Чек-лист: как избежать штрафов за утечку персональных данных
И если инцидент уже произошёл, то что делать
На Россию приходится 2,9% от общего числа мировых штрафов за утечку персональных данных (ПДн). Наши суммы выглядят смешными по сравнению с теми, на которые попадают западные компании. К примеру, РЖД за утекшую базу с данными сотрудников на 17 млн строк получила штраф в 150 тыс рублей, и это одно из самых крупных взысканий в России, тогда как рекорд на Западе – это 620 млн долларов за неправомерную передачу персональных данных европейских пользователей в Китай платформой TikTok. Средний размер штрафа за утечку персональных данных в мире составляет около 4,26 млн долларов. Россия без сомнения будет догонять остальной мир и уже ужесточает регуляторику. Так что же делать, чтобы избежать штрафов за утечку ПДн?
Не так страшен штраф, как его репутационные последствия
Прошло уже больше года после принятия поправок КоАП РФ. С мая 2025 года компании, занимающиеся хранением и обработкой персональных данных, рискуют попасть на большие штрафы за утечки баз данных людей, информацию о которых обрабатывают. Размер штрафа по 152-ФЗ для юридических лиц составляет от 3 до 500 млн. руб. в зависимости от тяжести нарушения и повторности. При этом важно понимать: штраф – это лишь прямая мера ответственности. Косвенные потери (падение лояльности, отток клиентов, судебные иски, затраты на пост-инцидентное восстановление) в среднем в 3–5 раз превышают эту сумму.
Таким образом, экономическая модель риска утечки сместилась — даже если компания готова заплатить штраф, она не готова к репутационному и операционному ущербу. Следовательно, инвестиции в предотвращение утечек и реагирование на инциденты становятся не комплаенс-расходом, а страховкой бизнеса. В первую очередь, любая организация, работающая с персональными данными, а значит и являющаяся оператором ПДн, должна иметь чёткую схему обнаружения, оценки и реагирования на утечки.
Классификация передачи персональных данных
Утечкой ПДн называют ситуации, связанные с неправомерной или случайной передачей персональных данных. В соответствии со 152-ФЗ существуют три формы передачи данных – предоставление, распространение и доступ. Статья 2 149-ФЗ дает определения этих терминов. Предоставление – передача данных ограниченному кругу лиц, распространение – неограниченному кругу лиц, а доступ – это возможность получения информации и ее использования.
Например, размещая ИСПДн в инфраструктуре облачного провайдера, компания тем самым предоставляет ему доступ, как минимум физический.
Исходя из этого возникает закономерный вопрос, когда же передача ПДн правомерна?
Ключевые условия – передача данных должна выполняться на законной основе (требования законодательства, международного договора, согласие на передачу), а их объем и содержание соответствовать целям обработки и не быть избыточными.
Еще один важный момент – передача не должна повлечь нарушение прав субъектов ПДн. На этом пункте остановимся подробнее. Глава 2 Конституции и глава 3 152-ФЗ закрепляют защиту не только формальных идентификаторов (ФИО, адрес, ИНН), но и более широких прав: достоинство личности, неприкосновенность частной жизни, личная и семейная тайна.
Вспомним, например, историю с публикацией данных, украденных в сервисе для заказа еды. Казалось бы, если неограниченный круг лиц знает, какую еду куда ты заказывал, то в чем вред? Но, путем нехитрого анализа люди узнали об изменах супругов, а это уже нарушение личной тайны.
Сигналы о потенциальной утечке
Существует несколько основных причин возникновения утечек персональных данных. Технические:
-
уязвимости в приложениях,
-
неправильные права доступа,
-
отсутствие шифрования,
-
воздействие вредоносного кода,
-
сбои.
Процессные:
-
недостатки процедур обработки и защиты,
-
отсутствие политик конфиденциальности,
-
неактуальная инвентаризационная информация об обрабатываемых данных,
-
недостатки моделей угроз.
Человеческие:
-
ошибки персонала,
-
фишинг‑атаки,
-
инсайдерские действия,
-
работа с подрядчиками без надлежащего контроля,
-
осознанное нарушение утвержденных процедур обработки и защиты данных.
Исходя из этого, делаем простой вывод: инвестиции в техническую защиту без изменения процессов и культуры безопасности не помогут избежать рисков. Основной эффект даёт комбинация: технические средства + чёткие процедуры + регулярное обучение и контроль сотрудников.
21 статья 152-ФЗ обязывает операторов выявлять факты утечек ПДн, и в течение 24 часов информировать об этом РКН, а в отдельных случаях и ГосСОПКА. Откуда же можно узнать о возможной утечке ПДн?
