Утечка персональных данных может стоить компании миллионов рублей и репутации. С 30 мая 2025 года вступают в силу новые требования к операторам персональных данных (Федеральный закон от 30.11.2024 №420-ФЗ). Согласно закону, за нарушение правил обработки персональных данных общей категории можно получить штраф до 500 млн рублей, специальной категории — наказание в форме лишения свободы на срок до пяти лет.
В этой статье:
-
Что считается персональными данными по 152-ФЗ.
-
4 уровня защищенности по приказу ФСТЭК №21.
-
Конкретные меры для каждого уровня (технические, организационные).
Что такое персональные данные (ПДн) и зачем их защищать
Согласно Федеральному закону №152-ФЗ, персональные данные (ПДн) — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту ПДн). Ключевые признаки ПДн заключаются в том, что, во-первых, они позволяют идентифицировать человека, во-вторых, могут быть как цифровыми, так и аналоговыми (бумажные документы, записи в базах).
Виды персональных данных:
-
Специальные — это расовая или национальная принадлежность, политические взгляды, состояние здоровья, религиозные или философские убеждения, интимная жизнь.
-
Биометрические — данные, которые характеризуют физиологические и биологические особенности человека и используются для установления его личности. Это отпечатки пальцев, сканы сетчатки глаза, образцы голоса, ДНК, фотографии (если используются для идентификации).
-
Общедоступные — это данные, доступ к которым предоставлен самим субъектом или по требованию закона. Примеры: данные в телефонных справочниках, информация в открытых госреестрах, профили в соцсетях с публичным доступом. Если человек удалил свои данные из открытых источников, их нельзя продолжать использовать. Даже общедоступные ПДн нельзя обрабатывать для спама или без цели, указанной при сборе.
-
Иные — любые другие данные, которые не подходят под первые три категории.
Кто выступает оператором ПДн
Согласно Федеральному закону №152-ФЗ, оператор — это госорган, юрлицо или физлицо, которое организует и/или осуществляет обработку ПДн.
Примеры операторов:
-
Банки (обрабатывают паспорта, кредитные истории).
-
Интернет-магазины (собирают адреса доставки).
-
Работодатели (хранят трудовые договоры).
-
ИП, которые ведут клиентскую базу.
Важно: если вы передаете обработку третьим лицам (например, CRM-системе), это должно регулироваться договором.
Обязанности оператора:
-
Уведомление Роскомнадзора о начале обработки;
-
Назначение ответственного за обработку ПДн;
-
Применение организационных и технических мер защиты;
-
Локализация баз данных на территории РФ.
Правила обработки персональных данных
Принципы обработки персональных данных описаны в Федеральном законе №152-ФЗ:
- Законность и справедливость — обработка только с согласия субъекта (за исключением случаев, предусмотренных законом);
- Соответствие целям — нельзя использовать данные для других целей;
- Достаточность — сбор только необходимых данных;
- Актуальность — регулярное обновление информации;
- Хранение — только в течение установленного срока.
Согласие на обработку должно быть конкретным, информированным, сознательным и может быть отозвано субъектом
|
Категории персональных данных |
Особенности обработки |
Общедоступные |
Не требуют согласия субъекта. Но должны использоваться строго в указанных целях. При удалении субъектом должны быть исключены из обработки. |
|---|---|
|
Биометрические |
Требуют письменного согласия (за исключением случаев, предусмотренных законом). Подлежат особой защите (обычно УЗ-1 или УЗ-2). Запрещено использование без четко определенных целей. |
|
Специальные |
Требуется явное письменное согласие (в свободной форме не допускается). Исключения (когда согласие не требуется): медицинские цели, профилактика заболеваний либо осуществление правосудия. Запрещено создание отдельных баз только со специальными категориями. |
|
Иные |
Персональные данные работников регулируются Трудовым кодексом, требуют особого режима хранения не менее 50 лет для некоторых категорий. Данные клиентов и контрагентов подпадают под общие требования 152-ФЗ, должны быть защищены согласно уровню защищенности. |
Для каждой категории данных должны быть разработаны отдельные регламенты обработки с учетом их специфики.
