаний у сотрудников. Организации уделяют мало внимания обучению сотрудников. В случае инцидента те не будут знать, как реагировать. 

• Действия злоумышленников. Мошенники пытаются завладеть корпоративными профилями сотрудников, украсть базы с клиентскими и финансовыми данными организаций. Один уровень защиты не дает нужной защиты — преступники ищут обходные пути.

• Случайные или намеренные действия сотрудников. Неопытный специалист или новичок может случайно слить документацию или перейти по ссылке из фишингового письма. В руки злоумышленников попадут корпоративные сведения, и под угрозой окажется вся компания. Нанести вред могут уволенные сотрудники — например, при уходе скачать клиентскую базу или финансовые отчеты из учетной системы. 

• Недостаточный акцент на технических средствах защиты. Сбой произойдет, если действовать по принципу «установили и забыли». Настройка защиты инфраструктуры — это не разовый, а планомерный процесс, который не стоит забрасывать на полпути. 

Создание защищенной IT-инфраструктуры стало «задачей номер один» в государственном и коммерческом секторе. И приведенные выше примеры это доказывают.

В 2025 году огромный пласт законодательных требований коснулся защиты персональных данных и сохранности конфиденциальной информации российских граждан. 

Роскомнадзор контролирует компании, которые работают с персональными данными — бизнес, работодателей, бюджетные организации и т. д. (операторов персональных данных). 

Закон устанавливает четкие сроки при инцидентах и компьютерных атаках (ч. 3.1 ст. 21 закона № 152-ФЗ):

• В первые сутки с момента происшествия оператор должен отчитаться в Роскомнадзор.

• Трое суток дается на расследование и установление причин инцидентов. Компания сообщает, почему произошла утечка и кто в этом виноват.

Введены оборотные штрафы за утечку специальных и биометрических данных физлиц — от 1 до 3% от совокупной годовой выручки до 500 млн руб. (ч. 18 ст. 13.11 КоАП).

С 30 мая 2025 года штрафы выросли не только за утечку персональных данных, но и в целом по всей сфере: за обработку данных без уведомления Роскомнадзора, отсутствие полного пакета ЛНА, обработку данных без согласия владельца, нарушение порядка трансграничной передачи и др. Работают не только административные санкции по ст. 13.11 КоАП, но и уголовная ответственность по ст. 272.1 УК. 

Что нужно знать:

1. У государства нет цели массово штрафовать компании. Роскомнадзор проводит проверки и выносит предписания. Штраф будет на следующем этапе — если компания не устранит нарушение.

2. Повышение штрафов нацелено вывести недобросовестных операторов из «тени», для которых старые санкции были несущественными. 

Выросшие штрафы никак не влияют на работу законопослушных компаний. 

Личная информация о пользователях уходит на иностранные серверы США и Европы. А там ее могут использовать для взломов, хакерских атак и других мошеннических действий. 

Какое решение принято на уровне государства:

1. Компаниям рекомендовано использовать отечественные ПО и серверы. Применение мессенджеров WhatsApp¹*, Телеграм и сервисов Google тоже считается нарушением, если они напрямую «вывозят» данные граждан за границу.

2. Первичная обработка данных должна происходить в России. Закон не запрещает использовать, например, зарубежные CRM и почта-клиенты, если данные изначально фиксируются внутри страны. Но об использовании иностранных сервисов компания должна сообщить в Роскомнадзор — подать уведомление о трансграничной передаче персональных данных.

Лучше использовать российские учетные системы, облачные сервисы, онлайн-таблицы, базы данных, чтобы не волноваться о штрафах до 18 млн руб. по ч. 8 и 9 ст. 13.11 КоАП.

Обеспечение защиты данных — процесс не одного дня, а регулярные действия всех участников: собственника, руководителей отделов, специалистов по IT-безопасности и сотрудников «в полях» (бухгалтеров, менеджеров, кадровиков, HR).

Какие меры дают результат:

1. Двухфакторная аутентификация. При входе в корпоративные системы и базы данных дополнительно к логину и паролю пользователь использует push-уведомление и другие варианты подтверждения второго фактора (ОТР, звонок).