Среди наиболее распространённых вариантов:
-
результаты внутреннего контроля и мониторинга;
-
результаты анализа защищенности;
-
обращения субъекта ПДн;
-
уведомления от РКН, Банка России
-
постановления о производстве следственного действия.
Убедиться, что утечка относится именно к вашей компании, можно с помощью простого сравнения. Существуют три критерия уникальности, которые позволяют быстро «привязать» утечку к организации.
|
Критерий уникальности |
Что проверяем |
Как измеряем |
|
Поля |
Наличие специфических атрибутов (ИНН, номер полиса ОМС, банковские реквизиты) |
Поиск по ключевым полям в утёкшей базе |
|
Структура |
Способ кодирования/ хэширования, нестандартные форматы |
Сравнение хэш-сумм, проверка наличия специфического маскирования |
|
Структура набора записей |
Комбинация полей, характерная только для вашего бизнес-процесса |
Сопоставление с внутренними справочниками |
Если хотя бы один из этих критериев совпадает, вероятность того, что утечка относится к вам, достаточно высока.
Алгоритм процесса реагирования
После получения сигнала оператор ПДн должен начать трёхэтапный процесс реагирования.
- Установление факта – проверка достоверности сигнала, сравнение с журналами доступа и сетевого трафика.
- Расследование и реагирование – локализация источника, ограничение дальнейшего распространения, подготовка уведомлений для регуляторов и субъектов.
Структура уведомления в Роскомнадзор выглядит следующим образом:
- Краткое описание инцидента (дата, тип передачи, объём данных).
- Оценка ущерба (финансовый, репутационный, моральный).
- Принятые меры (локализация, технические действия, корректирующие шаги).
- План дальнейших действий (проведение полного аудита, сроки исправления).
- Контактные данные ответственного лица
Эти шаги полностью соответствуют требованиям ISO 27001/27701 и NIST CSF, но я добавляю параллельный блок оценки ущерба, чтобы успеть подготовить отчёт в течение 72 часов согласно требованиям 152-ФЗ.
ФЗ‑152 обязывает проводить оценку вреда субъектам и оценку эффективности мер минимум раз в три года. Но я рекомендую ежегодный (а лучше ежеквартальный) экспресс‑аудит, который позволяет:
- зафиксировать MTTD (среднее время обнаружения инцидента) ≤ 4 ч;
- зафиксировать MTTR (среднее время реагирования) ≤ 24 ч;
- поддерживать % закрытых инцидентов в рамках SLA ≥ 95 %.
Эти KPI легко интегрировать в системы мониторинга и демонстрировать регуляторам.
Чек-лист для операторов ПДн
- Внедряем классификацию правил передачи данных (предоставление/ распространение/ доступ) в политику конфиденциальности. Как правило, автоматическое срабатывание DLP‑правил происходит в 95% случаев.
- Создаём матрицу уникальности (поле → структура → комбинация) и пишем скрипт сравнения с публичными утечками. В случае утечки это позволит выиграть ≤ 2 ч.
- Разрабатываем модульный шаблон оценки нарушения прав субъектов (с обязательным ручным подтверждением), что сокращает время первичной оценки до 30 мин.
- Вводим KPI: MTTD ≤ 4 ч, MTTR ≤ 24 ч, % SLA ≥ 95 %.
- Готовим набор шаблонов уведомлений для всех регуляторов и публичных заявлений.
- Проводим ежегодное сценарное тестирование с участием ИТ, юридического отдела и PR, выявляем пробелы в процессах, повышаем готовность к реальному инциденту.
- Согласовываем график внешних аудитов (ISO 27001/27701, ГОСТ 57580.1) и минимум один внутренний контроль в год.
- Обучаем персонал (фишинг‑тренинги, работа с данными) минимум два раза в год.
Утечка персональных данных — это не просто техническая проблема, а регулятивный и репутационный риск, который может обернуться крупными штрафами и потерей доверия клиентов. Выигрывает не тот, кто гарантирует «абсолютную защиту» (она невозможна), а тот, кто выстроил систему быстрого обнаружения, точной классификации и регламентированного реагирования. Применение описанных методик позволяет:
- сократить время обнаружения до 4 часов;
- уложиться в 24-часовое уведомление регулятора;
- снизить репутационные потери за счёт контролируемой коммуникации;
- демонстрировать регуляторам измеримую эффективность.
В условиях растущей надзорной нагрузки и повышения штрафов такой подход становится не рекомендацией, а необходимостью для любого оператора персональных данных.
Источник: Киберболоид