Практические рекомендации
- Проведите аудит обрабатываемых данных и классифицируйте их.
- Для специальных и биометрических данных разработайте отдельные политики.
- Убедитесь, что согласия на обработку получены в правильной форме.
- Для общедоступных данных ведите журнал источников их получения.
Уровни защищенности ПДн: как определить
Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК) №21 устанавливает 4 уровня защищенности (УЗ) персональных данных. Уровень определяется на основе:
-
Категории обрабатываемых данных (обычные, биометрические, специальные);
-
Объема обрабатываемых данных (количество субъектов ПДн);
- Характера угроз безопасности (по классификации ФСТЭК).
|
Уровень |
Когда применяется |
|---|---|
|
УЗ-1 |
Обработка спецкатегорий или биометрии в госорганах. |
|
УЗ-2 |
Большие объемы (более 100 тыс. человек) или угрозы 1-2 типа. |
|
УЗ-3 |
Средние объемы (до 100 тыс.) + угрозы 3 типа. |
|
УЗ-4 |
Небольшие базы (до 1000) без спецкатегорий. |
Для точного определения уровня необходимо:
- Провести инвентаризацию обрабатываемых ПДн: категории данных, объем (количество субъектов), характер обработки автоматизированная/неавтоматизированная).
- Определить тип угроз по методике ФСТЭК: 1 тип – иностранные спецслужбы, 2 тип – организованные преступные группы, 3 тип – отдельные злоумышленники.
- Учесть особенности информационной системы: архитектура (распределенная/централизованная), способы обработки (облачные технологии, локальные серверы), каналы передачи данных.
Кроме того, необходимо создать рабочую группу (юрист, IT-специалист, ответственный за ПДн), заполнить форму оценки (можно взять за образец Приложение к Приказу ФСТЭК №21), оформить акт определения уровня (подписывается руководителем), а также утвердить меры защиты соответствующие выбранному уровню.
Определить уровень защищенности информационных систем можно по таблице, которую приведем ниже.
|
Тип ИСПДн |
Категория субъектов |
Количество субъектов |
1 тип актуальных угроз |
2 тип актуальных угроз |
3 тип актуальных угроз |
|---|---|---|---|---|---|
|
ИСПДн-С |
Не сотрудники оператора |
Больше 100 000 человек |
Уровень защищенности 1 |
Уровень защищенности 1 |
Уровень защищенности 2 |
|
Меньше 100 000 |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
||
|
Сотрудники оператора |
Любое |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
|
|
ИСПДн-Б |
Не сотрудники оператора |
Больше 100 000 человек |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
|
Меньше 100 000 |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
||
|
Сотрудники оператора |
Любое |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
|
|
ИСПДн-О |
Не сотрудники оператора |
Больше 100 000 человек |
Уровень защищенности 2 |
Уровень защищенности 2 |
Уровень защищенности 4 |
|
Меньше 100 000 |
Уровень защищенности 2 |
Уровень защищенности 3 |
Уровень защищенности 4 |
||
|
Сотрудники оператора |
Любое |
Уровень защищенности 2 |
Уровень защищенности 3 |
Уровень защищенности 4 |
|
|
ИСПДн-И |
Не сотрудники оператора |
Больше 100 000 человек |
Уровень защищенности 1 |
Уровень защищенности 2 |
Уровень защищенности 3 |
|
Меньше 100 000 |
Уровень защищенности 1 |
Уровень защищенности 3 |
Уровень защищенности 4 |
||
|
Сотрудники оператора |
Любое |
Уровень защищенности 1 |
Уровень защищенности 3 |
Уровень защищенности 4 |
Уровень защищенности 1 (УЗ-1) применяется, когда обрабатываются биометрические или специальные категории ПДн, обработка ведется государственными органами, имеются угрозы 1-го типа (связанные с иностранными государствами).