2. Ограничение доступов. Разные данные должны храниться в отдельных базах. Одна — с данными клиентов, другая — с информацией о сотрудниках, третья — с финансовыми показателями бизнеса. У каждого сотрудника должен быть доступ только к данным, необходимым для работы: у бухгалтера — к зарплатной ведомости, у менеджера — к контактам клиентов, у HR — к анкетам сотрудников и резюме соискателей. 

3. Аудит процессов и системы безопасности. Внутренние проверки покажут уязвимые места и действия сотрудников, которые в будущем могли бы нанести ущерб компании.

4. Безопасный доступ к данным. Домашние устройства удаленных сотрудников — это открытая дверь для мошенников, которые могут украсть платежные реквизиты или данные клиентов. Избежать этого можно с помощью многоуровневого входа, подключения к корпоративной сети, оптимизированного VPN-протокола. Бухгалтеры, менеджеры, HR и другие сотрудники смогут работать в своих смартфонах, планшетах и ноутбуках из любого места, не подставляя компанию под удар. 

Контур.Эгида — комплекс сервисов для информационной безопасности бизнеса. Включает в себя надежные инструменты для решения задач в области ИБ: аудит систем, контроль доступов, 2FA, безопасный доступ к данным. 

Информационная безопасность для бизнеса

Контур.Эгида — безболезненный подход к защите от внутренних угроз

Консультация

Проблема. Сотрудники используют «простые» логины и пароли. Злоумышленникам проще их взломать и получить доступ к корпоративным ресурсам. Компания рискует потерять критические данные и получить штраф, если сведения попадут в руки мошенников.

Как решить. ID защищает учетные записи. Для входа недостаточно одного только подтверждения по паролю. В сервисе доступна настройка дополнительных элементов защиты — вход по push-уведомлению, 2ФА-подтверждению звонком, ОТР-кодам. Специалисты ИБ видят попытки входа и IP-адрес пользователя. Централизованный доступ позволяет быстро удалить профили уволенных работников, у которых остался доступ к корпоративных ресурсам.

Проблема. Сотрудники удаленно подключаются к корпоративным ресурсам: из дома или командировки, используя открытый Wi-Fi. Например, бухгалтер может случайно «слить» данные о зарплатах и платежах, а учетные данные менеджера будут перехвачены злоумышленниками.

Как решить. Коннект объединяет функции защищенного подключения (VPN), многофакторной аутентификации (MFA), централизованного управления доступами и аналитики подключений. Сервис позволяет сотрудникам компаний безопасно подключаться к внутренним сетям организации, работая удаленно или находясь в командировках, без риска утечки конфиденциальной информации. 

Проблема. Компании нужно выдать расширенные права конкретным пользователям: например, специалистам поддержки, сотрудникам другого офиса или операторам баз данных. Как в этом случае защитить другие части инфраструктуры от несанкционированного доступа?

Как решить. РАМ (Privileged Access Management) помогает контролировать доступы сотрудников к важным участкам и АРМ. Внешние пользователи смогут работать только в определенной части и по заранее разрешенным каналам. Администратор полностью контролирует действия привилегированных пользователей: видит, куда именно они заходят и что делают. Это помогает при расследовании инцидентов, если они случаются. В случае подозрительных действий администратор может заблокировать пользователю доступ к инфраструктуре компании. 

Проблема. Компания работает с персональными данными и пытается построить качественную систему информационной безопасности. Но насколько эффективны системы и процессы — неясно. 

Как решить. С помощью услуг безопасности от Контур.Эгиды компании смогут оценить уровень защищенности бизнеса, соответствие систем защиты требованиям регулятора. Специалисты оценят процессы на предмет рисков и подготовят рекомендации по исправлению недостатков.

16+. Реклама. АО «ПФ «СКБ Контур». ОГРН 1026605606620. 620144, Екатеринбург, ул. Народной Воли, 19А. erid: 2W5zFJuh4Br