.PNG)
1Что такое персональные данные
Персональные данные — это любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных). Это определение из статьи 3 Федерального закона №152-ФЗ «О персональных данных», и оно намеренно широкое: если по данным можно установить конкретного человека — это персональные данные.
Примеры персональных данных, которые обрабатывает практически каждая компания:
| Категория ПДн | Примеры | Уровень защищённости |
|---|---|---|
| Общедоступные | ФИО, дата рождения, телефон (с согласия субъекта) | УЗ-4 (минимальный) |
| Иные | Адрес, email, должность, зарплата, номер паспорта | УЗ-3 или УЗ-4 |
| Специальные | Состояние здоровья, судимости, политические взгляды, религия | УЗ-2 или УЗ-1 |
| Биометрические | Отпечатки пальцев, фото для пропуска (СКУД), голос | УЗ-2 или УЗ-1 |
Распространённое заблуждение
2Требования 152-ФЗ для бизнеса
152-ФЗ устанавливает обязанности оператора персональных данных. Вот ключевые требования, которые должна выполнить каждая компания:
Уведомление Роскомнадзора
Оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки (ст. 22). Подаётся через портал pd.rkn.gov.ru.
Согласие субъекта
Для обработки ПДн требуется согласие субъекта (ст. 9). Для специальных категорий и биометрии — только письменное согласие.
Локальные акты
Необходимы: Политика обработки ПДн (публикуется на сайте), приказ о назначении ответственного, модель угроз, перечень ИСПДн.
Техническая защита
Оператор обязан принимать технические меры защиты ПДн согласно приказу ФСТЭК №21 — в соответствии с определённым уровнем защищённости.
Локализация данных
Базы ПДн граждан РФ должны располагаться на серверах на территории России (ст. 18, ч. 5).
Уведомление об утечках
С 2023 года оператор обязан уведомить РКН об утечке ПДн в течение 24 часов, а субъектов — в течение 72 часов.
3Штрафы за нарушение 152-ФЗ: оборотные штрафы 2025-2026
С принятием Федерального закона №420-ФЗ от 30.11.2024 штрафы за нарушения в сфере персональных данных кардинально ужесточены. Вступают в силу с 30 мая 2025 года:
| Нарушение | Штраф до 2025 | Штраф с 30.05.2025 |
|---|---|---|
| Утечка ПДн от 1 000 до 10 000 субъектов | До 100 000 ₽ | От 3 до 5 млн ₽ |
| Утечка ПДн от 10 000 до 100 000 субъектов | До 100 000 ₽ | От 5 до 10 млн ₽ |
| Утечка ПДн более 100 000 субъектов | До 100 000 ₽ | От 10 до 15 млн ₽ |
| Повторная утечка | До 300 000 ₽ | От 1% до 3% годовой выручки (до 500 млн ₽) |
| Утечка специальных категорий ПДн / биометрии | До 100 000 ₽ | От 10 до 15 млн ₽ |
Оборотные штрафы
До 3% годовой выручки
Максимальный штраф за повторную утечку — 500 млн рублей. Это меняет экономику: защита ПДн теперь дешевле штрафа
Уголовная ответственность
4Как привести компанию в соответствие 152-ФЗ: пошаговый план
Соответствие 152-ФЗ — проект, который разбивается на понятные этапы. Вот пошаговый план для компании среднего размера:
Шаг 1
Аудит и инвентаризация ПДн
Определите, какие ПДн обрабатываете, в каких системах, на каком основании. Составьте реестр ИСПДн и перечень обрабатываемых ПДн.
Шаг 2
Разработка документации
Политика обработки ПДн, приказы, согласия, модель угроз, акт определения уровня защищённости (ПП-1119).
Шаг 3
Уведомление Роскомнадзора
Подайте уведомление через pd.rkn.gov.ru. Если уже подавали — проверьте актуальность и при необходимости обновите.
Шаг 4
Техническая защита
Внедрите меры защиты согласно приказу ФСТЭК №21 для вашего уровня защищённости: антивирус, межсетевой экран, контроль доступа, шифрование, логирование.
Шаг 5
Мониторинг и реагирование
Настройте мониторинг событий безопасности (SIEM/SOC), процедуру уведомления РКН об утечках в течение 24 часов.
Шаг 6
Обучение персонала
Проведите обучение сотрудников правилам обработки ПДн. Это требование закона и одновременно самая эффективная мера против утечек по неосторожности.
Совет
5Как SOC помогает защитить персональные данные
Мониторинг событий безопасности — один из ключевых пунктов приказа ФСТЭК №21. Но мониторинг — это не просто установка SIEM. Нужны аналитики, которые разбирают события круглосуточно. Центр мониторинга (SOC) обеспечивает:
Обнаружение утечек ПДн в реальном времени
SOC отслеживает события DLP, SIEM, EDR и выявляет попытки несанкционированного доступа или выгрузки данных.
Соблюдение 24-часового SLA на уведомление
При обнаружении утечки SOC немедленно уведомляет заказчика и помогает подготовить уведомление в РКН в установленный срок.
Контроль доступа к ИСПДн
Мониторинг привилегированных учётных записей, обнаружение аномальных действий администраторов баз данных.
Формирование доказательной базы
Логи и отчёты SOC служат доказательством принятия мер защиты при проверках РКН и ФСТЭК.
Расследование инцидентов
При подозрении на утечку SOC проводит forensic-анализ: определяет объём скомпрометированных данных, вектор атаки, виновных.
Выполнение мер приказа ФСТЭК №21
SOC закрывает требования по регистрации событий безопасности (РСБ), обнаружению инцидентов (ИНЦ) и мониторингу.
Экономика защиты
SOC от 50 000 ₽/мес vs штраф до 500 000 000 ₽
Стоимость годового мониторинга SOC — менее 0.1% от максимального штрафа за повторную утечку
6Как КРЕДО-С помогает с защитой персональных данных
КРЕДО-С закрывает весь цикл защиты персональных данных — от разработки документации до круглосуточного мониторинга ИСПДн. Лицензии ФСТЭК и ФСБ дают право выполнять работы по технической защите конфиденциальной информации.
Аудит и классификация ПДн
Проведём инвентаризацию, определим уровень защищённости, составим модель угроз.
Разработка документации
Полный комплект ОРД: политика, приказы, согласия, модель угроз, акт классификации.
Внедрение технических мер
Подбор и внедрение СЗИ в соответствии с приказом ФСТЭК №21 и уровнем защищённости.
SOC-мониторинг ИСПДн 24/7
Круглосуточный мониторинг событий безопасности в системах, обрабатывающих ПДн.
24/7
Мониторинг
систем с ПДн
<24ч
Уведомление
РКН при утечке
100+
Проектов
по защите ПДн
ФСТЭК
Лицензия
на ТЗКИ
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Елисеев
Специалист по информационной безопасности
С 2024 года специализируется на комплексных аудитах ИБ. Реализованные проекты: защита персональных данных в МФЦ МО, безопасность в банковской сфере, соответствие требованиям 152-ФЗ.