Уровень защищенности 2 (УЗ-2) применяется, когда обрабатываются персональные данные более 100 000 субъектов, имеются угрозы 2-го типа (криминальные структуры), обрабатываются обычные ПДн в сочетании с другими данными (например, финансовые транзакции).
Уровень защищенности 3 (УЗ-3) применяется, когда обрабатываются данные от 1 000 до 100 000 субъектов, имеются угрозы 3-го типа (отдельные злоумышленники), отсутствуют специальные и биометрические категории данных
Уровень защищенности 4 (УЗ-4) применяется, когда обрабатываются данные менее 1 000 субъектов, отсутствуют специальные и биометрические категории, угрозы носят случайный характер
Более подробно о видах информационных систем (ИСПДн, ГИС, АС) можно прочитать в нашей статье. Там мы описали, как определить уровень защиты персональных данных (ИСПДн).
Также рассмотрим особые случаи:
-
Смешанные базы данных. Если в базе есть разные категории данных, выбирается наивысший уровень. Пример: база с обычными ПДн (УЗ-3) + несколько биометрических записей → УЗ-1.
-
Облачные сервисы. Требуют дополнительных мер (шифрование перед загрузкой). Должен быть договор с провайдером о соответствии требованиям 152-ФЗ.
-
Переход между уровнями. При увеличении объема данных свыше 100 000 → переход с УЗ-3 на УЗ-2. При начале обработки биометрических данных → переход на УЗ-1.
Для сложных случаев стоит обратиться к лицензированным организациям по аттестации информационных систем.
Некорректное определение уровня может привести к недостаточной защите данных (риск утечек), избыточным затратам на ненужные меры защиты, штрафам.
Технические и организационные меры защиты персональных данных
|
Уровень |
Меры |
|---|---|
|
Для УЗ-1 |
1. Криптографическая защита:
2. Защита периметра:
3. Мониторинг и контроль:
|
|
Для УЗ-2 |
1. Средства защиты:
2. Контроль доступа:
3. Тестирование:
|
|
Для УЗ-3 |
1. Базовые технические меры:
2. Сетевая защита:
3. Резервирование:
|
|
Для УЗ-4 |
1. Минимальные требования:
2. Организационные меры:
|
Что касается организационных мер, общим для всех уровней выступает документирование, то есть положение о защите ПДн, регламенты обработки, журналы учета носителей. Также важен контроль: проведение плановых внутренних проверок и аудита прав доступа 1 раз в квартал. Для работников нужно проводить обучение: вводный инструктаж для новых сотрудников, тренинги по фишингу.
Как минимизировать риски
Типичные нарушения: отсутствие политики обработки, недостаточные меры защиты, нет согласий на обработку.
Профилактические меры предполагают регулярные аудиты защиты ПДн, страхование киберрисков, разработку регламентов.
При проверке назначьте ответственного за взаимодействие, подготовьте полный пакет документов, фиксируйте все запросы.
При выявлении нарушений составьте план исправления, подайте ходатайство о снижении штрафа, уведомите субъектов ПДн (если требуется).
Рекомендации:
Проведите аудит соответствия требованиям 152-ФЗ.
Разработайте план реагирования на инциденты.
Обучите сотрудников правилам работы с ПДн.
Почему защита ПДн — обязанность компании? Три главные причины
|
Законодательство |
Репутационные риски |
Финансовые потери |
|---|---|---|
|
|
|
Как соблюдать закон и избежать штрафов?
-
Классифицируйте данные (общедоступные, биометрия, спецкатегории).
-
Определите уровень защищенности по ФСТЭК №21.
-
Внедрите меры (шифрование, DLP, обучение сотрудников).
Если нужна помощь с введением этого комплекса мер, то эксперты «МК Компани» предлагает услугу обеспечения безопасности информационных систем персональных данных (ИСПДн). Специалисты проведут аудит и настроят защиту ПДн под ключ.